Merge the following from the English version:

1.67 -> 1.69 bibliography/chapter.sgml
   1.181 -> 1.185 config/chapter.sgml
   1.140 -> 1.142 kernelconfig/chapter.sgml
   1.356 -> 1.358 mirrors/chapter.sgml
   1.208 -> 1.229 security/chapter.sgml

Obtained from:	The FreeBSD Russian Documentation Project

ru_RU.KOI8-R/books/handbook/bibliography/chapter.sgml

@@ -2,9 +2,9 @@
      The FreeBSD Russian Documentation Project
 
      $FreeBSD$
-     $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/bibliography/chapter.sgml,v 1.12 2004/09/27 10:39:26 den Exp $
+     $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/bibliography/chapter.sgml,v 1.13 2004/10/21 14:24:51 den Exp $
 
-     Original revision: 1.67
+     Original revision: 1.69
 -->
 
 <appendix id="bibliography">
@@ -52,7 +52,7 @@
 
       <listitem>
 	<para>FreeBSD Handbook (ÎÁ ËÉÔÁĘÓËĎÍ), ĎĐŐÂĚÉËĎ×ÁÎĎ
-	  <ulink url="http://www.ptpress.com.cn/">Posts & Telecom
+	  <ulink url="http://www.ptpress.com.cn/">Posts &amp; Telecom
 	    Press</ulink>. ISBN 7-115-10541-3.
 	</para>
       </listitem>
@@ -64,7 +64,7 @@
       </listitem>
 
       <listitem>
-	<para>FreeBSD & Windows (ÎÁ ËÉÔÁÊÓËÏÍ), ISBN 7-113-03845-X</para>
+	<para>FreeBSD &amp; Windows (ÎÁ ËÉÔÁÊÓËÏÍ), ISBN 7-113-03845-X</para>
       </listitem>
 
       <listitem>
@@ -430,8 +430,8 @@
       </listitem>
 
        <listitem>
-	<para>Marshall Kirk McKusick, George V. Neville-Neil<emphasis>The Design
+	<para>Marshall Kirk McKusick, George V. Neville-Neil <emphasis>The Design
-	    and Implementation of the FreeBSD UNIX Operating System</emphasis>.
+	    and Implementation of the FreeBSD Operating System</emphasis>.
 	    Boston, Mass. : Addison-Wesley, 2004.  ISBN 0-201-70245-2</para>
       </listitem>
 

ru_RU.KOI8-R/books/handbook/config/chapter.sgml

@@ -2,9 +2,9 @@
      The FreeBSD Documentation Project
 
      $FreeBSD$
-     $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/config/chapter.sgml,v 1.27 2004/10/22 10:33:59 den Exp $
+     $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/config/chapter.sgml,v 1.28 2004/10/22 11:11:28 den Exp $
 
-     Original revision: 1.181
+     Original revision: 1.185
 -->
 
 <chapter id="config-tuning">
@@ -347,21 +347,18 @@
       <filename role="package">mail/postfix</filename> или
       <filename role="package">www/apache13</filename>,&nbsp;&mdash;
       это лишь два примера множества программных пакетов, которые
-      можно запускать при инициализации системы.  Поэтому остается только
+      можно запускать при инициализации системы.  В этом разделе
-      надеяться, что для процедур, способных работать с программами
+      описывается процедура, предназначенная для запуска программ
-      сторонних производителей, будут выдаваться объяснения в тех редких
+      сторонних разработчиков.</para>
-      случаях, когда что-то идет не так и приложение не запускается как
-      следует.</para>
 
     <para>Большинство входящих в &os; сервисов, таких как &man.cron.8;,
       запускается с помощью стартовых скриптов системы.  Эти скрипты
-      могут отличаться в зависимости от версии &os; или ее производителя;
+      могут различаться в зависимости от версии &os; или ее производителя;
       однако важнее всего учитывать, что их начальную конфигурацию
       можно задать с помощью простых стартовых скриптов.</para>
 
-    <para>С момента появления rcNG стало ясно, что инициализацию системы
+    <para>До появления rcNG приложения должны были помещать
-      для утилит сторонних производителей можно упростить. Многие
+      простой стартовый скрипт в
-      годы приложения должны были помещать простой стартовый скрипт в
       каталог <filename role="directory">/usr/local/etc/rc.d</filename>,
       который затем читался скриптами инициализации системы.  Эти скрипты
       затем выполнялись в ходе последующих стадий запуска системы.</para>
@@ -370,10 +367,10 @@
       старый стиль конфигурирования в новую систему, остаётся фактом,
       что для некоторых утилит сторонних производителей по-прежнему
       необходим скрипт, помещённый в указанный выше каталог.  Незначительные
-      различия в скриптах зависят от того, используется ли rcNG.  Для
+      различия в скриптах зависят от того, используется ли rcNG.  До
-      любой версии &os; до 5.1 дополнительное конфигурирование не
+      версии &os;&nbsp;5.1 использовались скрипты в старом стиле,
-      потребуется; в действительности, почти во всех случаях прекрасно
+      и почти во всех случаях скрипты в новом стиле должны подойти так же
-      подойдет скрипт, который вскоре будет представлен.</para>
+      хорошо.</para>
 
     <para>Хотя каждый скрипт должен соответствовать некоторым минимальным
       требованиям, в большинстве случаев эти требования не зависят от версии
@@ -2514,18 +2511,18 @@ device_probe_and_attach: cbb0 attach returned 12</screen>
 
 	<listitem>
 	  <para>Вывод &man.dmesg.8; после <quote>boot
-	    <option>-v</option></quote>, включая все сообщения, появившиеся
+	    <command>-v</command></quote>, включая все сообщения, появившиеся
 	    при изучении ошибки.</para>
 	</listitem>
 
 	<listitem>
 	  <para>Вывод &man.dmesg.8; после <quote>boot
-	    <option>-v</option></quote> с выключенным <acronym>ACPI</acronym>,
+	    <command>-v</command></quote> с выключенным <acronym>ACPI</acronym>,
 	    если его отключение помогает решить проблему.</para>
 	</listitem>
 
 	<listitem>
-	  <para>Вывод <quote>sysctl hw.acpi</quote>.  Это также хороший
+	  <para>Вывод <command>sysctl hw.acpi</command>.  Это также хороший
 	    способ получения списка возможностей системы.</para>
 	</listitem>
 
@@ -2626,14 +2623,15 @@ device_probe_and_attach: cbb0 attach returned 12</screen>
 	  <literal>S4</literal><acronym>OS</acronym> реализуется полностью
 	  операционной системой.</para>
 
-	<para>Начните с проверки переменных <command>sysctl</command>
+	<para>Начните с проверки переменных <command>sysctl
-	  <option>hw.acpi</option>, относящихся к приостановке (suspend).
+	  hw.acpi</command>,
-	  Вот результат для моего Thinkpad:</para>
+	  относящихся к приостановке (suspend).
+	  Вот результат для Thinkpad:</para>
 
-	<screen>hw.acpi.supported_sleep_state: S3 S4 S5</screen>
+	<screen>hw.acpi.supported_sleep_state: S3 S4 S5
-	<screen>hw.acpi.s4bios: 0</screen>
+hw.acpi.s4bios: 0</screen>
 
-	<para>Это означает, что я могу использовать <command>acpiconf
+	<para>Это означает, что мы можем использовать <command>acpiconf
 	  -s</command> для тестирования <literal>S3</literal>,
 	  <literal>S4</literal><acronym>OS</acronym>, и
 	  <literal>S5</literal>.  Если <option>s4bios</option> был единицей
@@ -2661,7 +2659,7 @@ device_probe_and_attach: cbb0 attach returned 12</screen>
 	  какой драйвер вызывает проблему путем загрузки драйверов
 	  до тех пор, пока опять не произойдет сбой.  Обычно бинарные
 	  драйвера, такие как <filename>nvidia.ko</filename>,
-	  драйвера дисплея <application>X11</application> и
+	  драйвера дисплея X11 и
 	  <acronym>USB</acronym> вызывают большинство проблем, а драйвера
 	  Ethernet интерфейсов как правило работают отлично.  Если вы
 	  можете нормально загрузить/выгрузить драйвера, автоматизируйте
@@ -2670,7 +2668,8 @@ device_probe_and_attach: cbb0 attach returned 12</screen>
 	  <filename>/etc/rc.resume</filename>.  Это закомментированные
 	  примеры выгрузки и загрузки драйверов.  Попробуйте
 	  установить параметр <option>hw.acpi.reset_video</option>
-	  в нуль (0), если ваш дисплей не включается после возобновления
+	  в нуль (<literal>0</literal>), если ваш дисплей не включается
+	  после возобновления
 	  работы.  Попробуйте установить большие или меньшие значения
 	  для <option>hw.acpi.sleep_delay</option>, чтобы проверить,
 	  поможет ли это.</para>
@@ -2722,7 +2721,7 @@ device_probe_and_attach: cbb0 attach returned 12</screen>
 	  <acronym>DDB</acronym>
 	  (<keycombo action="simul"><keycap>CTRL</keycap>
 	  <keycap>ALT</keycap><keycap>ESC</keycap></keycombo> на
-	  консоли) и ввести <option>show interrupts</option>.</para>
+	  консоли) и ввести <literal>show interrupts</literal>.</para>
 
 	<para>Наиболее надежный способ избавиться от проблемы с прерываниями,
 	  это отключение поддержки <acronym>APIC</acronym> с помощью

ru_RU.KOI8-R/books/handbook/kernelconfig/chapter.sgml

@@ -2,9 +2,9 @@
      The FreeBSD Russian Documentation Project
 
      $FreeBSD$
-     $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/kernelconfig/chapter.sgml,v 1.16 2004/09/24 11:38:40 den Exp $
+     $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/kernelconfig/chapter.sgml,v 1.17 2004/10/22 08:59:53 den Exp $
 
-     Original revision: 1.140
+     Original revision: 1.142
 -->
 
 <chapter id="kernelconfig">
@@ -883,7 +883,7 @@ options          NFS_ROOT          # NFS usable as /, requires NFSCLIENT</progra
 
     <programlisting>options          SYSVSHM           # SYSV-style shared memory</programlisting>
 
-    <para>üÔÏÔ ÐÁÒÁÍÅÔÒ ÐÒÅÄÏÓÔÁ×ÌÑÅÔ ÐÏÄÄÅÒÖËÕ ÒÁÚÄÅÌÑÅÍÏÊ ÐÁÍÑÔÉ System V.
+    <para>üÔÏÔ ÐÁÒÁÍÅÔÒ ÐÒÅÄÏÓÔÁ×ÌÑÅÔ ÐÏÄÄÅÒÖËÕ ÒÁÚÄÅÌÑÅÍÏÊ ÐÁÍÑÔÉ System&nbsp;V.
       Наиболее распространенное применение этого - расширение XSHM в X, которое
       многие приложения, интенсивно работающие с графикой, будут автоматически
       использовать для повышения скорости работы.  Если вы используете X,
@@ -891,18 +891,18 @@ options          NFS_ROOT          # NFS usable as /, requires NFSCLIENT</progra
 
     <programlisting>options          SYSVSEM           # SYSV-style semaphores</programlisting>
 
-    <para>ðÏÄÄÅÒÖËÁ ÓÅÍÁÆÏÒÏ× System V.  îÅ ÎÁÓÔÏÌØËÏ ÞÁÓÔÏ ÉÓÐÏÌØÚÕÅÍÁÑ
+    <para>ðÏÄÄÅÒÖËÁ ÓÅÍÁÆÏÒÏ× System&nbsp;V.  îÅ ÎÁÓÔÏÌØËÏ ÞÁÓÔÏ ÉÓÐÏÌØÚÕÅÍÁÑ
       возможность, но в ядро добавляет всего несколько сотен байт.</para>
 
     <programlisting>options          SYSVMSG           # SYSV-style message queues</programlisting>
 
-    <para>ðÏÄÄÅÒÖËÁ ÓÏÏÂÝÅÎÉÊ System V.  ïÐÑÔØ-ÔÁËÉ, ÜÔÏÔ ÐÁÒÁÍÅÔÒ
+    <para>ðÏÄÄÅÒÖËÁ ÓÏÏÂÝÅÎÉÊ System&nbsp;V.  ïÐÑÔØ-ÔÁËÉ, ÜÔÏÔ ÐÁÒÁÍÅÔÒ
       добавляет в ядро всего лишь несколько сотен байт.</para>
 
     <note>
       <para>Команда &man.ipcs.1; с параметром <option>-p</option> покажет
 	все процессы, которые используют любую из этих возможностей
-	System V.</para>
+	System&nbsp;V.</para>
     </note>
 
     <programlisting>options 	     _KPOSIX_PRIORITY_SCHEDULING # POSIX P1003_1B real-time extensions</programlisting>
@@ -1697,7 +1697,7 @@ device          fwe           # Ethernet over FireWire (non-standard!)</programl
 	      работоспособное ядро:</para>
 
 	    <screen>&prompt.root; <userinput>mv /boot/kernel /boot/kernel.bad</userinput>
-<userinput>mv /boot/<replaceable>kernel.good</replaceable> /boot/kernel</userinput></screen>
+&prompt.root; <userinput>mv /boot/<replaceable>kernel.good</replaceable> /boot/kernel</userinput></screen>
 
 	    <para>В версиях &os; до 5.X, для восстановления работоспособного
 	      ядра используйте команду:</para>

ru_RU.KOI8-R/books/handbook/mirrors/chapter.sgml

@@ -2,9 +2,9 @@
      The FreeBSD Russian Documentation Project
 
      $FreeBSD$
-     $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/mirrors/chapter.sgml,v 1.16 2004/09/13 14:45:08 den Exp $
+     $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/mirrors/chapter.sgml,v 1.17 2004/10/22 09:09:33 den Exp $
 
-     Original revision: 1.356
+     Original revision: 1.358
 -->
 
 <appendix id="mirrors">
@@ -53,6 +53,14 @@
 	ÐÏÓÔÁ×ÝÉËÏ×:</para>
 
     <itemizedlist>
+      <listitem>
+        <address>
+	  <otheraddr>BSD-Systems</otheraddr>
+	  Email: <email>info@bsd-systems.co.uk</email>
+	  WWW: <otheraddr><ulink url="http://www.bsd-systems.co.uk"></ulink></otheraddr>
+        </address>
+      </listitem>
+
       <listitem>
 	<address>
 	  <otheraddr>Daemon News Mall</otheraddr>
@@ -390,9 +398,13 @@
 	  </listitem>
 	  <listitem>
 	    <para><emphasis>óûá</emphasis>:
-	      :pserver:anoncvs@anoncvs.FreeBSD.org:/home/ncvs
+	      freebsdanoncvs@anoncvs.FreeBSD.org:/home/ncvs
-	      (éÓÐÏÌØÚÕÊÔÅ <command>cvs login</command> É ××ÅÄÉÔÅ ÐÁÒÏÌØ
+	      (ÔÏÌØËÏ ssh - ÂÅÚ ÐÁÒÏÌÑ)</para>
-	      <quote>anoncvs</quote> × ÏÔ×ÅÔ ÎÁ ÐÒÉÇÌÁÛÅÎÉÅ.)</para>
+	  </listitem>
+	  <listitem>
+	    <para><emphasis>óûá</emphasis>:
+	      anoncvs@anoncvs1.FreeBSD.org:/home/ncvs (ÔÏÌØËÏ ssh - ÂÅÚ
+	      ÐÁÒÏÌÑ)</para>
 	  </listitem>
 	</itemizedlist>
 

ru_RU.KOI8-R/books/handbook/security/chapter.sgml

@@ -2,9 +2,9 @@
      The FreeBSD Documentation Project
 
      $FreeBSD$
-     $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/security/chapter.sgml,v 1.24 2004/08/26 11:16:20 den Exp $
+     $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/security/chapter.sgml,v 1.28 2004/10/21 13:44:42 den Exp $
 
-     Original revision: 1.208
+     Original revision: 1.229
 -->
 
 <chapter id="security">
@@ -61,6 +61,11 @@
 	  паролей.</para>
       </listitem>
 
+      <listitem>
+	<para>Как настроить <acronym>TCP</acronym> Wrappers для
+	  использования с <command>inetd</command>.</para>
+      </listitem>
+
       <listitem>
 	<para>Как настроить <application>KerberosIV</application> в релизах
 	  &os; до 5.0.</para>
@@ -86,11 +91,6 @@
 	  реализацию <acronym>SSH</acronym> в &os;.</para>
       </listitem>
 
-      <listitem>
-	<para>Как настроить и загрузить модули расширения контроля доступа,
-	  использующие концепцию TrustedBSD <acronym>MAC</acronym>.</para>
-      </listitem>
-
       <listitem>
 	<para>Что такое <acronym>ACL</acronym> и как их использовать.</para>
       </listitem>
@@ -259,7 +259,7 @@
       </listitem>
 
       <listitem>
-	<para>Защита <username>root</username> &mdash; работающих под root
+	<para>Защита работающих под <username>root</username>
 	  сервисов и suid/sgid исполняемых файлов.</para>
       </listitem>
 
@@ -300,9 +300,11 @@
     <note>
       <title>Команда и протокол</title>
       <para>В этом документе мы будет использовать
-	<application>выделенный</application> упоминая команду или приложение.
+	<application>выделенный</application> текст, упоминая приложение,
-	Например, мы будем использовать выделение для ssh, поскольку это и
+	и <command>моноширинный</command> шрифт, упоминая определенные
-	команда и протокол.</para>
+	команды.  Для протоколов используется обычный шрифт.  Это
+	типографическое отличие полезно для таких случаев, как ssh, поскольку
+	это и команда и протокол.</para>
     </note>
 
     <para>В последующем разделе будут рассмотрены методы защиты системы
@@ -370,6 +372,12 @@
 	чем работа через <username>root</username> напрямую, это не
 	обязательно самый безопасный способ.</para>
 
+      <!-- XXX:
+	This will need updating depending on the outcome of PR bin/71147.
+	Personally I know what I'd like to see, which puts this in definite
+	need of a rewrite, but we'll have to wait and see.  ceri@
+      -->
+
       <para>Непрямой способ защиты служебных учетных записей и конечно
 	<username>root</username> это использование альтернативных методов
 	доступа и замена зашифрованных паролей на символ
@@ -602,8 +610,8 @@
       </indexterm>
       <para>Но даже если вы выключите устройство <devicename>bpf</devicename>,
 	все еще остаются проблемы, связанные с устройствами
-	<devicename>/dev/mem</devicename> и
+	<filename>/dev/mem</filename> и
-	<devicename>/dev/kmem</devicename>.
+	<filename>/dev/kmem</filename>.
 	Нарушитель все еще может писать на дисковые raw устройства.
 	Есть также другая возможность ядра, загрузка модулей, &man.kldload.8;.
 	Активный нарушитель может использовать KLD модуль для установки
@@ -1426,6 +1434,224 @@ permit port ttyd0</programlisting>
     </sect2>
   </sect1>
 
+  <sect1 id="tcpwrappers">
+    <sect1info>
+      <authorgroup>
+	<author>
+	  <firstname>Tom</firstname>
+	  <surname>Rhodes</surname>
+	  <contrib>Написал: </contrib>
+	</author>
+      </authorgroup>
+    </sect1info>
+
+    <indexterm><primary>TCP Wrappers</primary></indexterm>
+      
+    <title>TCP Wrappers</title>
+
+    <para>Каждый, кто знаком с &man.inetd.8;, возможно когда-то слышал
+      о <acronym>TCP</acronym> Wrappers.  Но немногие полностью
+      понимают их полезность в сетевой среде: большинство
+      используют брандмауэр.  Хотя его применимость очень широка,
+      есть вещи, с которыми брандмауэр не может работать, такие
+      как отправка текста обратно вызывающей стороне.  Программное
+      обеспечение уровня <acronym>TCP</acronym> может делать это
+      и многое другое.  В следующих нескольких разделах обсуждаются
+      многие возможности <acronym>TCP</acronym> Wrappers, и, когда
+      это необходимо, даются примеры настроек.</para>
+
+    <para>Программное обеспечение <acronym>TCP</acronym> Wrappers
+      расширяет возможность <command>inetd</command> по поддержке
+      каждого даемона.  С ним становится возможным протоколирование,
+      возврат сообщений вызывающей стороне, ограничение подключений
+      внутренней сетью и т.п.  Хотя некоторые из этих возможностей
+      могут быть реализованы брандмауэром, <acronym>TCP</acronym>
+      Wrappers не только предоставляют дополнительный уровень защиты,
+      но и дают больше контроля над системой, чем это возможно
+      с брандмауэром.</para>
+<!-- removed from translation: reudant info
+    <para>The added functionality of <acronym>TCP</acronym> Wrappers
+      should not be considered a replacement for a good firewall;
+      however, but should used in conjunction with a firewall and
+      other security configurations to add an extra layer of protection
+      for the system.</para>
+-->
+    <para>Поскольку рассматривается расширение к настройкам
+      <command>inetd</command>, предполагается, что читатель ознакомился
+      с разделом о <link linkend="network-inetd">настройке
+      inetd</link>.</para>
+
+    <note>
+      <para>Хотя программы, запускаемые из &man.inetd.8;, на самом деле не
+	соответствуют термину <quote>даемоны</quote>, существует традиция
+	называть их именно так.  Этот термин и используется в данном
+	разделе.</para>
+    </note>
+
+    <sect2>
+      <title>Начальная настройка</title>
+
+      <para>Единственное требование для использования <acronym>TCP</acronym>
+	Wrappers в &os; это наличие в <filename>rc.conf</filename>
+	параметров запуска <command>inetd</command> <option>-Ww</option>;
+	это настройки по умолчанию.  Конечно, ожидается также наличие
+	правильной настройки <filename>/etc/hosts.allow</filename>,
+	но &man.syslogd.8; отправит сообщения в системный протокол если
+	что-то не так.</para>
+
+      <note>
+	<para>В отличие от других реализаций <acronym>TCP</acronym>
+	  Wrappers, использование <filename>hosts.deny</filename> не
+	  поддерживается.  Все параметры настройки должны быть помещены
+	  в <filename>/etc/hosts.allow</filename>.</para>
+      </note>
+
+      <para>В простейшей конфигурации, политика подключения сводится к
+	разрешению или блокированию в зависимости от параметров в
+	<filename>/etc/hosts.allow</filename>.  Настройка в &os;
+	по умолчанию заключается в разрешении подключения к любому
+	даемону, запущенному из <command>inetd</command>.  Изменение
+	этого поведения будет обсуждаться только после рассмотрения
+	базовой настройки.</para>
+
+      <para>Базовая настройка обычно принимает форму
+	<literal>daemon : address : action</literal>, где
+	<literal>daemon</literal> это имя даемона, который запускается
+	<command>inetd</command>.  В поле <literal>address</literal>
+	может находиться имя хоста, <acronym>IP</acronym> адрес, или
+	IPv6 адрес, заключенный в квадратные скобки ([&nbsp;]).
+	Поле action может принимать значения allow или deny,
+	чтобы соответственно разрешать или запрещать доступ.
+	Помните, что поиск правил производится до первого совпадения.
+	При обнаружении совпадения применяется соответствующее правило
+	и поиск прерывается.</para>
+
+      <para>Существуют и другие параметры, но они будут описаны в следующих
+	разделах.  Простая конфигурация может быть, например, такой:
+	для разрешения соединений по протоколу <acronym>POP</acronym>3
+	к даемону <filename role="package">mail/qpopper</filename>,
+	в <filename>hosts.allow</filename> необходимо добавить следующие
+	строки:</para>
+
+      <programlisting># This line is required for POP3 connections:
+qpopper : ALL : allow</programlisting>
+
+      <para>После добавления этой строки, <command>inetd</command>
+	необходимо перезапустить.  Это можно выполнить командой
+	&man.kill.1; или скриптом <filename>/etc/rc.d/inetd</filename>
+	с параметром <parameter>restart</parameter>.</para>
+      </sect2>
+
+      <sect2>
+        <title>Расширенная конфигурация</title>
+
+      <para>У <acronym>TCP</acronym> Wrappers имеются дополнительные
+	параметры; они дают дополнительные возможности контроля над
+	соединениями.  Иногда бывает полезно возвращать комментарий
+	определенным хостам или при подключении к определенным
+	даемонам.  В других случаях может быть необходимо добавить
+	запись в лог файл, или отправить письмо администратору.
+	В определенных ситуациях сервис должен использоваться
+	только для локальных соединений.  Все это возможно с
+	использованием параметров c шаблонами, символами подстановки
+	и путем выполнения внешних команд.  Следующие два раздела
+	посвящены этим типам настроек.</para>
+
+      <sect3>
+	<title>Внешние команды</title>
+
+	<para>Предположим ситуацию, в которой соединение должно
+	  быть запрещено, а о причине необходимо сообщить вызывающей
+	  стороне.  Как это можно сделать?  Соответствующую
+	  возможность предоставляет параметр <option>twist</option>.
+	  При попытке подключения выполняется команда или скрипт,
+	  заданный этим параметром.  Пример дан в файле
+	  <filename>hosts.allow</filename>:</para>
+
+	<programlisting># The rest of the daemons are protected.
+ALL : ALL \
+        : severity auth.info \
+        : twist /bin/echo "You are not welcome to use %d from %h."</programlisting>
+
+	<para>В этом примере сообщение,
+	  <quote>You are not allowed to use <literal>daemon</literal>
+	  from <literal>hostname</literal>.</quote> будет возвращено
+	  от всех даемонов, которые не были предварительно настроены
+	  в файле доступа.  Обратите внимание, что возвращаемое
+	  сообщение <emphasis>должно</emphasis> быть заключено в
+	  кавычки; из этого правила нет исключений.</para>
+
+	<warning>
+	  <para>Возможна реализация DoS атаки, когда группа
+	    атакующих производит множество запросов на подключение.</para>
+	</warning>
+
+	<para>Возможно также использование параметра <option>spawn</option>.
+	  Как и параметр <option>twist</option>, параметр
+	  <option>spawn</option> подразумевает запрет соединения
+	  и может использоваться для запуска команд или скриптов.
+	  В отличие от <option>twist</option>, <option>spawn</option> не
+	  отправляет ответ вызывающей стороне.  Например, следующая
+	  конфигурация:</para>
+
+	<programlisting># We do not allow connections from example.com:
+ALL : .example.com \
+	: spawn (/bin/echo %a from %h attempted to access %d &gt;&gt; \
+	  /var/log/connections.log) \
+	: deny</programlisting>
+
+	<para>отклонит все попытки соединения из домена
+	  <hostid role="fqdn">*.example.com</hostid>; имя хоста,
+	  <acronym>IP</acronym> адрес и даемон протоколируются в файл
+	  <filename>/var/log/connections.log</filename>.</para>
+
+	<para>Помимо приведенных выше символов подстановки, например
+	  %a, существует еще несколько символов.  Обратитесь к странице
+	  &man.hosts.access.5; справочной системы за полным списком.</para>
+      </sect3>
+
+      <sect3>
+	<title>Параметры &ndash; шаблоны</title>
+
+	<para>До этого момента в примерах использовался шаблон 
+	  <literal>ALL</literal>.  Существуют и другие параметры,
+	  функциональность которых в дальнейшем может быть расширена.
+	  <literal>ALL</literal> соответствует любому даемону,
+	  домену или <acronym>IP</acronym> адресу.  Другой доступный
+	  шаблон это <literal>PARANOID</literal>, который соответствует
+	  хосту, <acronym>IP</acronym> адрес которого может быть
+	  подделан.  Другими словами, <literal>paranoid</literal>
+	  может быть использован для определения действия с хостами,
+	  <acronym>IP</acronym> адрес которых не соответствует имени
+	  хоста.  Вот пример применения этого параметра:</para>
+
+	<programlisting># Block possibly spoofed requests to sendmail:
+sendmail : PARANOID : deny</programlisting>
+
+	<para>В этом примере все запросы на подключения к
+	  <command>sendmail</command> от хостов, <acronym>IP</acronym>
+	  адрес которых не соответствует имени хоста, будут
+	  отклонены.</para>
+
+	<caution>
+	  <para>Использование <literal>PARANOID</literal> невозможно,
+	    если у клиента или сервера неправильно настроен
+	    <acronym>DNS</acronym>.  В таких случаях необходимо
+	    вмешательство администратора.</para>
+	</caution>
+
+	<para>Более подробная информация о шаблонах и их возможностях
+	  дана на странице &man.hosts.access.5; справочной
+	  системы.</para>
+
+	<para>Для того, чтобы любая выбранная конфигурация заработала,
+	  в <filename>hosts.allow</filename> необходимо закомментировать
+	  первую строку настройки.  В начале раздела об этом не
+	  упоминалось.</para>
+      </sect3>
+    </sect2>
+  </sect1>
+
 <!--
   Разделы по Kerberos переведены не вполне корректно в связи с использованием
   следующих терминов: principal, ticket, realm, credentials.
@@ -1450,7 +1676,7 @@ permit port ttyd0</programlisting>
       </authorgroup>
     </sect1info>
 
-    <title>KerberosIV</title>
+    <title><application>KerberosIV</application></title>
 
     <para>Kerberos это сетевая дополнительная система/протокол, которая
       делает возможной аутентификацию пользователей через сервисы на защищенном
@@ -1464,7 +1690,7 @@ permit port ttyd0</programlisting>
       могут потребоваться страницы справочника полного дистрибутива.</para>
 
     <sect2>
-      <title>Установка KerberosIV</title>
+      <title>Установка <application>KerberosIV</application></title>
 
       <indexterm><primary>MIT</primary></indexterm>
       <indexterm>
@@ -2412,9 +2638,11 @@ jdoe@example.org</screen>
 	  </listitem>
 
 	  <listitem>
-	    <para>Синхронизировано ли время? Вы уверены?  Если время не
+	    <para>Все ли компьютеры в пределах данного realm
-	      синхронизировано (обычно в пределах пяти минут) аутентификация
+	      синхронизированы по времени?  Если нет, аутентификация может
-	      завершится неудачно.</para>
+	      завершиться неудачно.  <xref linkend="network-ntp"> описывает
+	      как синхронизировать часы с использованием
+	      <acronym>NTP</acronym>.</para>
 	  </listitem>
 
 	  <listitem>
@@ -2491,14 +2719,6 @@ jdoe@example.org</screen>
 	      каждого <acronym>TGT</acronym>.</para></note>
 	  </listitem>
 
-	  <listitem>
-	    <para>Вам необходимо поддерживать время синхронизированным на
-	      всех компьютерах внутри одного идентификатора.
-	      <acronym>NTP</acronym> прекрасно подходит для этой задачи.
-	      За дополнительной информацией по <acronym>NTP</acronym>
-	      обратитесь к <xref linkend="network-ntp">.</para>
-	  </listitem>
-
 	  <listitem>
 	    <para>Если вы хотите установить большое время жизни доступа
 	      (например, неделю), и используете
@@ -3635,44 +3855,212 @@ A valid hostname may be specified in place of the IP address.
   </sect1>
 
   <sect1 id="openssl">
+    <sect1info>
+      <authorgroup>
+	<author>
+	  <firstname>Tom</firstname>
+	  <surname>Rhodes</surname>
+	  <contrib>Написал: </contrib>
+	</author>
+      </authorgroup>
+    </sect1info>
     <title>OpenSSL</title>
     <indexterm>
       <primary>безопасность</primary>
       <secondary>OpenSSL</secondary>
     </indexterm>
-    <indexterm><primary>OpenSSL</primary></indexterm>
 
-    <para>Начиная с FreeBSD&nbsp;4.0, OpenSSL является частью базовой системы.
+    <para>Одной из программ, требующих особого внимания пользователей,
-      <ulink url="http://www.openssl.org/">OpenSSL</ulink> предоставляет
+      является набор программ <application>OpenSSL</application>,
-      как криптографическую библиотеку общего назначения, так и сетевые
+      включенный в &os;.  <application>OpenSSL</application> предоставляет
-      протоколы безопасности Secure Sockets Layer v2/v3 (SSLv2/SSLv3) и
+      уровень шифрования поверх обычных уровней соединения; следовательно,
-      Transport Layer Security v1 (TLSv1).</para>
+      он может быть использован многими сетевыми приложениями и
+      сервисами.</para>
 
-    <para>Однако, один из алгоритмов (а именно IDEA), включенный в OpenSSL,
+    <para><application>OpenSSL</application> может использоваться для
-      защищен патентом в USA и повсеместно, и не доступен для
+      шифрования соединений почтовых клиентов, транзакций через интернет,
-      неограниченного использования.  IDEA включен в исходные тексты
+      например для кредитных карт, и многого другого.  Многие порты,
-      FreeBSD, но не собирается по умолчанию.  Если вы собираетесь
+      такие как <filename role="package">www/apache13-ssl</filename> и
-      использовать его, и согласны с положениями лицензии, включите
+      <filename role="package">mail/sylpheed-claws</filename> собираются
-      переменную <makevar>MAKE_IDEA</makevar> в
+      с <application>OpenSSL</application>.</para>
-      <filename>/etc/make.conf</filename> и пересоберите исходные тексты
-      с помощью команды <command>make world</command>.</para>
 
-    <para>На данный момент алгоритм RSA свободно доступен к использованию
+    <note>
-      в USA и других странах.  В прошлом он был защищен патентом.</para>
+      <para>В большинстве случаев в коллекции портов собирается
+	порт <filename role="package">security/openssl</filename>,
+	если только переменная <makevar>WITH_OPENSSL_BASE</makevar>
+	не установлена явно в <quote>yes</quote>.</para>
+    </note>
 
-    <indexterm>
+    <para>Версия <application>OpenSSL</application>, включаемая
-      <primary>OpenSSL</primary>
+      в &os;, поддерживает сетевые протоколы безопасности
-      <secondary>установка</secondary>
+      Secure Sockets Layer v2/v3 (SSLv2/SSLv3),
-    </indexterm>
+      Transport Layer Security v1 (TLSv1) и может быть использована
+      в качестве основной криптографической библиотеки для
+      приложений.</para>
+
+    <note>
+      <para>Хотя <application>OpenSSL</application> поддерживает алгоритм
+	<acronym>IDEA</acronym>, по умолчанию он отключен из-за патентных
+	ограничений Соединенных Штатов.  Для его использования необходимо
+	ознакомиться с лицензией, и, если ограничения приемлемы,
+	установить в <filename>make.conf</filename> переменную
+	<makevar>MAKE_IDEA</makevar>.</para>
+    </note>
+
+    <para>Возможно наиболее часто <application>OpenSSL</application>
+      используется для предоставления сертификатов программным
+      пакетам.  Эти сертификаты подтверждают, что данные компании
+      или частного лица верны и не подделаны.  Если рассматриваемый
+      сертификат не был проверен одним из нескольких Certificate
+      Authorities (<acronym>CA</acronym>), обычно выводится
+      предупреждение.  Certificate Authority это компания, такая как
+      VeriSign, которая подписывает сертификаты для подтверждения
+      данных частных лиц или компаний.  Эта процедура не бесплатна
+      и не является абсолютно необходимой для использования сертификатов;
+      однако может успокоить некоторых особо осторожных
+      пользователей.</para>
 
     <sect2>
-      <title>Установка из исходных текстов</title>
+      <title>Генерирование сертификатов</title>
 
-      <para>OpenSSL является частью <application>CVSup</application> коллекций
+      <indexterm>
-	<literal>src-crypto</literal> и <literal>src-secure</literal>.
+	<primary>OpenSSL</primary>
-	Обратитесь к разделу <link
+	<secondary>генерирование сертификатов</secondary>
-	linkend="mirrors">Получение FreeBSD</link> за дополнительной
+      </indexterm>
-	информацией о получении и обновлении исходных текстов FreeBSD.</para>
+
+      <para>Для генерирования сертификатов доступна следующая
+	команда:</para>
+
+      <screen>&prompt.root; <userinput>openssl req -new -nodes -out req.pem -keyout cert.pem</userinput>
+Generating a 1024 bit RSA private key
+................++++++
+.......................................++++++
+writing new private key to 'cert.pem'
+-----
+You are about to be asked to enter information that will be incorporated
+into your certificate request.
+What you are about to enter is what is called a Distinguished Name or a DN.
+There are quite a few fields but you can leave some blank
+For some fields there will be a default value,
+If you enter '.', the field will be left blank.
+-----
+Country Name (2 letter code) [AU]:<userinput><replaceable>US</replaceable></userinput>
+State or Province Name (full name) [Some-State]:<userinput><replaceable>PA</replaceable></userinput>
+Locality Name (eg, city) []:<userinput><replaceable>Pittsburgh</replaceable></userinput>
+Organization Name (eg, company) [Internet Widgits Pty Ltd]:<userinput><replaceable>My Company</replaceable></userinput>
+Organizational Unit Name (eg, section) []:<userinput><replaceable>Systems Administrator</replaceable></userinput>
+Common Name (eg, YOUR name) []:<userinput><replaceable>localhost.example.org</replaceable></userinput>
+Email Address []:<userinput><replaceable>trhodes@FreeBSD.org</replaceable></userinput>
+
+Please enter the following 'extra' attributes
+to be sent with your certificate request
+A challenge password []:<userinput><replaceable>SOME PASSWORD</replaceable></userinput>
+An optional company name []:<userinput><replaceable>Another Name</replaceable></userinput></screen>
+
+      <para>Ввод после приглашения <quote>Common Name</quote>
+	содержит имя домена.  Здесь вводится имя сервера для
+	верификации; помещение в это поле чего-либо кроме
+	этого имени приведет к созданию бесполезного сертификата.
+	Доступны и другие параметры, например срок действия,
+	альтернативные алгоритмы шифрования и т.д.  Полный список
+	находится на странице справочного руководства
+	&man.openssl.1;.</para>
+
+      <para>Файл <filename>cert.pem</filename> должен находиться в
+	каталоге, из которого была выполнена вышеупомянутая команда.
+	Этот сертификат может быть отправлен одному из многих
+	<acronym>CA</acronym> для подписи.</para>
+
+      <para>Когда подпись <acronym>CA</acronym> не требуется, может
+	быть создан самоподписанный сертификат.  Сначала создайте ключ
+	<acronym>CA</acronym>:</para>
+
+      <screen>&prompt.root; <userinput>openssl gendsa -des3 -out \
+<filename>myca.key</filename> 1024</userinput></screen>
+
+      <para>Используйте этот ключ при создании сертификата:</para>
+
+      <screen>&prompt.root; <userinput>openssl req -new -x509 -days 365 -key \
+<filename>myca.key</filename> -out <filename>new.crt</filename></userinput></screen>
+
+      <para>В каталоге должно появиться два новых файла: подпись сертификата,
+	<filename>myca.key</filename> и сам сертификат,
+	<filename>new.crt</filename>.  Они должны быть помещены в каталог,
+	доступный для чтения только <username>root</username>,
+	желательно внутри <filename role="directory">/etc</filename>.
+	Права на каталог можно изменить <command>chmod</command> с параметрами
+	0600.</para>
+    </sect2>
+
+    <sect2>
+      <title>Использование сертификатов, пример</title>
+
+      <para>Итак, что могут сделать эти файлы?  Хорошим применением
+	может стать шифрование соединений для
+	<application>Sendmail</application> <acronym>MTA</acronym>.
+	Это сделает ненужным использование простой текстовой
+	аутентификации для тех, кто отправляет почту через
+	локальный <acronym>MTA</acronym>.</para>
+
+      <note>
+	<para>Это не лучшее из возможных использований, поскольку
+	  некоторые <acronym>MUA</acronym> выдадут ошибку, если
+	  сертификат не установлен локально.  Обратитесь к
+	  поставляемой с программой документации за информацией по
+	  установке сертификата.</para>
+      </note>
+
+      <para>Следующие строки должны быть помещены в локальный файл
+	<filename>.mc</filename>:</para>
+
+      <programlisting>dnl SSL Options
+define(`confCACERT_PATH',`/etc/certs')dnl
+define(`confCACERT',`/etc/certs/new.crt')dnl
+define(`confSERVER_CERT',`/etc/certs/new.crt')dnl
+define(`confSERVER_KEY',`/etc/certs/myca.key')dnl
+define(`confTLS_SRV_OPTIONS', `V')dnl</programlisting>
+
+      <para>Где <filename role="directory">/etc/certs/</filename>
+	это каталог для локального хранения сертификата и
+	ключей.  После настройки необходимо собрать локальный
+	файл <filename>.cf</filename>.  Это легко сделать,
+	набрав <command>make</command> <parameter>install</parameter>
+	в каталоге <filename role="directory">/etc/mail</filename>.
+	Затем выполните команду <command>make</command>
+	<parameter>restart</parameter>, которая должна запустить
+	даемон <application>Sendmail</application>.</para>
+
+      <para>Если все пройдет нормально, в файле
+	<filename>/var/log/maillog</filename> не появятся сообщения
+	об ошибках и запустится процесс
+	<application>Sendmail</application>.</para>
+
+      <para>Для проведения простого теста подключитесь к почтовому серверу
+	программой &man.telnet.1;:</para>
+
+      <screen>&prompt.root; <userinput>telnet <replaceable>example.com</replaceable> 25</userinput>
+Trying 192.0.34.166...
+Connected to <hostid role="fqdn">example.com</hostid>.
+Escape character is '^]'.
+220 <hostid role="fqdn">example.com</hostid> ESMTP Sendmail 8.12.10/8.12.10; Tue, 31 Aug 2004 03:41:22 -0400 (EDT)
+<userinput>ehlo <replaceable>example.com</replaceable></userinput>
+250-example.com Hello example.com [192.0.34.166], pleased to meet you
+250-ENHANCEDSTATUSCODES
+250-PIPELINING
+250-8BITMIME
+250-SIZE
+250-DSN
+250-ETRN
+250-AUTH LOGIN PLAIN
+250-STARTTLS
+250-DELIVERBY
+250 HELP
+<userinput>quit</userinput>
+221 2.0.0 <hostid role="fqdn">example.com</hostid> closing connection
+Connection closed by foreign host.</screen>
+
+      <para>Если в выводе появилась строка <quote>STARTTLS</quote>,
+	все работает правильно.</para>
     </sect2>
   </sect1>
 
@@ -3801,16 +4189,15 @@ options   IPSEC_DEBUG  #debug for IP security
 
       <para>Не существует стандарта VPN.  Они могут быть реализованы
 	множеством различных технологий, каждая из которых имеет свои
-	сильные и слабые стороны.  Этот материал представляет несколько
+	сильные и слабые стороны.  Этот раздел представляет
-	сценариев и стратегию реализации VPN для каждого сценария.</para>
+	сценарий и стратегию реализации VPN для этого сценария.</para>
     </sect2>
 
     <sect2>
-      <title>Сценарий #1: Две сети, подключенных к интернет, работающие как
+      <title>Сценарий: Две сети, подключенных к интернет, работающие как
 	одна</title>
 
-      <para>С этого сценария начато изучение VPN.  Исходные условия
+      <para>Исходные условия таковы:</para>
-	таковы:</para>
 
       <itemizedlist>
 	<listitem>
@@ -3995,6 +4382,11 @@ options   IPSEC_DEBUG  #debug for IP security
 	с помощью &man.gifconfig.8;.  Затем о приватном IP адресе
 	с помощью &man.ifconfig.8;.</para>
 
+      <note>
+	<para>В &os;&nbsp;5.X функциональность, предоставляемая утилитой
+	  &man.gifconfig.8;, была внесена в &man.ifconfig.8;.</para>
+      </note>
+
       <para>На шлюзе сети #1 для настройки туннеля вам потребуется запустить
 	следующие две команды.</para>
 
@@ -4365,7 +4757,7 @@ ipfw add 1 allow udp from W.X.Y.Z to A.B.C.D isakmp
 
       <para><quote>Если пакет отправляется с <hostid
 	role="ipaddr">A.B.C.D</hostid>, и предназначен для <hostid
-	role="ipaddr">W.X.Y.Z</hostid>, зашифровать его, используя
+	role="ipaddr">W.X.Y.Z</hostid>, расшифровать его, используя
 	необходимые параметры безопасности.</quote></para>
 
       <para><quote>Если пакет отправляется с <hostid