From 8d9eb3c1aca4ae1dabcef1294e1d4c8742e69610 Mon Sep 17 00:00:00 2001 From: Andrey Zakhvatov Date: Tue, 14 Jun 2005 16:32:03 +0000 Subject: [PATCH] Synchronize with English 1.274 Obtained from: The FreeBSD Russian Documentation Project --- .../books/handbook/security/chapter.sgml | 55 ++++++++++++++++--- 1 file changed, 47 insertions(+), 8 deletions(-) diff --git a/ru_RU.KOI8-R/books/handbook/security/chapter.sgml b/ru_RU.KOI8-R/books/handbook/security/chapter.sgml index 344d8a4dcf..0624e6687f 100644 --- a/ru_RU.KOI8-R/books/handbook/security/chapter.sgml +++ b/ru_RU.KOI8-R/books/handbook/security/chapter.sgml @@ -2,9 +2,9 @@ The FreeBSD Documentation Project $FreeBSD$ - $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/security/chapter.sgml,v 1.42 2005/05/21 07:36:12 andy Exp $ + $FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/security/chapter.sgml,v 1.43 2005/06/10 17:41:50 andy Exp $ - Original revision: 1.272 + Original revision: 1.274 --> @@ -260,8 +260,8 @@ не устранит брешь, позволившую проникнуть в систему. - Меры безопасности всегда должны быть реализованы многоуровнево, - и могут быть классифицированы следующим образом: + Меры безопасности всегда должны реализовываться на нескольких + уровнях, которые могут быть классифицированы следующим образом: @@ -790,7 +790,7 @@ Обычная DoS атака против порождающего процессы сервера пытается исчерпать ресурсы сервера по процессам, файловым дескрипторам и - памяти до тех пор, пока машина не подвиснет. У + памяти до тех пор, пока машина не повиснет. У inetd (обратитесь к &man.inetd.8;) есть несколько параметров, позволяющих ограничить такие атаки. Необходимо учесть, что хотя можно предотвратить падение системы, в @@ -2458,7 +2458,7 @@ Aug 27 15:37:58 Aug 28 01:37:58 krbtgt/EXAMPLE.ORG@EXAMPLE.ORG KDC проверять все другие идентификаторы. Он должен быть помещен на сервер безопасным способом, поскольку безопасность сервера может быть нарушена, если ключ станет - общедоступен. Это означает, что его передача через незашифрованный + общедоступен. Это означает, что его передача через прозрачный канал, такой как FTP — очень плохая идея. @@ -4548,6 +4548,45 @@ user@unfirewalled-system.example.org's password: *******< + + Параметр ограничения пользователей + <varname>AllowUsers</varname> + + Зачастую хорошие результаты даёт ограничение того, какие + именно пользователи и откуда могут регистрироваться в системе. + Задание параметра AllowUsers является хорошим + способом добиться этого. К примеру, для разрешения регистрации только + пользователю root с машины 192.168.1.32, в файле + /etc/ssh/sshd_config нужно указать нечто вроде + следующего: + + AllowUsers root@192.168.1.32 + + Для разрешения регистрации пользователя admin + из любой точки, просто укажите имя пользователя: + + AllowUsers admin + + Несколько пользователей должны перечислять в одной строке, как + здесь: + + AllowUsers root@192.168.1.32 admin + + + Важно, чтобы бы перечислили всех пользователей, которые должны + регистрироваться на этой машине; в противном случае они будут + заблокированы. + + + После внесения изменений в + /etc/ssh/sshd_config вы должны указать + &man.sshd.8; на повторную загрузку конфигурационных файлов, выполнив + следующую команду: + + &prompt.root; /etc/rc.d/sshd reload + + Дополнительная литература @@ -4910,7 +4949,7 @@ VII. References Поле Announced отражает дату публикации сообщения безопасности, или его анонсирования. Это означает, что команда обеспечения безопасности убедилась, что проблема - существует и что патч помещен в репозиторий исходных текстов + существует и что патч помещён в хранилище исходных текстов &os;. @@ -4926,7 +4965,7 @@ VII. References для файлов, затронутых уязвимостью, поможет определить ревизию. Номер версии портов приведен после имени порта в каталоге /var/db/pkg. Если система - не синхронизируется с CVS репозиторием + не синхронизируется с CVS-хранилищем &os; и не пересобирается ежедневно, высок шанс, что она затронута уязвимостью.