Update to r53958:

Add the hardening section to the handbook
svn path=/head/; revision=54201
2020-06-05 21:22:02 +00:00 · 2020-06-05 21:22:02 +00:00 · 5b0d92abc7 · 2020-12-08 03:00:23 +00:00
commit 5b0d92abc7
parent bb93efff3a
2 changed files with 117 additions and 5 deletions
--- a/de_DE.ISO8859-1/books/handbook/Makefile
+++ b/de_DE.ISO8859-1/books/handbook/Makefile
@ -1,7 +1,7 @@
 #
 # $FreeBSD$
 # $FreeBSDde: de-docproj/books/handbook/Makefile,v 1.67 2011/12/31 12:27:25 bcr Exp $
-# basiert auf: r53939
+# basiert auf: r53958
 #
 # Build the FreeBSD Handbook in its German translation.
 #
@ -65,6 +65,7 @@ IMAGES_EN+= bsdinstall/bsdinstall-distfile-verifying.png
 IMAGES_EN+= bsdinstall/bsdinstall-final-confirmation.png
 IMAGES_EN+= bsdinstall/bsdinstall-finalconfiguration.png
 IMAGES_EN+= bsdinstall/bsdinstall-final-modification-shell.png
+IMAGES_EN+= bsdinstall/bsdinstall-hardening.png
 IMAGES_EN+= bsdinstall/bsdinstall-keymap-10.png
 IMAGES_EN+= bsdinstall/bsdinstall-keymap-loading.png
 IMAGES_EN+= bsdinstall/bsdinstall-keymap-select-default.png
--- a/de_DE.ISO8859-1/books/handbook/bsdinstall/chapter.xml
+++ b/de_DE.ISO8859-1/books/handbook/bsdinstall/chapter.xml
@ -5,7 +5,7 @@

     $FreeBSD$
     $FreeBSDde$
-     basiert auf: r53945
+     basiert auf: r53958
 -->
 <chapter xmlns="http://docbook.org/ns/docbook"
  xmlns:xlink="http://www.w3.org/1999/xlink"
@ -2471,14 +2471,125 @@ Ethernet address 0:3:ba:b:92:d4, Host ID: 830b92d4.</screen>
 	</listitem>

 	<listitem>
-	  <para><literal>dumpdev</literal> - aktiviert die
-	    Absturzaufzeichnung, welche sehr nützlich sein um
-	    Systemfehler aufzuspüren. Daher wird Anwendern
+	  <para><literal>dumpdev</literal> - Aktiviert die
+	    Absturzaufzeichnung, welche sehr nützlich sein kann, um
+	    Systemfehler aufzuspüren.  Daher wird Anwendern
 	    empfohlen, diese Option zu aktivieren.</para>
 	</listitem>
      </itemizedlist>
    </sect2>

+    <sect2 xml:id="bsdinstall-hardening">
+      <title>Aktivieren von Sicherheitsoptionen</title>
+
+      <para>Im nächsten Menü können Sicherheitsoptionen aktiviert
+	werden.  Alle diese Optionen sind optional.  Es wird
+	jedoch empfohlen, sie zu aktivieren.</para>
+
+      <figure xml:id="bsdinstall-hardening-options">
+	<title>Auswahl der Sicherheitsoptionen</title>
+
+	<mediaobject>
+	  <imageobject>
+	    <imagedata fileref="bsdinstall/bsdinstall-hardening"/>
+	  </imageobject>
+	</mediaobject>
+      </figure>
+
+      <para>Folgende Optionen können in diesem Menü aktiviert
+	werden:</para>
+
+      <itemizedlist>
+	<listitem>
+	  <para><literal>hide_uids</literal> - Versteckt die Prozesse
+	    von anderen Benutzern, um zu verhindern, dass
+	    unprivilegierte Benutzer laufende Prozesse von
+	    anderen Benutzern (UID) sehen können.</para>
+	</listitem>
+
+	<listitem>
+	  <para><literal>hide_gids</literal> - Versteckt die Prozesse
+	    anderer Gruppen, um zu verhindern, dass unprivilegierte
+	    Benutzer laufende Prozesse von anderen Gruppen (GID)
+	    sehen können.</para>
+	</listitem>
+
+	<listitem>
+	  <para><literal>hide_jails</literal> - Versteckt
+	    Jail-Prozesse, um zu verhindern, dass
+	    unprivilegierte Benutzer die in den Jails laufenden
+	    Prozesse sehen können.</para>
+	</listitem>
+
+	<listitem>
+	  <para><literal>read_msgbuf</literal> - Deaktiviert den
+	    Lesezugriff auf den Nachrichtenpuffer des Kernels für
+	    nicht privilegierte Benutzer.  Dadurch wird verhindert,
+	    dass &man.dmesg.8; zum Anzeigen von Nachrichten aus dem
+	    Nachrichtenpuffer des Kernels verwendet wird.</para>
+	</listitem>
+
+	<listitem>
+	  <para><literal>proc_debug</literal> - Die Deaktivierung von
+	    Prozess-Debugging-Funktionen für unprivilegierte Benutzer
+	    deaktiviert einige IPC-Dienste und procfs-Funktionen,
+	    ptrace() und ktrace().  Beachten Sie, dass dadurch auch
+	    die Nutzung von Werkzeugen wie &man.lldb.1;,
+	    &man.truss.1;, &man.procstat.1; und einige
+	    Debugging-Funktionen von Skriptsprachen wie PHP, für
+	    unprivilegierte Benutzer unterbunden wird.</para>
+	</listitem>
+
+	<listitem>
+	  <para><literal>random_pid</literal> - Zufällig generierte
+	    PID für neu erstellte Prozesse.</para>
+	</listitem>
+
+	<listitem>
+	  <para><literal>clear_tmp</literal> - Bereinigt das
+	    Verzeichnis <filename>/tmp</filename> beim
+	    Systemstart.</para>
+	</listitem>
+
+	<listitem>
+	  <para><literal>disable_syslogd</literal> - Diese Option
+	    verhindert, dass <application>syslogd</application> einen
+	    Netzwerk-Socket öffnet.  In der Voreinstellung startet
+	    &os; <application>syslogd</application> auf sichere Weise
+	    mit <command>-s</command>.  Das verhindert, dass der
+	    Daemon auf Port 514 auf UDP-Anfragen lauscht.  Wenn diese
+	    Option aktiviert ist, läuft
+	    <application>syslogd</application> mit dem Schalter
+	    <command>-ss</command>, dass
+	    <application>syslogd</application> daran hindert, einen
+	    Port zu öffnen. Weitere Informationen finden Sie in
+	    &man.syslogd.8;.</para>
+	</listitem>
+
+	<listitem>
+	  <para><literal>disable_sendmail</literal> - Deaktiviert den
+	    sendmail MTA.</para>
+	</listitem>
+
+	<listitem>
+	  <para><literal>secure_console</literal> - Wenn diese Option
+	    aktiviert ist, fragt das System im Single-User-Modus nach
+	    dem root-Passwort.</para>
+	</listitem>
+
+	<listitem>
+	  <para><literal>disable_ddtrace</literal> - &dtrace; kann in
+	    einem Modus laufen, der sich tatsächlich auf den laufenden
+	    Kernel auswirkt.  Destruktive Aktionen dürfen nicht
+	    benutzt werden, es sei denn, sie wurden explizit
+	    aktiviert.  Um diese Option bei der Verwendung von
+	    &dtrace; zu aktivieren, benutzen Sie
+	    <command>-w</command>.  Weitere Informationen finden Sie
+	    in &man.dtrace.1;.</para>
+	</listitem>
+      </itemizedlist>
+    </sect2>
+
    <sect2 xml:id="bsdinstall-addusers">
      <title>Benutzer hinzufügen</title>