[RFR] Securing Debian Manual de/before-compromise.sgml

[Simon Brandmair <sbrandmair@gmx.net>]

Hallo zusammen,

hier eine zweite Datei der Übersetzung des Securing Debian Manuals [1]:
de/before-compromise.sgml.

Die Änderungen in der englischen Fassung finden sich hier [2].

Ciao,
Simon


[1] http://www.debian.org/doc/user-manuals#securing
[2]
http://anonscm.debian.org/viewvc/ddp/manuals/trunk/securing-howto/en/before-compromise.sgml?r1=4085&r2=4771

Index: before-compromise.sgml
===================================================================
--- before-compromise.sgml	(revision 10339)
+++ before-compromise.sgml	(working copy)
@@ -1,4 +1,4 @@
-<!-- CVS revision of original english document "1.21" -->
+<!-- CVS revision of original english document "1.24" -->
 
 <chapt>Vor der Kompromittierung
 
@@ -7,13 +7,13 @@
 <p>Sie sollten bestrebt sein, Ihr System sicher zu halten, indem Sie seine
 Verwendung und die es betreffenden Verwundbarkeiten im Auge behalten. Sobald
 Patches verfügbar sind, sollte Sie diese auch einspielen. Denn auch wenn Sie zu
-Beginn ein sehr sicheres System eingerichtet haben, sollten Sie sich erinnern,
+Beginn ein sehr sicheres System eingerichtet haben, sollten Sie daran denken,
 dass die Sicherheit eines Systems mit der Zeit nachlässt. Das liegt daran, dass
 Sicherheitslücken in Systemdiensten entdeckt werden können. Außerdem können
 Benutzer die Sicherheit untergraben, wenn ihnen das notwendige Verständnis
 fehlt (z.B. wenn sie entfernt auf ein System mit einem Klartextpasswort oder
 einem einfach zu erratenden Passwort zugreifen) oder gar weil sie aktiv
-versuchen, die Sicherheit des Systems auszuschalten (indem Sie z.B. zusätzliche
+versuchen, die Sicherheit des Systems auszuschalten (indem sie z.B. zusätzliche
 Dienste lokal in ihren Konten installieren).
 
 
@@ -55,8 +55,7 @@
 
 <p>Der Tracker kann mittels einer Benutzerschnittstelle durchsucht werden (nach
 <url id="http://cve.mitre.org/"; name="CVE">-Namen und dem Paketnamen). Einige
-Werkzeuge (wie zum Beispiel <url id="http://packages.debian.org/debsecan";
-name="debsecan">) setzen diese Datenbank ein, um auf Verwundbarkeiten des
+Werkzeuge (wie zum Beispiel <package>debsecan</package>, vgl. <ref id="debsecan">) setzen diese Datenbank ein, um auf Verwundbarkeiten des
 betreffenden Systems hinzuweisen, die noch nicht ausgebessert wurden (d.h. für
 die eine Ausbesserung bevorsteht).
 
@@ -92,15 +91,15 @@
 überwiegende Anteil der Exploits nutzt bekannte Sicherheitslücken aus, die
 nicht rechtzeitig ausgebessert wurden. Dies wird in der <url
 id="http://www.cs.umd.edu/~waa/vulnerability.html"; name="Veröffentlichung von
-Bill Arbaugh"> dargestellt, die 2001 auf dem IEEE Symposium on Security and
-Privacy vorgestellt wurde. Das Durchführen einer Aktualisierung wird unter <ref
+Bill Arbaugh"> dargestellt, die 2001 auf dem »IEEE Symposium on Security and
+Privacy« vorgestellt wurde. Das Durchführen einer Aktualisierung wird unter <ref
 id="security-update"> beschrieben.
 
 
 <sect2>Überprüfung von Hand, welche Sicherheitsaktualisierungen verfügbar sind
 
 <p>Debian besitzt ein Werkzeug, um zu überprüfen, ob ein System aktualisiert
-werden muss (siehe Tiger unten). Viele Nutzer wollen aber einfach von Hand
+werden muss. Viele Benutzer wollen aber einfach von Hand
 überprüfen, ob Sicherheitsaktualisierungen für ihr System zur Verfügung stehen.
 
 <p>Wenn Sie Ihr System nach der Beschreibung unter <ref id="security-update">
@@ -148,127 +147,144 @@
 <url id="http://www.debian.org/security/2003/dsa-232"; name="DSA-232"> (für
 <package>cupsys</package>).
 
-<p>Es ist zu beachten, dass der Rechner neugestartet werden muss, wenn der
+<p>Denken Sie daran, den Rechner neuzustarten, wenn der
 Kernel aktualisiert wurde.
 
+<sect2 id="update-desktop">Überprüfung von Aktualisierungen auf dem Desktop
 
-<sect2 id="cron-apt">Automatisches Überprüfung von Aktualisierungen mit
-cron-apt
+<p>Seit Debian 4.0 <em>Lenny</em> gibt es in
+Debian <package>update-notifier</package>, das in einer
+Standardinstallation installiert wird. Es ist eine GNOME-Anwendung,
+die beim Öffnen des Desktops gestartet wird, mit der geprüft werden
+kann, welche Aktualisierungen für Ihr System zur Verfügung stehen, und
+diese installiert werden können. Dafür verwendet
+es <package>update-manager</package>.
 
-<p>Eine andere Methode für automatische Sicherheitsaktualisierungen ist die
-Verwendung von <package>cron-apt</package>. Dieses Paket stellt ein Werkzeug
-zur Verfügung, mit dem das System in regelmäßigen Abständen (mit einem Cronjob)
-aktualisiert wird. Standardmäßig wird es die Paketliste aktualisieren und neue
-Pakete herunterladen. Es kann auch so konfiguriert werden, dass es Mails an den
-Systemadministrator schickt.
+<p>In dem Stable-Zweig gibt es Aktualisierungen nur zum Entfernen von
+Sicherheitsproblemen oder, wenn eine Zwischenveröffentlichung (point
+release) angeboten wird. Wenn das System richtig konfiguriert ist (wie
+in <ref id="security-update"> beschrieben) und Sie
+mit <prgn>cron</prgn> die Paketinformationen aktualisieren, werden Sie
+durch ein Desktop-Symbol in dem Benachrichtigungsbereich des Desktops
+über Aktualisierungen informiert werden.
 
-<p>Hinweis: Wenn Sie vorhaben, Ihr System automatisch zu aktualisieren (auch
-wenn Sie sich nur die Pakete herunterladen), sollten Sie sich vielleicht die
-Distributionsversion ansehen, wie in <ref id="check-releases"> beschrieben
-wird. Anderenfalls können Sie sich nicht sicher sein, dass die
-heruntergeladenen Pakete wirklich aus einer vertrauenswürdigen Quelle stammen.
+<p>Diese Benachrichtigung soll nicht aufdringlich sein und den Benutzer
+nicht dazu zwingen, die Aktualisierungen zu installieren. Über das
+Symbol kann der Desktop-Benutzer (mit dem Passwort des
+Systemadministrators) zu einer einfachen graphischen
+Benutzeroberfläche gelangen, um sich die verfügbaren Aktualisierungen
+anzeigen zu lassen und zu installieren.
 
+<p>Diese Anwendung arbeitet damit, dass sie die Paketdatenbank abruft
+und ihren Inhalt mit dem System vergleicht. Wenn die Datenbank
+regelmäßig mit <prgn>cron</prgn> aktualisiert wird, ist ihr Inhalt
+aktueller als die auf dem System installierten Pakete, worauf die
+Anwendung Sie hinweisen wird.
 
-<sect2>Verwendung von Tiger, um automatisch Sicherheitsaktualisierungen
-zu überprüfen 
+<p><prgn>Apt</prgn> richtet eine solche Aufgabe ein
+(<file>/etc/cron.d/apt</file>), die abhängig von der Konfiguration von
+Apt ausgeführt wird (genauer gesagt je
+nach <em>APT::Periodic</em>). In der GNOME-Umgebung kann dieser Wert
+über System &gt; Admin &gt; Software origins &gt; Updates oder
+mit <prgn>/usr/bin/software-properties</prgn> geändert werden.
 
-<p>Wenn Sie nach einem Programm suchen, das schnell die Verwundbarkeit des
-Systems überprüft und gefundene Sicherheitslücken meldet, sollten Sie das Paket
-<package>tiger</package> ausprobieren. Das Paket besteht aus einer Anzahl von
-Skripten für die Bourne-Shell, C-Programmen und Datendateien, die dazu
-verwendet werden, um Sicherheitsaudits durchzuführen. Das Paket in Debian
-GNU/Linux beinhaltet zusätzliche Erweiterungen, die auf die Debian-Distribution
-abgestimmt sind. Damit stehen mehr Funktionen zur Verfügung als in den
-Tigerskripten von TAMU (oder sogar von TARA, eine Tigerversion, die von ARSC
-vertrieben wird). Lesen Sie für weitere Informationen die Datei
-<file>README.Debian</file> und die Handbuchseite <manref section="8" name="tiger">.
+<p>Wenn Ihr System täglich die Paketliste herunterladen soll, aber
+nicht die Pakete selbst,
+sollte <file>/etc/apt/apt.conf.d/10periodic</file> etwa so aussehen:
 
-<p>Eine dieser Verbesserungen ist das Skript
-<tt>deb_checkadvisories</tt>. Diese Skript verwendet eine Liste von DSAs und
-gleicht sie mit den installierten Paketen ab. Es meldete dann alle Pakete, die
-laut dem Debian Security Team verwundbar sind. Dies ist eine etwas andere,
-allgemeinere Herangehensweise als im Tigerskript <tt>check_signatures</tt>, das
-die MD5-Summen von Programmen mit bekannten Lücken testet.
-
-<p>Da Debian im Moment keine Liste der MD5-Summen von Programmen mit bekannten
-Lücken liefert (wie sie von anderen Betriebssystemen wie Sun Solaris verwendet
-wird), wird die <em>Überprüfung-der-DSAs-Herangehensweise</em> verwendet. Das
-Problem sowohl der Herangehensweise mit DSAs als auch der mit MD5-Summen ist,
-dass die Signaturen regelmäßig aktualisiert werden müssen.
-
-<p>Im Moment wird das dadurch gelöst, indem einen neue Version des Tigerpakets
-erstellt wird. Aber es steht nicht fest, dass der Paketbetreuer jedes Mal eine
-neue Version erstellt, wenn ein DSA bekannt gegeben wird. Eine nette
-Erweiterung, die aber noch nicht implementiert ist, wäre es, wenn das
-eigenständig durchgeführt wird. Das umfasst, dass die DSAs aus dem Netz
-heruntergeladen werden, eine Liste erstellt wird und dann die Prüfung
-durchgeführt wird. Die DSAs werden im Moment aus der lokalen CVS-Aktualisierung
-der WML-Quellen des Betreuers aktualisiert, die dazu verwendet werden, <url
-id="http://security.debian.org";> (der Webserver) zu erstellen.
-
-<p>Ein Programm wäre wünschenswert, das die DSAs, die per E-Mail empfangen
-wurden oder auf security.debian.org verfügbar sind, analysiert und dann die
-Datei erstellt, die von <prgn>deb_checkadvisories</prgn> verwendet wird, um
-Verwundbarkeiten zu bestätigen. Schicken Sie es als einen Fehlerbericht von
-<package>tiger</package>.
-
-<p>Die erwähnte Überprüfung wird über die Standardkonfiguration des Programms
-ausgeführt, wenn sie einmal eingerichtet wurde (siehe
-<file>/etc/tiger/cronrc</file>):
-
 <example>
-# Check for Debian security measures every day at 1 AM
-#
-1 * *   deb_checkmd5sums deb_nopackfiles deb_checkadvisories
-#
+APT::Periodic::Update-Package-Lists "1";
+APT::Periodic::Download-Upgradeable-Packages "0";
 </example>
 
-<p>Es gibt noch eine zusätzliche Überprüfung, die Sie vielleicht hinzufügen
-sollten, und welche noch kein Bestandteil des
-Standard-<prgn>Cron</prgn>-Skripts ist. Diese Überprüfung ist das Skript
-<tt>check_patches</tt>, das auf folgende Art und Weise funktioniert:
+<p>Sie können auch eine andere cron-Aufgabe verwenden, z.B. die
+von <package>cron-apt</package> installierte
+(vgl. <ref id="cron-apt">). Damit können Sie auch nur per Hand nach
+Aktualisierungen suchen.
 
-<list>
+<p>Benutzer der KDE-Umgebung sollten
+stattdessen <package>adept</package>
+und <package>adept-notifier</package> installieren, die vergleichbare
+Funktionen anbieten, aber nicht in der Standardinstallation enthalten
+sind.
 
-<item>führt <tt>apt-get update</tt> aus.
+<sect2 id="cron-apt">Automatisches Überprüfung von Aktualisierungen mit
+cron-apt
 
-<item>überprüft, ob neue Pakete verfügbar sind.
+<p>Eine andere Methode für automatische Sicherheitsaktualisierungen
+ist <package>cron-apt</package>. Dieses Paket stellt ein Werkzeug zur
+Verfügung, mit dem das System in regelmäßigen Abständen (mit einem
+Cronjob) aktualisiert wird. Es kann so konfiguriert werden, dass es
+Mails mit dem lokalen Mail-Transport-Agent an den Systemadministrator
+schickt. Standardmäßig wird es nur die Paketliste aktualisieren und
+neue Pakete herunterladen. Es kann aber so konfiguriert werden, dass
+es automatisch Aktualisierungen installiert.
 
-</list>
+<p>Hinweis: Wenn Sie vorhaben, Ihr System automatisch zu aktualisieren (auch
+wenn Sie sich nur die Pakete herunterladen), sollten Sie sich vielleicht die
+Distributionsversion ansehen, wie in <ref id="check-releases"> beschrieben
+wird. Anderenfalls können Sie sich nicht sicher sein, dass die
+heruntergeladenen Pakete wirklich aus einer vertrauenswürdigen Quelle stammen.
 
-<p>Wenn Sie ein <em>Stable</em>-System betreiben und Sie die
-<prgn>Apt</prgn>-Quellen security.debian.org in Ihre
-<file>/etc/apt/sources.list</file> eingetragen haben (wie in <ref
-id="security-update"> beschrieben), wird dieses Skript Ihnen mitteilen können,
-ob neue Pakete verfügbar sind, die Sie installieren sollten. Da die einzigen
-Pakete, die sich bei dieser Einstellung verändern, Sicherheitsaktualisierungen
-sind, bekommen Sie genau das, was Sie wollen.
+<p>Weitere Informationen finden Sie auf
+der <url id="http://www.debian-administration.org/articles/162";
+name="Debian-Administration-Seite">.
 
-<p>Das funktioniert natürlich nicht, wenn Sie <em>Testing</em> oder
-<em>Sid/Unstable</em> am Laufen haben, da wahrscheinlich neue Pakete zahlreicher
-sind als Sicherheitsaktualisierungen.
+<sect2 id="debsecan">Automatisches Überprüfung von Aktualisierungen
+mit debsecan
 
-<p>Sie können dieses Skript den Überprüfungen hinzufügen, die vom
-<prgn>Cron</prgn>-Job durchgeführt werden (in der obigen
-Konfigurationsdatei). Dadurch würde <prgn>tigercron</prgn> Mails mit neuen
-Paketen verschicken (an denjenigen, der von <tt>Tiger_Mail_RCPT</tt> in
-<file>/etc/tiger/tigerrc</file> bezeichnet wurde).
+<p>Das Programm <prgn>debsecan</prgn> ermittelt den Sicherheitsstatus,
+indem es sowohl nicht installierte Sicherheitsaktualisierungen als
+auch Sicherheitslücken meldet. Im Gegensatz
+zu <package>cron-apt</package>, das nur Informationen zu verfügbaren
+Sicherheitsaktualisierungen bereitstellt, bezieht dieses Werkzeug auch
+Informationen von der Datenbank über Sicherheitslücken, die von
+Debians Sicherheitsteam verwaltet wird. Darin befinden sich auch
+Informationen über Lücken, die noch nicht durch eine
+Sicherheitsaktualisierung geschlossen wurden. Daher kann es
+Administratoren besser helfen, Sicherheitslücken im Blick zu behalten
+(wie unter <ref id="track-vulns"> beschrieben).
 
-<example>
-# Check for Debian security measures every day at 1 am
-#
-1 * *   deb_checkmd5sums deb_nopackfiles check_patches
-#
-</example>
+<p>Nach der Installation des Debian-Pakets <package>debsecan</package>
+wird es mit Zustimmung des Administrators eine cron-Aufgabe erstellen,
+die das Programm aufruft und das Ergebnis an einen bestimmten Benutzer
+schickt, wenn sie ein verwundbares Paket findet. Sie wird auch
+Informationen aus dem Internet laden. Bei der Installation wird auch
+nach dem Ort der Sicherheitsdatenbank gefragt, dieser wird
+in <file>/etc/default/debsecan</file> gespeichert. Er kann leicht so
+angepasst werden, damit Systeme ohne Internetzugang auf einen lokale
+Spiegelserver zugreifen können und nur dieser mit der
+Sicherheitsdatenbank verbunden sein muss.
 
+<p>Beachten Sie jedoch, dass das Sicherheitsteam viele
+Verwundbarkeiten aufführt, die (wie risikoarme Probleme) nicht mit
+einer Sicherheitsaktualisierung ausgebessert werden oder bei denen
+sich später herausstellt, dass sie, anders als zunächst angenommen,
+Debian nicht betreffen. <prgn>Debsecan</prgn> wird alle
+Verwundbarkeiten melden, wodurch diese Meldungen deutlich
+umfangreicher werden als bei den anderen beschriebenen Werkzeugen.
 
+<p>Weitere Informationen finden Sie auf
+der <url id="http://www.enyo.de/fw/software/debsecan/"; name="Seite des
+Autors">.
+
 <sect2>Andere Methoden für Sicherheitsaktualisierungen
 
-<p>Sie sollten auch einen Blick auf <url
+<p>Es gibt auch <package>apticron</package>, das ähnlich
+wie <package>cron-apt</package> nach Aktualisierungen sucht und eine
+E-Mail an den Administrator schickt. Weitere Informationen über
+apticron finden Sie auf
+der <url id="http://www.debian-administration.org/articles/491";
+name="Seite über Debian-Administration">.
+
+<p>Sie können auch einen Blick auf <url
 id="http://clemens.endorphin.org/secpack/"; name="secpack"> werfen. Es ist ein
 inoffizielles Programm, um Sicherheitsaktualisierungen von security.debian.org
 mit Prüfung der Signatur durchzuführen. Es wurde von Fruhwirth Clemens
 geschrieben.
+Eine weitere Alternative bietet das Nagios
+Plugin <url id="http://www.unixdaemon.net/nagios_plugins.html#check_debian_packages";
+name="check_debian_updates.sh"> von Dean Wilson.
 
 
 <sect1>Vermeiden Sie den Unstable-Zweig
@@ -352,17 +368,18 @@
 <ref id="security-update"> dargestellt wurden) hinzufügen:
 
 <example>
-   deb http://secure-testing.debian.net/debian-secure-testing etch/security-updates main contrib non-free
-   # Diese Zeile macht es möglich, auch Quellpakete herunterzuladen
-   # FIXME: donwload
-   deb-src http://secure-testing.debian.net/debian-secure-testing etch/security-updates main contrib non-free
+deb http://security.debian.org testing/updates main contrib non-free
+# Diese Zeile macht es möglich, auch Quellpakete herunterzuladen
+deb-src  http://security.debian.org testing/updates main contrib non-free
 </example>
 
 <p>Für weitere Informationen zu diesem Angebot können Sie die entsprechende
-<url id="http://lists.debian.org/debian-devel-announce/2005/09/msg00006.html";
-name="Ankündigung"> lesen. Dieses Angebot startete offiziell im September 2005.
+<url id="http://lists.debian.org/debian-devel-announce/2006/05/msg00006.html";
+name="Ankündigung"> lesen. Dieses Angebot startete offiziell
+im <url id="http://lists.debian.org/debian-devel-announce/2005/09/msg00006.html";
+name="September 2005"> als zusätzliches Paketdepot und wurde später in
+das allgemeine Sicherheitsarchiv integriert.
 
-
 <sect1>Automatische Aktualisierungen in einem Debian GNU/Linux System
 
 <p>Es sei vorweggeschickt, dass automatische Aktualisierungen nicht vollständig
@@ -497,9 +514,7 @@
 Sie natürlich den Schnappschuss des Systems neu aufzeichnen, um ihn an die
 Änderungen durch die Sicherheitsaktualisierung anzupassen.
 
-</sect>
 
-
 <sect id="intrusion-detect">Aufsetzen einer Eindringlingserkennung
 
 <p>Debian GNU/Linux enthält Programme zur Erkennung von
@@ -557,7 +572,7 @@
 
 <p>Es gibt noch andere, einfachere Werkzeuge, die dazu benutzt werden können,
 Angriffe auf das Netzwerk zu erkennen. <package>portsentry</package> ist ein
-interessantes Paket, dass Sie warnen kann, wenn jemand Ihre Rechner scannt.
+interessantes Paket, das Sie warnen kann, wenn jemand Ihre Rechner scannt.
 Auch andere Programme wie <package>ippl</package> oder
 <package>iplogger</package> erkennen bestimmte IP (TCP und ICMP) Angriffe, auch
 wenn sie nicht so fortgeschrittene Techniken zur Erkennung von
@@ -736,7 +751,7 @@
 
 <item>Mit Pluggable Authentication Modules (PAM) herum spielen. Wie in einem
 phrack 56 Artikel geschrieben wurde, ist
-das schöne an PAM, dass "Ihrer Fantasie keine Grenzen
+das Schöne an PAM, dass "Ihrer Fantasie keine Grenzen
 gesetzt sind." Das stimmt. Stellen Sie sich vor, Root kann sich nur mit
 einen Fingerabdruck oder Abtastung des Auges oder einer Kryptokarte einloggen
 (warum habe ich hier nur "oder" und nicht "und" gesagt?).
@@ -753,7 +768,7 @@
 ISO-Image und brennen Sie es auf eine CD-ROM. Jetzt haben Sie eine nur lesbare
 Distribution mit etwa 600 MB Speicherplatz für Dienste.  Stellen Sie lediglich
 sicher, dass alle Daten, die geschrieben werden sollen, übers Netz geschrieben
-werden. Für einem Eindringling ist es unmöglich, Schreibzugriff auf diesem
+werden. Für einen Eindringling ist es unmöglich, Schreibzugriff auf diesem
 System zu erhalten. Alle Änderungen, die ein Eindringling vornimmt, werden mit
 einem Reboot des Systems rückgängig gemacht.