diff --git a/de_DE.ISO8859-1/books/handbook/security/chapter.xml b/de_DE.ISO8859-1/books/handbook/security/chapter.xml index 209e006646..54adc352c9 100644 --- a/de_DE.ISO8859-1/books/handbook/security/chapter.xml +++ b/de_DE.ISO8859-1/books/handbook/security/chapter.xml @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $ - basiert auf: r44530 + basiert auf: r44593 --> <chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="security"> <info><title>Sicherheit</title> @@ -62,7 +62,7 @@ </listitem> <listitem> - <para><acronym>TCP</acronym>-Wrapper f�r &man.inetd.8; + <para><application>TCP Wrapper</application> f�r &man.inetd.8; einrichten k�nnen.</para> </listitem> @@ -999,59 +999,64 @@ Enter secret pass phrase: <userinput><secret password></userinput> </sect1> <sect1 xml:id="tcpwrappers"> - <info><title>TCP-Wrapper</title> + <info><title>TCP Wrapper</title> <authorgroup> <author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><contrib>Beigetragen von </contrib></author> </authorgroup> </info> - - <indexterm> - <primary>TCP-Wrapper</primary> + <primary>TCP Wrapper</primary> </indexterm> - <para><acronym>TCP</acronym>-Wrapper erweitern die F�higkeiten von - <xref linkend="network-inetd"/>. Beispielsweise k�nnen - Verbindungen protokolliert, Nachrichten zur�ckgesandt oder nur - interne Verbindungen angenommen werden. Einige dieser - F�higkeiten k�nnen auch �ber eine Firewall implementiert werden, - <acronym>TCP</acronym>-Wrapper f�gen jedoch noch eine weitere - Sicherheitsschicht und Kontrollm�glichkeiten hinzu, die eine - Firewall nicht bieten kann.</para> + <para><application>TCP Wrapper</application> ist ein + rechnerbasiertes Zugriffskontrollsystem, das die F�higkeiten von + <xref linkend="network-inetd"/> erweitert. Beispielsweise + k�nnen Verbindungen protokolliert, Nachrichten zur�ckgesandt + oder nur interne Verbindungen angenommen werden. Weitere + Informationen �ber <application>TCP Wrapper</application> und + dessen Funktionen finden Sie in &man.tcpd.8;.</para> - <para><acronym>TCP</acronym>-Wrapper sollten nicht als Ersatz f�r - eine ordentlich konfigurierte Firewall angesehen werden, sondern - stattdessen in Verbindung mit einer Firewall und anderen - Sicherheitsmechanismen eingesetzt werden.</para> + <para><application>TCP Wrapper</application> sollten nicht als + Ersatz f�r eine ordentlich konfigurierte Firewall angesehen + werden. Stattdessen sollten + <application>TCP Wrapper</application> in Verbindung mit einer + Firewall und anderen Sicherheitsmechanismen eingesetzt werden, + um bei der Umsetzung einer Sicherheitsrichtlinie eine weitere + Sicherheitsschicht zu bieten.</para> <sect2> - <title>TCP-Wrapper einrichten</title> + <title>Konfiguration</title> - <para>Um <acronym>TCP</acronym>-Wrapper unter &os; zu benutzen, - muss der &man.inetd.8;-Server aus <filename>rc.conf</filename> - mit den Optionen <option>-Ww</option> gestartet werden. - Anschlie�end muss <filename>/etc/hosts.allow</filename> + <para>Um <application>TCP Wrapper</application> unter &os; zu + aktivieren, f�gen Sie die folgenden Zeilen in + <filename>/etc/rc.conf</filename> ein:</para> + + <programlisting>inetd_enable="YES" +inetd_flags="-Ww"</programlisting> + + <para>Anschlie�end muss <filename>/etc/hosts.allow</filename> richtig konfiguriert werden.</para> <note> <para>Im Gegensatz zu anderen Implementierungen der - <acronym>TCP</acronym>-Wrapper wird vom Gebrauch - der Datei <filename>hosts.deny</filename> abgeraten. - Die Konfiguration sollte sich vollst�ndig in der - Datei <filename>/etc/hosts.allow</filename> befinden.</para> + <application>TCP Wrapper</application> wird unter &os; vom + Gebrauch der Datei <filename>hosts.deny</filename> + abgeraten. Die Konfiguration sollte sich vollst�ndig in + <filename>/etc/hosts.allow</filename> befinden.</para> </note> <para>In der einfachsten Konfiguration werden Dienste - abh�ngig vom Inhalt der Datei + abh�ngig von den Optionen in <filename>/etc/hosts.allow</filename> erlaubt oder gesperrt. Unter &os; wird in der Voreinstellung - jeder von &man.inetd.8; gestartete Dienst + jeder von <application>inetd</application> gestartete Dienst erlaubt.</para> <para>Eine Konfigurationszeile ist wie folgt aufgebaut: <literal>Dienst : Adresse : Aktion</literal>. - <literal>Dienst</literal> ist der von &man.inetd.8; + <literal>Dienst</literal> ist der von + <application>inetd</application> gestartete Dienst (auch Daemon genannt). Die <literal>Adresse</literal> ist ein g�ltiger Rechnername, eine <acronym>IP</acronym>-Adresse oder @@ -1075,8 +1080,8 @@ Enter secret pass phrase: <userinput><secret password></userinput> <programlisting># This line is required for POP3 connections: qpopper : ALL : allow</programlisting> - <para>Nachdem Sie die Zeile hinzugef�gt haben, muss - &man.inetd.8; neu gestartet werden:</para> + <para>Jedes Mal, wenn diese Datei bearbeitet wird, muss + <application>inetd</application> neu gestartet werden:</para> <screen>&prompt.root; <userinput>service inetd restart</userinput></screen> </sect2> @@ -1084,7 +1089,7 @@ qpopper : ALL : allow</programlisting> <sect2> <title>Erweiterte Konfiguration</title> - <para><acronym>TCP</acronym>-Wrapper besitzen + <para><application>TCP Wrapper</application> besitzen weitere Optionen, die bestimmen, wie Verbindungen behandelt werden. In einigen F�llen ist es gut, wenn bestimmten Rechnern oder Diensten eine @@ -1096,11 +1101,8 @@ qpopper : ALL : allow</programlisting> Wildcards, Metazeichen und der Ausf�hrung externer Programme m�glich.</para> - <sect3> - <title>Externe Kommandos</title> - <para>Stellen Sie sich vor, eine Verbindung soll - verhindert werden und gleichzeitig soll demjenigen, + verhindert werden und gleichzeitig soll dem Rechner, der die Verbindung aufgebaut hat, eine Nachricht geschickt werden. Solch eine Aktion ist mit <option>twist</option> m�glich. <option>twist</option> @@ -1116,8 +1118,8 @@ ALL : ALL \ <para>F�r jeden Dienst, der nicht vorher in <filename>hosts.allow</filename> konfiguriert wurde, wird die Meldung <quote>You are not allowed to use - <literal>daemon</literal> from - <literal>hostname</literal>.</quote> zur�ckgegeben. + <replaceable>daemon name</replaceable> from + <replaceable>hostname</replaceable>.</quote> zur�ckgegeben. Dies ist n�tzlich, wenn die Gegenstelle sofort benachrichtigt werden soll, nachdem die Verbindung getrennt wurde. Der Text der Meldung <emphasis>muss</emphasis> in @@ -1133,7 +1135,7 @@ ALL : ALL \ <para>Eine weitere M�glichkeit bietet <option>spawn</option>. Wie <option>twist</option> verbietet <option>spawn</option> die Verbindung und f�hrt externe Kommandos aus. Allerdings - sendet <option>spawn</option> der Gegenstelle keine + sendet <option>spawn</option> dem Rechner keine R�ckmeldung. Sehen Sie sich die nachstehende Konfigurationsdatei an:</para> @@ -1149,16 +1151,10 @@ ALL : .example.com \ <filename>/var/log/connections.log</filename> protokolliert. Das Protokoll enth�lt den Rechnernamen, die <acronym>IP</acronym>-Adresse - und den Dienst, der angesprochen wurde.</para> - - <para>In diesem Beispiel wurden die Metazeichen - <literal>%a</literal> und <literal>%h</literal> verwendet. - Eine vollst�ndige Liste der Metazeichen finden Sie in - &man.hosts.access.5;.</para> - </sect3> - - <sect3> - <title>Wildcards</title> + und den Dienst, der angesprochen wurde. In diesem Beispiel + wurden die Metazeichen <literal>%a</literal> und + <literal>%h</literal> verwendet. Eine vollst�ndige Liste + der Metazeichen finden Sie in &man.hosts.access.5;.</para> <para>Die Wildcard <literal>ALL</literal> passt auf jeden Dienst, jede Domain oder jede <acronym>IP</acronym>-Adresse. @@ -1168,7 +1164,7 @@ ALL : .example.com \ Dies ist beispielsweise der Fall, wenn der Verbindungsaufbau von einer <acronym>IP</acronym>-Adresse erfolgt, die nicht zu dem �bermittelten Rechnernamen passt. In diesem Beispiel - werden alle Verbindungsanfragen zu &man.sendmail.8; + werden alle Verbindungsanfragen zu <application>Sendmail</application> abgelehnt, wenn die <acronym>IP</acronym>-Adresse nicht zum Rechnernamen passt:</para> @@ -1176,22 +1172,21 @@ ALL : .example.com \ sendmail : PARANOID : deny</programlisting> <caution> - <para>Die Wildcard <literal>PARANOID</literal> - kann einen Dienst unbrauchbar machen, wenn der + <para>Die Wildcard <literal>PARANOID</literal> wird + Verbindungen ablehnen, wenn der Client oder der Server eine fehlerhafte - <acronym>DNS</acronym>-Konfiguration besitzt. - Seien Sie daher besonders vorsichtig, wenn Sie diese Wildcard - in Ihre Konfiguration aufnehmen wollen.</para> + <acronym>DNS</acronym>-Konfiguration besitzt.</para> </caution> <para>Weitere Informationen �ber Wildcards und deren Funktion finden Sie in &man.hosts.access.5;.</para> - <para>Damit die gezeigten Beispiele funktionieren, muss die - erste Konfigurationszeile in - <filename>hosts.allow</filename> auskommentiert - werden.</para> - </sect3> + <note> + <para>Wenn Sie neue Eintr�ge zur Konfiguration hinzuf�gen, + sollten Sie sicherstellen, dass nicht ben�tigte Eintr�ge + in <filename>hosts.allow</filename> auskommentiert + werden.</para> + </note> </sect2> </sect1>