[RFR] Securing Debian Manual de/appendix.sgml
Hallo zusammen,
hier eine dritte Datei der Übersetzung des Securing Debian Manuals [1]:
de/appendix.sgml.
Die Änderungen in der englischen Fassung finden sich hier [2].
Ciao,
Simon
[1] http://www.debian.org/doc/user-manuals#securing
[2]
http://anonscm.debian.org/viewvc/ddp/manuals/trunk/securing-howto/en/appendix.sgml?r1=4638&r2=9535
Index: appendix.sgml
===================================================================
--- appendix.sgml (revision 10339)
+++ appendix.sgml (working copy)
@@ -1,4 +1,4 @@
-<!-- CVS revision of original english document "1.32" -->
+<!-- CVS revision of original english document "1.34" -->
<appendix id="harden-step">Der Abhärtungsprozess Schritt für
Schritt
@@ -272,10 +272,12 @@
Sie MD5 oder PAM einschalten, machen Sie auch hier ebenfalls die
gleichbedeutenden Änderungen.
- <item>Schalten Sie FTP-Zugriff von Root in <file>/etc/ftpusers</file> ab.
+ <item>Nehmen Sie Einschränkungen in <file>/etc/pam.d/login</file> vor.
- <item>Schalten Sie Root-Logins übers Netzwerk ab; benutzen Sie <manref
- name="su" section="1"> oder <manref name="sudo" section="1"> (denken Sie
+ <item>Schalten Sie den FTP-Zugriff von Root in <file>/etc/ftpusers</file> ab.
+
+ <item>Schalten Sie Root-Logins über das Netzwerk ab; benutzen Sie <manref
+ name="su" section="1"> oder <manref name="sudo" section="1"> (denken Sie über
die Installation von <package>sudo</package> nach).
<item>Benutzen Sie PAM, um zusätzliche Auflagen auf Logins zu ermöglichen.
@@ -346,8 +348,8 @@
<file>/etc/hosts.deny</file> im Text.
<item>Wenn Sie FTP laufen lassen, setzen Sie den ftpd-Server so auf, dass
- er immer in einer <prgn>chroot</prgn>-Umgebung im Home-Verzeichnis des
- Nutzers läuft.
+ er immer in einer <prgn>chroot</prgn>-Umgebung im Heimverzeichnis des
+ Benutzers läuft.
<item>Wenn Sie X laufen lassen, schalten Sie xhost-Authentifizierung ab und
benutzen Sie stattdessen <prgn>ssh</prgn>. Oder noch besser: Deaktivieren
@@ -605,7 +607,7 @@
# auf Ihrer Bridge konfigurieren und es auf Ihren anderen Computern als
# neues Gateway einsetzen
-/sbin/ifconfig br0 62.3.3.26 netmask 255.255.255.248 broadcast 62.3.3.32
+/sbin/ifconfig br0 62.3.3.26 netmask 255.255.255.248 broadcast 62.3.3.31
# Ich habe diese internen IPs für mein NAT benutzt
ip addr add 192.168.0.1/24 dev br0
@@ -649,7 +651,7 @@
# auf Ihrer Bridge konfigurieren und es auf Ihren anderen Computern als
# neues Gateway einsetzen
-/sbin/ifconfig br0 62.3.3.26 netmask 255.255.255.248 broadcast 62.3.3.32
+/sbin/ifconfig br0 62.3.3.26 netmask 255.255.255.248 broadcast 62.3.3.31
</example>
<p>Wenn Sie mit <prgn>traceroute</prgn> die Route des Linux-Mail-Servers
@@ -1064,14 +1066,14 @@
<file>/var/chroots/users/foo</file> und eine Datei mit dem Namen
<file>bash.py</file> und folgendem Inhalt:
<example>
- chroot="/var/chroots/user/foo"
+ chroot="/var/chroots/users/foo"
cleanJailFirst=1
testCommandsInsideJail=["bash ls"]
</example>
Führen Sie dann <em>makejail bash.py</em> aus, um eine Benutzer-Umgebung unter
-<file>/var/chroots/user/foo</file> zu erstellen. So testen Sie die Umgebung:
+<file>/var/chroots/users/foo</file> zu erstellen. So testen Sie die Umgebung:
<example>
- # chroot /var/chroots/user/foo/ ls
+ # chroot /var/chroots/users/foo/ ls
bin dev etc lib proc sbin usr
</example>
</footnote>
@@ -1150,7 +1152,7 @@
vorliegen. Falls diese Dateien automatisch vom Kernel erstellt werden, müssen
Sie sie von Hand unter <file>/dev/</file> in der Chroot-Umgebung erstellen.
-<item>Das Home-Verzeichnis des Benutzers muss in der Chroot-Umgebung
+<item>Das Heimverzeichnis des Benutzers muss in der Chroot-Umgebung
existieren. Ansonsten wird der SSH-Daemon nicht fortfahren.
</list>
@@ -1192,7 +1194,7 @@
<p>Nachdem Sie den
Patch angewendet haben, müssen Sie <file>/etc/passwd</file> anpassen und darin
-das Home-Verzeichnis der Benutzer ändern (mit dem speziellen <tt>/./</tt>
+das Heimverzeichnis der Benutzer ändern (mit dem speziellen <tt>/./</tt>
Kürzel).
<example>
@@ -1326,7 +1328,7 @@
<p>Sie können mit <package>debootstrap</package> eine minimale Umgebung
einrichten, die ausschließlich den SSH-Server enthält. Dafür müssen Sie nur
eine Chroot-Umgebung einrichten, wie es im <url
-id="http://www.de.debian.org/doc/manuals/reference/ch09#_chroot_system"
+id="http://www.debian.org/doc/manuals/reference/ch09#_chroot_system"
name="Chroot-Abschnitt der Debian-Referenz"> beschrieben wird. Diese
Vorgehensweise ist idiotensicher (Sie werden alle für die Chroot-Umgebung
notwendigen Bestandteile erhalten), aber dies geht auf Kosten von
@@ -1998,7 +2000,7 @@
<item>Editieren Sie das Startskript für den Logging-Daemon des Systems so, dass
er auch den Socket <file>/var/chroot/apache/dev/log</file> beobachtet. Ersetzen
-Sie in <file>/etc/init.d/sysklogd</file> <tt>SYSLOGD=""</tt> mit
+Sie in <file>/etc/default/syslogd</file> <tt>SYSLOGD=""</tt> mit
<tt>SYSLOGD=" -a /var/chroot/apache/dev/log"</tt> und starten Sie den
Daemon neu (<tt>/etc/init.d/sysklogd restart</tt>).</item>
Reply to: