os/doc
3
0
Fork 0
Code Issues Pull requests Projects Releases Wiki Activity

Merge the following from the English version:

Browse source 
1.67 -> 1.69 bibliography/chapter.sgml
   1.181 -> 1.185 config/chapter.sgml
   1.140 -> 1.142 kernelconfig/chapter.sgml
   1.356 -> 1.358 mirrors/chapter.sgml
   1.208 -> 1.229 security/chapter.sgml

Obtained from:	The FreeBSD Russian Documentation Project
This commit is contained in:
Denis Peplin 2004-10-22 11:31:17 +00:00
parent 04c0952551
commit 4bd7a0fd23
Notes: svn2git 2020-12-08 03:00:23 +00:00 
svn path=/head/; revision=22647
5 changed files with 506 additions and 103 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

12
ru_RU.KOI8-R/books/handbook/bibliography/chapter.sgml
View file

@ -2,9 +2,9 @@
The FreeBSD Russian Documentation Project
$FreeBSD$
$FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/bibliography/chapter.sgml,v 1.12 2004/09/27 10:39:26 den Exp $
$FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/bibliography/chapter.sgml,v 1.13 2004/10/21 14:24:51 den Exp $
Original revision: 1.67
Original revision: 1.69
-->
<appendix id="bibliography">
@ -52,7 +52,7 @@
<listitem>
<para>FreeBSD Handbook (ÎÁ ËÉÔÁĘÓËĎÍ), ĎĐŐÂĚÉËĎ×ÁÎĎ
<ulink url="http://www.ptpress.com.cn/">Posts & Telecom
<ulink url="http://www.ptpress.com.cn/">Posts &amp; Telecom
Press</ulink>. ISBN 7-115-10541-3.
</para>
</listitem>
@ -64,7 +64,7 @@
</listitem>
<listitem>
<para>FreeBSD & Windows (ÎÁ ËÉÔÁÊÓËÏÍ), ISBN 7-113-03845-X</para>
<para>FreeBSD &amp; Windows (ÎÁ ËÉÔÁÊÓËÏÍ), ISBN 7-113-03845-X</para>
</listitem>
<listitem>
@ -430,8 +430,8 @@
</listitem>
<listitem>
<para>Marshall Kirk McKusick, George V. Neville-Neil<emphasis>The Design
and Implementation of the FreeBSD UNIX Operating System</emphasis>.
<para>Marshall Kirk McKusick, George V. Neville-Neil <emphasis>The Design
and Implementation of the FreeBSD Operating System</emphasis>.
Boston, Mass. : Addison-Wesley, 2004. ISBN 0-201-70245-2</para>
</listitem>

53
ru_RU.KOI8-R/books/handbook/config/chapter.sgml
View file

@ -2,9 +2,9 @@
The FreeBSD Documentation Project
$FreeBSD$
$FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/config/chapter.sgml,v 1.27 2004/10/22 10:33:59 den Exp $
$FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/config/chapter.sgml,v 1.28 2004/10/22 11:11:28 den Exp $
Original revision: 1.181
Original revision: 1.185
-->
<chapter id="config-tuning">
@ -347,21 +347,18 @@
<filename role="package">mail/postfix</filename> или
<filename role="package">www/apache13</filename>,&nbsp;&mdash;
это лишь два примера множества программных пакетов, которые
можно запускать при инициализации системы. Поэтому остается только
надеяться, что для процедур, способных работать с программами
сторонних производителей, будут выдаваться объяснения в тех редких
случаях, когда что-то идет не так и приложение не запускается как
следует.</para>
можно запускать при инициализации системы. В этом разделе
описывается процедура, предназначенная для запуска программ
сторонних разработчиков.</para>
<para>Большинство входящих в &os; сервисов, таких как &man.cron.8;,
запускается с помощью стартовых скриптов системы. Эти скрипты
могут отличаться в зависимости от версии &os; или ее производителя;
могут различаться в зависимости от версии &os; или ее производителя;
однако важнее всего учитывать, что их начальную конфигурацию
можно задать с помощью простых стартовых скриптов.</para>
<para>С момента появления rcNG стало ясно, что инициализацию системы
для утилит сторонних производителей можно упростить. Многие
годы приложения должны были помещать простой стартовый скрипт в
<para>До появления rcNG приложения должны были помещать
простой стартовый скрипт в
каталог <filename role="directory">/usr/local/etc/rc.d</filename>,
который затем читался скриптами инициализации системы. Эти скрипты
затем выполнялись в ходе последующих стадий запуска системы.</para>
@ -370,10 +367,10 @@
старый стиль конфигурирования в новую систему, остаётся фактом,
что для некоторых утилит сторонних производителей по-прежнему
необходим скрипт, помещённый в указанный выше каталог. Незначительные
различия в скриптах зависят от того, используется ли rcNG. Для
любой версии &os; до 5.1 дополнительное конфигурирование не
потребуется; в действительности, почти во всех случаях прекрасно
подойдет скрипт, который вскоре будет представлен.</para>
различия в скриптах зависят от того, используется ли rcNG. До
версии &os;&nbsp;5.1 использовались скрипты в старом стиле,
и почти во всех случаях скрипты в новом стиле должны подойти так же
хорошо.</para>
<para>Хотя каждый скрипт должен соответствовать некоторым минимальным
требованиям, в большинстве случаев эти требования не зависят от версии
@ -2514,18 +2511,18 @@ device_probe_and_attach: cbb0 attach returned 12</screen>
<listitem>
<para>Вывод &man.dmesg.8; после <quote>boot
<option>-v</option></quote>, включая все сообщения, появившиеся
<command>-v</command></quote>, включая все сообщения, появившиеся
при изучении ошибки.</para>
</listitem>
<listitem>
<para>Вывод &man.dmesg.8; после <quote>boot
<option>-v</option></quote> с выключенным <acronym>ACPI</acronym>,
<command>-v</command></quote> с выключенным <acronym>ACPI</acronym>,
если его отключение помогает решить проблему.</para>
</listitem>
<listitem>
<para>Вывод <quote>sysctl hw.acpi</quote>. Это также хороший
<para>Вывод <command>sysctl hw.acpi</command>. Это также хороший
способ получения списка возможностей системы.</para>
</listitem>
@ -2626,14 +2623,15 @@ device_probe_and_attach: cbb0 attach returned 12</screen>
<literal>S4</literal><acronym>OS</acronym> реализуется полностью
операционной системой.</para>
<para>Начните с проверки переменных <command>sysctl</command>
<option>hw.acpi</option>, относящихся к приостановке (suspend).
Вот результат для моего Thinkpad:</para>
<para>Начните с проверки переменных <command>sysctl
hw.acpi</command>,
относящихся к приостановке (suspend).
Вот результат для Thinkpad:</para>
<screen>hw.acpi.supported_sleep_state: S3 S4 S5</screen>
<screen>hw.acpi.s4bios: 0</screen>
<screen>hw.acpi.supported_sleep_state: S3 S4 S5
hw.acpi.s4bios: 0</screen>
<para>Это означает, что я могу использовать <command>acpiconf
<para>Это означает, что мы можем использовать <command>acpiconf
-s</command> для тестирования <literal>S3</literal>,
<literal>S4</literal><acronym>OS</acronym>, и
<literal>S5</literal>. Если <option>s4bios</option> был единицей
@ -2661,7 +2659,7 @@ device_probe_and_attach: cbb0 attach returned 12</screen>
какой драйвер вызывает проблему путем загрузки драйверов
до тех пор, пока опять не произойдет сбой. Обычно бинарные
драйвера, такие как <filename>nvidia.ko</filename>,
драйвера дисплея <application>X11</application> и
драйвера дисплея X11 и
<acronym>USB</acronym> вызывают большинство проблем, а драйвера
Ethernet интерфейсов как правило работают отлично. Если вы
можете нормально загрузить/выгрузить драйвера, автоматизируйте
@ -2670,7 +2668,8 @@ device_probe_and_attach: cbb0 attach returned 12</screen>
<filename>/etc/rc.resume</filename>. Это закомментированные
примеры выгрузки и загрузки драйверов. Попробуйте
установить параметр <option>hw.acpi.reset_video</option>
в нуль (0), если ваш дисплей не включается после возобновления
в нуль (<literal>0</literal>), если ваш дисплей не включается
после возобновления
работы. Попробуйте установить большие или меньшие значения
для <option>hw.acpi.sleep_delay</option>, чтобы проверить,
поможет ли это.</para>
@ -2722,7 +2721,7 @@ device_probe_and_attach: cbb0 attach returned 12</screen>
<acronym>DDB</acronym>
(<keycombo action="simul"><keycap>CTRL</keycap>
<keycap>ALT</keycap><keycap>ESC</keycap></keycombo> на
консоли) и ввести <option>show interrupts</option>.</para>
консоли) и ввести <literal>show interrupts</literal>.</para>
<para>Наиболее надежный способ избавиться от проблемы с прерываниями,
это отключение поддержки <acronym>APIC</acronym> с помощью

14
ru_RU.KOI8-R/books/handbook/kernelconfig/chapter.sgml
View file

@ -2,9 +2,9 @@
The FreeBSD Russian Documentation Project
$FreeBSD$
$FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/kernelconfig/chapter.sgml,v 1.16 2004/09/24 11:38:40 den Exp $
$FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/kernelconfig/chapter.sgml,v 1.17 2004/10/22 08:59:53 den Exp $
Original revision: 1.140
Original revision: 1.142
-->
<chapter id="kernelconfig">
@ -883,7 +883,7 @@ options NFS_ROOT # NFS usable as /, requires NFSCLIENT</progra
<programlisting>options SYSVSHM # SYSV-style shared memory</programlisting>
<para>üÔÏÔ ÐÁÒÁÍÅÔÒ ÐÒÅÄÏÓÔÁ×ÌÑÅÔ ÐÏÄÄÅÒÖËÕ ÒÁÚÄÅÌÑÅÍÏÊ ÐÁÍÑÔÉ System V.
<para>üÔÏÔ ÐÁÒÁÍÅÔÒ ÐÒÅÄÏÓÔÁ×ÌÑÅÔ ÐÏÄÄÅÒÖËÕ ÒÁÚÄÅÌÑÅÍÏÊ ÐÁÍÑÔÉ System&nbsp;V.
Наиболее распространенное применение этого - расширение XSHM в X, которое
многие приложения, интенсивно работающие с графикой, будут автоматически
использовать для повышения скорости работы. Если вы используете X,
@ -891,18 +891,18 @@ options NFS_ROOT # NFS usable as /, requires NFSCLIENT</progra
<programlisting>options SYSVSEM # SYSV-style semaphores</programlisting>
<para>ðÏÄÄÅÒÖËÁ ÓÅÍÁÆÏÒÏ× System V. îÅ ÎÁÓÔÏÌØËÏ ÞÁÓÔÏ ÉÓÐÏÌØÚÕÅÍÁÑ
<para>ðÏÄÄÅÒÖËÁ ÓÅÍÁÆÏÒÏ× System&nbsp;V. îÅ ÎÁÓÔÏÌØËÏ ÞÁÓÔÏ ÉÓÐÏÌØÚÕÅÍÁÑ
возможность, но в ядро добавляет всего несколько сотен байт.</para>
<programlisting>options SYSVMSG # SYSV-style message queues</programlisting>
<para>ðÏÄÄÅÒÖËÁ ÓÏÏÂÝÅÎÉÊ System V. ïÐÑÔØ-ÔÁËÉ, ÜÔÏÔ ÐÁÒÁÍÅÔÒ
<para>ðÏÄÄÅÒÖËÁ ÓÏÏÂÝÅÎÉÊ System&nbsp;V. ïÐÑÔØ-ÔÁËÉ, ÜÔÏÔ ÐÁÒÁÍÅÔÒ
добавляет в ядро всего лишь несколько сотен байт.</para>
<note>
<para>Команда &man.ipcs.1; с параметром <option>-p</option> покажет
все процессы, которые используют любую из этих возможностей
System V.</para>
System&nbsp;V.</para>
</note>
<programlisting>options _KPOSIX_PRIORITY_SCHEDULING # POSIX P1003_1B real-time extensions</programlisting>
@ -1697,7 +1697,7 @@ device fwe # Ethernet over FireWire (non-standard!)</programl
работоспособное ядро:</para>
<screen>&prompt.root; <userinput>mv /boot/kernel /boot/kernel.bad</userinput>
<userinput>mv /boot/<replaceable>kernel.good</replaceable> /boot/kernel</userinput></screen>
&prompt.root; <userinput>mv /boot/<replaceable>kernel.good</replaceable> /boot/kernel</userinput></screen>
<para>В версиях &os; до 5.X, для восстановления работоспособного
ядра используйте команду:</para>

22
ru_RU.KOI8-R/books/handbook/mirrors/chapter.sgml
View file

@ -2,9 +2,9 @@
The FreeBSD Russian Documentation Project
$FreeBSD$
$FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/mirrors/chapter.sgml,v 1.16 2004/09/13 14:45:08 den Exp $
$FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/mirrors/chapter.sgml,v 1.17 2004/10/22 09:09:33 den Exp $
Original revision: 1.356
Original revision: 1.358
-->
<appendix id="mirrors">
@ -53,6 +53,14 @@
ÐÏÓÔÁ×ÝÉËÏ×:</para>
<itemizedlist>
<listitem>
<address>
<otheraddr>BSD-Systems</otheraddr>
Email: <email>info@bsd-systems.co.uk</email>
WWW: <otheraddr><ulink url="http://www.bsd-systems.co.uk"></ulink></otheraddr>
</address>
</listitem>
<listitem>
<address>
<otheraddr>Daemon News Mall</otheraddr>
@ -390,9 +398,13 @@
</listitem>
<listitem>
<para><emphasis>óûá</emphasis>:
:pserver:anoncvs@anoncvs.FreeBSD.org:/home/ncvs
(éÓÐÏÌØÚÕÊÔÅ <command>cvs login</command> É ××ÅÄÉÔÅ ÐÁÒÏÌØ
<quote>anoncvs</quote> × ÏÔ×ÅÔ ÎÁ ÐÒÉÇÌÁÛÅÎÉÅ.)</para>
freebsdanoncvs@anoncvs.FreeBSD.org:/home/ncvs
(ÔÏÌØËÏ ssh - ÂÅÚ ÐÁÒÏÌÑ)</para>
</listitem>
<listitem>
<para><emphasis>óûá</emphasis>:
anoncvs@anoncvs1.FreeBSD.org:/home/ncvs (ÔÏÌØËÏ ssh - ÂÅÚ
ÐÁÒÏÌÑ)</para>
</listitem>
</itemizedlist>

508
ru_RU.KOI8-R/books/handbook/security/chapter.sgml
View file

@ -2,9 +2,9 @@
The FreeBSD Documentation Project
$FreeBSD$
$FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/security/chapter.sgml,v 1.24 2004/08/26 11:16:20 den Exp $
$FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/security/chapter.sgml,v 1.28 2004/10/21 13:44:42 den Exp $
Original revision: 1.208
Original revision: 1.229
-->
<chapter id="security">
@ -61,6 +61,11 @@
паролей.</para>
</listitem>
<listitem>
<para>Как настроить <acronym>TCP</acronym> Wrappers для
использования с <command>inetd</command>.</para>
</listitem>
<listitem>
<para>Как настроить <application>KerberosIV</application> в релизах
&os; до 5.0.</para>
@ -86,11 +91,6 @@
реализацию <acronym>SSH</acronym> в &os;.</para>
</listitem>
<listitem>
<para>Как настроить и загрузить модули расширения контроля доступа,
использующие концепцию TrustedBSD <acronym>MAC</acronym>.</para>
</listitem>
<listitem>
<para>Что такое <acronym>ACL</acronym> и как их использовать.</para>
</listitem>
@ -259,7 +259,7 @@
</listitem>
<listitem>
<para>Защита <username>root</username> &mdash; работающих под root
<para>Защита работающих под <username>root</username>
сервисов и suid/sgid исполняемых файлов.</para>
</listitem>
@ -300,9 +300,11 @@
<note>
<title>Команда и протокол</title>
<para>В этом документе мы будет использовать
<application>выделенный</application> упоминая команду или приложение.
Например, мы будем использовать выделение для ssh, поскольку это и
команда и протокол.</para>
<application>выделенный</application> текст, упоминая приложение,
и <command>моноширинный</command> шрифт, упоминая определенные
команды. Для протоколов используется обычный шрифт. Это
типографическое отличие полезно для таких случаев, как ssh, поскольку
это и команда и протокол.</para>
</note>
<para>В последующем разделе будут рассмотрены методы защиты системы
@ -370,6 +372,12 @@
чем работа через <username>root</username> напрямую, это не
обязательно самый безопасный способ.</para>
<!-- XXX:
This will need updating depending on the outcome of PR bin/71147.
Personally I know what I'd like to see, which puts this in definite
need of a rewrite, but we'll have to wait and see. ceri@
-->
<para>Непрямой способ защиты служебных учетных записей и конечно
<username>root</username> это использование альтернативных методов
доступа и замена зашифрованных паролей на символ
@ -602,8 +610,8 @@
</indexterm>
<para>Но даже если вы выключите устройство <devicename>bpf</devicename>,
все еще остаются проблемы, связанные с устройствами
<devicename>/dev/mem</devicename> и
<devicename>/dev/kmem</devicename>.
<filename>/dev/mem</filename> и
<filename>/dev/kmem</filename>.
Нарушитель все еще может писать на дисковые raw устройства.
Есть также другая возможность ядра, загрузка модулей, &man.kldload.8;.
Активный нарушитель может использовать KLD модуль для установки
@ -1426,6 +1434,224 @@ permit port ttyd0</programlisting>
</sect2>
</sect1>
<sect1 id="tcpwrappers">
<sect1info>
<authorgroup>
<author>
<firstname>Tom</firstname>
<surname>Rhodes</surname>
<contrib>Написал: </contrib>
</author>
</authorgroup>
</sect1info>
<indexterm><primary>TCP Wrappers</primary></indexterm>
<title>TCP Wrappers</title>
<para>Каждый, кто знаком с &man.inetd.8;, возможно когда-то слышал
о <acronym>TCP</acronym> Wrappers. Но немногие полностью
понимают их полезность в сетевой среде: большинство
используют брандмауэр. Хотя его применимость очень широка,
есть вещи, с которыми брандмауэр не может работать, такие
как отправка текста обратно вызывающей стороне. Программное
обеспечение уровня <acronym>TCP</acronym> может делать это
и многое другое. В следующих нескольких разделах обсуждаются
многие возможности <acronym>TCP</acronym> Wrappers, и, когда
это необходимо, даются примеры настроек.</para>
<para>Программное обеспечение <acronym>TCP</acronym> Wrappers
расширяет возможность <command>inetd</command> по поддержке
каждого даемона. С ним становится возможным протоколирование,
возврат сообщений вызывающей стороне, ограничение подключений
внутренней сетью и т.п. Хотя некоторые из этих возможностей
могут быть реализованы брандмауэром, <acronym>TCP</acronym>
Wrappers не только предоставляют дополнительный уровень защиты,
но и дают больше контроля над системой, чем это возможно
с брандмауэром.</para>
<!-- removed from translation: reudant info
<para>The added functionality of <acronym>TCP</acronym> Wrappers
should not be considered a replacement for a good firewall;
however, but should used in conjunction with a firewall and
other security configurations to add an extra layer of protection
for the system.</para>
-->
<para>Поскольку рассматривается расширение к настройкам
<command>inetd</command>, предполагается, что читатель ознакомился
с разделом о <link linkend="network-inetd">настройке
inetd</link>.</para>
<note>
<para>Хотя программы, запускаемые из &man.inetd.8;, на самом деле не
соответствуют термину <quote>даемоны</quote>, существует традиция
называть их именно так. Этот термин и используется в данном
разделе.</para>
</note>
<sect2>
<title>Начальная настройка</title>
<para>Единственное требование для использования <acronym>TCP</acronym>
Wrappers в &os; это наличие в <filename>rc.conf</filename>
параметров запуска <command>inetd</command> <option>-Ww</option>;
это настройки по умолчанию. Конечно, ожидается также наличие
правильной настройки <filename>/etc/hosts.allow</filename>,
но &man.syslogd.8; отправит сообщения в системный протокол если
что-то не так.</para>
<note>
<para>В отличие от других реализаций <acronym>TCP</acronym>
Wrappers, использование <filename>hosts.deny</filename> не
поддерживается. Все параметры настройки должны быть помещены
в <filename>/etc/hosts.allow</filename>.</para>
</note>
<para>В простейшей конфигурации, политика подключения сводится к
разрешению или блокированию в зависимости от параметров в
<filename>/etc/hosts.allow</filename>. Настройка в &os;
по умолчанию заключается в разрешении подключения к любому
даемону, запущенному из <command>inetd</command>. Изменение
этого поведения будет обсуждаться только после рассмотрения
базовой настройки.</para>
<para>Базовая настройка обычно принимает форму
<literal>daemon : address : action</literal>, где
<literal>daemon</literal> это имя даемона, который запускается
<command>inetd</command>. В поле <literal>address</literal>
может находиться имя хоста, <acronym>IP</acronym> адрес, или
IPv6 адрес, заключенный в квадратные скобки ([&nbsp;]).
Поле action может принимать значения allow или deny,
чтобы соответственно разрешать или запрещать доступ.
Помните, что поиск правил производится до первого совпадения.
При обнаружении совпадения применяется соответствующее правило
и поиск прерывается.</para>
<para>Существуют и другие параметры, но они будут описаны в следующих
разделах. Простая конфигурация может быть, например, такой:
для разрешения соединений по протоколу <acronym>POP</acronym>3
к даемону <filename role="package">mail/qpopper</filename>,
в <filename>hosts.allow</filename> необходимо добавить следующие
строки:</para>
<programlisting># This line is required for POP3 connections:
qpopper : ALL : allow</programlisting>
<para>После добавления этой строки, <command>inetd</command>
необходимо перезапустить. Это можно выполнить командой
&man.kill.1; или скриптом <filename>/etc/rc.d/inetd</filename>
с параметром <parameter>restart</parameter>.</para>
</sect2>
<sect2>
<title>Расширенная конфигурация</title>
<para>У <acronym>TCP</acronym> Wrappers имеются дополнительные
параметры; они дают дополнительные возможности контроля над
соединениями. Иногда бывает полезно возвращать комментарий
определенным хостам или при подключении к определенным
даемонам. В других случаях может быть необходимо добавить
запись в лог файл, или отправить письмо администратору.
В определенных ситуациях сервис должен использоваться
только для локальных соединений. Все это возможно с
использованием параметров c шаблонами, символами подстановки
и путем выполнения внешних команд. Следующие два раздела
посвящены этим типам настроек.</para>
<sect3>
<title>Внешние команды</title>
<para>Предположим ситуацию, в которой соединение должно
быть запрещено, а о причине необходимо сообщить вызывающей
стороне. Как это можно сделать? Соответствующую
возможность предоставляет параметр <option>twist</option>.
При попытке подключения выполняется команда или скрипт,
заданный этим параметром. Пример дан в файле
<filename>hosts.allow</filename>:</para>
<programlisting># The rest of the daemons are protected.
ALL : ALL \
: severity auth.info \
: twist /bin/echo "You are not welcome to use %d from %h."</programlisting>
<para>В этом примере сообщение,
<quote>You are not allowed to use <literal>daemon</literal>
from <literal>hostname</literal>.</quote> будет возвращено
от всех даемонов, которые не были предварительно настроены
в файле доступа. Обратите внимание, что возвращаемое
сообщение <emphasis>должно</emphasis> быть заключено в
кавычки; из этого правила нет исключений.</para>
<warning>
<para>Возможна реализация DoS атаки, когда группа
атакующих производит множество запросов на подключение.</para>
</warning>
<para>Возможно также использование параметра <option>spawn</option>.
Как и параметр <option>twist</option>, параметр
<option>spawn</option> подразумевает запрет соединения
и может использоваться для запуска команд или скриптов.
В отличие от <option>twist</option>, <option>spawn</option> не
отправляет ответ вызывающей стороне. Например, следующая
конфигурация:</para>
<programlisting># We do not allow connections from example.com:
ALL : .example.com \
: spawn (/bin/echo %a from %h attempted to access %d &gt;&gt; \
/var/log/connections.log) \
: deny</programlisting>
<para>отклонит все попытки соединения из домена
<hostid role="fqdn">*.example.com</hostid>; имя хоста,
<acronym>IP</acronym> адрес и даемон протоколируются в файл
<filename>/var/log/connections.log</filename>.</para>
<para>Помимо приведенных выше символов подстановки, например
%a, существует еще несколько символов. Обратитесь к странице
&man.hosts.access.5; справочной системы за полным списком.</para>
</sect3>
<sect3>
<title>Параметры &ndash; шаблоны</title>
<para>До этого момента в примерах использовался шаблон
<literal>ALL</literal>. Существуют и другие параметры,
функциональность которых в дальнейшем может быть расширена.
<literal>ALL</literal> соответствует любому даемону,
домену или <acronym>IP</acronym> адресу. Другой доступный
шаблон это <literal>PARANOID</literal>, который соответствует
хосту, <acronym>IP</acronym> адрес которого может быть
подделан. Другими словами, <literal>paranoid</literal>
может быть использован для определения действия с хостами,
<acronym>IP</acronym> адрес которых не соответствует имени
хоста. Вот пример применения этого параметра:</para>
<programlisting># Block possibly spoofed requests to sendmail:
sendmail : PARANOID : deny</programlisting>
<para>В этом примере все запросы на подключения к
<command>sendmail</command> от хостов, <acronym>IP</acronym>
адрес которых не соответствует имени хоста, будут
отклонены.</para>
<caution>
<para>Использование <literal>PARANOID</literal> невозможно,
если у клиента или сервера неправильно настроен
<acronym>DNS</acronym>. В таких случаях необходимо
вмешательство администратора.</para>
</caution>
<para>Более подробная информация о шаблонах и их возможностях
дана на странице &man.hosts.access.5; справочной
системы.</para>
<para>Для того, чтобы любая выбранная конфигурация заработала,
в <filename>hosts.allow</filename> необходимо закомментировать
первую строку настройки. В начале раздела об этом не
упоминалось.</para>
</sect3>
</sect2>
</sect1>
<!--
Разделы по Kerberos переведены не вполне корректно в связи с использованием
следующих терминов: principal, ticket, realm, credentials.
@ -1450,7 +1676,7 @@ permit port ttyd0</programlisting>
</authorgroup>
</sect1info>
<title>KerberosIV</title>
<title><application>KerberosIV</application></title>
<para>Kerberos это сетевая дополнительная система/протокол, которая
делает возможной аутентификацию пользователей через сервисы на защищенном
@ -1464,7 +1690,7 @@ permit port ttyd0</programlisting>
могут потребоваться страницы справочника полного дистрибутива.</para>
<sect2>
<title>Установка KerberosIV</title>
<title>Установка <application>KerberosIV</application></title>
<indexterm><primary>MIT</primary></indexterm>
<indexterm>
@ -2412,9 +2638,11 @@ jdoe@example.org</screen>
</listitem>
<listitem>
<para>Синхронизировано ли время? Вы уверены? Если время не
синхронизировано (обычно в пределах пяти минут) аутентификация
завершится неудачно.</para>
<para>Все ли компьютеры в пределах данного realm
синхронизированы по времени? Если нет, аутентификация может
завершиться неудачно. <xref linkend="network-ntp"> описывает
как синхронизировать часы с использованием
<acronym>NTP</acronym>.</para>
</listitem>
<listitem>
@ -2491,14 +2719,6 @@ jdoe@example.org</screen>
каждого <acronym>TGT</acronym>.</para></note>
</listitem>
<listitem>
<para>Вам необходимо поддерживать время синхронизированным на
всех компьютерах внутри одного идентификатора.
<acronym>NTP</acronym> прекрасно подходит для этой задачи.
За дополнительной информацией по <acronym>NTP</acronym>
обратитесь к <xref linkend="network-ntp">.</para>
</listitem>
<listitem>
<para>Если вы хотите установить большое время жизни доступа
(например, неделю), и используете
@ -3635,44 +3855,212 @@ A valid hostname may be specified in place of the IP address.
</sect1>
<sect1 id="openssl">
<sect1info>
<authorgroup>
<author>
<firstname>Tom</firstname>
<surname>Rhodes</surname>
<contrib>Написал: </contrib>
</author>
</authorgroup>
</sect1info>
<title>OpenSSL</title>
<indexterm>
<primary>безопасность</primary>
<secondary>OpenSSL</secondary>
</indexterm>
<indexterm><primary>OpenSSL</primary></indexterm>
<para>Начиная с FreeBSD&nbsp;4.0, OpenSSL является частью базовой системы.
<ulink url="http://www.openssl.org/">OpenSSL</ulink> предоставляет
как криптографическую библиотеку общего назначения, так и сетевые
протоколы безопасности Secure Sockets Layer v2/v3 (SSLv2/SSLv3) и
Transport Layer Security v1 (TLSv1).</para>
<para>Одной из программ, требующих особого внимания пользователей,
является набор программ <application>OpenSSL</application>,
включенный в &os;. <application>OpenSSL</application> предоставляет
уровень шифрования поверх обычных уровней соединения; следовательно,
он может быть использован многими сетевыми приложениями и
сервисами.</para>
<para>Однако, один из алгоритмов (а именно IDEA), включенный в OpenSSL,
защищен патентом в USA и повсеместно, и не доступен для
неограниченного использования. IDEA включен в исходные тексты
FreeBSD, но не собирается по умолчанию. Если вы собираетесь
использовать его, и согласны с положениями лицензии, включите
переменную <makevar>MAKE_IDEA</makevar> в
<filename>/etc/make.conf</filename> и пересоберите исходные тексты
с помощью команды <command>make world</command>.</para>
<para><application>OpenSSL</application> может использоваться для
шифрования соединений почтовых клиентов, транзакций через интернет,
например для кредитных карт, и многого другого. Многие порты,
такие как <filename role="package">www/apache13-ssl</filename> и
<filename role="package">mail/sylpheed-claws</filename> собираются
с <application>OpenSSL</application>.</para>
<para>На данный момент алгоритм RSA свободно доступен к использованию
в USA и других странах. В прошлом он был защищен патентом.</para>
<note>
<para>В большинстве случаев в коллекции портов собирается
порт <filename role="package">security/openssl</filename>,
если только переменная <makevar>WITH_OPENSSL_BASE</makevar>
не установлена явно в <quote>yes</quote>.</para>
</note>
<indexterm>
<primary>OpenSSL</primary>
<secondary>установка</secondary>
</indexterm>
<para>Версия <application>OpenSSL</application>, включаемая
в &os;, поддерживает сетевые протоколы безопасности
Secure Sockets Layer v2/v3 (SSLv2/SSLv3),
Transport Layer Security v1 (TLSv1) и может быть использована
в качестве основной криптографической библиотеки для
приложений.</para>
<note>
<para>Хотя <application>OpenSSL</application> поддерживает алгоритм
<acronym>IDEA</acronym>, по умолчанию он отключен из-за патентных
ограничений Соединенных Штатов. Для его использования необходимо
ознакомиться с лицензией, и, если ограничения приемлемы,
установить в <filename>make.conf</filename> переменную
<makevar>MAKE_IDEA</makevar>.</para>
</note>
<para>Возможно наиболее часто <application>OpenSSL</application>
используется для предоставления сертификатов программным
пакетам. Эти сертификаты подтверждают, что данные компании
или частного лица верны и не подделаны. Если рассматриваемый
сертификат не был проверен одним из нескольких Certificate
Authorities (<acronym>CA</acronym>), обычно выводится
предупреждение. Certificate Authority это компания, такая как
VeriSign, которая подписывает сертификаты для подтверждения
данных частных лиц или компаний. Эта процедура не бесплатна
и не является абсолютно необходимой для использования сертификатов;
однако может успокоить некоторых особо осторожных
пользователей.</para>
<sect2>
<title>Установка из исходных текстов</title>
<title>Генерирование сертификатов</title>
<para>OpenSSL является частью <application>CVSup</application> коллекций
<literal>src-crypto</literal> и <literal>src-secure</literal>.
Обратитесь к разделу <link
linkend="mirrors">Получение FreeBSD</link> за дополнительной
информацией о получении и обновлении исходных текстов FreeBSD.</para>
<indexterm>
<primary>OpenSSL</primary>
<secondary>генерирование сертификатов</secondary>
</indexterm>
<para>Для генерирования сертификатов доступна следующая
команда:</para>
<screen>&prompt.root; <userinput>openssl req -new -nodes -out req.pem -keyout cert.pem</userinput>
Generating a 1024 bit RSA private key
................++++++
.......................................++++++
writing new private key to 'cert.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:<userinput><replaceable>US</replaceable></userinput>
State or Province Name (full name) [Some-State]:<userinput><replaceable>PA</replaceable></userinput>
Locality Name (eg, city) []:<userinput><replaceable>Pittsburgh</replaceable></userinput>
Organization Name (eg, company) [Internet Widgits Pty Ltd]:<userinput><replaceable>My Company</replaceable></userinput>
Organizational Unit Name (eg, section) []:<userinput><replaceable>Systems Administrator</replaceable></userinput>
Common Name (eg, YOUR name) []:<userinput><replaceable>localhost.example.org</replaceable></userinput>
Email Address []:<userinput><replaceable>trhodes@FreeBSD.org</replaceable></userinput>
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:<userinput><replaceable>SOME PASSWORD</replaceable></userinput>
An optional company name []:<userinput><replaceable>Another Name</replaceable></userinput></screen>
<para>Ввод после приглашения <quote>Common Name</quote>
содержит имя домена. Здесь вводится имя сервера для
верификации; помещение в это поле чего-либо кроме
этого имени приведет к созданию бесполезного сертификата.
Доступны и другие параметры, например срок действия,
альтернативные алгоритмы шифрования и т.д. Полный список
находится на странице справочного руководства
&man.openssl.1;.</para>
<para>Файл <filename>cert.pem</filename> должен находиться в
каталоге, из которого была выполнена вышеупомянутая команда.
Этот сертификат может быть отправлен одному из многих
<acronym>CA</acronym> для подписи.</para>
<para>Когда подпись <acronym>CA</acronym> не требуется, может
быть создан самоподписанный сертификат. Сначала создайте ключ
<acronym>CA</acronym>:</para>
<screen>&prompt.root; <userinput>openssl gendsa -des3 -out \
<filename>myca.key</filename> 1024</userinput></screen>
<para>Используйте этот ключ при создании сертификата:</para>
<screen>&prompt.root; <userinput>openssl req -new -x509 -days 365 -key \
<filename>myca.key</filename> -out <filename>new.crt</filename></userinput></screen>
<para>В каталоге должно появиться два новых файла: подпись сертификата,
<filename>myca.key</filename> и сам сертификат,
<filename>new.crt</filename>. Они должны быть помещены в каталог,
доступный для чтения только <username>root</username>,
желательно внутри <filename role="directory">/etc</filename>.
Права на каталог можно изменить <command>chmod</command> с параметрами
0600.</para>
</sect2>
<sect2>
<title>Использование сертификатов, пример</title>
<para>Итак, что могут сделать эти файлы? Хорошим применением
может стать шифрование соединений для
<application>Sendmail</application> <acronym>MTA</acronym>.
Это сделает ненужным использование простой текстовой
аутентификации для тех, кто отправляет почту через
локальный <acronym>MTA</acronym>.</para>
<note>
<para>Это не лучшее из возможных использований, поскольку
некоторые <acronym>MUA</acronym> выдадут ошибку, если
сертификат не установлен локально. Обратитесь к
поставляемой с программой документации за информацией по
установке сертификата.</para>
</note>
<para>Следующие строки должны быть помещены в локальный файл
<filename>.mc</filename>:</para>
<programlisting>dnl SSL Options
define(`confCACERT_PATH',`/etc/certs')dnl
define(`confCACERT',`/etc/certs/new.crt')dnl
define(`confSERVER_CERT',`/etc/certs/new.crt')dnl
define(`confSERVER_KEY',`/etc/certs/myca.key')dnl
define(`confTLS_SRV_OPTIONS', `V')dnl</programlisting>
<para>Где <filename role="directory">/etc/certs/</filename>
это каталог для локального хранения сертификата и
ключей. После настройки необходимо собрать локальный
файл <filename>.cf</filename>. Это легко сделать,
набрав <command>make</command> <parameter>install</parameter>
в каталоге <filename role="directory">/etc/mail</filename>.
Затем выполните команду <command>make</command>
<parameter>restart</parameter>, которая должна запустить
даемон <application>Sendmail</application>.</para>
<para>Если все пройдет нормально, в файле
<filename>/var/log/maillog</filename> не появятся сообщения
об ошибках и запустится процесс
<application>Sendmail</application>.</para>
<para>Для проведения простого теста подключитесь к почтовому серверу
программой &man.telnet.1;:</para>
<screen>&prompt.root; <userinput>telnet <replaceable>example.com</replaceable> 25</userinput>
Trying 192.0.34.166...
Connected to <hostid role="fqdn">example.com</hostid>.
Escape character is '^]'.
220 <hostid role="fqdn">example.com</hostid> ESMTP Sendmail 8.12.10/8.12.10; Tue, 31 Aug 2004 03:41:22 -0400 (EDT)
<userinput>ehlo <replaceable>example.com</replaceable></userinput>
250-example.com Hello example.com [192.0.34.166], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250-SIZE
250-DSN
250-ETRN
250-AUTH LOGIN PLAIN
250-STARTTLS
250-DELIVERBY
250 HELP
<userinput>quit</userinput>
221 2.0.0 <hostid role="fqdn">example.com</hostid> closing connection
Connection closed by foreign host.</screen>
<para>Если в выводе появилась строка <quote>STARTTLS</quote>,
все работает правильно.</para>
</sect2>
</sect1>
@ -3801,16 +4189,15 @@ options IPSEC_DEBUG #debug for IP security
<para>Не существует стандарта VPN. Они могут быть реализованы
множеством различных технологий, каждая из которых имеет свои
сильные и слабые стороны. Этот материал представляет несколько
сценариев и стратегию реализации VPN для каждого сценария.</para>
сильные и слабые стороны. Этот раздел представляет
сценарий и стратегию реализации VPN для этого сценария.</para>
</sect2>
<sect2>
<title>Сценарий #1: Две сети, подключенных к интернет, работающие как
<title>Сценарий: Две сети, подключенных к интернет, работающие как
одна</title>
<para>С этого сценария начато изучение VPN. Исходные условия
таковы:</para>
<para>Исходные условия таковы:</para>
<itemizedlist>
<listitem>
@ -3995,6 +4382,11 @@ options IPSEC_DEBUG #debug for IP security
с помощью &man.gifconfig.8;. Затем о приватном IP адресе
с помощью &man.ifconfig.8;.</para>
<note>
<para>В &os;&nbsp;5.X функциональность, предоставляемая утилитой
&man.gifconfig.8;, была внесена в &man.ifconfig.8;.</para>
</note>
<para>На шлюзе сети #1 для настройки туннеля вам потребуется запустить
следующие две команды.</para>
@ -4365,7 +4757,7 @@ ipfw add 1 allow udp from W.X.Y.Z to A.B.C.D isakmp
<para><quote>Если пакет отправляется с <hostid
role="ipaddr">A.B.C.D</hostid>, и предназначен для <hostid
role="ipaddr">W.X.Y.Z</hostid>, зашифровать его, используя
role="ipaddr">W.X.Y.Z</hostid>, расшифровать его, используя
необходимые параметры безопасности.</quote></para>
<para><quote>Если пакет отправляется с <hostid