os/doc
3
0
Fork 0
Code Issues Pull requests Projects Releases Wiki Activity

MFen:

Browse source 
* handbook/advanced-networking 1.425 -> 1.426
* handbook/security 1.334 -> 1.335
This commit is contained in:
Rene Ladan 2010-01-15 18:36:22 +00:00
parent 1da77cbbde
commit cfa4808e8a
Notes: svn2git 2020-12-08 03:00:23 +00:00 
svn path=/head/; revision=35198
2 changed files with 141 additions and 35 deletions
nl_NL.ISO8859-1/books/handbook
advanced-networking
chapter.sgml
security
chapter.sgml

105
nl_NL.ISO8859-1/books/handbook/advanced-networking/chapter.sgml
View file

@ -4,7 +4,7 @@
$FreeBSD$
%SOURCE% en_US.ISO8859-1/books/handbook/advanced-networking/chapter.sgml
%SRCID% 1.425
%SRCID% 1.426
-->
<chapter id="advanced-networking">
@ -2215,6 +2215,27 @@ freebsdap 00:11:95:c3:0d:ac 1 54M 22:1 100 EPS</screen>
</sect3>
</sect2>
<sect2>
<title>Zowel de bekabelde als de draadloze verbinding gebruiken</title>
<para>Een bekabelde verbinding biedt betere prestaties en betrouwbaarheid,
terwijl een draadloze verbinding meer flexibiliteit en mobiliteit
biedt; laptop-gebruikers zullen dit willen combineren en naadloos tussen
de twee overschakelen.</para>
<para>In &os; is het mogelijk om twee of meer netwerkinterfaces te
combineren in een <quote>failover</quote>-opstelling, dit houdt in dat
de meest geprefereerde en best beschikbare verbinding van een groep van
netwerkinterfaces wordt gebruikt, en het besturingssysteem automatisch
te laten overschakelen wanneer de status van de verbinding
verandert.</para>
<para>Link-aggregatie en failover worden behandeld in <xref
linkend="network-aggregation">, een voorbeeld voor het gebruik van
zowel een bekabelde als een draadloze verbinding wordt gegeven in
<xref linkend="networking-lagg-wired-and-wireless">.</para>
</sect2>
<sect2>
<title>Problemen verhelpen</title>
@ -3689,6 +3710,88 @@ lagg0: flags=8843&lt;UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt; metric 0 mtu 150
Indien de verbinding op de meesterinterface hersteld is, zal
het weer de actieve verbinding worden.</para>
</example>
<example id="networking-lagg-wired-and-wireless">
<title>Failover-modus tussen bekabelde en draadloze interfaces</title>
<para>Voor laptop-gebruikers is het normaliter wenselijk om het
draadloze interface als secundair interface te gebruiken indien het
bekabelde interface niet beschikbaar is. Met &man.lagg.4; is het
mogelijk om &eacute;&eacute;n IP-adres te gebruiken en het bekabelde
interface voor zowel prestatie als veiligheid te prefereren terwijl de
mogelijkheid behouden blijft om de draadloze verbinding te
gebruiken.</para>
<para>In deze opstelling dient het MAC-adres van het onderliggende
draadloze interface overschreven te worden om met dat van &man.lagg.4;
overeen te komen, welke afkomstig is van het primaire interface dat
wordt gebruikt, het bekabelde interface.</para>
<para>In deze opstelling wordt het bekabelde interface,
<replaceable>bge0</replaceable> als meester gebruikt, en het draadloze
interface, <replaceable>wlan0</replaceable>, als het
failover-interface. <replaceable>wlan0</replaceable> was aangemaakt
vanuit <replaceable>iwn0</replaceable> voor welke het
<acronym>MAC</acronym>-adres van de bekabelde verbinding zal worden
gebruikt. De eerste stap is om het <acronym>MAC</acronym>-adres van
het bekabelde interface te verkrijgen:</para>
<screen>&prompt.root; <userinput>ifconfig <replaceable>bge0</replaceable></userinput>
bge0: flags=8843&lt;UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt; metric 0 mtu 1500
options=19b&lt;RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4&gt;
ether 00:21:70:da:ae:37
inet6 fe80::221:70ff:feda:ae37%bge0 prefixlen 64 scopeid 0x2
nd6 options=29&lt;PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL&gt;
media: Ethernet autoselect (1000baseT &lt;full-duplex&gt;)
status: active</screen>
<para><replaceable>bge0</replaceable> kan vervangen worden door het
eigenlijke interface, er zal een andere regel met
<literal>ether</literal> verschijnen, dit is het
<acronym>MAC</acronym>-adres van het bekabelde interface. Om het
onderliggende draadloze interface, <replaceable>iwn0</replaceable> te
wijzigen:</para>
<screen>&prompt.root; <userinput>ifconfig <replaceable>iwn0</replaceable> ether <replaceable>00:21:70:da:ae:37</replaceable></userinput></screen>
<para>Activeer het draadloze interface maar geef er nog geen IP-adres
aan:</para>
<screen>&prompt.root; <userinput>ifconfig create <replaceable>wlan0</replaceable> wlandev <replaceable>iwn0</replaceable> ssid <replaceable>mijn_router</replaceable> up</userinput></screen>
<para>Maak het &man.lagg.4;-interface aan met
<replaceable>bge0</replaceable> als meester, en met failover naar
<replaceable>wlan0</replaceable> indien nodig:</para>
<screen>&prompt.root; <userinput>ifconfig <replaceable>lagg0</replaceable> create</userinput>
&prompt.root; <userinput>ifconfig <replaceable>lagg0</replaceable> up laggproto failover laggport <replaceable>bge0</replaceable> laggport <replaceable>wlan0</replaceable></userinput></screen>
<para>Het interface zal er ongeveer als volgt uitzien, de grootste
verschillen zullen het <acronym>MAC</acronym>-adres en de
apparaatnamen zijn:</para>
<screen>&prompt.root; <userinput>ifconfig <replaceable>lagg0</replaceable></userinput>
lagg0: flags=8843&lt;UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt; metric 0 mtu 1500
options=8&lt;VLAN_MTU&gt;
ether 00:21:70:da:ae:37
media: Ethernet autoselect
status: active
laggproto failover
laggport: wlan0 flags=0&lt;&gt;
laggport: bge0 flags=5&lt;MASTER,ACTIVE&gt;</screen>
<para>Om dit niet telkens bij het opstarten te hoeven doen, kan zoiets
als het volgende aan <filename>/etc/rc.conf</filename> worden
toegevoegd:</para>
<programlisting>ifconfig_bge0="up"
ifconfig_iwn0="ether 00:21:70:da:ae:37"
wlans_iwn0="wlan0"
ifconfig_wlan0="WPA"
cloned_interfaces="lagg0"
ifconfig_lagg0="laggproto failover laggport bge0 laggport wlan0 DHCP"
</programlisting>
</example>
</sect2>
</sect1>

71
nl_NL.ISO8859-1/books/handbook/security/chapter.sgml
View file

@ -2,10 +2,9 @@
The FreeBSD Dutch Documentation Project
$FreeBSD$
$FreeBSDnl: doc/nl_NL.ISO8859-1/books/handbook/security/chapter.sgml,v 1.80 2006/01/05 21:13:24 siebrand Exp $
%SOURCE% en_US.ISO8859-1/books/handbook/security/chapter.sgml
%SRCID% 1.334
%SRCID% 1.335
-->
<chapter id="security">
@ -566,11 +565,12 @@
<para>De andere grote mogelijkheid voor <username>root</username>
gaten in een systeem zijn de suid-root en sgid-binaire
bestanden die ge&iuml;nstalleerd zijn op een systeem. Veel van
die bestanden, zoals <application>rlogin</application>, staan
in <filename>/bin</filename>, <filename>/sbin</filename>,
<filename>/usr/bin</filename> of
<filename>/usr/sbin</filename>. Hoewel het niet 100% veilig
is, mag aangenomen worden dat de suid- en sgid-binaire bestanden
die bestanden, zoals <application>rlogin</application>, staan in
<filename class="directory">/bin</filename>,
<filename class="directory">/sbin</filename>,
<filename class="directory">/usr/bin</filename> of
<filename class="directory">/usr/sbin</filename>. Hoewel het niet 100%
veilig is, mag aangenomen worden dat de suid- en sgid-binaire bestanden
van een standaardsysteem redelijk veilig zijn. Toch worden er
nog wel eens <username>root</username> gaten gevonden in deze
bestanden. Zo is er in 1998 een <username>root</username> gat
@ -738,9 +738,9 @@
het systeem op een hoger veiligheidsniveau te draaien maar het
aanzetten van de vlag <literal>schg</literal> voor elk
systeembestand en -map onder de zon over te slaan. Een andere
mogelijkheid is om <filename>/</filename> en
<filename>/usr</filename> simpelweg als alleen-lezen aan te
koppelen. Het dient opgemerkt te worden dat het te draconisch
mogelijkheid is om <filename class="directory">/</filename> en
<filename class="directory">/usr</filename> simpelweg als alleen-lezen
aan te koppelen. Het dient opgemerkt te worden dat het te draconisch
zijn over wat is toegestaan het belangrijke detecteren van een
inbraak kan verhinderen.</para>
</sect2>
@ -753,9 +753,9 @@
maar tot een bepaald punt beveiligd worden zonder dat het
minder prettig werken wordt. Zo werk het zetten van de
<literal>schg</literal> bit met <command>chflags</command> op
de meeste bestanden in <filename>/</filename> en
<filename>/usr</filename> waarschijnlijk averechts, omdat,
hoewel de bestanden beschermd zijn, ook het venster waarin
de meeste bestanden in <filename class="directory">/</filename> en
<filename class="directory">/usr</filename> waarschijnlijk averechts,
omdat, hoewel de bestanden beschermd zijn, ook het venster waarin
detectie plaats kan vinden is gesloten. De laatste laag van
beveiliging is waarschijnlijk de meest belangrijke: detectie.
Alle overige beveiliging is vrijwel waardeloos (of nog erger:
@ -798,15 +798,15 @@
als &man.find.1; en &man.md5.1;. We adviseren minstens
&eacute;&eacute;n keer per dag een md5 te maken van alle
bestanden op de cli&euml;ntmachine en van instellingenbestanden
als in <filename>/etc</filename> en
<filename>/usr/local/etc</filename> zelfs vaker. Als er
verschillen worden aangetroffen ten opzichte van de basis md5
als in <filename class="directory">/etc</filename> en
<filename class="directory">/usr/local/etc</filename> zelfs vaker.
Als er verschillen worden aangetroffen ten opzichte van de basis md5
informatie op het systeem met beperkte toegang, dan hoort het
script te gillen om een beheerder die het moet gaan uitzoeken.
Een goed beveiligingsscript controleert ook op onverwachte
suid-bestanden en op nieuwe en verwijderde bestanden op
systeempartities als <filename>/</filename> en
<filename>/usr</filename>.</para>
systeempartities als <filename class="directory">/</filename> en
<filename class="directory">/usr</filename>.</para>
<para>Als <application>ssh</application> in plaats van NFS wordt
gebruikt, dan is het schrijven van het script lastiger. Dan
@ -1780,7 +1780,8 @@ sendmail : PARANOID : deny</programlisting>
<para>Dit hoeft alleen op de Kerberos gedaan te worden. Er
dienen geen oude Kerberos databases rond te slingeren.
Controleer in de map <filename>/etc/kerberosIV</filename> of de
Controleer in de map <filename
class="directory">/etc/kerberosIV</filename> of de
volgende bestanden aanwezig zijn:</para>
<screen>&prompt.root; <userinput>cd /etc/kerberosIV</userinput>
@ -1960,8 +1961,8 @@ Edit O.K.
defini&euml;ren ge&euml;xtraheerd worden. Dat kan met het
commando <command>ext_srvtab</command>. Dit commando maakt een
bestand aan dat <emphasis>veilig</emphasis> gekopieerd moet
worden naar de map <filename>/etc</filename> van iedere
Kerberos-cli&euml;nt. Dit bestand moet aanwezig zijn op iedere
worden naar de map <filename class="directory">/etc</filename> van
iedere Kerberos-cli&euml;nt. Dit bestand moet aanwezig zijn op iedere
server en op iedere cli&euml;nt en is van doorslaggevend belang
voor de werking van Kerberos.</para>
@ -1985,8 +1986,8 @@ Generating 'grunt-new-srvtab'....</screen>
<filename><replaceable>client</replaceable>-new-srvtab</filename>
dan naar een verwijderbaar medium gekopieerd worden en dan
fysiek veilig getransporteerd worden. Op de cli&euml;nt dient
het bestand <filename>srvtab</filename> te heten in de map
<filename>/etc</filename> en in modus 600 te staan:</para>
het bestand <filename>srvtab</filename> te heten in de map <filename
class="directory">/etc</filename> en in modus 600 te staan:</para>
<screen>&prompt.root; <userinput>mv grumble-new-srvtab srvtab</userinput>
&prompt.root; <userinput>chmod 600 srvtab</userinput></screen>
@ -2037,7 +2038,7 @@ Edit O.K.
gemaakt, dan gebeurt dit automatisch na een herstart. Dit
hoeft alleen ingesteld te worden op de Kerberos server.
Kerberos cli&euml;nten vinden automatisch wat ze zoeken in de
map <filename>/etc/kerberosIV</filename>.</para>
map <filename class="directory">/etc/kerberosIV</filename>.</para>
<screen>&prompt.root; <userinput>kerberos &amp;</userinput>
Kerberos server starting
@ -2893,7 +2894,7 @@ jdoe@example.org</screen>
url="http://web.mit.edu/Kerberos/www/"></ulink>) te volgen.
Wees voorzichtig met paden: de <acronym>MIT</acronym>-port
installeert standaard in
<filename>/usr/local/</filename> en dus kunnen de
<filename class="directory">/usr/local/</filename> en dus kunnen de
<quote>normale</quote> systeemapplicaties gestart worden in
plaats van die van <acronym>MIT</acronym> als de
<envar>PATH</envar> omgevingsvariabele de systeemmappen als
@ -2962,8 +2963,8 @@ kadmind5_server_enable="YES"</programlisting>
<para>In een meergebruikersomgeving is
<application>Kerberos</application> minder veilig. Dit
komt doordat de tickets worden opgeslagen in de map
<filename>/tmp</filename>, waar gelezen kan worden door
alle gebruikers. Als een gebruiker een computer deelt met
<filename class="directory">/tmp</filename>, waar gelezen kan worden
door alle gebruikers. Als een gebruiker een computer deelt met
andere gebruikers op hetzelfde moment (dus multi-user), dan
is het mogelijk dat een ticket van een gebruiker wordt
gestolen (gekopieerd) door een andere gebruiker.</para>
@ -3967,7 +3968,8 @@ COPYRIGHT 100% |*****************************| 4735
<para>Het instellingenbestand dat voor het hele systeem geldt
voor zowel de <application>OpenSSH</application> daemon als
cli&euml;nt staat in de map <filename>/etc/ssh</filename>.</para>
cli&euml;nt staat in de map <filename
class="directory">/etc/ssh</filename>.</para>
<para><filename>ssh_config</filename> bevat de instellingen voor
de cli&euml;nt en <filename>sshd_config</filename> bevat ze voor
@ -4414,10 +4416,11 @@ drwxrwx---+ 2 robert robert 512 Dec 27 11:57 directory3
drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html</programlisting>
<para>Hierboven is te zien dat mappen
<filename>directory1</filename>, <filename>directory2</filename>
en <filename>directory3</filename> allemaal gebruik maken van
<acronym>ACL</acronym>s. De map <filename>public_html</filename>
doet dat niet.</para>
<filename class="directory">directory1</filename>,
<filename class="directory">directory2</filename> en
<filename class="directory">directory3</filename> allemaal gebruik maken
van <acronym>ACL</acronym>s. De map <filename
class="directory">public_html</filename> doet dat niet.</para>
<sect2>
<title>Gebruik maken van <acronym>ACL</acronym>s</title>
@ -4684,8 +4687,8 @@ VII. References<co id="co-ref"></programlisting>
uitgaven van &os; door deze kwetsbaarheid worden getroffen.
Voor de kernel kan snel gekeken worden naar de uitvoer van
<command>ident</command> voor de betreffende bestanden om
te bepalen welke revisie ze hebben. Voor ports is het
versienummer te zien in <filename>/var/db/pkg</filename>.
te bepalen welke revisie ze hebben. Voor ports is het versienummer
te zien in <filename class="directory">/var/db/pkg</filename>.
Als het systeem niet gelijk op loopt met het &os;
<acronym>CVS</acronym> depot en dagelijks herbouwd wordt,
dan is de kans groot dat het systeem kwetsbaar is.</para>