Re: [RFR] Securing Debian Manual de/before-compromise.sgml

To: debian-l10n-german@lists.debian.org
Subject: Re: [RFR] Securing Debian Manual de/before-compromise.sgml
From: Helge Kreutzmann <debian@helgefjell.de>
Date: Sun, 19 Jan 2014 17:58:28 +0100
Message-id: <[🔎] 20140119165828.GA6785@Debian-50-lenny-64-minimal>
Mail-followup-to: debian-l10n-german@lists.debian.org
In-reply-to: <l9c0ql$q17$1@online.de>
References: <l9c0ql$q17$1@online.de>
Hallo Simon,

> Index: before-compromise.sgml
> ===================================================================
> --- before-compromise.sgml	(revision 10339)
> +++ before-compromise.sgml	(working copy)
> @@ -148,127 +147,144 @@
>  <url id="http://www.debian.org/security/2003/dsa-232"; name="DSA-232"> (für
>  <package>cupsys</package>).
>  
> -<p>Es ist zu beachten, dass der Rechner neugestartet werden muss, wenn der
> +<p>Denken Sie daran, den Rechner neuzustarten, wenn der
>  Kernel aktualisiert wurde.
>  
> +<sect2 id="update-desktop">Überprüfung von Aktualisierungen auf dem Desktop
>  
> -<sect2 id="cron-apt">Automatisches Überprüfung von Aktualisierungen mit
> -cron-apt
> +<p>Seit Debian 4.0 <em>Lenny</em> gibt es in
> +Debian <package>update-notifier</package>, das in einer
> +Standardinstallation installiert wird. Es ist eine GNOME-Anwendung,
> +die beim Öffnen des Desktops gestartet wird, mit der geprüft werden

Ich würde eher schreiben:
die beim Starten des Desktops mitgestartet wird. Sie prüft dann,
welche …

> +kann, welche Aktualisierungen für Ihr System zur Verfügung stehen, und
> +diese installiert werden können. Dafür verwendet

Auch ohne die Änderung oben ist der Satz ab »und« schief. In meiner
Variante:
und installiert die Aktualisierungen auch.

> +es <package>update-manager</package>.
>  
> -<p>Eine andere Methode für automatische Sicherheitsaktualisierungen ist die
> -Verwendung von <package>cron-apt</package>. Dieses Paket stellt ein Werkzeug
> -zur Verfügung, mit dem das System in regelmäßigen Abständen (mit einem Cronjob)
> -aktualisiert wird. Standardmäßig wird es die Paketliste aktualisieren und neue
> -Pakete herunterladen. Es kann auch so konfiguriert werden, dass es Mails an den
> -Systemadministrator schickt.
> +<p>In dem Stable-Zweig gibt es Aktualisierungen nur zum Entfernen von
> +Sicherheitsproblemen oder, wenn eine Zwischenveröffentlichung (point

s/oder,/oder/

> +release) angeboten wird. Wenn das System richtig konfiguriert ist (wie
> +in <ref id="security-update"> beschrieben) und Sie

s/konfiguriert ist,/konfiguriert ist, um Sicherhheitsaktualisierungen
zu erhalten,

> +mit <prgn>cron</prgn> die Paketinformationen aktualisieren, werden Sie
> +durch ein Desktop-Symbol in dem Benachrichtigungsbereich des Desktops
> +über Aktualisierungen informiert werden.
>  
> -<p>Hinweis: Wenn Sie vorhaben, Ihr System automatisch zu aktualisieren (auch
> -wenn Sie sich nur die Pakete herunterladen), sollten Sie sich vielleicht die
> -Distributionsversion ansehen, wie in <ref id="check-releases"> beschrieben
> -wird. Anderenfalls können Sie sich nicht sicher sein, dass die
> -heruntergeladenen Pakete wirklich aus einer vertrauenswürdigen Quelle stammen.
> +<p>Diese Benachrichtigung soll nicht aufdringlich sein und den Benutzer
> +nicht dazu zwingen, die Aktualisierungen zu installieren. Über das

s/soll nicht … sein/ist nicht …/
s/den Benutzer nicht dazu zwingen/zwingt den Benutzer nicht dazu/

> +Symbol kann der Desktop-Benutzer (mit dem Passwort des
> +Systemadministrators) zu einer einfachen graphischen
> +Benutzeroberfläche gelangen, um sich die verfügbaren Aktualisierungen
> +anzeigen zu lassen und zu installieren.
>  
> +<p>Diese Anwendung arbeitet damit, dass sie die Paketdatenbank abruft
> +und ihren Inhalt mit dem System vergleicht. Wenn die Datenbank
> +regelmäßig mit <prgn>cron</prgn> aktualisiert wird, ist ihr Inhalt
> +aktueller als die auf dem System installierten Pakete, worauf die
> +Anwendung Sie hinweisen wird.
>  
> -<sect2>Verwendung von Tiger, um automatisch Sicherheitsaktualisierungen
> -zu überprüfen 
> +<p><prgn>Apt</prgn> richtet eine solche Aufgabe ein
> +(<file>/etc/cron.d/apt</file>), die abhängig von der Konfiguration von
> +Apt ausgeführt wird (genauer gesagt je
> +nach <em>APT::Periodic</em>). In der GNOME-Umgebung kann dieser Wert
> +über System &gt; Admin &gt; Software origins &gt; Updates oder
> +mit <prgn>/usr/bin/software-properties</prgn> geändert werden.

Sind die Menüeintragäge auf die Du referenziert (z.B. »Software
origins«) nicht eingedeutsch?

> -<p>Wenn Sie nach einem Programm suchen, das schnell die Verwundbarkeit des
> -Systems überprüft und gefundene Sicherheitslücken meldet, sollten Sie das Paket
> -<package>tiger</package> ausprobieren. Das Paket besteht aus einer Anzahl von
> -Skripten für die Bourne-Shell, C-Programmen und Datendateien, die dazu
> -verwendet werden, um Sicherheitsaudits durchzuführen. Das Paket in Debian
> -GNU/Linux beinhaltet zusätzliche Erweiterungen, die auf die Debian-Distribution
> -abgestimmt sind. Damit stehen mehr Funktionen zur Verfügung als in den
> -Tigerskripten von TAMU (oder sogar von TARA, eine Tigerversion, die von ARSC
> -vertrieben wird). Lesen Sie für weitere Informationen die Datei
> -<file>README.Debian</file> und die Handbuchseite <manref section="8" name="tiger">.
> +<p>Wenn Ihr System täglich die Paketliste herunterladen soll, aber
> +nicht die Pakete selbst,
> +sollte <file>/etc/apt/apt.conf.d/10periodic</file> etwa so aussehen:
>  
> -<p>Eine dieser Verbesserungen ist das Skript
> -<tt>deb_checkadvisories</tt>. Diese Skript verwendet eine Liste von DSAs und
> -gleicht sie mit den installierten Paketen ab. Es meldete dann alle Pakete, die
> -laut dem Debian Security Team verwundbar sind. Dies ist eine etwas andere,
> -allgemeinere Herangehensweise als im Tigerskript <tt>check_signatures</tt>, das
> -die MD5-Summen von Programmen mit bekannten Lücken testet.
> -
> -<p>Da Debian im Moment keine Liste der MD5-Summen von Programmen mit bekannten
> -Lücken liefert (wie sie von anderen Betriebssystemen wie Sun Solaris verwendet
> -wird), wird die <em>Überprüfung-der-DSAs-Herangehensweise</em> verwendet. Das
> -Problem sowohl der Herangehensweise mit DSAs als auch der mit MD5-Summen ist,
> -dass die Signaturen regelmäßig aktualisiert werden müssen.
> -
> -<p>Im Moment wird das dadurch gelöst, indem einen neue Version des Tigerpakets
> -erstellt wird. Aber es steht nicht fest, dass der Paketbetreuer jedes Mal eine
> -neue Version erstellt, wenn ein DSA bekannt gegeben wird. Eine nette
> -Erweiterung, die aber noch nicht implementiert ist, wäre es, wenn das
> -eigenständig durchgeführt wird. Das umfasst, dass die DSAs aus dem Netz
> -heruntergeladen werden, eine Liste erstellt wird und dann die Prüfung
> -durchgeführt wird. Die DSAs werden im Moment aus der lokalen CVS-Aktualisierung
> -der WML-Quellen des Betreuers aktualisiert, die dazu verwendet werden, <url
> -id="http://security.debian.org";> (der Webserver) zu erstellen.
> -
> -<p>Ein Programm wäre wünschenswert, das die DSAs, die per E-Mail empfangen
> -wurden oder auf security.debian.org verfügbar sind, analysiert und dann die
> -Datei erstellt, die von <prgn>deb_checkadvisories</prgn> verwendet wird, um
> -Verwundbarkeiten zu bestätigen. Schicken Sie es als einen Fehlerbericht von
> -<package>tiger</package>.
> -
> -<p>Die erwähnte Überprüfung wird über die Standardkonfiguration des Programms
> -ausgeführt, wenn sie einmal eingerichtet wurde (siehe
> -<file>/etc/tiger/cronrc</file>):
> -
>  <example>
> -# Check for Debian security measures every day at 1 AM
> -#
> -1 * *   deb_checkmd5sums deb_nopackfiles deb_checkadvisories
> -#
> +APT::Periodic::Update-Package-Lists "1";
> +APT::Periodic::Download-Upgradeable-Packages "0";
>  </example>
>  
> -<p>Es gibt noch eine zusätzliche Überprüfung, die Sie vielleicht hinzufügen
> -sollten, und welche noch kein Bestandteil des
> -Standard-<prgn>Cron</prgn>-Skripts ist. Diese Überprüfung ist das Skript
> -<tt>check_patches</tt>, das auf folgende Art und Weise funktioniert:
> +<p>Sie können auch eine andere cron-Aufgabe verwenden, z.B. die
> +von <package>cron-apt</package> installierte
> +(vgl. <ref id="cron-apt">). Damit können Sie auch nur per Hand nach
> +Aktualisierungen suchen.
>  
> -<list>
> +<p>Benutzer der KDE-Umgebung sollten
> +stattdessen <package>adept</package>
> +und <package>adept-notifier</package> installieren, die vergleichbare
> +Funktionen anbieten, aber nicht in der Standardinstallation enthalten
> +sind.
>  
> -<item>führt <tt>apt-get update</tt> aus.
> +<sect2 id="cron-apt">Automatisches Überprüfung von Aktualisierungen mit
> +cron-apt
>  
> -<item>überprüft, ob neue Pakete verfügbar sind.
> +<p>Eine andere Methode für automatische Sicherheitsaktualisierungen
> +ist <package>cron-apt</package>. Dieses Paket stellt ein Werkzeug zur
> +Verfügung, mit dem das System in regelmäßigen Abständen (mit einem
> +Cronjob) aktualisiert wird. Es kann so konfiguriert werden, dass es
> +Mails mit dem lokalen Mail-Transport-Agent an den Systemadministrator

s/Mail/E-Mail/g

> +schickt. Standardmäßig wird es nur die Paketliste aktualisieren und
> +neue Pakete herunterladen. Es kann aber so konfiguriert werden, dass
> +es automatisch Aktualisierungen installiert.
>  
> -</list>
> +<p>Hinweis: Wenn Sie vorhaben, Ihr System automatisch zu aktualisieren (auch
> +wenn Sie sich nur die Pakete herunterladen), sollten Sie sich vielleicht die
> +Distributionsversion ansehen, wie in <ref id="check-releases"> beschrieben

Version für Release finde ich unglücklich. Entweder »Veröffentlichung«
oder (gefällt mir nicht ganz so) »Release«.

> +wird. Anderenfalls können Sie sich nicht sicher sein, dass die
> +heruntergeladenen Pakete wirklich aus einer vertrauenswürdigen Quelle stammen.
>  
> -<p>Wenn Sie ein <em>Stable</em>-System betreiben und Sie die
> -<prgn>Apt</prgn>-Quellen security.debian.org in Ihre
> -<file>/etc/apt/sources.list</file> eingetragen haben (wie in <ref
> -id="security-update"> beschrieben), wird dieses Skript Ihnen mitteilen können,
> -ob neue Pakete verfügbar sind, die Sie installieren sollten. Da die einzigen
> -Pakete, die sich bei dieser Einstellung verändern, Sicherheitsaktualisierungen
> -sind, bekommen Sie genau das, was Sie wollen.
> +<p>Weitere Informationen finden Sie auf
> +der <url id="http://www.debian-administration.org/articles/162";
> +name="Debian-Administration-Seite">.

s/Seite/Site/ (ja, das steht auch im Duden und der Wortliste, Seite !=
Site)

> -<p>Das funktioniert natürlich nicht, wenn Sie <em>Testing</em> oder
> -<em>Sid/Unstable</em> am Laufen haben, da wahrscheinlich neue Pakete zahlreicher
> -sind als Sicherheitsaktualisierungen.
> +<sect2 id="debsecan">Automatisches Überprüfung von Aktualisierungen
> +mit debsecan
>  
> -<p>Sie können dieses Skript den Überprüfungen hinzufügen, die vom
> -<prgn>Cron</prgn>-Job durchgeführt werden (in der obigen
> -Konfigurationsdatei). Dadurch würde <prgn>tigercron</prgn> Mails mit neuen
> -Paketen verschicken (an denjenigen, der von <tt>Tiger_Mail_RCPT</tt> in
> -<file>/etc/tiger/tigerrc</file> bezeichnet wurde).
> +<p>Das Programm <prgn>debsecan</prgn> ermittelt den Sicherheitsstatus,
> +indem es sowohl nicht installierte Sicherheitsaktualisierungen als
> +auch Sicherheitslücken meldet. Im Gegensatz
> +zu <package>cron-apt</package>, das nur Informationen zu verfügbaren
> +Sicherheitsaktualisierungen bereitstellt, bezieht dieses Werkzeug auch
> +Informationen von der Datenbank über Sicherheitslücken, die von
> +Debians Sicherheitsteam verwaltet wird. Darin befinden sich auch
> +Informationen über Lücken, die noch nicht durch eine
> +Sicherheitsaktualisierung geschlossen wurden. Daher kann es
> +Administratoren besser helfen, Sicherheitslücken im Blick zu behalten
> +(wie unter <ref id="track-vulns"> beschrieben).
>  
> -<example>
> -# Check for Debian security measures every day at 1 am
> -#
> -1 * *   deb_checkmd5sums deb_nopackfiles check_patches
> -#
> -</example>
> +<p>Nach der Installation des Debian-Pakets <package>debsecan</package>
> +wird es mit Zustimmung des Administrators eine cron-Aufgabe erstellen,
> +die das Programm aufruft und das Ergebnis an einen bestimmten Benutzer
> +schickt, wenn sie ein verwundbares Paket findet. Sie wird auch
> +Informationen aus dem Internet laden. Bei der Installation wird auch
> +nach dem Ort der Sicherheitsdatenbank gefragt, dieser wird
> +in <file>/etc/default/debsecan</file> gespeichert. Er kann leicht so
> +angepasst werden, damit Systeme ohne Internetzugang auf einen lokale
> +Spiegelserver zugreifen können und nur dieser mit der
> +Sicherheitsdatenbank verbunden sein muss.
>  
> +<p>Beachten Sie jedoch, dass das Sicherheitsteam viele
> +Verwundbarkeiten aufführt, die (wie risikoarme Probleme) nicht mit
> +einer Sicherheitsaktualisierung ausgebessert werden oder bei denen
> +sich später herausstellt, dass sie, anders als zunächst angenommen,
> +Debian nicht betreffen. <prgn>Debsecan</prgn> wird alle
> +Verwundbarkeiten melden, wodurch diese Meldungen deutlich
> +umfangreicher werden als bei den anderen beschriebenen Werkzeugen.
>  
> +<p>Weitere Informationen finden Sie auf
> +der <url id="http://www.enyo.de/fw/software/debsecan/"; name="Seite des
> +Autors">.

s.o. Seite → Site (und Tippfehler im Original: siste → site)

> +
>  <sect2>Andere Methoden für Sicherheitsaktualisierungen
>  
> -<p>Sie sollten auch einen Blick auf <url
> +<p>Es gibt auch <package>apticron</package>, das ähnlich
> +wie <package>cron-apt</package> nach Aktualisierungen sucht und eine
> +E-Mail an den Administrator schickt. Weitere Informationen über
> +apticron finden Sie auf
> +der <url id="http://www.debian-administration.org/articles/491";
> +name="Seite über Debian-Administration">.

s.o. s/Seite/Site/

> +<p>Sie können auch einen Blick auf <url
>  id="http://clemens.endorphin.org/secpack/"; name="secpack"> werfen. Es ist ein
>  inoffizielles Programm, um Sicherheitsaktualisierungen von security.debian.org
>  mit Prüfung der Signatur durchzuführen. Es wurde von Fruhwirth Clemens
>  geschrieben.
> +Eine weitere Alternative bietet das Nagios
> +Plugin <url id="http://www.unixdaemon.net/nagios_plugins.html#check_debian_packages";
> +name="check_debian_updates.sh"> von Dean Wilson.

s/Plugin/Erweiterung/  (finde ich besser, Plugin auch in Wortliste)

>  <sect1>Vermeiden Sie den Unstable-Zweig
> @@ -736,7 +751,7 @@
>  
>  <item>Mit Pluggable Authentication Modules (PAM) herum spielen. Wie in einem
>  phrack 56 Artikel geschrieben wurde, ist
> -das schöne an PAM, dass "Ihrer Fantasie keine Grenzen
> +das Schöne an PAM, dass "Ihrer Fantasie keine Grenzen
>  gesetzt sind." Das stimmt. Stellen Sie sich vor, Root kann sich nur mit

Anführungszeichen (hier und an anderen Stellen) korrigieren "" → »«

>  einen Fingerabdruck oder Abtastung des Auges oder einer Kryptokarte einloggen
>  (warum habe ich hier nur "oder" und nicht "und" gesagt?).
 
Viele Grüße

          Helge


-- 
      Dr. Helge Kreutzmann                     debian@helgefjell.de
           Dipl.-Phys.                   http://www.helgefjell.de/debian.php
        64bit GNU powered                     gpg signed mail preferred
           Help keep free software "libre": http://www.ffii.de/
Attachment: signature.asc
Description: Digital signature
Reply to:
Prev by Date: Re: [RFR] man://manpages-de/oggdec.1
Next by Date: Re: [RFR] Securing Debian Manual de/appendix.sgml
Previous by thread: [BTS#729284] po4a://postgis/doc/po/de_DE/extras-historytable.xml.po
Next by thread: Re: [RFR] Securing Debian Manual de/before-compromise.sgml
Index(es):
- Date
- Thread