Update to r44593:

Editorial review of TCP Wrapper chapter.
Change application name to singular.

Reviewed by:	bcr
Differential Revision:	https://reviews.freebsd.org/D6476
This commit is contained in:
Bjoern Heidotting 2016-05-20 21:54:52 +00:00
parent a659b44c38
commit 19cd577528
Notes: svn2git 2020-12-08 03:00:23 +00:00
svn path=/head/; revision=48836

View file

@ -5,7 +5,7 @@
$FreeBSD$
$FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $
basiert auf: r44530
basiert auf: r44593
-->
<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="security">
<info><title>Sicherheit</title>
@ -62,7 +62,7 @@
</listitem>
<listitem>
<para><acronym>TCP</acronym>-Wrapper für &man.inetd.8;
<para><application>TCP Wrapper</application> für &man.inetd.8;
einrichten können.</para>
</listitem>
@ -999,59 +999,64 @@ Enter secret pass phrase: <userinput>&lt;secret password&gt;</userinput>
</sect1>
<sect1 xml:id="tcpwrappers">
<info><title>TCP-Wrapper</title>
<info><title>TCP Wrapper</title>
<authorgroup>
<author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><contrib>Beigetragen von </contrib></author>
</authorgroup>
</info>
<indexterm>
<primary>TCP-Wrapper</primary>
<primary>TCP Wrapper</primary>
</indexterm>
<para><acronym>TCP</acronym>-Wrapper erweitern die Fähigkeiten von
<xref linkend="network-inetd"/>. Beispielsweise können
Verbindungen protokolliert, Nachrichten zurückgesandt oder nur
interne Verbindungen angenommen werden. Einige dieser
Fähigkeiten können auch über eine Firewall implementiert werden,
<acronym>TCP</acronym>-Wrapper fügen jedoch noch eine weitere
Sicherheitsschicht und Kontrollmöglichkeiten hinzu, die eine
Firewall nicht bieten kann.</para>
<para><application>TCP Wrapper</application> ist ein
rechnerbasiertes Zugriffskontrollsystem, das die Fähigkeiten von
<xref linkend="network-inetd"/> erweitert. Beispielsweise
können Verbindungen protokolliert, Nachrichten zurückgesandt
oder nur interne Verbindungen angenommen werden. Weitere
Informationen über <application>TCP Wrapper</application> und
dessen Funktionen finden Sie in &man.tcpd.8;.</para>
<para><acronym>TCP</acronym>-Wrapper sollten nicht als Ersatz für
eine ordentlich konfigurierte Firewall angesehen werden, sondern
stattdessen in Verbindung mit einer Firewall und anderen
Sicherheitsmechanismen eingesetzt werden.</para>
<para><application>TCP Wrapper</application> sollten nicht als
Ersatz für eine ordentlich konfigurierte Firewall angesehen
werden. Stattdessen sollten
<application>TCP Wrapper</application> in Verbindung mit einer
Firewall und anderen Sicherheitsmechanismen eingesetzt werden,
um bei der Umsetzung einer Sicherheitsrichtlinie eine weitere
Sicherheitsschicht zu bieten.</para>
<sect2>
<title>TCP-Wrapper einrichten</title>
<title>Konfiguration</title>
<para>Um <acronym>TCP</acronym>-Wrapper unter &os; zu benutzen,
muss der &man.inetd.8;-Server aus <filename>rc.conf</filename>
mit den Optionen <option>-Ww</option> gestartet werden.
Anschließend muss <filename>/etc/hosts.allow</filename>
<para>Um <application>TCP Wrapper</application> unter &os; zu
aktivieren, fügen Sie die folgenden Zeilen in
<filename>/etc/rc.conf</filename> ein:</para>
<programlisting>inetd_enable="YES"
inetd_flags="-Ww"</programlisting>
<para>Anschließend muss <filename>/etc/hosts.allow</filename>
richtig konfiguriert werden.</para>
<note>
<para>Im Gegensatz zu anderen Implementierungen der
<acronym>TCP</acronym>-Wrapper wird vom Gebrauch
der Datei <filename>hosts.deny</filename> abgeraten.
Die Konfiguration sollte sich vollständig in der
Datei <filename>/etc/hosts.allow</filename> befinden.</para>
<application>TCP Wrapper</application> wird unter &os; vom
Gebrauch der Datei <filename>hosts.deny</filename>
abgeraten. Die Konfiguration sollte sich vollständig in
<filename>/etc/hosts.allow</filename> befinden.</para>
</note>
<para>In der einfachsten Konfiguration werden Dienste
abhängig vom Inhalt der Datei
abhängig von den Optionen in
<filename>/etc/hosts.allow</filename> erlaubt oder
gesperrt. Unter &os; wird in der Voreinstellung
jeder von &man.inetd.8; gestartete Dienst
jeder von <application>inetd</application> gestartete Dienst
erlaubt.</para>
<para>Eine Konfigurationszeile ist wie folgt aufgebaut:
<literal>Dienst : Adresse : Aktion</literal>.
<literal>Dienst</literal> ist der von &man.inetd.8;
<literal>Dienst</literal> ist der von
<application>inetd</application>
gestartete Dienst (auch Daemon genannt). Die
<literal>Adresse</literal> ist ein gültiger
Rechnername, eine <acronym>IP</acronym>-Adresse oder
@ -1075,8 +1080,8 @@ Enter secret pass phrase: <userinput>&lt;secret password&gt;</userinput>
<programlisting># This line is required for POP3 connections:
qpopper : ALL : allow</programlisting>
<para>Nachdem Sie die Zeile hinzugefügt haben, muss
&man.inetd.8; neu gestartet werden:</para>
<para>Jedes Mal, wenn diese Datei bearbeitet wird, muss
<application>inetd</application> neu gestartet werden:</para>
<screen>&prompt.root; <userinput>service inetd restart</userinput></screen>
</sect2>
@ -1084,7 +1089,7 @@ qpopper : ALL : allow</programlisting>
<sect2>
<title>Erweiterte Konfiguration</title>
<para><acronym>TCP</acronym>-Wrapper besitzen
<para><application>TCP Wrapper</application> besitzen
weitere Optionen, die bestimmen, wie Verbindungen
behandelt werden. In einigen Fällen ist es
gut, wenn bestimmten Rechnern oder Diensten eine
@ -1096,11 +1101,8 @@ qpopper : ALL : allow</programlisting>
Wildcards, Metazeichen und der Ausführung externer
Programme möglich.</para>
<sect3>
<title>Externe Kommandos</title>
<para>Stellen Sie sich vor, eine Verbindung soll
verhindert werden und gleichzeitig soll demjenigen,
verhindert werden und gleichzeitig soll dem Rechner,
der die Verbindung aufgebaut hat, eine Nachricht
geschickt werden. Solch eine Aktion ist mit
<option>twist</option> möglich. <option>twist</option>
@ -1116,8 +1118,8 @@ ALL : ALL \
<para>Für jeden Dienst, der nicht vorher in
<filename>hosts.allow</filename> konfiguriert wurde, wird
die Meldung <quote>You are not allowed to use
<literal>daemon</literal> from
<literal>hostname</literal>.</quote> zurückgegeben.
<replaceable>daemon name</replaceable> from
<replaceable>hostname</replaceable>.</quote> zurückgegeben.
Dies ist nützlich, wenn die Gegenstelle sofort
benachrichtigt werden soll, nachdem die Verbindung getrennt
wurde. Der Text der Meldung <emphasis>muss</emphasis> in
@ -1133,7 +1135,7 @@ ALL : ALL \
<para>Eine weitere Möglichkeit bietet <option>spawn</option>.
Wie <option>twist</option> verbietet <option>spawn</option>
die Verbindung und führt externe Kommandos aus. Allerdings
sendet <option>spawn</option> der Gegenstelle keine
sendet <option>spawn</option> dem Rechner keine
Rückmeldung. Sehen Sie sich die nachstehende
Konfigurationsdatei an:</para>
@ -1149,16 +1151,10 @@ ALL : .example.com \
<filename>/var/log/connections.log</filename>
protokolliert. Das Protokoll enthält den
Rechnernamen, die <acronym>IP</acronym>-Adresse
und den Dienst, der angesprochen wurde.</para>
<para>In diesem Beispiel wurden die Metazeichen
<literal>%a</literal> und <literal>%h</literal> verwendet.
Eine vollständige Liste der Metazeichen finden Sie in
&man.hosts.access.5;.</para>
</sect3>
<sect3>
<title>Wildcards</title>
und den Dienst, der angesprochen wurde. In diesem Beispiel
wurden die Metazeichen <literal>%a</literal> und
<literal>%h</literal> verwendet. Eine vollständige Liste
der Metazeichen finden Sie in &man.hosts.access.5;.</para>
<para>Die Wildcard <literal>ALL</literal> passt auf jeden
Dienst, jede Domain oder jede <acronym>IP</acronym>-Adresse.
@ -1168,7 +1164,7 @@ ALL : .example.com \
Dies ist beispielsweise der Fall, wenn der Verbindungsaufbau
von einer <acronym>IP</acronym>-Adresse erfolgt, die nicht
zu dem übermittelten Rechnernamen passt. In diesem Beispiel
werden alle Verbindungsanfragen zu &man.sendmail.8;
werden alle Verbindungsanfragen zu <application>Sendmail</application>
abgelehnt, wenn die <acronym>IP</acronym>-Adresse nicht zum
Rechnernamen passt:</para>
@ -1176,22 +1172,21 @@ ALL : .example.com \
sendmail : PARANOID : deny</programlisting>
<caution>
<para>Die Wildcard <literal>PARANOID</literal>
kann einen Dienst unbrauchbar machen, wenn der
<para>Die Wildcard <literal>PARANOID</literal> wird
Verbindungen ablehnen, wenn der
Client oder der Server eine fehlerhafte
<acronym>DNS</acronym>-Konfiguration besitzt.
Seien Sie daher besonders vorsichtig, wenn Sie diese Wildcard
in Ihre Konfiguration aufnehmen wollen.</para>
<acronym>DNS</acronym>-Konfiguration besitzt.</para>
</caution>
<para>Weitere Informationen über Wildcards und deren Funktion
finden Sie in &man.hosts.access.5;.</para>
<para>Damit die gezeigten Beispiele funktionieren, muss die
erste Konfigurationszeile in
<filename>hosts.allow</filename> auskommentiert
werden.</para>
</sect3>
<note>
<para>Wenn Sie neue Einträge zur Konfiguration hinzufügen,
sollten Sie sicherstellen, dass nicht benötigte Einträge
in <filename>hosts.allow</filename> auskommentiert
werden.</para>
</note>
</sect2>
</sect1>