[RFR] Securing Debian Manual de/after-install.sgml

To: debian-l10n-german@lists.debian.org
Subject: [RFR] Securing Debian Manual de/after-install.sgml
From: Simon Brandmair <sbrandmair@gmx.net>
Date: Mon, 23 Dec 2013 21:54:59 +0100
Message-id: <[🔎] l9a7v3$2n3$1@online.de>

Hallo zusammen,

ich habe mich dran gemacht, die Übersetzung des Securing Debian Manuals
[1] wieder auf Vordermann zu bringen. Ich hoffe, es ist in Ordnung, wenn
ich die Aktualisierungen dateiweise einreiche.

Hier das Diff zu de/after-install.sgml.

Schöne Feiertage,
Simon


[1] http://www.debian.org/doc/user-manuals#securing

Index: after-install.sgml
===================================================================
--- after-install.sgml	(revision 10339)
+++ after-install.sgml	(working copy)
@@ -1,4 +1,4 @@
-<!-- CVS revision of original english document "1.61" -->
+<!-- CVS revision of original english document "1.68" -->
 
 <chapt>Nach der Installation
 
@@ -54,35 +54,21 @@
 Releases gegeben haben. Es gab vier kleinere Veröffentlichungen von Debian 3.1
 <em>Sarge</em>, die diese Paketaktualisierungen enthalten.
 
-<p>Sie müssen sich das Erstellungsdatum Ihres CD-Sets (wenn Sie ein solches
-benutzen) notieren und auf der Sicherheitsseite nachprüfen, ob es
-Sicherheitsaktualisierungen gegeben hat. Wenn es solche gibt, und Sie die Pakete nicht
-von der Sicherheitsseite mit einem anderen System herunterladen können (Ihr
-System ist doch nicht schon mit dem Internet verbunden, oder?), könnten Sie es
-in Erwähnung ziehen (falls Sie nicht beispielsweise durch eine Firewall,
-geschützt sind), Firewall-Regeln zu aktivieren, so dass Ihr System
-ausschließlich mit security.debian.org Verbindung aufnehmen kann, und dann ein
-Update ausführen. Eine Beispielkonfiguration finden Sie unter <ref
-id="fw-security-update">.
+<p>Während der Installation werden Sicherheitsaktualisierungen für Ihr
+System eingerichtet, offene Sicherheitsaktualisierungen
+heruntergeladen und Ihrem System hinzugefügt, sofern Sie sich nicht
+explizit dagegen entscheiden oder keine Internetverbindung
+besteht. Die Aktualisierungen werden noch vor dem erster Systemstart
+eingespielt, damit das neue System sein Leben so aktuell wie möglich
+beginnt.
 
-<p><em>Anmerkung:</em>Seit Debian Woody 3.0 wird Ihnen nach der Installation
-die Möglichkeit eingeräumt, Sicherheitsaktualisierungen Ihrem System
-hinzuzufügen. Wenn Sie hier 'ja' sagen, wird das Installationssystem die
-passenden Schritte unternehmen, um die Quellen der Sicherheitsaktualisierungen
-Ihren Paketquellen hinzuzufügen. Falls Sie nun eine Internetverbindung
-haben, wird Ihr System alle Sicherheitsaktualisierungen herunterladen, die seit
-Entstehung Ihres Installationsmediums erzeugt wurden. Falls Sie ein Upgrade von
-einer älteren Version von Debian durchführen, oder Sie das Installationssystem
-anweisen, dies nicht zu tun, sollten Sie die hier vorgestellten Schritte
-unternehmen.
-
 <p>Um Ihr System manuell zu aktualisieren, fügen Sie die folgende Zeile in Ihre
 <file>/etc/apt/sources.list</file> ein. So werden Sie Sicherheitsaktualisierungen
 automatisch erhalten, wann immer Sie Ihr System aktualisieren.
+Ersetzen Sie <em>[CODENAME]</em> mit dem Namen der Veröffentlichung, z.B. mit <em>squeeze</em>.
 
 <example>
- deb http://security.debian.org/debian-security stable/updates main contrib
- non-free
+deb http://security.debian.org/ [CODENAME]/updates main contrib non-free
 </example>
 
 <p><em>Hinweis:</em> Falls Sie den <em>Testing</em>-Zweig einsetzen, sollten
@@ -92,13 +78,17 @@
 <p>Wenn Sie dies erledigt haben, stehen Ihnen zahlreiche Werkzeuge zur
 Verfügung, mit denen Sie Ihr System aktualisieren können. Wenn Sie ein
 Desktop-System einsetzen, können Sie eine Anwendung mit dem Namen
-<prgn>update-notifier</prgn> verwenden<footnote>Ab <em>Etch</em> und den
-folgenden Veröffentlichungen.</footnote>, die Sie auf neue Aktualisierungen
-aufmerksam macht. Damit können Sie Ihr System auch über den Desktop auf den
-neusten Stand bringen (mit <prgn>update-manager</prgn>). Für den Desktop können
-Sie auch <package>synaptic</package>, <package>kpackage</package> oder
-<package>adept</package> einsetzen, die einen größeren Funktionsumfang
-aufweisen. Wenn Sie auf einem textbasierten Terminal arbeiten, stehen Ihnen
+<prgn>update-notifier</prgn> verwenden<footnote>Ab <em>Etch</em> und
+den folgenden Veröffentlichungen.</footnote>, mit dem Sie leicht
+prüfen können, ob neue Aktualisierung verfügbar sind. Damit können Sie
+Ihr System auch über den Desktop auf den neusten Stand bringen
+(mit <prgn>update-manager</prgn>). Weitere Informationen finden Sie
+unter <ref id="update-desktop">. Für den Desktop können Sie
+auch <package>synaptic</package> (GNOME), <package>kpackage</package>
+oder
+<package>adept</package> (KDE) einsetzen, die einen größeren
+Funktionsumfang aufweisen. Wenn Sie auf einem textbasierten Terminal
+arbeiten, stehen Ihnen
 <package>aptitude</package>, <package>apt</package> und
 <package>dselect</package>, wobei letzteres veraltet ist, zur Verfügung:
 
@@ -121,21 +111,11 @@
 Configure).
 </list>
 
-<p>Wenn Sie möchten, können Sie ebenfalls eine deb-src Zeile
-hinzufügen. Weitere Details finden Sie unter <manref name="apt" section="8">.
-<!-- FIXME is not part of english manual! -->
+<p>Wenn Sie möchten, können Sie
+der Datei <file>/etc/apt/sources.list</file> die Zeilen mit deb-src
+hinzufügen. Weitere Details finden Sie unter <manref name="apt"
+section="8">.
 
-<p>Anmerkung: Sie brauchen folgende Zeile <em>nicht</em> hinzufügen:
-
-<example>
- deb http://security.debian.org/debian-non-US stable/non-US main contrib
- non-free 
-</example>
-
-<p>Das liegt daran, dass sich der Server, der security.debian.org hostet,
-außerhalb der USA befindet und somit kein getrenntes Archiv für Non-US hat.
-
-
 <sect1 id="lib-security-update">Sicherheitsaktualisierungen von Bibliotheken
 
 <p>Wenn Sie eine Sicherheitsaktualisierung durchgeführt haben, müssen Sie
@@ -152,7 +132,7 @@
 verwenden:<footnote>Je nach der Version von lsof müssen Sie $8 statt $9 verwenden.</footnote>
 
 <example>
-# lsof | grep &lt;aktualisierte_Bibliothek&gt; | awk '{print $1, $9}' | uniq | sort +0
+# lsof | grep &lt;the_upgraded_library&gt; | awk '{print $1, $9}' | uniq | sort -k 1
 </example>
 
 <p>Einige Pakete (wie <package>libc6</package>) werden diesen Test in der
@@ -192,7 +172,7 @@
 
 <example>
   $ dpkg -S `readlink -f /vmlinuz`
-  kernel-image-2.4.27-2-686: /boot/vmlinuz-2.4.27-2-686
+  linux-image-2.6.18-4-686: /boot/vmlinuz-2.6.18-4-686
 </example>
 
 <p>Wenn Ihr Kernel nicht vom Paketsystem verwaltet wird, werden Sie anstatt der
@@ -200,7 +180,7 @@
 Rückmeldung bekommen, dass das Paketverwaltungsprogramm kein Paket finden konnte, das mit
 der Datei verbunden ist. Die obige Meldung besagt, dass die
 Datei, die mit dem laufenden Kernel verbunden ist, vom Paket
-<package>kernel-image-2.4.27-2-686</package> zur Verfügung gestellt wird. Sie
+<package>linux-image-2.6.18-4-686</package> zur Verfügung gestellt wird. Sie
 müssen also zuerst ein Paket mit einem Kernel-Image von Hand installieren. Das
 genaue Kernel-Image, das Sie installieren sollten, hängt von Ihrer Architektur
 und Ihrer bevorzugten Kernelversion ab. Wenn Sie das einmal erledigt haben,
@@ -211,16 +191,16 @@
 von 2.4 auf 2.6 aktualisieren (oder von 2.4.26 auf 2.4.27
 <footnote>
 Es sei denn, Sie haben ein Kernel-Metapaket wie
-<package>kernel-image-2.4-686</package> installiert, welches immer die neueste
+<package>linux-image-2.6-686</package> installiert, welches immer die neueste
 Minor-Version des Kernels einer Architektur installieren wird.
 </footnote>).
 
-<p>Das Installationssystem von Debian 3.1 wird den gewählten Kernel (2.4 oder
-2.6) als Teil des Paketsystems behandeln. Sie können überprüfen, welche Kernel
-Sie installiert haben:
+<p>Das Installationssystem der aktuellen Debian-Veröffentlichung wird
+den gewählten Kernel als Teil des Paketsystems behandeln. So können
+Sie überprüfen, welche Kernel Sie installiert haben:
 
 <example>
-  $ COLUMNS=150 dpkg -l 'kernel-image*' | awk '$1 ~ /ii/ { print $0 }'
+$ COLUMNS=150 dpkg -l 'linux-image*' | awk '$1 ~ /ii/ { print $0 }'
 </example>
 
 <p>Um festzustellen, ob Ihr Kernel aktualisiert werden muss, führen Sie
@@ -230,12 +210,12 @@
 $ kernfile=`readlink -f /vmlinuz`
 $ kernel=`dpkg -S $kernfile | awk -F : '{print $1}'`
 $ apt-cache policy $kernel
-kernel-image-2.4.27-2-686:
-  Installed: 2.4.27-9
-  Candidate: 2.4.27-9
-  Version Table:
- *** 2.4.27-9 0
-(...)
+linux-image-2.6.18-4-686:
+  Installed: 2.6.18.dfsg.1-12
+  Candidate: 2.6.18.dfsg.1-12
+  Version table:
+ *** 2.6.18.dfsg.1-12 0
+        100 /var/lib/dpkg/status
 </example>
 
 <p>Wenn Sie eine Sicherheitsaktualisierung durchführen, die auch das
@@ -253,8 +233,7 @@
 durchgeführt wird. Für den ersten Fall können Sie Ihren Boot-Loader so
 konfigurieren, dass er den Originalkernel lädt, wenn ein Fehler auftritt (für
 weiterführende Informationen sollten Sie <url
-id="http://www.debian-administration.org/?article=70"; name="Remotely rebooting
-Debian GNU/Linux machines"> lesen). Im zweiten Fall müssen Sie ein Skript
+id="http://www.debian-administration.org/?article=70"; name="Remotely rebooting Debian GNU/Linux machines"> lesen). Im zweiten Fall müssen Sie ein Skript
 verwenden, das die Netzwerkverbindungen testen kann und überprüft, ob der
 Kernel das Netzwerksystem korrekt gestartet hat, und, wenn das nicht geschehen
 ist, das System neu startet
@@ -290,18 +269,17 @@
 
 <p>Erinnern Sie sich an <ref id="bios-passwd">? Nun, jetzt sollten Sie, nachdem
 Sie nicht mehr von austauschbaren Datenträgern booten müssen, die
-Standard-BIOS-Einstellung so umändern, dass es <em>ausschließlich</em> von
+Standard-BIOS-Einstellung umändern, so dass das System <em>ausschließlich</em> von
 der Festplatte bootet. Gehen Sie sicher, dass Sie Ihr BIOS-Passwort nicht
 verlieren, oder Sie werden nicht mehr ins
-BIOS zurückkehren können, um die Einstellung wieder zu ändern, so
-dass Sie im Falle eines Festplattenfehlers Ihr System wiederherstellen können, indem Sie zum Beispiel eine
+BIOS zurückkehren können, um die Einstellung wieder zu ändern, damit Sie im Falle eines Festplattenfehlers Ihr System wiederherstellen können, indem Sie zum Beispiel eine
 CD-ROM benutzen.
 
 <p>Eine andere, weniger sichere, aber bequemere Möglichkeit ist es, das BIOS
-so einzustellen, dass es von der Festplatte bootet, und nur falls dies
-fehlschlägt versucht, von austauschbaren Datenträgern zu booten.
+so einzustellen, dass das System von der Festplatte bootet, und falls dies
+fehlschlägt zu versuchen, von austauschbaren Datenträgern zu booten.
 Übrigens wird dies oft so gemacht, weil viele Leute ihr BIOS-Passwort
-nur selten benutzen, so dass sie es zu leicht vergessen.
+nur selten benutzen, so dass sie es leicht vergessen.
 
 <sect id="lilo-passwd">Ein Passwort für LILO oder GRUB einstellen
 <p>
@@ -438,15 +416,21 @@
 <p>Manche Sicherheitsregelwerke könnten Administratoren dazu zwingen,
 sich erst als Benutzer mit ihrem Passwort auf dem System einzuloggen, und
 dann Superuser zu werden (mit <prgn>su</prgn> oder <prgn>sudo</prgn>).
-Solche eine Policy ist in Debian in der Datei
-<file>/etc/login.defs</file> oder <file>/etc/securetty</file> (falls Sie
+Solche eine Policy ist in Debian in den Dateien
+<file>/etc/pam.d/login</file> und <file>/etc/securetty</file> (falls Sie
 PAM verwenden) implementiert.
 
 <list>
 
-<item>In <file>login.defs</file> ändern Sie die CONSOLE-Variable,
-die eine Datei oder eine Liste von Terminals definiert, an denen sich
-Root einloggen darf.
+<item>Die Datei <file>/etc/pam.d/login</file>
+<footnote>In älteren Debian-Veröffentlichungen müssen Sie in der
+Datei <file>login.defs</file> ie CONSOLE-Variable ändern. die eine
+Datei oder eine Liste von Terminals definiert, an denen sich Root
+einloggen darf.</footnote>
+aktiviert das Modul pam_securetty.so. Wenn es richtig konfiguriert
+ist, wird Root, wenn er sich auf einer unsicheren Console anmelden
+will, nicht nach einem Passwort gefragt, sondern sein Anmeldeversuch
+wird abgelehnt.
 
 <item>In <file>securetty</file>
 <footnote>
@@ -466,19 +450,22 @@
 und <em>ttyXX</em> in GNU/KNetBSD.
 </footnote>
 hinzufügen, wenn Sie eine serielle Konsole für den lokalen Zugang
-verwenden. (Wenn X eine ganze Zahl (Integer) ist, sollten Sie mehrere Instanzen
+verwenden. Wenn X eine ganze Zahl (Integer) ist, sollten Sie mehrere Instanzen
+haben. Die Standardeinstellung in <em>Wheezy</em>
 <footnote>
 Die Standardeinstellung in <em>Woody</em> beinhaltet zwölf lokale tty- und
 vc-Konsolen und die <em>console</em>-Schnittstelle. Anmeldungen von entfernten
 Orten sind nicht erlaubt. In <em>Sarge</em> stellt die Standardeinstellung 64
-Konsolen für tty- und vc-Konsolen zu Verfügung. Sie können das ohne Probleme
-entfernen, wenn Sie nicht derartige viele Konsolen benutzen.
+Konsolen für tty- und vc-Konsolen zu Verfügung.
 </footnote>
-haben, abhängig von der Anzahl der virtuellen Konsolen, die Sie in
-<file>/etc/inittab</file> aktiviert haben
+beinhaltet viele tty-Konsolen, serielle Schnittstellen und vc-Konsolen
+sowie den X-Server und die <em>console</em>-Schnittstelle. Sie können
+das ohne Probleme anpassen, wenn Sie nicht derartige viele Konsolen
+benutzen. Sie können die Anzahl der Konsolen und Schnittstellen in
+<file>/etc/inittab</file> überprüfen
 <footnote>
 Achten Sie auf die <em>getty</em> Einträge.
-</footnote>).
+</footnote>.
 Weiterführende Informationen zu Terminal-Schnittstellen finden Sie im <url
 id="http://tldp.org/HOWTO/Text-Terminal-HOWTO-6.html";
 name="Text-Terminal-HOWTO">.
@@ -501,37 +488,108 @@
 
 <sect id="restrict-reboots">System-Neustart von der Konsole aus einschränken
 
-<p>Wenn an Ihr System eine Tastatur angeschlossen ist, kann jeder (ja
-wirklich <em>jeder</em>) Ihr System neu starten, ohne sich in Ihr System
-einloggen zu müssen. Dies könnte gegen
-Ihre Sicherheitsrichtlinien verstoßen (oder auch nicht). Wenn Sie dies
-einschränken wollen, müssen Sie in <file>/etc/inittab</file>
-prüfen, ob die Zeile, die enthält, dass <tt>ctrlaltdel</tt>
-<prgn>shutdown</prgn> aufruft, den <tt>-a</tt> Schalter enthält
-(vergessen Sie nicht, <tt>init q</tt> auszuführen, nachdem Sie
-diese Datei irgendwie verändert haben). Standardmäßig
-enthält Debian diesen Schalter:
+<p>Wenn an Ihr System eine Tastatur angeschlossen ist, kann es jeder (ja,
+wirklich <em>jeder</em>) mit physischem Zugang zu Ihrem System neu starten, ohne sich in Ihr System
+einloggen zu müssen, einfach indem er die Tastenkombination <em>Ctrl+Alt+Delete</em> drückt (auch als <em>Affengriff</em> bekannt). Dies könnte gegen
+Ihre Sicherheitsrichtlinien verstoßen (oder auch nicht).
+
+<p>Dies ist schwerwiegender, wenn das Betriebssystem in einer
+virtuellen Umgebung läuft. Dann erstreckt sich diese Fähigkeit auch
+auf Benutzer, die Zugriff auf die virtuelle Konsole haben (was auch
+über das Netzwerk geschehen könnte). Beachten Sie zudem, dass in einer
+solchen Umgebung diese Tastenkombination ständig verwendet wird (um in
+einigen grafischen Benutzeroberflächen eine Login-Shell zu
+öffnen). Ein Systemadministration kann sie auch dazu
+verwenden, <em>virtuell</em> das System neu zu starten.
+
+<p>Es gibt zwei Möglichkeiten, dies einzuschränken:
+
+<list>
+<item>mit einer Konfiguration, mit der nur <em>bestimmte</em> Benutzer
+das System neu starten dürfen,
+<item>diese Eigenschaft vollständig zu deaktivieren.
+</list>
+
+<p>Wenn Sie dies einschränken wollen, müssen Sie
+in <file>/etc/inittab</file> sicherstellen, dass die Zeile,
+die <tt>ctrlaltdel</tt> enthält, <prgn>shutdown</prgn> mit der
+Option <tt>-a</tt> aufruft.
+
+<p>Standardmäßig enthält Debian diese  Optionen:
 <example>
   ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now
 </example>
 
-<p>Jetzt müssen Sie, um es <em>manchen</em> Benutzern zu erlauben,
-Ihr System neu zu starten, eine Datei <file>/etc/shutdown.allow</file>
-erstellen, wie es die Handbuchseite <manref section="8"
-name="shutdown"> beschreibt. Dort müssen die Namen der Benutzer, die
-das System neu booten dürfen, aufgeführt sein. Wenn der
-<em>drei Finger Salut</em> (auch bekannt als <em>Strg+Alt+Entf</em>
-und <em>Affengriff</em>)
-ausgeführt wird, wird geprüft, ob irgendeiner der Benutzer, die
-in der Datei aufgelistet sind, eingeloggt sind. Wenn es keiner von ihnen
-ist, wird <prgn>shutdown</prgn> das System <em>nicht</em> neu starten.
+<p>Die Option <tt>-a</tt> ermöglicht es, <em>einigen</em> Benutzern zu
+erlauben, das System neu zu starten (vgl. die
+Handbuchseite <manref section="8" name="shutdown">). Dazu müssen Sie
+die Datei <file>/etc/shutdown.allow</file> erstellen und die Namen der
+Benutzer, die das System neu booten dürfen, aufführen. Wenn
+der <em>Affengriff</em> in einer Konsole ausgeführt wird, wird
+geprüft, ob irgendeiner der Benutzer, die in der Datei aufgelistet
+sind, eingeloggt ist. Wenn es keiner von ihnen ist,
+wird <prgn>shutdown</prgn> das System <em>nicht</em> neu starten.
 
-</sect>
+<p>Wenn Sie die Tastenkombination Ctrl+Alt+Del deaktivieren möchten,
+müssen Sie nur die Zeile mit <em>ctrlaltdel</em>
+in <file>/etc/inittab</file> auskommentieren.
 
+<p>Vergessen Sie nicht, <tt>init q</tt> auszuführen, nachdem Sie diese
+Datei bearbeitet haben, damit die Änderungen wirksam werden.
 
+
+<sect id="restrict-sysrq">Die Tastenkombination Magic SysRq einschränken.
+
+<p>Die Tastenkombination <em>Magic SysRq</em> erlaubt es Benutzern
+einer Konsole eines Linux-Systems, bestimmte systemnahe Befehle
+auszuführen, indem gleichzeitig <em>Alt+SysRq</em> und eine bestimmte
+Taste gedrückt wird. Die Taste SysRq wird auf vielen Tastaturen
+mit <em>Druck</em> oder <em>Print Screen</em> bezeichnet.
+
+<p>Seit der Veröffentlichung von Etch ist diese Funktion im
+Linux-Kernel aktiviert, damit die Benutzer einer Konsole bestimmte
+Privilegien erhalten können. Ob dies auf Ihr System zutrifft, erkennen
+Sie daran, ob <file>/proc/sys/kernel/sysrq</file> existiert, und an
+dessen Wert:
+
+<example>
+$ cat /proc/sys/kernel/sysrq 
+438
+</example>
+
+<p>Der oben gezeigte Standardwert erlaubt alle SysRq-Funktionen mit
+Ausnahme der Möglichkeit, Signale an Prozesse zu senden. Zum Beispiel
+können Benutzer, die an der Konsole angemeldet sind, alle System
+nur-lesend neu einbinden, das System neu starten oder eine Kernelpanik
+auslösen. Wenn alle Fähigkeit aktiviert sind oder in älteren
+Kernel-Versionen (früher als 2.6.12), wird der Wert einfach 1 sein.
+
+<p>Sie sollten diese Fähigkeit deaktivieren, wenn der Zugang zur
+Konsole nicht auf angemeldete Benutzer beschränkt ist, nämlich wenn
+die Konsole an ein Modem angebunden ist, es leichten physischen Zugang
+zum System gibt oder es in einer virtuellen Umgebung läuft und andere
+Benutzer auf die Konsole zugreifen können. Dafür müssen
+Sie <file>/etc/sysctl.conf</file> bearbeiten und folgende Zeile
+einfügen:
+
+<example>
+# Disables the magic SysRq key
+kernel.sysrq = 0
+</example>
+
+<p>Weitere Informationen finden Sie
+im <url id="http://tldp.org/HOWTO/Remote-Serial-Console-HOWTO/security-sysrq.html";
+name="Sicherheitskapitel im Remote Serial Console HOWTO (engl.)">, in der
+<url id="http://kernel.org/doc/Documentation/sysrq.txt"; name="Kernel
+SysRQ Dokumentation (engl.)"> und
+dem <url id="https://de.wikipedia.org/wiki/Magische_S-Abf-Taste";
+name="Wikipedia-Eintrag zur Magischen S-Abf-Taste">.
+
+
 <sect>Partitionen auf die richtige Art einbinden
 <p>
-Wenn Sie eine ext2-Partition einbinden, können Sie verschiedene
+Wenn Sie eine <tt>Ext</tt>-Dateisystem (<tt>ext2</tt>, <tt>ext3</tt> oder
+<tt>ext4</tt>) einbinden, können Sie verschiedene
 Optionen mit dem mount-Befehl oder in <file>/etc/fstab</file> verwenden.
 Dies ist zum Beispiel mein fstab-Eintrag für meine
 <file>/tmp</file>-Partition:
@@ -546,7 +604,7 @@
 unterhalb des Einhängepunkts verbietet und <tt>nodev</tt> Gerätedateien ignoriert. Das
 hört sich toll an, aber:
 <list>
-<item>dies ist nur auf ext2-Dateisysteme anwendbar
+<item>ist nur auf <tt>ext2</tt> oder <tt>ext3</tt>-Dateisysteme anwendbar,
 <item>kann leicht umgangen werden
 </list>
 
@@ -706,18 +764,16 @@
 <item>wie Passwörter überprüft werden.
 </list>
 
-<p>
-Die folgende Beschreibung ist weit davon entfernt, komplett zu sein.
-Für weitere Informationen können Sie <url
-id="http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/pam.html";
-name="The Linux-PAM System Administrator's Guide"> (auf der <url
-id="http://www.kernel.org/pub/linux/libs/pam/"; name="PAM-Hauptseite">) lesen,
-diese Dokumentation ist auch in dem Paket <package>libpam-doc</package>
-enthalten.
+<p> Die folgende Beschreibung ist weit davon entfernt, vollständig zu
+sein.  Für weitere Informationen können
+Sie <url id="http://www.linux-pam.org/Linux-PAM-html/"; name="Linux-PAM
+Guides (engl.)"> lesen. Diese Dokumentation auf Ihrem System
+unter <file>/usr/share/doc/libpam-doc/html/</file> verfügbar, wenn
+Sie <package>libpam-doc</package> installieren.
 
 <p>PAM bieten Ihnen die Möglichkeit, durch mehrere Authentifizierungsschritte
 auf einmal zu gehen, ohne dass der Benutzer es weiß. Sie
-können gegen eine Berkeley Datenbank und gegen die normale <file>passwd</file>
+können gegen eine Berkeley-Datenbank und gegen die normale <file>passwd</file>
 Datei authentifizieren, und der Benutzer kann sich nur einloggen, wenn er
 beide Male korrekt authentifiziert wurde. Sie können viel
 einschränken mit PAM, genauso wie Sie Ihr System weit öffnen
@@ -728,37 +784,122 @@
 Loginfehler erzeugt, wenn eines der Module versagt.
 <!-- Lots of fields in mine are "required", please elaborate? (FIXME) (era) -->
 
-<p>Die erste Sache, die ich gerne mache, ist, MD5-Unterstützung
-zu den PAM-Anwendungen hinzuzufügen, da dies gegen lexikalische
-Attacken hilft (da Passwörter länger sein können, wenn sie
-MD5 benutzen). Die folgenden zwei Zeilen sollten Sie in allen Dateien
-unterhalb von <file>/etc/pam.d/</file> hinzufügen, die Zugriff auf Ihre
-Maschine gewähren, wie zum Beispiel <tt>login</tt> und <tt>ssh</tt>.
 
+<sect2 id="pam-passwords">Passwortsicherheit in PAM
+
+<p>Sehen Sie sich <file>/etc/pam.d/common-password</file>, die
+von <file>/etc/pam.d/passwd</file> eingebunden wird.
+<footnote>In früheren Debian-Veröffentlichungen befand sich die
+Konfiguration der Module direkt
+in <file>/etc/pam.d/passwd</file>.</footnote>
+Andere Dateien in <file>/etc/pam.d/</file> verweisen auf diese Datei,
+um die Verwendung eines Passworts durch Programme, die einen Zugriff
+auf das System erlauben, wie etwa das Konsolen-Login (<tt>login</tt>),
+graphische Login-Manager (z.B. <tt>gdm</tt> oder <tt>lightdm</tt>) und
+entferntes Login (etwa mit <tt>sshd</tt>), zu definieren.
+
+<p>Sie müssen sicherstellen, dass das Module pam_unix.so die Option
+"sha512" verwendet, damit die Passwörter verschlüsselt werden. In
+Debian Squeeze ist dies standardmäßig eingerichtet.
+
+<p>Die Zeile mit der Konfiguration des Modules pam_unix sollte etwa so
+aussehen:
+
 <example>
+password [success=1 default=ignore] pam_unix.so nullok obscure
+minlen=8 sha512
+</example>
+
+<p>Dieser Ausdruck
+
+<list>
+
+<item>erzwingt die Verschlüsselung von Passwörtern mit der
+Hashfunktion SHA-512, wenn sie gespeichert werden
+(Option <em>sha512</em>),
+
+<item>aktiviert die Überprüfung der Komplexität eines Passworts, wie
+sie in Handbuchseite <manref name="pam_unix" section="8"> beschrieben
+wird (Option <em>obscure</em>),
+
+<item>erfordert, dass das Passwort mindestens acht Zeichen lang ist
+(Option <em>min</em>).
+
+</list>
+
+<p>Sie müssen sicherstellen, dass in PAM-Anwendungen verschlüsselte
+Passwörter verwendet werden, weil dies Wörterbuchangriffe
+erschwert. Zugleich wird es dadurch möglich, Passwörter mit mehr als
+acht Zeichen einzusetzen.
+
+<p>Da mit diesem Modul auch definiert wird, wie Passwörter geändert
+werden, weil es von <tt>chpasswd</tt> eingebunden wird, können Sie die
+Passwortsicherheit Ihres Systems erhöhen, indem
+sie <package>libpam-cracklib</package> installieren und folgenden
+Ausdruck in die
+Konfigurationsdatei <file>/etc/pam.d/common-password</file> eintragen:
+
+<example>
   # Gehen Sie sicher, dass Sie libpam-cracklib zuerst installiert haben,
   # sonst werden Sie sich nicht einloggen können
   password   required     pam_cracklib.so retry=3 minlen=12 difok=3
-  password   required     pam_unix.so use_authtok nullok md5
+  password   [success=1 default=ignore]      pam_unix.so obscure minlen=8 sha512 use_authok
 </example>
 
 <p>Also, was macht diese Beschwörungsformel nun genau? Die erste Zeile lädt das
-cracklib PAM-Modul, welches einen Passwort-Sicherheitscheck bereitstellt. Es
-fragt nach einem neuen Passwort mit mindestens 12 Zeichen, einer Differenz von
-mindestens 3 Zeichen zum alten Passwort, und erlaubt 3 Versuche. Cracklib
-benötigt ein Paket mit Wörterlisten (wie <package>wngerman</package>,
+PAM-Modul cracklib, welches einen Passwort-Sicherheitscheck bereitstellt. Es
+fragt nach einem neuen Passwort mit mindestens zwölf Zeichen
+<footnote>
+Die Option <em>minlen</em> ist nicht auf Anhieb völlig verständlich,
+weil sie nicht die genaue Anzahl der Zeichen eines Passworts ist. Ein
+Kompromiss zwischen Komplexität und Länge eines Passworts kann mit dem
+Parameter "credit" für verschiedene Arten von Zeichen erreicht
+werden. Weitere Informationen finden Sie in der
+Handbuchseite <manref name="pam_cracklib" section="8">.
+</footnote>,
+einer Differenz von mindestens drei Zeichen zum alten Passwort und
+erlaubt drei Versuche. Cracklib benötigt ein Paket mit Wörterlisten
+(wie <package>wngerman</package>,
 <package>wenglish</package>, <package>wspanish</package>, ...). Stellen Sie
 also sicher, dass Sie ein passendes Paket für Ihre Sprache installiert
 haben. Ansonsten ist cracklib nicht verwendbar.
-<footnote>
-Diese Abhängigkeit ist allerdings im Debian 3.0 Paket nicht gelöst. Lesen Sie
-dazu <url id="http://bugs.debian.org/112965"; name="Bug #112965">.
-</footnote>
-Die zweite Zeile führt das Standardauthentifizierungsmodul mit MD5-Passwörtern
-aus und erlaubt Passwörter mit einer Länge von Null. Die
-<tt>use_authtok</tt>-Anweisung ist notwendig, um das Passwort von dem
-vorherigen Modul übergeben zu bekommen.
 
+<p>Die zweite Zeile (mit dem Module pam_unix.so) ist - wie oben
+beschrieben - der Standard in Debian mit Ausnahme der
+Option <em>use_authok</em>. Diese Option ist notwendig, wenn
+pam_unix.so nach pam_cracklib.so aufgerufen wird, damit das Passwort
+vom zuerst aufgerufenen Modul weitergereicht wird. Anderenfalls muss
+der Benutzer sein Passwort zweimal eingegeben.
+
+<p>Weitere Informationen über die Konfiguration von Crackllib finden
+Sie in der Handbuchseite <manref name="pam_cracklib" section="8"> und
+dem (englischen)
+Artikel <url id="http://www.deer-run.com/~hal/sysadmin/pam_cracklib.html";
+name="Linux Password Security with pam_cracklib"> von Hal Pomeranz.
+
+<p>Mit dem PAM-Modul cracklib richten Sie eine Richtlinie ein, welche
+die Verwendung guter Passwörter erzwingt.
+
+<p>Als Alternative können Sie auch PAM-Module einsetzen, die eine
+Zwei-Faktor-Authentifizierung verwenden, wie
+z.B. <package>libpam-barada</package>,
+<package>libpam-google-authenticator</package>, <package>libpam-oath</package>,
+<package>libpam-otpw</package>, <package>libpam-poldi</package>,
+<package>libpam-usb</package>
+oder <package>libpam-yubico</package>. Diese Module ermöglichen es,
+sich mit einer externen Authentifizierungsmethode am System anzumelden,
+etwa mit einer Chipkarte, einem USB-Stick oder Einmal-Passwörtern, die
+mit einer externen Anwendung, z.B. auf einem Mobiltelefon, erzeugt
+wurden.
+
+<p>Denken Sie daran, dass diese Einschränkungen alle Benutzer
+betreffen <em>außer</em> Änderungen von Passwörtern, die der Benutzer
+root vornimmt. Dieser kann unabhängig von den eingerichteten
+Beschränkungen jedes Passwort (in Hinblick auf Länge oder Komplexität)
+für sich oder andere Benutzer vergeben.
+
+<sect2 id="pam-rootaccess">Die Kontrolle des Benutzerzugangs in PAM
+
 <p>Um sicher zu stellen, dass sich der Benutzer root nur von lokalen
 Terminals einloggen kann, sollten Sie die folgende Zeile in
 <file>/etc/pam.d/login</file> eingefügt werden:
@@ -767,7 +908,7 @@
   auth     requisite  pam_securetty.so
 </example>
 
-<p>Danach sollten die Liste der Terminal in <file>/etc/securetty</file> ändern,
+<p>Danach sollten Sie die Liste der Terminals in <file>/etc/securetty</file> ändern,
 auf denen sich Root unmittelbar anmelden darf. Alternativ dazu können Sie auch
 das <tt>pam_access</tt>-Modul aktivieren und
 <file>/etc/security/access.conf</file> bearbeiten. Dieses Vorgehen erlaubt eine
@@ -776,7 +917,9 @@
 ein besonders unbefriedigendes Problem). Wir werden zu <file>access.conf</file>
 in Kürze zurückkehren.
 
-<p>Zu guter Letzt  sollte die folgende Zeile in <file>/etc/pam.d/login</file>
+<sect2 id="pam-limits">Beschränkung der Benutzer in PAM
+
+<p>Die folgende Zeile sollte in <file>/etc/pam.d/login</file>
 aktiviert werden, um den Benutzern Grenzen ihrer Systemressourcen zu setzen.
 <!-- SB 20050302: to set up user resource limits -->
 
@@ -787,21 +930,12 @@
 <p>Dies schränkt die Systemressourcen ein, die ein Benutzer nutzen darf (siehe
 <ref id="user-limits">). Sie können zum Beispiel die Anzahl
 der Logins, die man haben kann, einschränken (für eine Gruppe
-von Nutzern oder systemweit), die Anzahl der Prozesse, den belegten
+von Benutzern oder systemweit), die Anzahl der Prozesse, den belegten
 Speicher etc.
 
-<p>Editieren Sie nun <file>/etc/pam.d/passwd</file> und ändern Sie
-die erste Zeile. Sie sollten die Option "md5" zufügen, um
-MD5-Passwörter zu benutzen, ändern Sie die minimale
-Passwort-Länge von 4 auf 6 (oder mehr) und setzen Sie eine
-Maximallänge, wenn Sie möchten. Die resultierende Zeile wird in
-etwa so aussehen:
+<sect2 id="pam-su">Kontrolle von su in PAM
 
-<example>
-  password   required   pam_unix.so nullok obscure min=6 max=11 md5
-</example>
-
-<p>Wenn Sie su schützen möchten, so dass nur manche Leute es
+<p>Wenn Sie <prgn>su</prgn> schützen möchten, so dass nur manche Leute es
 benutzen können, um root auf Ihrem System zu werden, müssen Sie
 eine neue Gruppe "wheel" zu Ihrem System hinzufügen (das ist der
 sauberste Weg, da keine Datei solche Gruppenrechte bisher benutzt).
@@ -832,6 +966,8 @@
   auth        required    pam_listfile.so item=user sense=allow file=/etc/sshusers-allowed onerr=fail
 </example>
 
+<sect2 id="pam-temp">Temporäre Verzeichnisse in PAM
+
 <p>Da es eine Reihe von Sicherheitslücken mit so genannten unsicheren temporären
 Dateien zum Beispiel in thttpd (vgl. <url
 id="http://www.debian.org/security/2005/dsa-883"; name="DSA-883-1">) gab, lohnt es
@@ -843,10 +979,12 @@
  session    optional     pam_tmpdir.so
 </example>
 
-<p>Es gab auch eine Diskussion, dies standardmäßig in Etch einzufügen. Sehen
+<p>Es gab auch eine Diskussion, dies standardmäßig in Debian einzufügen. Sehen
 Sie sich <url id="http://lists.debian.org/debian-devel/2005/11/msg00297.html";>
 für weitere Informationen an.
 
+<sect2 id="pam-undefined">Konfiguration für sonstige PAM-Anwendungen
+
 <p>Zuletzt, aber nicht am unwichtigsten, erstellen Sie
 <file>/etc/pam.d/other</file> mit den folgenden Zeilen:
 
@@ -1018,20 +1156,6 @@
 stellt, <em>ruft</em> <prgn>login</prgn> auf).
 
 <example>
-  FAIL_DELAY          10
-</example>
-
-<p>Diese Variable sollte auf einen höheren Wert gesetzt werden, um es
-schwerer zu machen, mittels Brute Force (roher Gewalt, stures
-Durchprobieren, Anm. d. Übers.) auf einem Terminal einzuloggen. Wenn
-ein falsches Passwort eingegeben wird, muss der potenzielle Angreifer
-(aber auch der normale Benutzer!) 10 Sekunden warten, um einen neuen
-login Prompt zu bekommen, was auf die Dauer viel Zeit kostet, wenn sie
-Passwörter durch testen. Beachten Sie jedoch die Tatsache, dass diese
-Einstellung nutzlos ist, wenn Sie ein anderes Programm als <prgn>getty</prgn>
-benutzen, wie zum Beispiel <prgn>mingetty</prgn>.
-
-<example>
   FAILLOG_ENAB        yes
 </example>
 
@@ -1068,34 +1192,90 @@
 <prgn>sg</prgn>.
 
 <example>
-  MD5_CRYPT_ENAB      yes
+ ENCRYPT_METHOD  SHA512
 </example>
 
-<p>Wie bereits erklärt, reduzieren MD5-Summen-Passwörter
-großartig das Problem lexikalischer Attacken, da Sie längere
-Passwörter benutzen können. Wenn Sie slink benutzen, lesen Sie
-die Dokumentation zu MD5, bevor Sie diese Option einschalten. Ansonsten
-wird dies in PAM gesetzt.
-<!-- AS 20020909 Was will der Autor mit dem letzten Satz sagen?? -->
-<!-- SB (20050303): "Otherwise this is set in PAM." -->
+<p>Wie bereits erklärt, reduziert eine Verschlüsselung von Passwörtern
+die Gefahr lexikalischer Attacken erheblich, da Sie längere
+Passwörter benutzen können. Diese Definition muss mit dem Wert
+in <file>/etc/pam.d/common-password</file> übereinstimmen.
 
+<sect1>Aktionen bei der
+Benutzeranmeldung: <file>/etc/pam.d/login</file> editieren
+
+<p>Sie können die Datei zur Konfiguration des Anmeldevorgangs
+anpassen, um eine strengere Richtlinie festzuschreiben. Zum Beispiel
+können Sie die Wartezeit zwischen zwei Anmeldeversuchen im Vergleich
+zur Standardkonfiguration erhöhen. Diese bestimmte eine Wartezeit von
+drei Sekunden:
+
 <example>
-  PASS_MAX_LEN        50
+auth       optional   pam_faildelay.so  delay=3000000
 </example>
 
-<p>Wenn Sie MD5-Passwörter in Ihrer PAM Konfiguration aktiviert
-haben, dann sollten Sie diese Variable auf denselben Wert setzen, den Sie
-dort benutzt haben.
+<p>Wenn Sie den Wert von <em>delay</em> erhöhen, wird es schwieriger,
+sich durch bloßes Ausprobieren von Passwörtern (brute force)
+erfolgreich am Terminal anzumelden. Wenn ein falsches Passwort
+eingegeben wird, muss ein möglicher Angreifer (oder ein normaler
+Benutzer!) viele Sekunden warten, bis er wieder eine
+Eingabeaufforderung erhält, wodurch das Durchprobieren von Passwörtern
+sehr zeitaufwendig werden kann. So müssen etwa Benutzer
+bei <em>delay=10000000</em> zehn Sekunden warten, wenn sie das falsche
+Passwort eingeben.
 
+<p>In dieser Datei können Sie auch einrichten, dass das System vor
+einer Anmeldung eine Nachricht dem Benutzer anzeigt. Standardmäßig ist
+dies deaktiviert, wie Sie hier sehen können:
 
-<sect1>ftp Einschränken: Editieren von <file>/etc/ftpusers</file>
+<example>
+# auth       required   pam_issue.so issue=/etc/issue
+</example>
+
+<p>Falls es Ihre Sicherheitsrichtlinie erfordert, können Sie mit
+dieser Datei eine Standardnachricht, dass der Zugang zum System
+beschränkt und der Benutzerzugang protokolliert wird, anzeigen
+lassen. Ein solcher Hinweis kann in bestimmten Umgebungen und nach der
+jeweiligen Rechtsprechung notwendig sein. Um dies zu aktivieren,
+müssen Sie nur die entsprechende Mitteilung in die
+Datei <file>/etc/issue</file>
+<footnote>Der Standardinhalt dieser Datei enthält Informationen über
+das Betriebssystem und dessen Version, die Sie möglicherweise
+unbekannten Benutzern nicht mitteilen möchten.</footnote> 
+eintragen und das Kommentarzeichen in der Zeile
+in <file>/etc/pam.d/login</file> entfernen, um das Modul pam_issue.so
+zu aktivieren.
+
+<p>In dieser Datei können Sie weitere Einstellungen vornehmen, welche
+für Ihre Sicherheit relevant sein könnten, wie z.B.:
+
+<list>
+
+<item>Regeln erstellen, welcher Benutzer zu welchen Zeiten auf das
+System zugreifen kann, indem Sie das Modul <em>pam_time.so</em>
+aktivieren und <file>/etc/security/time.conf</file> entsprechend
+konfigurieren (standardmäßig deaktiviert),
+
+<item>den Anmeldevorgang so einrichten, dass Benutzerbeschränkungen,
+die in <file>/etc/security/limits.conf</file> definiert sind,
+verwendet werden (standardmäßig aktiviert),
+
+<item>dem Benutzer Informationen über die vorangegangene Anmeldung
+anzeigen (standardmäßig aktiviert),
+
+<item>nach erfolgter Anmeldung dem Benutzer eine Nachricht
+(<file>/etc/motd</file> und <file>/run/motd.dynamic</file>) anzeigen
+(standardmäßig aktiviert).
+
+</list>
+
+<sect1>ftp einschränken: editieren von <file>/etc/ftpusers</file>
 <p>
 Die Datei <file>/etc/ftpusers</file> enthält eine Liste von allen
-Nutzern, denen es <em>nicht</em> erlaubt ist, sich auf dem Rechner mit ftp
+Benutzern, denen es <em>nicht</em> erlaubt ist, sich auf dem Rechner mit ftp
 einzuloggen. Benutzen Sie diese Datei nur, wenn Sie wirklich ftp
 erlauben wollen (wozu im Allgemeinen nicht geraten wird, da es
 Klartext-Passwörter benutzt). Wenn Ihr ftp-Daemon PAM unterstützt,
-können Sie dies ebenfalls benutzen, um Nutzern bestimmte Dienste zu
+können Sie dies ebenfalls benutzen, um Benutzern bestimmte Dienste zu
 erlauben oder zu verbieten.
 
 <p>FIXME (FEHLER): Ist es ein Fehler, dass <file>ftpusers</file> in Debian
@@ -1748,14 +1928,29 @@
         *.=notice;*.=warn       /dev/tty8
 </example>
 
-<p>Um die Logs farbig zu gestalten sollten einen Blick auf
+<p>Um die Logs farbig zu gestalten, sollten einen Blick auf
 <package>colorize</package>, <package>ccze</package> oder
 <package>glark</package> werfen. Es gibt da noch eine Menge über die Analyse
-von Logs zusagen, das hier nicht behandelt werden kann. Eine gute Quelle für
-weiter Informationen ist die Webseite <url name="Log Analysis"
-id="http://www.loganalysis.org/";>. In jedem Fall sind selbst automatische
-Werkzeuge dem besten Analysewerkzeug nicht gewachsen: Ihrem Gehirn.
+von Logs zu sagen, das hier nicht behandelt werden kann. Eine gute Quelle für
+weitere Informationen sind Bücher wie <url name="Security log
+management: identifying patterns in the chaos"
+id="http://books.google.com/books?id=UyktqN6GnWEC";>. In jedem Fall
+sind selbst automatische Werkzeuge dem besten Analysewerkzeug nicht
+gewachsen: Ihrem Gehirn.
 
+<!-- FIXME: Add information related to OSSEC, however
+     it is currently not packaged for Debian
+
+Information relevant for OSSEC :
+
+- Web page: http://www.ossec.net/
+- Ubuntu Guide: http://ubuntuforums.org/showthread.php?t=213445
+- ITP: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=361954
+  (Reason it is not currently packaged, as of, dic 2010 is because
+  of a need of OpenSSL excemption)
+     Point to the book: http://books.google.com/books?id=h37q2q3wvcUC
+-->
+
 <!-- FIXME: Check information on SHARP, the 'syslog heuristic analysis
 and response program'.  The paper is at
 id="http://www.csis.gvsu.edu/sharp/";. Is it free software? packaged?
@@ -1865,16 +2060,16 @@
 <package>snmpd</package>.
 
 
-<sect1>Nutzen eines loghosts
+<sect1>Nutzen eines Loghosts
 
-<p>Ein Loghost ist ein Host der die syslog-Daten über ein Netzwerk
+<p>Ein Loghost ist ein Host, der die syslog-Daten über ein Netzwerk
 sammelt. Wenn eine Ihrer Maschinen geknackt wird, kann der Eindringling seine
 Spuren nicht verwischen, solange er den Loghost nicht ebenfalls geknackt
 hat. Demzufolge muss der Loghost also besonders sicher sein.  Aus einer
-Maschinen einen Loghost zu machen ist relativ einfach: Starten Sie den
+Maschine einen Loghost zu machen, ist relativ einfach: Starten Sie den
 <prgn>syslogd</prgn> einfach mit <tt>syslogd -r</tt>, und ein neuer Loghost ist
 geboren. Um dies unter Debian dauerhaft zu machen, editieren Sie
-<file>/etc/init.d/sysklogd</file> und ändern Sie die Zeile
+<file>/etc/default/syslogd</file> und ändern Sie die Zeile
 
 <!-- FIXME: The following could also be interesting -->
 <!-- How to hide the logging server on the network i.e. by not giving -->
@@ -1884,32 +2079,32 @@
 <!-- should be configured accordingly. -->
 
 <example>
-  SYSLOGD=""
+SYSLOGD=""
 </example>
 in 
 <example>
-  SYSLOGD="-r"
+SYSLOGD="-r".
 </example>
 
 Als nächstes konfigurieren Sie die anderen Maschinen, Ihre Daten an
 den Loghost zu senden. Fügen Sie einen Eintrag, ähnlich dem
-folgenden zu der <file>/etc/syslog.conf</file> hinzu:
+folgenden, zu der <file>/etc/syslog.conf</file> hinzu:
 
 <example>
   facility.level            @Ihr_Loghost
 </example>
 
-Schauen Sie in die Dokumentation um zu erfahren, wodurch Sie
+Schauen Sie in die Dokumentation, um zu erfahren, wodurch Sie
 <em>facility</em> und <em>level</em> ersetzen können (Sie sollten
-nicht wörtlich übernommen werden). Wenn Sie alles fern
-mit loggen wollen, schreiben Sie einfach:
+nicht wörtlich übernommen werden). Wenn Sie alles entfernt
+mitloggen wollen, schreiben Sie einfach:
 
 <example>
   *.*                       @Ihr_Loghost
 </example>
 
 in Ihre <file>syslog.conf</file>. Sowohl lokal als auch entfernt
-mitzuloggen ist die beste Lösung (ein Angreifer könnte davon
+mitzuloggen, ist die beste Lösung (ein Angreifer könnte davon
 ausgehen, dass er seine Spuren verwischt hat, nachdem er die lokale
 Log-Datei gelöscht hat). Für weitere Informationen sehen Sie sich die
 Handbuch-Seiten <manref name="syslog" section="3">, <manref
@@ -2130,15 +2325,6 @@
 verhindern. Sie können entweder Exec-Shield, OpenWall oder PaX (ist in den
 Grsecurity- und Adamantixpatches enthalten) verwenden.
 
-<!-- FIXME: Add a link to libsafe to the main place. Uwe: Probably
-            not. As I understand it libsafe is obsolete!? -->
-
-<item>Benutzen Sie eine Bibliothek wie <url
-id="http://www.research.avayalabs.com/project/libsafe/"; name="libsafe">, um
-verwundbare Funktionen zu überschreiben und ordentliche Prüfungen einzuführen
-(Informationen wie man <package>libsafe</package> installiert finden Sie <url
-id="http://www.Linux-Sec.net/harden/libsafe.uhow2.txt"; name="hier">).
-
 <item>Verbessern Sie den Quellcode, indem Sie Werkzeuge einsetzen, die Teile
 finden, die zu dieser Verwundbarkeit führen könnten.
 
@@ -2186,24 +2372,6 @@
 Für weitere Informationen zum Einsatz dieser Patches lesen Sie den Abschnitt
 <ref id="kernel-patches">.
 
-<sect1>Schutz durch <package>libsafe</package>
-
-<p>Es ist ziemlich einfach, ein Debian GNU/Linux-System mit
-<package>libsafe</package> zu schützen. Sie müssen nur das Paket installieren
-und <em>Ja</em> sagen, damit die Bibliothek global geladen wird. Seien Sie
-dennoch vorsichtig, da das Software unbrauchbar machen kann (besonders
-Programme, die mit der alten <prgn>libc5</prgn> verknüpft sind). Sie sollten
-also zuerst die <url id="http://bugs.debian.org/libsafe"; name="gemeldeten
-Fehlerberichte"> lesen und die kritischsten Programme auf Ihrem System mit dem
-Programm zum Einhüllen von <prgn>libsafe</prgn> testen.
-
-<p><em>Wichtiger Hinweis</em>: Der Schutz durch <prgn>libsafe</prgn> könnte im
-Moment nicht
-wirkungsvoll sein, wie es in <url id="http://bugs.debian.org/173227";
-name="173227"> beschrieben wird. Testen Sie es gründlich, bevor Sie es in einer
-produktiven Umgebung einsetzen, und verlassen Sie sich nicht ausschließlich
-darauf, um Ihr System zu schützen.
-
 <sect1>Prüfprogramme für Pufferüberläufe
 
 <p>Zur Nutzung von Werkzeugen zum Aufspüren von Pufferüberläufen benötigen Sie
@@ -2958,6 +3126,7 @@
 <example>
 #!/bin/bash
 /bin/mount /dev/fd0 /mnt/floppy
+trap "/bin/umount /dev/fd0" 0 1 2 3 9 13 15
 if [ ! -f /usr/bin/md5sum ] ; then
 	echo "Kann nicht md5sum finden. Breche ab."
 	exit 1
@@ -2972,6 +3141,7 @@
 echo "MD5-Datenbank (nach der Installation) erstellt"
 if [ ! -f /usr/bin/sha1sum ] ; then
 	echo "Kann nicht sha1sum finden"
+        echo "WARNUNG: nur die md5-Datenbank wird gespeichert"
 else
 	/bin/cp /usr/bin/sha1sum /mnt/floppy
 	echo "Erstelle SHA-1-Datenbank"
@@ -2982,7 +3152,6 @@
 	done
 	echo "SHA-1-Datenbank (nach der Installation) erstellt"
 fi
-/bin/umount /dev/fd0
 exit 0
 </example>

Reply to:

Follow-Ups:
- Re: [RFR] Securing Debian Manual de/after-install.sgml
  - From: Helge Kreutzmann <debian@helgefjell.de>

Prev by Date: Re: Deutsche Manpage für Less wird nicht gebaut
Next by Date: Re: Bug#717351: Please help me update 1 fuzzy PO
Previous by thread: Re: Deutsche Manpage für Less wird nicht gebaut
Next by thread: Re: [RFR] Securing Debian Manual de/after-install.sgml
Index(es):
- Date
- Thread