Re: [RFR] Securing Debian Manual de.po (Teil3)
Securing Debian Manual: Teil 3
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1683
msgid "Manual init.d configuration"
msgstr "Manuelle init.d-Konfiguration"
#. type: <p><list>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1687
msgid "Another possibility is to manually configure your firewall rules through an init.d script that will run all the <prgn>iptables</prgn> commands. Take the following steps:"
msgstr "Eine andere Möglichkeit ist die manuelle Konfiguration Ihrer Firewall-Regeln durch ein init.d-Skript, das die <prgn>iptables</prgn>-Befehle ausführt. Befolgen Sie diese Schritte:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1690
msgid "Review the script below and adapt it to your needs."
msgstr "Sehen Sie das unten aufgeführte Skript durch und passen Sie es Ihren Anforderungen an."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1698
msgid "Test the script and review the syslog messages to see which traffic is being dropped. If you are testing from the network you will want to either run the sample shell snippet to remove the firewall (if you don't type anything in 20 seconds) or you might want to comment out the <em>default deny</em> policy definitions (<em>-P INPUT DROP</em> and <em>-P OUTPUT DROP</em>) and check that the system will not drop any legitimate traffic."
msgstr "Testen Sie das Skript und überprüfen Sie die Syslog-Meldungen nach unterdrückten Netzverkehr. Wenn Sie vom Netzwerk aus testen, werden Sie entweder den Beispielshellcode starten wollen, um die Firewall zu entfernen (wenn Sie nichts innerhalb von 20 Sekunden eingeben) oder Sie sollten die <em>default deny</em>-Richtliniendefinition auskommentieren (<em>-P INPUT DROP</em> und <em>-P OUTPUT DROP</em>) und überprüfen, dass das System keine gültigen Daten verworfen hat."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1700
msgid "Move the script to <file>/etc/init.d/myfirewall</file>"
msgstr "Verschieben Sie das Skript nach <file>/etc/init.d/meineFirewall</file>"
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1702
msgid "Configure the system to run the script before any network is configured:"
msgstr "Konfigurieren Sie das System das Skript zu starten, bevor irgendein Netzwerk konfiguriert wird:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1704
#, no-wrap
msgid "#update-rc.d myfirewall start 40 S . stop 89 0 6 ."
msgstr "#update-rc.d myfirewall start 40 S . stop 89 0 6 ."
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1710
msgid "This is the sample firewall script:"
msgstr "Dies ist das Beispiel-Firewallskript:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1859
#, no-wrap
msgid ""
"#!/bin/sh\n"
"# Simple example firewall configuration.\n"
"#\n"
"# Caveats:\n"
"# - This configuration applies to all network interfaces\n"
"# if you want to restrict this to only a given interface use\n"
"# '-i INTERFACE' in the iptables calls.\n"
"# - Remote access for TCP/UDP services is granted to any host, \n"
"# you probably will want to restrict this using '--source'.\n"
"#\n"
"# chkconfig: 2345 9 91\n"
"# description: Activates/Deactivates the firewall at boot time\n"
"#\n"
"# You can test this script before applying with the following shell\n"
"# snippet, if you do not type anything in 10 seconds the firewall\n"
"# rules will be cleared.\n"
"#---------------------------------------------------------------\n"
"# while true; do test=\"\"; read -t 20 -p \"OK? \" test ; \\\n"
"# [ -z \"$test\" ] && /etc/init.d/myfirewall clear ; done\n"
"#---------------------------------------------------------------\n"
"\n"
"PATH=/bin:/sbin:/usr/bin:/usr/sbin\n"
"\n"
"# Services that the system will offer to the network\n"
"TCP_SERVICES=\"22\" # SSH only\n"
"UDP_SERVICES=\"\"\n"
"# Services the system will use from the network\n"
"REMOTE_TCP_SERVICES=\"80\" # web browsing\n"
"REMOTE_UDP_SERVICES=\"53\" # DNS\n"
"# Network that will be used for remote mgmt\n"
"# (if undefined, no rules will be setup)\n"
"# NETWORK_MGMT=192.168.0.0/24\n"
"# Port used for the SSH service, define this is you have setup a\n"
"# management network but remove it from TCP_SERVICES\n"
"# SSH_PORT=\"22\"\n"
"\n"
"if ! [ -x /sbin/iptables ]; then \n"
" exit 0\n"
"fi\n"
"\n"
"fw_start () {\n"
"\n"
" # Input traffic:\n"
" /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT\n"
" # Services\n"
" if [ -n \"$TCP_SERVICES\" ] ; then\n"
" for PORT in $TCP_SERVICES; do\n"
" /sbin/iptables -A INPUT -p tcp --dport ${PORT} -j ACCEPT\n"
" done\n"
" fi\n"
" if [ -n \"$UDP_SERVICES\" ] ; then\n"
" for PORT in $UDP_SERVICES; do\n"
" /sbin/iptables -A INPUT -p udp --dport ${PORT} -j ACCEPT\n"
" done\n"
" fi\n"
" # Remote management\n"
" if [ -n \"$NETWORK_MGMT\" ] ; then\n"
" /sbin/iptables -A INPUT -p tcp --src ${NETWORK_MGMT} --dport ${SSH_PORT} -j ACCEPT\n"
" else \n"
" /sbin/iptables -A INPUT -p tcp --dport ${SSH_PORT} -j ACCEPT\n"
" fi\n"
" # Remote testing\n"
" /sbin/iptables -A INPUT -p icmp -j ACCEPT\n"
" /sbin/iptables -A INPUT -i lo -j ACCEPT\n"
" /sbin/iptables -P INPUT DROP\n"
" /sbin/iptables -A INPUT -j LOG\n"
"\n"
" # Output:\n"
" /sbin/iptables -A OUTPUT -j ACCEPT -o lo \n"
" /sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT\n"
" # ICMP is permitted:\n"
" /sbin/iptables -A OUTPUT -p icmp -j ACCEPT\n"
" # So are security package updates:\n"
" # Note: You can hardcode the IP address here to prevent DNS spoofing\n"
" # and to setup the rules even if DNS does not work but then you \n"
" # will not \"see\" IP changes for this service:\n"
" /sbin/iptables -A OUTPUT -p tcp -d security.debian.org --dport 80 -j ACCEPT \n"
" # As well as the services we have defined:\n"
" if [ -n \"$REMOTE_TCP_SERVICES\" ] ; then\n"
" for PORT in $REMOTE_TCP_SERVICES; do\n"
" /sbin/iptables -A OUTPUT -p tcp --dport ${PORT} -j ACCEPT\n"
" done\n"
" fi\n"
" if [ -n \"$REMOTE_UDP_SERVICES\" ] ; then\n"
" for PORT in $REMOTE_UDP_SERVICES; do\n"
" /sbin/iptables -A OUTPUT -p udp --dport ${PORT} -j ACCEPT\n"
" done\n"
" fi\n"
" # All other connections are registered in syslog\n"
" /sbin/iptables -A OUTPUT -j LOG\n"
" /sbin/iptables -A OUTPUT -j REJECT \n"
" /sbin/iptables -P OUTPUT DROP\n"
" # Other network protections\n"
" # (some will only work with some kernel versions)\n"
" echo 1 > /proc/sys/net/ipv4/tcp_syncookies\n"
" echo 0 > /proc/sys/net/ipv4/ip_forward \n"
" echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts \n"
" echo 1 > /proc/sys/net/ipv4/conf/all/log_martians \n"
" echo 1 > /proc/sys/net/ipv4/ip_always_defrag\n"
" echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses\n"
" echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter\n"
" echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects\n"
" echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route\n"
"\n"
"}\n"
"\n"
"fw_stop () {\n"
" /sbin/iptables -F\n"
" /sbin/iptables -t nat -F\n"
" /sbin/iptables -t mangle -F\n"
" /sbin/iptables -P INPUT DROP\n"
" /sbin/iptables -P FORWARD DROP\n"
" /sbin/iptables -P OUTPUT ACCEPT\n"
"}\n"
"\n"
"fw_clear () {\n"
" /sbin/iptables -F\n"
" /sbin/iptables -t nat -F\n"
" /sbin/iptables -t mangle -F\n"
" /sbin/iptables -P INPUT ACCEPT\n"
" /sbin/iptables -P FORWARD ACCEPT\n"
" /sbin/iptables -P OUTPUT ACCEPT\n"
"}\n"
"\n"
"\n"
"case \"$1\" in\n"
" start|restart)\n"
" echo -n \"Starting firewall..\"\n"
" fw_stop \n"
" fw_start\n"
" echo \"done.\"\n"
" ;;\n"
" stop)\n"
" echo -n \"Stopping firewall..\"\n"
" fw_stop\n"
" echo \"done.\"\n"
" ;;\n"
" clear)\n"
" echo -n \"Clearing firewall rules..\"\n"
" fw_clear\n"
" echo \"done.\"\n"
" ;;\n"
" *)\n"
" echo \"Usage: $0 {start|stop|restart|clear}\"\n"
" exit 1\n"
" ;;\n"
" esac\n"
"exit 0"
msgstr ""
"#!/bin/sh\n"
"# Simple example firewall configuration.\n"
"#\n"
"# Caveats:\n"
"# - This configuration applies to all network interfaces\n"
"# if you want to restrict this to only a given interface use\n"
"# '-i INTERFACE' in the iptables calls.\n"
"# - Remote access for TCP/UDP services is granted to any host, \n"
"# you probably will want to restrict this using '--source'.\n"
"#\n"
"# chkconfig: 2345 9 91\n"
"# description: Activates/Deactivates the firewall at boot time\n"
"#\n"
"# You can test this script before applying with the following shell\n"
"# snippet, if you do not type anything in 10 seconds the firewall\n"
"# rules will be cleared.\n"
"#---------------------------------------------------------------\n"
"# while true; do test=\"\"; read -t 20 -p \"OK? \" test ; \\\n"
"# [ -z \"$test\" ] && /etc/init.d/myfirewall clear ; done\n"
"#---------------------------------------------------------------\n"
"\n"
"PATH=/bin:/sbin:/usr/bin:/usr/sbin\n"
"\n"
"# Services that the system will offer to the network\n"
"TCP_SERVICES=\"22\" # SSH only\n"
"UDP_SERVICES=\"\"\n"
"# Services the system will use from the network\n"
"REMOTE_TCP_SERVICES=\"80\" # web browsing\n"
"REMOTE_UDP_SERVICES=\"53\" # DNS\n"
"# Network that will be used for remote mgmt\n"
"# (if undefined, no rules will be setup)\n"
"# NETWORK_MGMT=192.168.0.0/24\n"
"# Port used for the SSH service, define this is you have setup a\n"
"# management network but remove it from TCP_SERVICES\n"
"# SSH_PORT=\"22\"\n"
"\n"
"if ! [ -x /sbin/iptables ]; then \n"
" exit 0\n"
"fi\n"
"\n"
"fw_start () {\n"
"\n"
" # Input traffic:\n"
" /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT\n"
" # Services\n"
" if [ -n \"$TCP_SERVICES\" ] ; then\n"
" for PORT in $TCP_SERVICES; do\n"
" /sbin/iptables -A INPUT -p tcp --dport ${PORT} -j ACCEPT\n"
" done\n"
" fi\n"
" if [ -n \"$UDP_SERVICES\" ] ; then\n"
" for PORT in $UDP_SERVICES; do\n"
" /sbin/iptables -A INPUT -p udp --dport ${PORT} -j ACCEPT\n"
" done\n"
" fi\n"
" # Remote management\n"
" if [ -n \"$NETWORK_MGMT\" ] ; then\n"
" /sbin/iptables -A INPUT -p tcp --src ${NETWORK_MGMT} --dport ${SSH_PORT} -j ACCEPT\n"
" else \n"
" /sbin/iptables -A INPUT -p tcp --dport ${SSH_PORT} -j ACCEPT\n"
" fi\n"
" # Remote testing\n"
" /sbin/iptables -A INPUT -p icmp -j ACCEPT\n"
" /sbin/iptables -A INPUT -i lo -j ACCEPT\n"
" /sbin/iptables -P INPUT DROP\n"
" /sbin/iptables -A INPUT -j LOG\n"
"\n"
" # Output:\n"
" /sbin/iptables -A OUTPUT -j ACCEPT -o lo \n"
" /sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT\n"
" # ICMP is permitted:\n"
" /sbin/iptables -A OUTPUT -p icmp -j ACCEPT\n"
" # So are security package updates:\n"
" # Note: You can hardcode the IP address here to prevent DNS spoofing\n"
" # and to setup the rules even if DNS does not work but then you \n"
" # will not \"see\" IP changes for this service:\n"
" /sbin/iptables -A OUTPUT -p tcp -d security.debian.org --dport 80 -j ACCEPT \n"
" # As well as the services we have defined:\n"
" if [ -n \"$REMOTE_TCP_SERVICES\" ] ; then\n"
" for PORT in $REMOTE_TCP_SERVICES; do\n"
" /sbin/iptables -A OUTPUT -p tcp --dport ${PORT} -j ACCEPT\n"
" done\n"
" fi\n"
" if [ -n \"$REMOTE_UDP_SERVICES\" ] ; then\n"
" for PORT in $REMOTE_UDP_SERVICES; do\n"
" /sbin/iptables -A OUTPUT -p udp --dport ${PORT} -j ACCEPT\n"
" done\n"
" fi\n"
" # All other connections are registered in syslog\n"
" /sbin/iptables -A OUTPUT -j LOG\n"
" /sbin/iptables -A OUTPUT -j REJECT \n"
" /sbin/iptables -P OUTPUT DROP\n"
" # Other network protections\n"
" # (some will only work with some kernel versions)\n"
" echo 1 > /proc/sys/net/ipv4/tcp_syncookies\n"
" echo 0 > /proc/sys/net/ipv4/ip_forward \n"
" echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts \n"
" echo 1 > /proc/sys/net/ipv4/conf/all/log_martians \n"
" echo 1 > /proc/sys/net/ipv4/ip_always_defrag\n"
" echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses\n"
" echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter\n"
" echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects\n"
" echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route\n"
"\n"
"}\n"
"\n"
"fw_stop () {\n"
" /sbin/iptables -F\n"
" /sbin/iptables -t nat -F\n"
" /sbin/iptables -t mangle -F\n"
" /sbin/iptables -P INPUT DROP\n"
" /sbin/iptables -P FORWARD DROP\n"
" /sbin/iptables -P OUTPUT ACCEPT\n"
"}\n"
"\n"
"fw_clear () {\n"
" /sbin/iptables -F\n"
" /sbin/iptables -t nat -F\n"
" /sbin/iptables -t mangle -F\n"
" /sbin/iptables -P INPUT ACCEPT\n"
" /sbin/iptables -P FORWARD ACCEPT\n"
" /sbin/iptables -P OUTPUT ACCEPT\n"
"}\n"
"\n"
"\n"
"case \"$1\" in\n"
" start|restart)\n"
" echo -n \"Starting firewall..\"\n"
" fw_stop \n"
" fw_start\n"
" echo \"done.\"\n"
" ;;\n"
" stop)\n"
" echo -n \"Stopping firewall..\"\n"
" fw_stop\n"
" echo \"done.\"\n"
" ;;\n"
" clear)\n"
" echo -n \"Clearing firewall rules..\"\n"
" fw_clear\n"
" echo \"done.\"\n"
" ;;\n"
" *)\n"
" echo \"Usage: $0 {start|stop|restart|clear}\"\n"
" exit 1\n"
" ;;\n"
" esac\n"
"exit 0"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1867
msgid "Instead of including all of the iptables rules in the init.d script you can use the <prgn>iptables-restore</prgn> program to restore the rules saved using <prgn>iptables-save</prgn>. In order to do this you need to setup your rules, save the ruleset under a static location (such as <file>/etc/default/firewall</file>)"
msgstr "Um nicht alle Iptables-Regeln in das Init.d-Skript einfügen zu müssen, können Sie auch das Programm <prgn>iptables-restore</prgn> verwenden, um die Regeln zu laden, die zuvor mit <prgn>iptables-save</prgn> gespeichert wurden. Um dies zu tun, müssen Sie Ihre Regeln erstellen und das Regelwerk statisch speichern (z.B. in <file>/etc/default/firewall</file>)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1869
msgid "Configuring firewall rules through <prgn>ifup</prgn>"
msgstr "Konfiguration von Firewall-Regeln mittels <prgn>ifup</prgn>"
#. type: <p><list>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1873
msgid "You can use also the network configuration in <file>/etc/network/interfaces</file> to setup your firewall rules. For this you will need to:"
msgstr "Sie können auch die Netzwerkkonfiguration in <file>/etc/network/interfaces</file> verwenden, um Ihre Firewall-Regeln einzurichten. Dafür müssen Sie Folgendes tun:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1876
msgid "Create your firewalling ruleset for when the interface is active."
msgstr "Erstellen Sie Ihre Firewall-Regeln für die aktivierte Schnittstelle."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1879
msgid "Save your ruleset with <prgn>iptables-save</prgn> to a file in <file>/etc</file>, for example <file>/etc/iptables.up.rules</file>"
msgstr "Sichern Sie Ihre Regeln mit <prgn>iptables-save</prgn> in eine Datei in <file>/etc</file>, zum Beispiel <file>/etc/iptables.up.rules</file>."
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1882
msgid "Configure <file>/etc/network/interfaces</file> to use the configured ruleset:"
msgstr "Konfigurieren Sie <file>/etc/network/interfaces</file>, diese Regeln zu verwenden:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1887
#, no-wrap
msgid ""
"iface eth0 inet static\n"
" address x.x.x.x\n"
" [.. interface configuration ..]\n"
" pre-up iptables-restore < /etc/iptables.up.rules"
msgstr ""
"iface eth0 inet static\n"
" address x.x.x.x\n"
" [.. interface configuration ..]\n"
" pre-up iptables-restore < /etc/iptables.up.rules"
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1896
msgid "You can optionally also setup a set of rules to be applied when the network interface is <em>down</em> creating a set of rules, saving it in <file>/etc/iptables.down.rules</file> and adding this directive to the interface configuration:"
msgstr "Wahlweise können Sie auch Regeln erstellen, die beim Herunterfahren der Netzwerkschnittstelle ausgeführt werden. Dazu erzeugen Sie diese, speichern sie in <file>/etc/iptables.down.rules</file> und fügen diese Anweisung zur Schnittstellenkonfiguration hinzu:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1898
#, no-wrap
msgid " post-down iptables-restore < /etc/iptables.down.rules"
msgstr " post-down iptables-restore < /etc/iptables.down.rules"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1906
msgid "For more advanced firewall configuration scripts through <package>ifupdown</package> you can use the hooks available to each interface as in the <file>*.d/</file> directories called with <prgn>run-parts</prgn> (see <manref name=\"run-parts\" section=\"8\">)."
msgstr "Für weitergehende Firewall-Konfigurationsskripte durch <package>ifupdown</package> können Sie die zu jeder Schnittstelle verfügbaren Hooks (Einspringpunkte) wie in den <file>*.d/</file>-Verzeichnissen verwenden, die mit <prgn>run-parts</prgn> aufgerufen werden (vergleiche <manref name=\"run-parts\" section=\"8\">)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1908
msgid "Testing your firewall configuration"
msgstr "Testen Ihrer Firewall-Konfiguration"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1914
msgid "Testing your firewall configuration is as easy, and as dangerous, as just running your firewall script (or enabling the configuration you defined in your firewall configuration application). However, if you are not careful enough and you are configuring your firewall remotely (like through an SSH connection) you could lock yourself out."
msgstr "Testen Ihrer Firewall-Konfiguration ist so einfach und so schwierig, wie das Starten Ihres Firewall-Skripts (oder die Aktivierung der Konfiguration, die Sie in Ihrer Firewall-Konfigurationsanwendung definierten). Wenn Sie jedoch nicht sorgfältig genug sind und Sie Ihre Firewall aus der Ferne konfigurieren (z.B. durch eine SSH-Verbindung), könnten Sie sich selbst aussperren."
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1918
msgid "There are several ways to prevent this. One is running a script in a separate terminal that will remove the firewall configuration if you don't feed it input. An example of this is:"
msgstr "Es gibt mehrere Möglichkeiten, dies zu verhindern. Eine ist das Starten eines Skriptes in einem separaten Terminal, das Ihre Firewall-Konfiguration entfernt, wenn es keine Eingabe von Ihnen erhält. Ein Beispiel dafür ist:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1921
#, no-wrap
msgid ""
"$ while true; do test=\"\"; read -t 20 -p \"OK? \" test ; \\\n"
" [ -z \"$test\" ] && /etc/init.d/firewall clear ; done"
msgstr ""
"$ while true; do test=\"\"; read -t 20 -p \"OK? \" test ; \\\n"
" [ -z \"$test\" ] && /etc/init.d/firewall clear ; done"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1932
msgid "Another one is to introduce a backdoor in your system through an alternate mechanism that allows you to either clear the firewall system or punch a hole in it if something goes awry. For this you can use <package>knockd</package> and configure it so that a certain port connection attempt sequence will clear the firewall (or add a temporary rule). Even though the packets will be dropped by the firewall, since <prgn>knockd</prgn> binds to the interface and <em>sees</em> you will be able to work around the problem."
msgstr "Eine andere Möglichkeit ist das Einführen einer Hintertür in Ihr System durch einen alternativen Mechanismus, der es Ihnen erlaubt, das Firewall-System entweder zurückzusetzen oder ein Loch in es schlägt, wenn irgendetwas krumm läuft. Dafür können Sie <package>knockd</package> verwenden und es so konfigurieren, dass eine spezielle Portverbindungsversuchssequenz die Firewall zurücksetzt (oder eine temporäre Regel hinzufügt). Selbst wenn die Pakete von der Firewall zurückgewiesen werden, werden Sie Ihr Problem lösen können, da <prgn>knockd</prgn> auf der Schnittstelle lauscht und Sie <em>sieht</em>."
#. type: <p></p>
#: securing-debian-howto.en.sgml:54
#: en/automatic.sgml:3
msgid "Testing a firewall that is protecting an internal network is a different issue, you will want to look at some of the tools used for remote vulnerability assessment (see <ref id=\"vuln-asses\">) to probe the network from the outside in (or from any other direction) to test the effectiveness of the firewall configuation."
msgstr "Das Testen einer Firewall, die ein internes Netz schützt, ist eine andere Aufgabe. Schauen Sie sich dafür einige Werkzeuge an, die es für entfernte Ausnutzbarkeitsbewertungen gibt (siehe <ref id=\"vuln-asses\">), um das Netzwerk von außerhalb nach innen (oder aus einer beliebig anderen Richtung) bezüglich der Effektivität der Firewall-Konfiguration zu testen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:54
#: en/automatic.sgml:5
msgid "Automatic hardening of Debian systems"
msgstr "Automatisches Abhärten von Debian-Systemen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:54
#: en/automatic.sgml:17
msgid "After reading through all the information in the previous chapters you might be wondering \"I have to do quite a lot of things in order to harden my system, couldn't these things be automated?\". The answer is yes, but be careful with automated tools. Some people believe, that a hardening tool does not eliminate the need for good administration. So do not be fooled to think that you can automate the whole process and will fix all the related issues. Security is an ever-ongoing process in which the administrator must participate and cannot just stand away and let the tools do all the work since no single tool can cope with all the possible security policy implementations, all the attacks and all the environments."
msgstr "Nachdem Sie nun all die Informationen aus den vorherigen Kapiteln gelesen haben, fragen Sie sich vielleicht: »Ich habe sehr viele Dinge zu erledigen, um mein System abzusichern. Könnte man das nicht automatisieren?« Die Antwort lautet: »Ja, aber seien Sie vorsichtig mit automatischen Werkzeugen.« Manche Leute denken, dass ein Absicherungswerkzeug nicht die Notwendigkeit einer guten Systemadministration abschafft. Täuschen Sie sich also nicht selbst, indem Sie denken, dass Sie all die Prozesse automatisieren könnten und sich alle betreffenden Angelegenheiten von selbst erledigen würden. Sicherheit ist ein andauernder Prozess, an dem der Administrator teilnehmen muss. Er kann nicht einfach wegbleiben und irgendwelche Werkzeuge die Arbeit erledigen lassen, weil kein einzelnes Werkzeug die Umsetzung aller Sicherheitsrichtlinien, aller Angriffe oder aller Umgebungen bewältigen kann."
#. type: <p></p>
#: securing-debian-howto.en.sgml:54
#: en/automatic.sgml:27
msgid "Since woody (Debian 3.0) there are two specific packages that are useful for security hardening. The <package>harden</package> package which takes an approach based on the package dependencies to quickly install valuable security packages and remove those with flaws, configuration of the packages must be done by the administrator. The <package>bastille</package> package that implements a given security policy on the local system based on previous configuration by the administrator (the building of the configuration can be a guided process done with simple yes/no questions)."
msgstr "Seit Woody (Debian 3.0) gibt es zwei unterschiedliche Pakete, die zur Erhöhung der Sicherheit nützlich sind. Das Paket <package>harden</package> versucht, auf Basis der Paket-Abhängigkeiten schnell wertvolle Sicherheitspakete zu installieren und Pakete mit Mängeln zu entfernen. Die Konfiguration der Pakete muss der Administrator erledigen. Das Paket <package>bastille</package> implementiert gegebene Sicherheitsregeln für das lokale System, die auf einer vorhergehenden Konfiguration durch den Administrator basieren (Sie können auch mit einfachen Ja/Nein-Fragen durch die Konfiguration geführt werden)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:54
#: en/automatic.sgml:29
msgid "Harden"
msgstr "Harden"
#. type: <p><list>
#: securing-debian-howto.en.sgml:54
#: en/automatic.sgml:40
msgid "The <package>harden</package> package tries to make it more easy to install and administer hosts that need good security. This package should be used by people that want some quick help to enhance the security of the system. It automatically installs some tools that should enhance security in some way: intrusion detection tools, security analysis tools, etc. Harden installs the following <em>virtual</em> packages (i.e. no contents, just dependencies or recommendations on others):"
msgstr "Das Paket <package>harden</package> versucht es einfacher zu machen, Rechner, die gute Sicherheit benötigen, zu installieren und zu administrieren. Dieses Paket sollte von Leuten benutzt werden, die eine schnelle Hilfe bei der Erhöhung der Systemsicherheit haben wollen. Es installiert automatisch einige Werkzeuge, die die Sicherheit auf unterschiedliche Art und Weise erhöhen: Werkzeuge zur Eindringlingserkennung, Werkzeuge zur Sicherheitsanalyse und mehr. <package>harden</package> installiert die folgenden <em>virtuellen</em> Pakete (d.h. sie enthalten nichts, hängen aber von anderen Paketen ab oder empfehlen diese):"
#. type: <p></p>
#: securing-debian-howto.en.sgml:54
#: en/automatic.sgml:45
msgid "<package>harden-tools</package>: tools to enhance system security (integrity checkers, intrusion detection, kernel patches...)"
msgstr "<package>harden-tools</package>: Werkzeuge, welche die Sicherheit des Systems erhöhen (Integritätsprüfung, Eindringlingserkennung, Kernel-Patches, ...)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:54
#: en/automatic.sgml:48
msgid "<package>harden-environment</package>: helps configure a hardened environment (currently empty)."
msgstr "<package>harden-environment</package>: hilft eine abgesicherte Umgebung zu konfigurieren (derzeit leer)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:54
#: en/automatic.sgml:51
msgid "<package>harden-servers</package>: removes servers considered insecure for some reason."
msgstr "<package>harden-servers</package>: entfernt Server, die aus irgendeinem Grund als unsicher gelten"
#. type: <p></p>
#: securing-debian-howto.en.sgml:54
#: en/automatic.sgml:54
msgid "<package>harden-clients</package>: removes clients considered insecure for some reason."
msgstr "<package>harden-clients</package>: entfernt Clients, die aus irgendeinem Grund als unsicher gelten"
#. type: <p></p>
#: securing-debian-howto.en.sgml:54
#: en/automatic.sgml:57
msgid "<package>harden-remoteaudit</package>: tools to remotely audit a system."
msgstr "<package>harden-remoteaudit</package>: Werkzeuge, um Systeme aus der Ferne zu überprüfen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:54
#: en/automatic.sgml:60
msgid "<package>harden-nids</package>: helps to install a network intrusion detection system."
msgstr "<package>harden-nids</package>: hilft bei der Installation eines Systems zur Entdeckung von Netzwerkeindringlingen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:54
#: en/automatic.sgml:63
msgid "<package>harden-surveillance</package>: helps to install tools for monitoring of networks and services."
msgstr "<package>harden-surveillance</package>: hilft bei der Installation von Werkzeugen zum Überwachen von Netzwerken und Diensten"
#. type: </list><list>
#: securing-debian-howto.en.sgml:54
#: en/automatic.sgml:67
msgid "Useful packages which are not a dependence:"
msgstr "Nützliche Pakete, für die keine Abhängigkeit besteht:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:54
#: en/automatic.sgml:70
msgid "<package>harden-doc</package>: provides this same manual and other security-related documentation packages."
msgstr "<package>harden-doc</package>: stellt dieses und andere sicherheitsrelevante Dokumente zur Verfügung"
#. type: <p></p>
#: securing-debian-howto.en.sgml:54
#: en/automatic.sgml:72
msgid "<package>harden-development</package>: development tools for creating more secure programs."
msgstr "<package>harden-development</package>: Entwicklungswerkzeuge, um sicherere Programme zu erstellen"
#. type: <p><example>
#: securing-debian-howto.en.sgml:54
#: en/automatic.sgml:86
msgid "Be careful because if you have software you need (and which you do not wish to uninstall for some reason) and it conflicts with some of the packages above you might not be able to fully use <package>harden</package>. The harden packages do not (directly) do a thing. They do have, however, intentional package conflicts with known non-secure packages. This way, the Debian packaging system will not approve the installation of these packages. For example, when you try to install a telnet daemon with <package>harden-servers</package>, <package>apt</package> will say:"
msgstr "Seien Sie vorsichtig, wenn Sie Software installiert haben, die Sie brauchen (und aus bestimmten Gründen nicht deinstallieren wollen) und die aufgrund eines Konflikts mit einem der oben aufgeführten Pakete nicht installiert werden kann. In diesem Fall können Sie <package>harden</package> nicht vollständig nutzen. Die harden-Pakete machen eigentlich gar nichts. Zumindest nicht unmittelbar. Sie haben jedoch absichtliche Paketkonflikte mit bekannten, unsicheren Paketen. Auf diese Art wird die Paketverwaltung von Debian die Installation dieser Paketen nicht erlauben. Wenn Sie zum Beispiel bei installiertem <package>harden-servers</package>-Paket versuchen, einen telnet-Daemon zu installieren, wird Ihnen <package>apt</package> Folgendes sagen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:54
#: en/automatic.sgml:93
#, no-wrap
msgid ""
"# apt-get install telnetd \n"
"The following packages will be REMOVED:\n"
" harden-servers\n"
"The following NEW packages will be installed:\n"
" telnetd \n"
"Do you want to continue? [Y/n]"
msgstr ""
"# apt-get install telnetd \n"
"Die folgenden Pakete werden ENTFERNT:\n"
" harden-servers\n"
"Die folgenden NEUEN Pakete werden installiert:\n"
" telnetd \n"
"Möchten Sie fortfahren? [J/n]"
#. type: <p></p>
#: securing-debian-howto.en.sgml:54
#: en/automatic.sgml:99
msgid "This should set off some warnings in the administrator head, who should reconsider his actions."
msgstr "Dies sollte im Kopf des Administrators eine Alarmglocke auslösen, der sein Vorgehen überdenken sollte."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:54
#: en/automatic.sgml:101
msgid "Bastille Linux"
msgstr "Bastille Linux"
#. type: <p></p>
#: securing-debian-howto.en.sgml:54
#: en/automatic.sgml:107
msgid "<url id=\"http://bastille-linux.sourceforge.net/\"; name=\"Bastille Linux\"> is an automatic hardening tool originally oriented towards the Red Hat and Mandrake Linux distributions. However, the <package>bastille</package> package provided in Debian (since woody) is patched in order to provide the same functionality for Debian GNU/Linux systems."
msgstr "<url name=\"Bastille Linux\" id=\"http://www.bastille-unix.org\";> ist ein Werkzeug zur automatischen Abhärtung, das ursprünglich für die Linux-Distributionen Red Hat und Mandrake gedacht war. Wie auch immer: Das Paket <package>bastille</package> aus Debian (seit Woody) ist durch Patches angepasst, um dieselbe Funktionalität unter Debian GNU/Linux Systemen zur Verfügung zu stellen."
#. type: <p><list>
#: securing-debian-howto.en.sgml:54
#: en/automatic.sgml:111
msgid "Bastille can be used with different frontends (all are documented in their own manpage in the Debian package) which enables the administrator to:"
msgstr "Bastille kann mit verschiedenen Oberflächen bedient werden (alle sind in ihrem eigenen Handbuch dokumentiert), die dem Administrator erlauben:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:54
#: en/automatic.sgml:116
msgid "Answer questions step by step regarding the desired security of your system (using <manref name=\"InteractiveBastille\" section=\"8\">)."
msgstr "Schritt für Schritt Fragen zur erwünschten Sicherheit Ihres Systems zu beantworten (siehe <manref name=\"InteractiveBastille\" section=\"8\">),"
#. type: <p></p>
#: securing-debian-howto.en.sgml:54
#: en/automatic.sgml:121
msgid "Use a default setting for security (amongst three: Lax, Moderate or Paranoia) in a given setup (server or workstation) and let Bastille decide which security policy to implement (using <manref name=\"BastilleChooser\" section=\"8\">)."
msgstr "Standardeinstellungen zur Sicherheit (zwischen locker, moderat und paranoid) für eine bestimmte Einrichtung (Server oder Arbeitsplatz-Rechner) zu benutzen, und Bastille entscheiden zu lassen, welche Sicherheitsregelungen eingeführt werden sollen (siehe <manref name=\"BastilleChooser\" section=\"8\">),"
#. type: <p></p>
#: securing-debian-howto.en.sgml:54
#: en/automatic.sgml:125
msgid "Take a predefined configuration file (could be provided by Bastille or made by the administrator) and implement a given security policy (using <manref name=\"AutomatedBastille\" section=\"8\">)."
msgstr "eine vorgefertigte Konfigurationsdatei (von Bastille oder vom Administrator) zu nehmen und eine vorgegebene Sicherheitsregelung zu benutzen (siehe <manref name=\"AutomatedBastille\" section=\"8\">)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:5
msgid "Debian Security Infrastructure"
msgstr "Die Infrastruktur für Sicherheit in Debian"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:7
msgid "The Debian Security Team"
msgstr "Das Sicherheitsteam von Debian"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:13
msgid "Debian has a Security Team, that handles security in the <em>stable</em> distribution. Handling security means they keep track of vulnerabilities that arise in software (watching forums such as Bugtraq, or vuln-dev) and determine if the <em>stable</em> distribution is affected by it."
msgstr "Debian hat ein Sicherheitsteam, das aus fünf Mitgliedern und zwei Sekretären besteht. Es ist für die Sicherheit in der <em>Stable</em>-Veröffentlichung verantwortlich. Das bedeutet, dass es Sicherheitslücken nachgeht, die in Software auftauchen (indem es Foren wie Bugtraq oder vuln-dev beobachtet), und ermittelt, ob davon die <em>Stable</em>-Veröffentlichung betroffen ist."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:21
msgid "Also, the Debian Security Team is the contact point for problems that are coordinated by upstream developers or organizations such as <url id=\"http://www.cert.org\"; name=\"CERT\"> which might affect multiple vendors. That is, when problems are not Debian-specific. The contact point of the Security Team is <url id=\"mailto:team@security.debian.org\"; name=\"team@security.debian.org\"> which only the members of the security team read."
msgstr "Das Sicherheitsteam von Debian ist auch der Ansprechpartner für Probleme, die von den Programmautoren oder Organisationen wie <url id=\"http://www.cert.org\"; name=\"CERT\"> behandelt werden und die mehrere Linux-Anbieter betreffen können. Das gilt für alle Probleme, die nicht debianspezifisch sind. Die Kontaktadresse des Sicherheitsteams ist <url id=\"mailto:team@security.debian.org\"; name=\"team@security.debian.org\">, die nur die Mitglieder des Sicherheitsteams lesen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:25
msgid "Sensitive information should be sent to the first address and, in some cases, should be encrypted with the Debian Security Contact key (as found in the Debian keyring)."
msgstr "Heikle Informationen sollten an die erste Adresse geschickt werden und unter Umständen mit dem Schlüssel von Debian Security Contact (der sich in Debians Schlüsselbund befindet) verschlüsselt werden. <!-- SB: Fix original -->"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:38
msgid "Once a probable problem is received by the Security Team it will investigate if the <em>stable</em> distribution is affected and if it is, a fix is made for the source code base. This fix will sometimes include backporting the patch made upstream (which usually is some versions ahead of the one distributed by Debian). After testing of the fix is done, new packages are prepared and published in the <url id=\"http://security.debian.org\";> site so they can be retrieved through <prgn>apt</prgn> (see <ref id=\"security-update\">). At the same time a <em>Debian Security Advisory</em> (DSA) is published on the web site and sent to public mailing lists including <url id=\"http://lists.debian.org/debian-security-announce\"; name=\"debian-security-announce\"> and Bugtraq."
msgstr "Wenn das Sicherheitsteam ein mögliches Problem erhält, wird es untersuchen, ob die <em>Stable</em>-Veröffentlichung davon betroffen ist. Wenn dies der Fall ist, wird eine Ausbesserungen des Quellcodes vorgenommen. Diese Ausbesserung schließt manchmal ein, dass Patches der Programmautoren zurückportiert werden (da das Originalprogramm gewöhnlich einige Versionen weiter ist als das in Debian). Nachdem die Ausbesserung getestet wurde, werden neue Pakete vorbereitet und auf der Seite <url id=\"security-master.debian.org\"> veröffentlicht, damit sie mit <prgn>apt</prgn> abgerufen werden können (siehe <ref id=\"security-update\">). Zur gleichen Zeit wird eine <em>Debian-Sicherheits-Ankündigung</em> (DSA) auf der Webseite veröffentlicht und an öffentliche Mailinglisten einschließlich <url id=\"http://lists.debian.org/debian-security-announce\"; name=\"debian-security-announce\"> und Bugtraq geschickt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:42
msgid "Some other frequently asked questions on the Debian Security Team can be found at <ref id=\"debian-sec-team-faq\">."
msgstr "Einige andere häufige Fragen zum Sicherheitsteam von Debian können unter <ref id=\"debian-sec-team-faq\"> gefunden werden."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:44
msgid "Debian Security Advisories"
msgstr "Debian-Sicherheits-Ankündigungen"
#. type: <p><list>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:50
msgid "Debian Security Advisories (DSAs) are made whenever a security vulnerability is discovered that affects a Debian package. These advisories, signed by one of the Security Team members, include information of the versions affected as well as the location of the updates. This information is:"
msgstr "Debian-Sicherheits-Ankündigungen (DSA) werden erstellt, sobald eine Sicherheitslücke entdeckt wird, die ein Debian-Paket betrifft. Diese Ankündigungen, die von einem Mitglied des Sicherheitsteams signiert sind, enthalten Informationen zu den betroffenen Versionen und den Orten der Aktualisierungen und ihrer MD5-Summen. Die Informationen sind:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:52
msgid "version number for the fix."
msgstr "Versionsnummer der Ausbesserung"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:53
msgid "problem type."
msgstr "Art des Problems"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:54
msgid "whether it is remote or locally exploitable."
msgstr "Ob es aus der Ferne oder lokal ausnutzbar ist"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:55
msgid "short description of the package."
msgstr "Kurze Beschreibung des Pakets"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:56
msgid "description of the problem."
msgstr "Beschreibung des Problems"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:57
msgid "description of the exploit."
msgstr "Beschreibung des Exploits"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:58
msgid "description of the fix."
msgstr "Beschreibung der Ausbesserung"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:68
msgid "DSAs are published both on <url id=\"http://www.debian.org/\"; name=\"Debian's frontpage\"> and in the <url id=\"http://www.debian.org/security/\"; name=\"Debian security pages\">. Usually this does not happen until the website is rebuilt (every four hours) so they might not be present immediately. The preferred channel is the debian-security-announce mailing list."
msgstr "DSAs werden sowohl auf der <url id=\"http://www.de.debian.org/\"; name=\"Hauptseite von Debian\"> als auch auf den <url id=\"http://www.debian.org/security/\"; name=\"Sicherheitsseiten von Debian\"> veröffentlicht. Das passiert normalerweise nicht, bis die Website neu erstellt wurde (alle vier Stunden). Daher könnten sie nicht sofort vorhanden sein. Somit ist die vorzugswürdige Informationsquelle die Mailingliste debian-security-announce."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:76
msgid "Interested users can, however (and this is done in some Debian-related portals) use the RDF channel to download automatically the DSAs to their desktop. Some applications, such as <prgn>Evolution</prgn> (an email client and personal information assistant) and <prgn>Multiticker</prgn> (a GNOME applet), can be used to retrieve the advisories automatically. The RDF channel is available at <url id=\"http://www.debian.org/security/dsa.rdf\";>."
msgstr "Interessierte Benutzer können auch den RDF-Kanal verwenden, um die DSAs automatisch auf ihren Desktop herunterzuladen (dies wird auf einigen Portalen über Debian gemacht). Einige Anwendungen, wie etwa <prgn>Evolution</prgn> (ein E-Mail-Client und Hilfsprogramm für persönliche Informationen) und <prgn>Multiticker</prgn> (ein GNOME-Applet) können verwendet werden, um die Ankündigungen automatisch herunterzuladen. Der RDF-Kanal befindet sich unter <url id=\"http://www.debian.org/security/dsa.rdf\";>."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:83
msgid "DSAs published on the website might be updated after being sent to the public-mailing lists. A common update is adding cross references to security vulnerability databases. Also, translations<footnote><p>Translations are available in up to ten different languages.</p></footnote> of DSAs are not sent to the security mailing lists but are directly included in the website."
msgstr "DSAs, die auf der Webseite veröffentlicht wurden, können aktualisiert werden, nachdem sie an öffentliche Mailinglisten verschickt wurden. Eine typische Aktualisierung ist, einen Querverweis auf Datenbanken mit Sicherheitslücken hinzuzufügen. Auch Übersetzungen der DSAs <footnote> Übersetzungen sind in bis zu zehn verschiedenen Sprachen verfügbar. </footnote> werden nicht an die Sicherheitsmailinglisten geschickt, sondern sind direkt auf der Webseite enthalten."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:85
msgid "Vulnerability cross references"
msgstr "Querverweise der Verwundbarkeiten"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:93
msgid "Debian provides a fully <url id=\"http://www.debian.org/security/crossreferences\"; name=\"crossreferenced table\"> including all the references available for all the advisories published since 1998. This table is provided to complement the <url id=\"http://cve.mitre.org/cve/refs/refmap/source-DEBIAN.html\"; name=\"reference map available at CVE\">."
msgstr "Debian stellt eine vollständige <url id=\"http://www.de.debian.org/security/crossreferences\"; name=\"Tabelle mit Querverweisen\"> zur Verfügung, die alle verfügbaren Verweise für die Ankündigungen seit 1998 enthält. Diese Tabelle soll die <url id=\"http://cve.mitre.org/cve/refs/refmap/source-DEBIAN.html\"; name=\"Verweisübersicht von CVE\"> ergänzen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:102
msgid "You will notice that this table provides references to security databases such as <url id=\"http://www.securityfocus.com/bid\"; name=\"Bugtraq\">, <url id=\"http://www.cert.org/advisories/\"; name=\"CERT/CC Advisories\"> and <url id=\"http://www.kb.cert.org/vuls\"; name=\"US-CERT Vulnerability Notes Database\"> as well as CVE names (see below). These references are provided for convenience use, but only CVE references are periodically reviewed and included."
msgstr "Sie werden bemerken, dass die Tabelle Verweise auf Sicherheitsdatenbanken wie <url id=\"http://www.securityfocus.com/bid\"; name=\"Bugtraq\">, <url id=\"http://www.cert.org/advisories/\"; name=\"CERT/CC Ankündigungen\"> und <url id=\"http://www.kb.cert.org/vuls\"; name=\"US-CERT Vulnerability Notes Database\"> und auf die CVE-Bezeichnungen (siehe unten) enthält. Diese Verweise werden zur Nutzerfreundlichkeit angeboten, aber nur der CVE-Verweise werden regelmäßig überprüft und eingefügt. Dieses Feature wurde im Juni 2002 der Webseite hinzugefügt."
#. type: <p><list>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:105
msgid "Advantages of adding cross references to these vulnerability databases are:"
msgstr "Das Hinzufügen von Querverweisen auf diese Sicherheitsdatenbanken hat folgende Vorteile:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:109
msgid "it makes it easier for Debian users to see and track which general (published) advisories have already been covered by Debian."
msgstr "Es erleichtert Benutzern von Debian zu erkennen und nachzuvollziehen, welche allgemeinen (veröffentlichten) Ankündigungen schon von Debian abgedeckt sind."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:112
msgid "system administrators can learn more about the vulnerability and its impact by following the cross references."
msgstr "Systemadministratoren können mehr über die Verwundbarkeit und ihre Auswirkungen lernen, wenn sie den Querverweisen folgen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:116
msgid "this information can be used to cross-check output from vulnerability scanners that include references to CVE to remove false positives (see <ref id=\"vulnasses-false-positive\">)."
msgstr "Diese Informationen können benutzt werden, um Ausgaben von Verwundbarkeitsscannern, die Verweise auf CVE enthalten, zu überprüfen, um falsche Positivmeldungen auszusortieren (vergleichen Sie <ref id=\"vulnasses-false-positive\">)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:121
msgid "CVE compatibility"
msgstr "CVE-Kompatibilität"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:128
msgid "Debian Security Advisories were <url id=\"http://www.debian.org/security/CVE-certificate.jpg\"; name=\"declared CVE-Compatible\"><footnote><p>The full <url id=\"http://cve.mitre.org/compatible/phase2/SPI_Debian.html\"; name=\"capability questionnaire\"> is available at CVE</p></footnote> in February 24, 2004."
msgstr "Debians Sicherheitsankündigungen wurden am 24. Februar 2004 <url id=\"http://www.de.debian.org/security/CVE-certificate.jpg\"; name=\"CVE-kompatibel erklärt\"> <footnote> Der vollständige <url id=\"http://cve.mitre.org/compatible/phase2/SPI_Debian.html\"; name=\"Fragebogen zur Kompatibilität\"> ist bei CVE erhältlich. </footnote>."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:136
msgid "Debian developers understand the need to provide accurate and up to date information of the security status of the Debian distribution, allowing users to manage the risk associated with new security vulnerabilities. CVE enables us to provide standardized references that allow users to develop a <url id=\"http://www.cve.mitre.org/compatible/enterprise.html\"; name=\"CVE-enabled security management process\">."
msgstr "Die Entwickler von Debian wissen von der Notwendigkeit, genaue und aktuelle Informationen über den Lage der Sicherheit in der Debian-Distribution zur Verfügung zu stellen. Dies ermöglicht es den Benutzern, mit den Risiken durch neue Sicherheitslücken umzugehen. CVE versetzt uns in die Lage, standardisierte Verweise anzubieten, die es Benutzern ermöglicht, einen <url id=\"http://www.cve.mitre.org/compatible/enterprise.html\"; name=\"Prozess zur Verwaltung der Sicherheit auf Grundlage von CVE\"> zu entwickeln."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:141
msgid "The <url id=\"http://cve.mitre.org\"; name=\"Common Vulnerabilities and Exposures (CVE)\"> project is maintained by the MITRE Corporation and provides a list of standardized names for vulnerabilities and security exposures."
msgstr "Das Projekt <url id=\"http://cve.mitre.org\"; name=\"Common Vulnerabilities and Exposures (CVE)\"> wird von der MITRE Corporation betreut und stellt eine Liste von standardisierten Bezeichnungen für Verwundbarkeiten und Sicherheitslücken zur Verfügung."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:152
msgid "Debian believes that providing users with additional information related to security issues that affect the Debian distribution is extremely important. The inclusion of CVE names in advisories help users associate generic vulnerabilities with specific Debian updates, which reduces the time spent handling vulnerabilities that affect our users. Also, it eases the management of security in an environment where CVE-enabled security tools -such as network or host intrusion detection systems, or vulnerability assessment tools- are already deployed regardless of whether or not they are based on the Debian distribution."
msgstr "Debian ist überzeugt, dass es außerordentlich wichtig ist, die Benutzer mit zusätzlichen Informationen im Zusammenhang mit Sicherheitsproblemen, welche die Debian-Distribution betreffen, zu versorgen. Indem CVE-Bezeichnungen in den Ankündigungen enthalten sind, können Benutzer leichter allgemeine Verwundbarkeiten mit bestimmten Aktualisierungen von Debian in Verbindung bringen. Dies verringert die Zeit, die benötigt wird, um Verwundbarkeiten, die unsere Benutzer betreffen, abzuarbeiten. Außerdem vereinfacht es die Organisation der Sicherheit in einer Umgebung, in der schon Sicherheitswerkzeuge, die CVE verwenden, wie Erkennungssysteme von Eindringlingen in Netzwerk oder Host oder Werkzeuge zur Bewertung der Sicherheit eingesetzt werden, unabhängig davon, ob sie auf der Debian-Distribution beruhen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:160
msgid "Debian provides CVE names for all DSAs released since September 1998. All of the advisories can be retrieved on the Debian web site, and announcements related to new vulnerabilities include CVE names if available at the time of their release. Advisories associated with a given CVE name can be searched directly through the Debian Security Tracker (see below)."
msgstr "Debian stellt CVE-Bezeichnungen sind in allen DSAs seit September 1998 zur Verfügung. Alle Ankündigungen können auf der Webseite von Debian abgerufen werden. Auch Ankündigungen von neuen Verwundbarkeiten enthalten CVE-Bezeichnungen, wenn sie zum Zeitpunkt ihrer Veröffentlichung verfügbar waren. Ankündigungen, die mit einer bestimmten CVE-Bezeichnung verbunden sind, können direkt über Debians Sicherheitsdatenbank (Debian Security Tracker) gesucht werden (siehe unten)."
#. type: <p><list>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:163
msgid "In some cases you might not find a given CVE name in published advisories, for example because:"
msgstr "In einige Fällen finden Sie eine bestimmte CVE-Bezeichnung in veröffentlichten Ankündigungen nicht. Beispiele dafür sind:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:164
msgid "No Debian products are affected by that vulnerability."
msgstr "Keine Produkte von Debian sind von der Verwundbarkeit betroffen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:168
msgid "There is not yet an advisory covering that vulnerability (the security issue might have been reported as a <url id=\"http://bugs.debian.org/cgi-bin/pkgreport.cgi?tag=security\"; name=\"security bug\"> but a fix has not been tested and uploaded)."
msgstr "Es gibt noch keine Ankündigung, welche die Verwundbarkeit abdeckt; das Sicherheitsproblem wurde vielleicht als <url id=\"http://bugs.debian.org/cgi-bin/pkgreport.cgi?tag=security\"; name=\"Sicherheitsfehler\"> gemeldet, aber eine Ausbesserung wurde noch nicht getestet und hochgeladen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:171
msgid "An advisory was published before a CVE name was assigned to a given vulnerability (look for an update at the web site)."
msgstr "Eine Ankündigung wurde veröffentlicht, bevor eine CVE-Bezeichnung einer bestimmten Verwundbarkeit zugewiesen wurde (sehen Sie auf der Webseite nach einer Aktualisierung)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:178
msgid "Security Tracker"
msgstr "Sicherheitsdatenbank"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:189
msgid "The central database of what the Debian security teams know about vulnerabilities is the <url id=\"http://security-tracker.debian.net\"; name=\"Debian Security Tracker\">. It cross references packages, vulnerable and fixed versions for different suites, CVE names, Debian bug numbers, DSA's and miscellaneous notes. It can be searched, e.g. by CVE name to see which Debian packages are affected or fixed, or by package to show unresolved security issues. The only information missing from the tracker is confidential information that the security team received under embargo."
msgstr "Die zentrale Datenbank darüber, welche Erkenntnisse Debians Sicherheitsteam von Verwundbarkeiten hat, ist der <url id=\"http://security-tracker.debian.net\"; name=\"Debian Security Tracker\">. Sie enthält Querverweise zwischen Paketen, verwundbaren und ausgebesserten Versionen für unterschiedliche Veröffentlichungen, CVE-Namen, Nummern von Debian-Fehlerberichten, DSAs sowie unterschiedliche Anmerkungen. Die Datenbank kann durchsucht werden, z.B. nach dem CVE-Namen, um zu sehen, welche Debian-Pakete davon betroffen sind oder bereits Ausbesserungen enthalten, oder z.B. nach einem bestimmten Paket, um zu sehen, welche ungelösten Sicherheitsprobleme es hat. Die einzigen Informationen, die in der Datenbank fehlen, sind vertrauliche Informationen, die das Sicherheitsteam während eines Embargos erhalten hat."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:194
msgid "The package <prgn>debsecan</prgn> uses the information in the tracker to report to the administrator of a system which of the installed packages are vulnerable, and for which updates are available to fix security issues."
msgstr "Das Paket <prgn>debsecan</prgn> verwendet die Informationen in der Datenbank, zum den Administrator eines Systems darüber zu informieren, welche der installierten Pakete verwundbar sind und für welche Pakete Sicherheitsaktualisierungen verfügbar sind."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:196
msgid "Debian Security Build Infrastructure"
msgstr "Die Infrastruktur des Sicherheitsprozesses in Debian"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:202
msgid "Since Debian is currently supported in a large number of architectures, administrators sometimes wonder if a given architecture might take more time to receive security updates than another. As a matter of fact, except for rare circumstances, updates are available to all architectures at the same time."
msgstr "Da Debian im Moment eine große Anzahl von Architekturen unterstützt, fragen Administratoren manchmal, ob es bei einer bestimmten Architektur bis zu einer Sicherheitsaktualisierung länger dauert als bei einer anderen. Tatsächlich sind Aktualisierungen auf allen Architekturen zur selben Zeit verfügbar, abgesehen von seltenen Umständen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:211
msgid "Packages in the security archive are autobuilt, just like the regular archive. However, security updates are a little more different than normal uploads sent by package maintainers since, in some cases, before being published they need to wait until they can be tested further, an advisory written, or need to wait for a week or more to avoid publicizing the flaw until all vendors have had a reasonable chance to fix it."
msgstr "Pakete im Sicherheitsarchiv werden automatisch erstellt, genauso wie im normalen Archiv. Allerdings werden Sicherheitsaktualisierungen etwas anderes behandelt als normale Aktualisierungen, die von den Paketbetreuern vorgenommen werden, da in manchen Fällen vor einer Veröffentlichung die Aktualisierungen nochmals getestet werden müssen, eine Ankündigung geschrieben werden muss oder eine Woche oder mehr gewartet werden muss, um zu verhindern, dass der Fehler veröffentlicht wird, bevor nicht alle Linux-Anbieter eine vernünftige Chance hatten, ihn zu beheben."
#. type: <p><list>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:214
msgid "Thus, the security upload archive works with the following procedure:"
msgstr "Folglich arbeitet das Archiv der Sicherheitsuploads nach dem folgenden Ablauf :"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:218
msgid "Someone finds a security problem."
msgstr "Jemand findet ein Sicherheitsproblem."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:225
msgid "Someone fixes the problem, and makes an upload to security-master.debian.org's incoming (this <em>someone</em> is usually a Security Team member but can be also a package maintainer with an appropriate fix that has contacted the Security Team previously). The Changelog includes a <em>testing-security</em> or <em>stable-security</em> as target distribution."
msgstr "Jemand löst das Problem und lädt die Lösung in den Eingang von security-master.debian.org hoch (dieser <em>jemand</em> ist normalerweise ein Mitglied des Sicherheitsteams, kann aber auch ein Paketbetreuer mit einer passenden Verbesserung sein, der sich zuvor mit dem Sicherheitsteam in Verbindung gesetzt hat). Die Änderungsübersicht (changelog) beinhaltet ein <em>testing-security</em> oder <em>stable-security</em> als Zieldistribution."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:230
msgid "The upload gets checked and processed by a Debian system and moved into queue/accepted, and the buildds are notified. Files in here can be accessed by the security team and (somewhat indirectly) by the buildds."
msgstr "Die hochgeladenen Dateien werden von einem Debian-System überprüft, verarbeitet und in die Warteschleife der angenommenen Dateien <!-- SB (20050426): \"and moved into queue/accepted\" --> weitergeleitet. Danach werden die Buildds benachrichtigt. Auf die Dateien in der Warteschleife kann das Sicherheitsteam und (auf indirektem Wege) die Buildds zugreifen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:234
msgid "Security-enabled buildds pick up the source package (prioritized over normal builds), build it, and send the logs to the security team."
msgstr "Buildds, die Sicherheit unterstützen, holen sich das Quellpaket (mit einer höheren Priorität als normale Paketerstellungen), erstellen Pakete und schicken die Protokolle ans Sicherheitsteam."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:238
msgid "The security team reply to the logs, and the newly built packages are uploaded to queue/unchecked, where they're processed by a Debian system, and moved into queue/accepted."
msgstr "Das Sicherheitsteam antwortet auf die Protokolle und die neu erstellten Pakete werden in die Warteschleife der ungeprüften Dateien hochgeladen, wo sie von einem Debian-System verarbeitet und in die Warteschleife der angenommenen Dateien verschoben werden."
#. type: <p><list>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:243
msgid "When the security team find the source package acceptable (i.e., that it's been correctly built for all applicable architectures and that it fixes the security hole and doesn't introduce new problems of its own) they run a script which:"
msgstr "Wenn das Sicherheitsteam ein Quellpaket akzeptiert (d.h. dass es für alle Architekturen korrekt Pakete erstellt, und dass es die Sicherheitslücke schließt und keine neuen Probleme hervorruft), führt es ein Skript aus, das:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:246
msgid "installs the package into the security archive."
msgstr "das Paket im Sicherheitsarchiv installiert,"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:250
msgid "updates the <file>Packages</file>, <file>Sources</file> and <file>Release</file> files of security.debian.org in the usual way (<prgn>dpkg-scanpackages</prgn>, <prgn>dpkg-scansources</prgn>, ...)."
msgstr "die <file>Paket</file>-, <file>Quell</file>- und <file>Veröffentlichungsdateien</file> von security.debian.org auf dem gewöhnlichen Weg aktualisiert (<prgn>dpkg-scanpackages</prgn>, <prgn>dpkg-scansources</prgn>, ...),"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:253
msgid "sets up a template advisory that the security team can finish off."
msgstr "eine Vorlage einer Ankündigung erstellt, die das Sicherheitsteam fertig stellen kann und"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:257
msgid "forwards the packages to the appropriate proposed-updates so that it can be included in the real archive as soon as possible."
msgstr "die Pakete zu den vorgeschlagenen Aktualisierungen weiterleitet, so dass sie sobald wie möglich in die echten Archive eingefügt werden können."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:268
msgid "This procedure, previously done by hand, was tested and put through during the freezing stage of Debian 3.0 woody (July 2002). Thanks to this infrastructure the Security Team was able to have updated packages ready for the apache and OpenSSH issues for all the supported (almost twenty) architectures in less than a day."
msgstr "Dieser Ablauf, der früher per Hand durchgeführt wurde, wurde während des Freezing-Abschnitts von Debian 3.0 Woody (Juli 2002) getestet und umgesetzt. Dank dieser Infrastruktur war es dem Sicherheitsteam möglich, aktualisierte Pakete für Apache- und OpenSSH-Probleme für alle unterstützen Architekturen (fast 20) in weniger als einem Tag bereitzustellen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:270
msgid "Developer's guide to security updates"
msgstr "Leitfaden über Sicherheitsaktualisierungen für Entwickler"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:277
msgid "Debian developers that need to coordinate with the security team on fixing in issue in their packages, can refer to the Developer's Reference section <url id=\"http://www.debian.org/doc/manuals/developers-reference/pkgs.html#bug-security\"; name=\"Handling security-related bugs\">."
msgstr "Debian Entwickler, die mit dem Sicherheitsteam zusammenarbeiten müssen, um in ihren Pakete Probleme zu lösen, sollten in der Entwicklerreferenz im Abschnitt <url id=\"http://www.debian.org/doc/manuals/developers-reference/pkgs.html#bug-security\"; name=\"Handhabung von sicherheitsrelevanten Fehlern\"> nachsehen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:279
msgid "Package signing in Debian"
msgstr "Paketsignierung in Debian"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:296
msgid "This section could also be titled \"how to upgrade/update safely your Debian GNU/Linux system\" and it deserves its own section basically because it is an important part of the Security Infrastructure. Package signing is an important issue since it avoids tampering of packages distributed in mirrors and of downloads with man-in-the-middle attacks. Automatic software update is an important feature but it's also important to remove security threats that could help the distribution of trojans and the compromise of systems during updates<footnote><p>Some operating systems have already been plagued with automatic-updates problems such as the <url id=\"http://www.cunap.com/~hardingr/projects/osx/exploit.html\"; name=\"Mac OS X Software Update vulnerabity\">.</p><p>FIXME: probably the Internet Explorer vulnerability handling certificate chains has an impact on security updates on Microsoft Windows.</p></footnote>."
msgstr "Dieser Abschnitt könnte auch mit »Wie man sein Debian GNU/Linux-System sicher upgraded/aktualisiert« überschrieben werden. Es verdient hauptsächlich deshalb einen eigenen Abschnitt, weil es einen wichtigen Teil der Infrastruktur der Sicherheit darstellt. Die Signierung von Paketen ist ein wichtiges Thema, da es die Manipulation von Paketen in Spiegel und von heruntergeladenen Dateien durch Man-in-the-Middle-Angriffen verhindert. Die automatische Aktualisierung von Software ist eine wichtige Fähigkeit, aber es ist auch wichtig, Gefahren für die Sicherheit zu entfernen, die die Verbreitung von Trojanern und den Einbruch ins System während der Aktualisierung fördern können.<footnote> Einige Betriebssysteme wurden schon von Problemen mit automatischen Aktualisierungen heimgesucht, wie z.B. die <url id=\"http://www.cunap.com/~hardingr/projects/osx/exploit.html\"; name=\"Mac OS X Software-Update-Verwundbarkeit\">. <p>FIXME: probably the Internet Explorer vulnerability handling certificate chains has an impact on security updates on Microsoft Windows. </footnote>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:303
msgid "Debian does not provide signed packages but provides a mechanism available since Debian 4.0 (codename <em>etch</em>) to check for downloaded package's integrity<footnote><p>Older releases, such as Debian 3.1 <em>sarge</em> can use this feature by using backported versions of this package management tool</p></footnote>. For more information, see <ref id=\"apt-0.6\">."
msgstr "Debian stellt keine signierten Pakete zur Verfügung. Es gibt aber seit Debian 4.0 (Codename <em>Etch</em>) eine Verfahrensweise, mit der die Integrität von heruntergeladenen Paketen überprüft werden kann.<footnote>Ältere Veröffentlichungen wie Debian 3.1 (<em>Sarge</em>) können mit zurückportierten Versionen des Paketmanagers auf diese Methode zugreifen.</footnote> Weiterführende Hinweise können Sie unter <ref id=\"apt-0.6\"> finden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:307
msgid "This issue is better described in the <url id=\"http://www.cryptnet.net/fdp/crypto/strong_distro.html\"; name=\"Strong Distribution HOWTO\"> by V. Alex Brennen."
msgstr "Dieses Problem wird besser im <url id=\"http://www.cryptnet.net/fdp/crypto/strong_distro.html\"; name=\"Strong-Distribution-Howto\"> von V. Alex Brennen beschrieben."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:309
msgid "The current scheme for package signature checks"
msgstr "Die aktuelle Methode zur Prüfung von Paketsignaturen"
#. type: <p><list>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:312
msgid "The current scheme for package signature checking using <prgn>apt</prgn> is:"
msgstr "Die aktuelle Methode zur Prüfung von Paketsignaturen mit <prgn>apt</prgn> ist:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:317
msgid "the <file>Release</file> file includes the MD5 sum of <file>Packages.gz</file> (which contains the MD5 sums of packages) and will be signed. The signature is one of a trusted source."
msgstr "Die <file>Release</file>-Datei enthält die MD5-Summe von <file>Packages.gz</file> (welche die MD5-Summen der Pakete enthält) und wird signiert. Die Signatur stammt aus einer vertrauenswürdigen Quelle."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:320
msgid "This signed <file>Release</file> file is downloaded by 'apt-get update' and stored along with <file>Packages.gz</file>."
msgstr "Diese signierte <file>Release</file>-Datei wird beim »apt-get update« herunter geladen und zusammen mit <file>Packages.gz</file> gespeichert."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:323
msgid "When a package is going to be installed, it is first downloaded, then the MD5 sum is generated."
msgstr "Wenn ein Paket installiert werden soll, wird es zuerst herunter geladen, und dann wird die MD5-Summe erstellt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:327
msgid "The signed <file>Release</file> file is checked (signature ok) and it extracts from it the MD5 sum for the <file>Packages.gz</file> file, the <file>Packages.gz</file> checksum is generated and (if ok) the MD5 sum of the downloaded package is extracted from it."
msgstr "Die signierte <file>Release</file>-Datei wird überprüft (ob die Signatur in Ordnung ist) und die MD5-Summe der <file>Packages.gz</file>-Datei extrahiert. Die MD5-Summe der <file>Packages.gz</file>-Datei wird erstellt und geprüft, und – wenn sie übereinstimmt – wird die MD5-Summe des heruntergeladenen Paketes aus ihr extrahiert."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:334
msgid "If the MD5 sum from the downloaded package is the same as the one in the <file>Packages.gz</file> file the package will be installed, otherwise the administrator will be alerted and the package will be left in the cache (so the administrator can decide whether to install it or not). If the package is not in the <file>Packages.gz</file> and the administrator has configured the system to only install checked packages it will not be installed either."
msgstr "Wenn die MD5-Summe des heruntergeladenen Paketes die gleiche ist wie in der <file>Packages.gz</file>-Datei, wird das Paket installiert. Andernfalls wird der Administrator alarmiert und das Paket wird im Zwischenspeicher gehalten (so dass der Administrator entscheiden kann, ob es installiert werden soll oder nicht). Wenn das Paket nicht in <file>Packages.gz</file> enthalten ist und der Administrator das System so konfiguriert hat, dass nur geprüfte Pakete installiert werden können, wird das Paket ebenfalls nicht installiert."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:341
msgid "By following the chain of MD5 sums <prgn>apt</prgn> is capable of verifying that a package originates from a a specific release. This is less flexible than signing each package one by one, but can be combined with that scheme too (see below)."
msgstr "Durch diese Kette von MD5-Summen ist <prgn>apt</prgn> in der Lage, zu verifizieren, dass ein Paket aus einer bestimmten Veröffentlichung stammt. Dies ist zwar unflexibler als jedes Paket einzeln zu signieren, kann aber auch mit den unten aufgeführten Plänen kombiniert werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:353
msgid "This scheme is <url id=\"http://lists.debian.org/debian-devel/2003/debian-devel-200312/msg01986.html \" name=\"fully implemented\"> in apt 0.6 and is available since the Debian 4.0 release. For more information see <ref id=\"apt-0.6\">. Packages that provide a front-end to apt need to be modified to adapt to this new feature; this is the case of <prgn>aptitude</prgn> which was <url id=\"http://lists.debian.org/debian-devel/2005/03/msg02641.html\"; name=\"modified\"> to adapt to this scheme. Front-ends currently known to work properly with this feature include <prgn>aptitude</prgn> and <prgn>synaptic</prgn>."
msgstr "Diese Vorgehensweise ist seit der Veröffentlichung von Debian 4.0 verfügbar und vollständig in apt 0.6 <url id=\"http://lists.debian.org/debian-devel/2003/debian-devel-200312/msg01986.html\"; name=\"enthalten\">; weitere Informationen finden Sie unter <ref id=\"apt-0.6\">. Pakete, die ein Frontend für apt anbieten, müssen verändert werden, um an diese neue Fähigkeit angepasst zu werden. Das gilt für <prgn>aptitude</prgn>, das <url id=\"http://lists.debian.org/debian-devel/2005/03/msg02641.html\"; name=\"verändert\"> wurde, um zu dieser Vorgehensweise zu passen. Frontends, die bekanntermaßen zurzeit mit dieser Fähigkeit umgehen können, sind <prgn>aptitude</prgn> und <prgn>synaptic</prgn>."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:358
msgid "Package signing has been discussed in Debian for quite some time, for more information you can read: <url id=\"http://www.debian.org/News/weekly/2001/8/\";> and <url id=\"http://www.debian.org/News/weekly/2000/11/\";>."
msgstr "Die Signierung von Paketen wurde innerhalb des Debian-Projekts ausführlich diskutiert. Mehr Informationen hierzu finden Sie unter <url id=\"http://www.debian.org/News/weekly/2001/8/\";> und <url id=\"http://www.debian.org/News/weekly/2000/11/\";>."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:360
msgid "Secure apt"
msgstr "Secure Apt"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:369
msgid "The apt 0.6 release, available since Debian 4.0 <em>etch</em> and later releases, includes <em>apt-secure</em> (also known as <em>secure apt</em>) which is a tool that will allow a system administrator to test the integrity of the packages downloaded through the above scheme. This release includes the tool <prgn>apt-key</prgn> for adding new keys to apt's keyring, which by default includes only the current Debian archive signing key."
msgstr "Die Veröffentlichung von apt 0.6, das seit Debian 4.0 (<em>Etch</em>) verfügbar ist, enthält <em>apt-secure</em> (auch als <em>Secure Apt</em> bekannt), das ein Werkzeug ist, mit dem ein Systemadministrator die Integrität von heruntergeladenen Paketen mit dem oben dargestellten Verfahren überprüfen kann. Diese Veröffentlichung enthält das Werkzeug <prgn>apt-key</prgn>, um neue Schlüssel zum Schlüsselbund von apt hinzuzufügen, welcher standardmäßig nur den aktuellen Signierungsschlüssel des Debian-Archivs enthält."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:374
msgid "These changes are based on the patch for <prgn>apt</prgn> (available in <url id=\"http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=203741\"; name=\"Bug #203741\">) which provides this implementation."
msgstr "Diese Veränderungen basieren auf dem Patch für <prgn>apt</prgn> (verfügbar in <url id=\"http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=203741\"; name=\"Fehler #203741\">), der diese Erweiterung zur Verfügung stellt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:381
msgid "Secure apt works by checking the distribution through the <file>Release</file> file, as discussed in <ref id=\"check-releases\">. Typically, this process will be transparent to the administrator although you will need to intervene every year<footnote><p>Until an automatic mechanism is developed.</p></footnote> to add the new archive key when it is rotated, for more information on the steps an administrator needs to take a look at <ref id=\"secure-apt-add-key\">."
msgstr "Secure Apt überprüft die Distribution mit der <file>Release</file>-Datei. Dies wurde schon unter <ref id=\"check-releases\"> dargestellt. Typischerweise erfordert dieser Vorgang kein Mitwirken des Administrators. Aber jedes Jahr müssen Sie eingreifen<footnote>Bis ein automatischer Mechanismus entwickelt wurde.</footnote>, um den neuen Schlüssel des Archivs hinzuzufügen, wenn dieser ausgewechselt wurde. Weitere Informationen zu den dazu notwendigen Schritten finden Sie unter <ref id=\"secure-apt-add-key\">."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:386
msgid "This feature is still under development, if you believe you find bugs in it, please, make first sure you are using the latest version (as this package might change quite a bit before it is finally released) and, if running the latest version, submit a bug against the <package>apt</package> package."
msgstr "Diese Fähigkeit befindet sich noch im Entwicklungsstadium. Wenn Sie glauben, dass Sie Fehler gefunden haben, stellen Sie zuerst sicher, dass Sie die neuste Version verwenden (da dieses Paket vor seiner endgültigen Veröffentlichung noch ziemlich verändern werden kann). Falls Sie die aktuelle Version benutzen, schicken Sie einen Fehlerbericht für das Paket <package>apt</package>."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:392
msgid "You can find more information at <url id=\"http://wiki.debian.org/SecureApt\"; name=\"the wiki pages\"> and the official documentation: <url id=\"http://www.enyo.de/fw/software/apt-secure/\"; name=\"Migration to APT 0.6\"> and <url id=\"http://www.syntaxpolice.org/apt-secure/\"; name=\"APT Signature Checking\">."
msgstr "Weiterführende Informationen finden Sie im <url id=\"http://wiki.debian.org/SecureApt\"; name=\"Debian-Wiki\"> und in der offiziellen Dokumentation unter <url id=\"http://www.enyo.de/fw/software/apt-secure/\"; name=\"Migration to APT 0.6\"> und <url id=\"http://www.syntaxpolice.org/apt-secure/\"; name=\"APT Signature Checking\">."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:394
msgid "Per distribution release check"
msgstr "Überprüfung der Distribution mit der <file>Release</file>-Datei"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:398
msgid "This section describes how the distribution release check mechanism works, it was written by Joey Hess and is also available at the <url id=\"http://wiki.debian.org/SecureApt\"; name=\"Debian Wiki\">."
msgstr "Dieser Abschnitt beschreibt, wie die Überprüfung der Distribution mit Hilfe der <file>Release</file>-Datei funktioniert. Dies wurde von Joey Hess geschrieben und ist auch im <url id=\"http://wiki.debian.org/SecureApt\"; name=\"Debian-Wiki\"> abrufbar."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:400
msgid "Basic concepts"
msgstr "Grundlegende Konzepte"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:403
msgid "Here are a few basic concepts that you'll need to understand for the rest of this section."
msgstr "Es gibt ein paar grundlegende Konzepte, die Sie brauchen, um den Rest dieses Abschnitts verstehen zu können."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:408
msgid "A checksum is a method of taking a file and boiling it down to a reasonably short number that uniquely identifies the content of the file. This is a lot harder to do well than it might seem, and the most commonly used type of checksum, the MD5 sum, is in the process of being broken."
msgstr "Eine Prüfsumme ist eine Methode, bei der eine Datei auf eine relativ kurze Zahl heruntergekocht wird, mit welcher der Inhalt der Datei eindeutig identifiziert werden kann. Dies ist wesentlich schwieriger, als es zunächst erscheinen mag. Der am weitesten verbreiteteste Typ von Prüfsummen, MD5, wird gerade unbrauchbar."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:416
msgid "Public key cryptography is based on pairs of keys, a public key and a private key. The public key is given out to the world; the private key must be kept a secret. Anyone possessing the public key can encrypt a message so that it can only be read by someone possessing the private key. It's also possible to use a private key to sign a file, not encrypt it. If a private key is used to sign a file, then anyone who has the public key can check that the file was signed by that key. No one who doesn't have the private key can forge such a signature."
msgstr "Verschlüsselung mit öffentlichen Schlüsseln fußt auf einem Schlüsselpaar: einem öffentlichen Schlüssel und einem privaten Schlüssel. Der öffentliche Schlüssel wird an die Allgemeinheit verteilt. Der private muss geheim bleiben. Jeder, der den öffentlichen Schlüssel hat, kann eine Nachricht verschlüsseln, so dass sie nur noch der Besitzer des privaten Schlüssels lesen kann. Es besteht daneben die Möglichkeit, mit einem privaten Schlüssel eine Datei zu signieren. Wenn eine Datei mit einer digitalen Unterschrift versehen wurde, kann jeder, der den öffentlichen Schlüssel hat, überprüfen, ob die Datei mit diesem Schlüssel unterschrieben wurde. Ohne den privaten Schlüssel lässt sich eine solche Signatur nicht nachmachen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:420
msgid "These keys are quite long numbers (1024 to 2048 digits or longer), and to make them easier to work with they have a key id, which is a shorter, 8 or 16 digit number that can be used to refer to them."
msgstr "Diese Schlüssel bestehen aus ziemlich langen Zahlen (1024 oder 2048 Ziffern oder sogar länger). Damit sie leichter zu verwenden sind, haben sie eine kürzere Schlüssel-ID (eine Zahl mit nur acht oder 16 Stellen), mit der sie bezeichnet werden können."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:423
msgid "<prgn>gpg</prgn> is the tool used in secure apt to sign files and check their signatures."
msgstr "Secure Apt verwendet <prgn>gpg</prgn>, um Dateien zu unterschreiben und ihre Signaturen zu überprüfen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:429
msgid "<prgn>apt-key</prgn> is a program that is used to manage a keyring of gpg keys for secure apt. The keyring is kept in the file <file>/etc/apt/trusted.gpg</file> (not to be confused with the related but not very interesting <file>/etc/apt/trustdb.gpg</file>). <prgn>apt-key</prgn> can be used to show the keys in the keyring, and to add or remove a key."
msgstr "Mit dem Programm <prgn>apt-key</prgn> wird der Schlüsselbund von GPG für Secure Apt verwaltet. Der Schlüsselbund befindet sich in der Datei <file>/etc/apt/trusted.gpg</file> (nicht zu verwechseln mit der verwandten, aber nicht sehr interessanten Datei <file>/etc/apt/trustdb.gpg</file>). <prgn>apt-key</prgn> kann dazu verwendet werden, die Schlüssel im Schlüsselbund anzuzeigen oder um Schlüssel hinzuzufügen oder zu entfernen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:431
msgid "<file>Release</file> checksums"
msgstr "Prüfsummen der <file>Release</file>-Datei"
#. type: <p><example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:436
msgid "A Debian archive contains a <file>Release</file> file, which is updated each time any of the packages in the archive change. Among other things, the <file>Release</file> file contains some MD5 sums of other files in the archive. An excerpt of an example <file>Release</file> file:"
msgstr "Jedes Archiv von Debian enthält eine <file>Release</file>-Datei, die jedes Mal aktualisiert wird, wenn ein Paket im Archiv geändert wird. Unter anderem enthält die <file>Release</file>-Datei MD5-Summen von anderen Dateien, die sich im Archiv befinden. Ein Auszug einer <file>Release</file>-Datei:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:442
#, no-wrap
msgid ""
"MD5Sum:\n"
" 6b05b392f792ba5a436d590c129de21f 3453 Packages\n"
" 1356479a23edda7a69f24eb8d6f4a14b 1131 Packages.gz\n"
" 2a5167881adc9ad1a8864f281b1eb959 1715 Sources\n"
" 88de3533bf6e054d1799f8e49b6aed8b 658 Sources.gz"
msgstr ""
"MD5Sum:\n"
" 6b05b392f792ba5a436d590c129de21f 3453 Packages\n"
" 1356479a23edda7a69f24eb8d6f4a14b 1131 Packages.gz\n"
" 2a5167881adc9ad1a8864f281b1eb959 1715 Sources\n"
" 88de3533bf6e054d1799f8e49b6aed8b 658 Sources.gz"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:447
msgid "The <file>Release</file> files also include SHA-1 checksums, which will be useful once MD5 sums become fully broken, however apt doesn't use them yet."
msgstr "Die <file>Release</file>-Datei enthält auch SHA1-Prüfsummen, was nützlich wird, wenn MD5-Summen vollständig unbrauchbar sind. Allerdings unterstützt apt SHA1 noch nicht."
#. type: <p><example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:450
msgid "Now if we look inside a <file>Packages</file> file, we'll find more MD5 sums, one for each package listed in it. For example:"
msgstr "Werfen wir einen Blick in eine <file>Packages</file>-Datei: Wir sehen weitere MD5-Summen, eine für jedes darin aufgeführte Paket. Beispiel:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:457
#, no-wrap
msgid ""
" Package: uqm\n"
" Priority: optional\n"
" ...\n"
" Filename: unstable/uqm_0.4.0-1_i386.deb\n"
" Size: 580558\n"
" MD5sum: 864ec6157c1eea88acfef44d0f34d219"
msgstr ""
" Package: uqm\n"
" Priority: optional\n"
" ...\n"
" Filename: unstable/uqm_0.4.0-1_i386.deb\n"
" Size: 580558\n"
" MD5sum: 864ec6157c1eea88acfef44d0f34d219"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:465
msgid "These two checksums can be used to verify that you have downloaded a correct copy of the <file>Packages</file> file, with a md5sum that matches the one in the <file>Release</file> file. And when it downloads an individual package, it can also check its md5sum against the content of the <file>Packages</file> file. If apt fails at either of these steps, it will abort."
msgstr "Mit diesen beiden Prüfsummen kann überprüft werden, ob Sie eine getreue Kopie der <file>Packages</file>-Datei heruntergeladen haben, also mit einer MD5-Summe, die mit der in der <file>Release</file>-Datei übereinstimmt. Und wenn ein einzelnes Paket heruntergeladen wird, kann auch die MD5-Summe mit dem Inhalt der <file>Packages</file>-Datei verglichen werden. Wenn bei einem dieser Schritte ein Fehler auftauchen sollte, bricht Apt den Vorgang ab."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:472
msgid "None of this is new in secure apt, but it does provide the foundation. Notice that so far there is one file that apt doesn't have a way to check: The Release file. Secure apt is all about making apt verify the <file>Release</file> file before it does anything else with it, and plugging this hole, so that there is a chain of verification from the package that you are going to install all the way back to the provider of the package."
msgstr "Nichts davon ist neu in Secure Apt, sondern bietet nur die Grundlage für Secure Apt. Beachten Sie, dass es bis jetzt eine Datei gibt, die Apt nicht überprüfen kann: die <file>Release</file>-Datei. Bei Secure Apt dreht sich alles darum, dass Apt die <file>Release</file>-Datei überprüft, bevor es irgendetwas anderes damit macht. Wenn man das schafft, besteht eine lückenlose Authentifizierungskette von dem Paket, das Sie installieren möchten, bis zum Anbieter des Pakets."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:474
msgid "Verification of the <file>Release</file> file"
msgstr "Überprüfung der <file>Release</file>-Datei"
#. type: <p><example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:480
msgid "To verify the <file>Release</file> file, a gpg signature is added for the <file>Release</file> file. This is put in a file named <file>Release.gpg</file> that is shipped alongside the <file>Release</file> file. It looks something like this <footnote><p>Technically speaking, this is an ASCII-armored detached gpg signature.</p></footnote> , although only gpg actually looks at its contents normally:"
msgstr "Damit die <file>Release</file>-Datei überprüft werden kann, wird sie mit GPG signiert. Diese Unterschrift kommt in die Datei <file>Release.gpg</file>, die mit der <file>Release</file>-Datei abgerufen werden kann. Sie sieht in etwa so<footnote>Genau genommen handelt es sich um eine ASCII-armored abgetrennte GPG-Signatur.</footnote> aus, obwohl sich für gewöhnlich nur GPG ihren Inhalt ansieht:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:488
#, no-wrap
msgid ""
"-----BEGIN PGP SIGNATURE-----\n"
"Version: GnuPG v1.4.1 (GNU/Linux)\n"
"\n"
"iD8DBQBCqKO1nukh8wJbxY8RAsfHAJ9hu8oGNRAl2MSmP5+z2RZb6FJ8kACfWvEx\n"
"UBGPVc7jbHHsg78EhMBlV/U=\n"
"=x6og\n"
"-----END PGP SIGNATURE-----"
msgstr ""
"-----BEGIN PGP SIGNATURE-----\n"
"Version: GnuPG v1.4.1 (GNU/Linux)\n"
"\n"
"iD8DBQBCqKO1nukh8wJbxY8RAsfHAJ9hu8oGNRAl2MSmP5+z2RZb6FJ8kACfWvEx\n"
"UBGPVc7jbHHsg78EhMBlV/U=\n"
"=x6og\n"
"-----END PGP SIGNATURE-----"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:492
msgid "Check of <file>Release.gpg</file> by <prgn>apt</prgn>"
msgstr "<file>Release.gpg</file> mit <prgn>Apt</prgn> überprüfen"
#. type: <p><example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:498
msgid "Secure apt always downloads <file>Release.gpg</file> files when it's downloading <file>Release</file> files, and if it cannot download the <file>Release.gpg</file>, or if the signature is bad, it will complain, and will make note that the <file>Packages</file> files that the <file>Release</file> file points to, and all the packages listed therein, are from an untrusted source. Here's how it looks during an <prgn>apt-get update</prgn>:"
msgstr "Wenn Secure Apt eine <file>Release</file>-Datei herunterlädt, lädt es immer auch die <file>Release.gpg</file>-Datei herunter. Falls dies misslingen sollte oder die Signatur nicht stimmt, wird es eine Rückmeldung machen und hinweisen, dass die <file>Packages</file>-Dateien, auf welche die <file>Release</file>-Datei verweist, und alle darin enthaltenen Pakete von einer nicht vertrauenswürdigen Quelle stammen. So würde dies während <prgn>apt-get update</prgn> aussehen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:501
#, no-wrap
msgid ""
"W: GPG error: http://ftp.us.debian.org testing Release: The following signatures\n"
" couldn't be verified because the public key is not available: NO_PUBKEY 010908312D230C5F"
msgstr ""
"W: GPG error: http://ftp.us.debian.org testing Release: The following signatures\n"
" couldn't be verified because the public key is not available: NO_PUBKEY 010908312D230C5F"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:506
msgid "Note that the second half of the long number is the key id of the key that apt doesn't know about, in this case that's 2D230C5F."
msgstr "Beachten Sie, dass die zweite Hälfte der langen Nummer die Schlüssel-ID des Schlüssels ist, von dem Apt nichts weiß. Im Beispiel ist sie 2D230C5F."
#. type: <p><example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:508
msgid "If you ignore that warning and try to install a package later, apt will warn again:"
msgstr "Falls Sie diese Warnung ignorieren und später versuchen, ein Paket zu installieren, wird Sie Apt nochmals warnen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:512
#, no-wrap
msgid ""
"WARNING: The following packages cannot be authenticated!\n"
" libglib-perl libgtk2-perl\n"
"Install these packages without verification [y/N]?"
msgstr ""
"WARNUNG: Die folgenden Pakete können nicht authentifiziert werden!\n"
" libglib-perl libgtk2-perl\n"
"Diese Pakete ohne Überprüfung installieren [j/N]?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:521
msgid "If you say Y here you have no way to know if the file you're getting is the package you're supposed to install, or if it's something else entirely that somebody that can intercept the communication against the server<footnote><p>Or has poisoned your DNS, or is spoofing the server, or has replaced the file in the mirror you are using, etc.</p></footnote> has arranged for you, containing a nasty suprise."
msgstr "Wenn Sie nun »J« drücken, haben Sie keine Möglichkeit festzustellen, ob die Datei, die Sie bekommen, wirklich diejenige ist, die Sie auch installieren möchten, oder ob sie eine ganz andere ist, die Ihnen jemand, der die Verbindung mit dem Server abgefangen hat<footnote> Oder Ihren DNS vergiftet hat oder den Server spooft oder die Datei auf einem Spiegel platziert hat, den Sie verwenden, oder ... </footnote>, mit einer gemeinen Überraschung unterschieben will."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:523
msgid "Note that you can disable these checks by running apt with --allow-unauthenticated."
msgstr "Hinweis: Sie können diese Abfragen abschalten, indem Sie <prgn>apt</prgn> mit <tt>--allow-unauthenticated</tt> laufen lassen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:530
msgid "It's also worth noting that newer versions of the Debian installer use the same signed <file>Release</file> file mechanism during their debootstrap of the Debian base system, before apt is available, and that the installer even uses this system to verify pieces of itself that it downloads from the net. Also, Debian does not currently sign the <file>Release</file> files on its CDs; apt can be configured to always trust packages from CDs so this is not a large problem."
msgstr "Es lohnt sich auch noch darauf hinzuweisen, dass der Installer von Debian während des Debootstraps des Basissystems, solange Apt noch nicht verfügbar ist, denselben Mechanismus mit signierten <file>Release</file>-Dateien verwendet. Der Installer benutzt sogar dieses Verfahren, um Teile von sich selbst zu überprüfen, die er aus dem Netz gezogen hat. Debian signiert im Moment nicht die <file>Release</file>-Dateien auf den CDs. Apt kann aber so eingerichtet werden, dass es immer den Paketen von CDs vertraut, so dass dies nicht ein so großes Problem darstellt."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:532
msgid "How to tell apt what to trust"
msgstr "Wie man Apt sagt, wem es vertrauen soll"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:539
msgid "So the security of the whole system depends on there being a <file>Release.gpg</file> file, which signs a <file>Release</file> file, and of <prgn>apt</prgn> checking that signature using gpg. To check the signature, it has to know the public key of the person who signed the file. These keys are kept in apt's own keyring (<file>/etc/apt/trusted.gpg</file>), and managing the keys is where secure apt comes in."
msgstr "Die ganze Sicherheit des Verfahrens beruht also darauf, dass es eine <file>Release.gpg</file>-Datei gibt, die eine <file>Release</file>-Datei signiert, und dass diese Signatur von <prgn>apt</prgn> mit Hilfe von GPG überprüft wird. Dazu muss es den öffentlichen Schlüssel der Person kennen, welche die Datei unterschrieben hat. Diese Schlüssel werden in Apts eigenem Schlüsselbund (<file>/etc/apt/trusted.gpg</file>) gespeichert. Bei der Verwaltung dieser Schlüssel kommt Secure Apt ins Spiel."
#. type: <p><example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:541
msgid "By default, Debian systems come preconfigured with the Debian archive key in the keyring."
msgstr "Standardmäßig befindet sich bei Debian-Systemen der Schlüssel des Debian-Archivs im Schlüsselbund."
#. type: <example></example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:547
#, no-wrap
msgid ""
"# apt-key list\n"
"/etc/apt/trusted.gpg\n"
"--------------------\n"
"pub 1024D/4F368D5D 2005-01-31 [expires: 2006-01-31]\n"
"uid Debian Archive Automatic Signing Key (2005) <ftpmaster@debian.org>"
msgstr ""
"# apt-key list\n"
"/etc/apt/trusted.gpg\n"
"--------------------\n"
"pub 1024D/4F368D5D 2005-01-31 [expires: 2006-01-31]\n"
"uid Debian Archive Automatic Signing Key (2005) <ftpmaster@debian.org>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:553
msgid "Here 4F368D5D is the key id, and notice that this key was only valid for a one year period. Debian rotates these keys as a last line of defense against some sort of security breach breaking a key."
msgstr "Im Beispiel ist 4F368D5D die Schlüssel-ID. Beachten Sie, dass dieser Schlüssel nur für ein Jahr gültig ist. Debian tauscht die Schlüssel als letzte Verteidigungslinie gegen Sicherheitsrisiken, die das Knacken eines Schlüssels umfassen, regelmäßig aus."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:559
msgid "That will make <prgn>apt</prgn> trust the official Debian archive, but if you add some other apt repository to <file>/etc/apt/sources.list</file>, you'll also have to give <prgn>apt</prgn> its key if you want apt to trust it. Once you have the key and have verified it, it's a simple matter of running <prgn>apt-key add file</prgn> to add it. Getting the key and verifying it are the trickier parts."
msgstr "Mit dem Schlüssel des Archivs wird <prgn>apt</prgn> dem offiziellen Archiv von Debian vertrauen. Wenn Sie aber weitere Paketdepots zu <file>/etc/apt/sources.list</file> hinzufügen wollen, müssen Sie Apt Ihre Schlüssel mitteilen, wenn Sie wollen, dass Apt ihnen vertraut. Sobald Sie den Schlüssel haben und ihn überprüft haben, müssen Sie nur <prgn>apt-key add <var>Datei</var></prgn> laufen lassen, um den Schlüssel hinzuzufügen. Der schwierigste Teil dabei ist, den Schlüssel zu bekommen und ihn zu überprüfen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:561
msgid "Finding the key for a repository"
msgstr "Den Schlüssel eines Paketdepots finden"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:565
msgid "The debian-archive-keyring package is used to distribute keys to <prgn>apt</prgn>. Upgrades to this package can add (or remove) gpg keys for the main Debian archive."
msgstr "Mit dem Paket <package>debian-archive-keyring</package> werden Schlüssel für <prgn>apt</prgn> bereitgestellt. Aktualisierungen dieses Pakets führen dazu, dass GPG-Schlüssel für das Debian-Hauptarchiv hinzugefügt (oder gelöscht) werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:570
msgid "For other archives, there is not yet a standard location where you can find the key for a given apt repository. There's a rough standard of putting the key up on the web page for the repository or as a file in the repository itself, but no real standard, so you might have to hunt for it."
msgstr "Für andere Archive gibt noch keinen standardisierten Ort, wo sich der Schlüssel für ein Paketdepot befinden soll. Es besteht die grobe Übereinkunft, dass der Schlüssel auf der Webseite des Paketdepots oder im Depot selbst zu finden sein sollte. Wie gesagt ist dies kein echter Standard, so dass Sie den Schlüssel unter Umständen suchen müssen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:577
msgid "The Debian archive signing key is available at <url id=\"http://ftp-master.debian.org/ziyi_key_2006.asc\";> (replace 2006 with current year).<footnote><p>\"ziyi\" is the name of the tool used for signing on the Debian servers, the name is based on the name of a <url id=\"http://en.wikipedia.org/wiki/Zhang_Ziyi\"; name=\"Chinese actress\">.</p></footnote>"
msgstr "Der Schlüssel des Debian-Archivs ist unter <url id=\"http://ftp-master.debian.org/ziyi_key_2006.asc\";> (ersetzen Sie 2006 mit dem aktuellen Jahr) erhältlich.<footnote>»Ziyi« ist der Name des Werkzeugs, mit dem die Debian-Server signiert werden, und beruht auf dem Namen einer <url id=\"http://de.wikipedia.org/wiki/Ziyi_Zhang\"; name=\"chinesischen Schauspielerin\">.</footnote>"
#. type: <p><example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:581
msgid "<prgn>gpg</prgn> itself has a standard way to distribute keys, using a keyserver that gpg can download a key from and add it to its keyring. For example:"
msgstr "<prgn>gpg</prgn> besitzt mit den Schlüsselservern eine standardisierte Möglichkeit, Schlüssel zu verbreiten. Damit kann GPG einen Schlüssel herunterladen und ihn zum Schlüsselbund hinzufügen. Beispiel:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:588
#, no-wrap
msgid ""
"$ gpg --keyserver pgpkeys.mit.edu --recv-key 2D230C5F\n"
"gpg: requesting key 2D230C5F from hkp server pgpkeys.mit.edu\n"
"gpg: key 2D230C5F: public key \"Debian Archive Automatic Signing Key (2006) <ftpm\n"
"aster@debian.org>\" imported\n"
"gpg: Total number processed: 1\n"
"gpg: imported: 1"
msgstr ""
"$ gpg --keyserver pgpkeys.mit.edu --recv-key 2D230C5F\n"
"gpg: requesting key 2D230C5F from hkp server pgpkeys.mit.edu\n"
"gpg: key 2D230C5F: public key \"Debian Archive Automatic Signing Key (2006) <ftpm\n"
"aster@debian.org>\" imported\n"
"gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1\n"
"gpg: importiert: 1"
#. type: <p><example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:592
msgid "You can then export that key from your own keyring and feed it to <prgn>apt-key</prgn>:"
msgstr "Sie können dann den Schlüssel aus Ihrem Schlüsselbund exportieren und ihn an <prgn>apt-key</prgn> weiterreichen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:596
#, no-wrap
msgid ""
"$ gpg -a --export 2D230C5F | sudo apt-key add -\n"
"gpg: no ultimately trusted keys found\n"
"OK"
msgstr ""
"$ gpg -a --export 2D230C5F | sudo apt-key add -\n"
"gpg: kein uneingeschränkt vertrauenswürdiger Schlüssel 080F67F4 gefunden\n"
"OK"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:603
msgid "The \"gpg: no ultimately trusted keys found\" warning means that gpg was not configured to ultimately trust a specific key. Trust settings are part of OpenPGPs Web-of-Trust which does not apply here. So there is no problem with this warning. In typical setups the user's own key is ultimately trusted."
msgstr "Die Warnung »gpg: kein uneingeschränkt vertrauenswürdiger Schlüssel 080F67F4 gefunden« bedeutet, dass GPG nicht so konfiguriert wurde, um einem Schlüssel vollständig zu vertrauen. Das Zuweisen von Vertrauensstufen ist Teil des Web-of-Trust von OpenPGP, was hier nicht Gegenstand ist. Daher ist die Warnung unproblematisch. Für gewöhnlich wird dem eignen Schlüssel eines Benutzers vollständig vertraut."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:605
msgid "Safely adding a key"
msgstr "Auf sichere Weise einen Schlüssel hinzufügen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:614
msgid "By adding a key to apt's keyring, you're telling apt to trust everything signed by the key, and this lets you know for sure that apt won't install anything not signed by the person who possesses the private key. But if you're sufficiently paranoid, you can see that this just pushes things up a level, now instead of having to worry if a package, or a <file>Release</file> file is valid, you can worry about whether you've actually gotten the right key. Is the <url id=\"http://ftp-master.debian.org/ziyi_key_2006.asc\";> file mentioned above really Debian's archive signing key, or has it been modified (or this document lies)."
msgstr "Indem Sie einen Schlüssel zu Apts Schlüsselbund hinzufügen, lassen Sie Apt wissen, dass es allem vertrauen soll, was mit diesem Schlüssel signiert wurde. Dadurch stellen Sie sicher, dass Apt nichts installiert, was nicht vom Inhaber des privaten Schlüssels signiert wurde. Mit ausreichender Paranoia erkennen Sie aber, dass dies das Problem nur um eine Stufe verlagert: Anstatt sich nun darum Sorgen zu machen, ob ein Paket oder eine <file>Release</file>-Datei korrekt ist, müssen Sie überprüfen, ob Sie tatsächlich den richtigen Schlüssel haben. Ist die Datei <url id=\"http://ftp-master.debian.org/ziyi_key_2006.asc\";>, die oben erwähnt wird, wirklich der Signierungsschlüssel des Debian-Archivs oder wurde sie verändert (oder wird gar in diesem Dokument gelogen)?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:627
msgid "It's good to be paranoid in security, but verifying things from here is harder. <prgn>gpg</prgn> has the concept of a chain of trust, which can start at someone you're sure of, who signs someone's key, who signs some other key, etc., until you get to the archive key. If you're sufficiently paranoid you'll want to check that your archive key is signed by a key that you can trust, with a trust chain that goes back to someone you know personally. If you want to do this, visit a Debian conference or perhaps a local LUG for a key signing <footnote><p>Not all apt repository keys are signed at all by another key. Maybe the person setting up the repository doesn't have another key, or maybe they don't feel comfortable signing such a role key with their main key. For information on setting up a key for a repository see <ref id=\"check-non-debian-releases\">.</p></footnote>."
msgstr "Es ist gut, in Sicherheitsfragen Vorsicht walten zu lassen. Aber ab hier wird es schwieriger, Dinge zu überprüfen. <prgn>gpg</prgn> arbeitet mit dem Konzept der Kette des Vertrauens (chain of trust), die bei jemandem beginnt, dem Sie vertrauen und der einen anderen Schlüssel unterschreibt usw., bis Sie beim Schlüssel des Archivs sind. Wenn Sie vorsichtig sind, wollen Sie nachprüfen, dass Ihr Archivschlüssel von einem Schlüssel unterschrieben wurde, dem Sie vertrauen können, weil seine Kette des Vertrauens zu jemandem zurückgeht, den Sie persönlich kennen. Dazu sollten Sie eine Debian-Konferenz oder eine lokale LUG zum Unterschreiben der Schlüssel besuchen<footnote> Nicht alle Schlüssel der Apt-Depots sind überhaupt mit einem anderen Schlüssel unterschrieben. Vielleicht hat derjenige, der das Depot einrichtet, keinen anderen Schlüssel zur Verfügung, oder vielleicht ist es ihm unangenehm, einen Schlüssel mit einer derartig wichtigen Funktion mit seinem Hauptschlüssel zu unterschreiben. Hinweise, wie man einen Schlüssel für ein Depot einrichtet, finden Sie unter <ref id=\"check-non-debian-releases\">. </footnote>."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:634
msgid "If you can't afford this level of paranoia, do whatever feels appropriate to you when adding a new apt source and a new key. Maybe you'll want to mail the person providing the key and verify it, or maybe you're willing to take your chances with downloading it and assuming you got the real thing. The important thing is that by reducing the problem to what archive keys to trust, secure apt lets you be as careful and secure as it suits you to be."
msgstr "Wenn Sie diese Sicherheitsbedenken nicht teilen (können), unternehmen Sie, was auch immer Sie passend finden, wenn Sie eine neue Apt-Quelle oder einen neuen Schlüssel verwenden. Sie könnten demjenigen, der den Schlüssel anbietet, eine Mail schreiben, um den Schlüssel zu überprüfen. Oder Sie vertrauen auf Ihr Glück und gehen davon aus, dass Sie den richten heruntergeladen haben. Das wichtige ist, dass Secure Apt, indem es das Problem darauf reduziert, welchen Archivschlüsseln Sie vertrauen, Sie so vorsichtig und sicher vorgehen lässt, wie es Ihnen passend und notwendig erscheint."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:636
msgid "Verifying key integrity"
msgstr "Die Integrität eines Schlüssels überprüfen"
#. type: <p><example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:643
msgid "You can verify the fingerprint as well as the signatures on the key. Retrieving the fingerprint can be done for multiple sources, you can check <url id=\"http://debiansystem.info/readers/changes/547-ziyi-key-2006\"; name=\"The Debian System Book\">, talk to Debian Developers on IRC, read the mailing list where the key change will be announced or any other additional means to verify the fingerprint. For example you can do this:"
msgstr "Sie können dazu sowohl den Fingerabdruck als auch die Unterschriften des Schlüssels überprüfen. Den Fingerabdruck kann man aus verschiedenen Quellen erhalten. Sie können im Buch <url id=\"http://debiansystem.info/readers/changes/547-ziyi-key-2006\"; name=\"The Debian System\"> nachsehen, im IRC mit Debian-Entwicklern reden oder Mailinglisten lesen, wo ein Wechsel des Schlüssel angekündigt werden wird, oder jede andere erdenkliche Methode verwenden, um den Fingerabdruck zu überprüfen. Zum Beispiel können Sie auch Folgendes machen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:661
#, no-wrap
msgid ""
"$ GET http://ftp-master.debian.org/ziyi_key_2006.asc | gpg --import\n"
"gpg: key 2D230C5F: public key \"Debian Archive Automatic Signing Key (2006)\n"
" <ftpmaster&debian.org>\" imported\n"
"gpg: Total number processed: 1\n"
"gpg: imported: 1\n"
"$ gpg --check-sigs --fingerprint 2D230C5F\n"
"pub 1024D/2D230C5F 2006-01-03 [expires: 2007-02-07]\n"
" Key fingerprint = 0847 50FC 01A6 D388 A643 D869 0109 0831 2D23 0C5F\n"
"uid Debian Archive Automatic Signing Key (2006) <ftpmaster@debian.org>\n"
"sig!3 2D230C5F 2006-01-03 Debian Archive Automatic Signing Key\n"
" (2006) <ftpmaster@debian.org>\n"
"sig! 2A4E3EAA 2006-01-03 Anthony Towns <aj@azure.humbug.org.au>\n"
"sig! 4F368D5D 2006-01-03 Debian Archive Automatic Signing Key\n"
" (2005) <ftpmaster@debian.org>\n"
"sig! 29982E5A 2006-01-04 Steve Langasek <vorlon@dodds.net>\n"
"sig! FD6645AB 2006-01-04 Ryan Murray <rmurray@cyberhqz.com>\n"
"sig! AB2A91F5 2006-01-04 James Troup <james@nocrew.org>"
msgstr ""
"$ GET http://ftp-master.debian.org/ziyi_key_2006.asc | gpg --import\n"
"gpg: key 2D230C5F: public key \"Debian Archive Automatic Signing Key (2006)\n"
" <ftpmaster&debian.org>\" imported\n"
"gpg: Total number processed: 1\n"
"gpg: imported: 1\n"
"$ gpg --check-sigs --fingerprint 2D230C5F\n"
"pub 1024D/2D230C5F 2006-01-03 [expires: 2007-02-07]\n"
" Key fingerprint = 0847 50FC 01A6 D388 A643 D869 0109 0831 2D23 0C5F\n"
"uid Debian Archive Automatic Signing Key (2006) <ftpmaster@debian.org>\n"
"sig!3 2D230C5F 2006-01-03 Debian Archive Automatic Signing Key\n"
" (2006) <ftpmaster@debian.org>\n"
"sig! 2A4E3EAA 2006-01-03 Anthony Towns <aj@azure.humbug.org.au>\n"
"sig! 4F368D5D 2006-01-03 Debian Archive Automatic Signing Key\n"
" (2005) <ftpmaster@debian.org>\n"
"sig! 29982E5A 2006-01-04 Steve Langasek <vorlon@dodds.net>\n"
"sig! FD6645AB 2006-01-04 Ryan Murray <rmurray@cyberhqz.com>\n"
"sig! AB2A91F5 2006-01-04 James Troup <james@nocrew.org>"
#. type: </example><example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:667
msgid "and then <url id=\"http://www.debian.org/doc/manuals/securing-debian-howto/ch7.en.html#s-deb-pack-sign\"; name=\"check the trust path\"> from your key (or a key you trust) to at least one of the keys used to sign the archive key. If you are sufficiently paranoid you will tell apt to trust the key only if you find an acceptable path:"
msgstr "und dann von Ihrem Schlüssel (oder einem Schlüssel, dem Sie vertrauen) den <url id=\"http://www.de.debian.org/doc/manuals/securing-debian-howto/ch7#s-deb-pack-sign\"; name=\"Pfad des Vertrauens\"> zu wenigstens einem der Schlüssel, der verwendet wurde, um den Archivschlüssel zu unterschreiben, überprüfen. Wenn Sie vorsichtig sein wollen, sollten Sie Apt mitteilen, dass es dem Schlüssel nur vertrauen darf, wenn es einen passenden Pfad gefunden hat:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:670
#, no-wrap
msgid ""
"$ gpg --export -a 2D230C5F | sudo apt-key add -\n"
"Ok"
msgstr ""
"$ gpg --export -a 2D230C5F | sudo apt-key add -\n"
"Ok"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:675
msgid "Note that the key is signed with the previous archive key, so theoretically you can just build on your previous trust."
msgstr "Hinweis: Der aktuelle Schlüssel ist mit dem vorhergehenden Archivschlüssel unterschrieben, so dass Sie theoretisch auf Ihrem alten Vertrauen aufbauen können."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:677
msgid "Debian archive key yearly rotation"
msgstr "Der jährliche Austausch des Archivschlüssels von Debian"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:681
msgid "As mentioned above, the Debian archive signing key is changed each year, in January. Since secure apt is young, we don't have a great deal of experience with changing the key and there are still rough spots."
msgstr "Wie schon erwähnt wird der Schlüssel, mit dem das Debian-Archiv signiert wird, jedes Jahr im Januar ausgetauscht. Da Secure Apt noch jung ist, haben wir noch nicht sehr viel Erfahrung damit und es gibt noch ein paar haarige Stellen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:692
msgid "In January 2006, a new key for 2006 was made and the <file>Release</file> file began to be signed by it, but to try to avoid breaking systems that had the old 2005 key, the <file>Release</file> file was signed by that as well. The intent was that apt would accept one signature or the other depending on the key it had, but apt turned out to be buggy and refused to trust the file unless it had both keys and was able to check both signatures. This was fixed in apt version 0.6.43.1. There was also confusion about how the key was distributed to users who already had systems using secure apt; initially it was uploaded to the web site with no announcement and no real way to verify it and users were forced to download it by hand."
msgstr "Im Januar 2006 wurde ein neuer Schlüssel für 2006 erstellt und die <file>Release</file>-Datei wurde damit unterschrieben. Um aber zu vermeiden, dass Systeme, die noch den alten Schlüssel von 2005 verwenden, nicht mehr korrekt arbeiten, wurde die <file>Release</file>-Datei auch mit dem alten Schlüssel unterschrieben. Es war geplant, dass Apt je nach dem verfügbaren Schlüssel eine der beiden Unterschriften akzeptieren würde. Aber es zeigte sich ein Fehler in Apt, da es sich weigerte, der Datei zu vertrauen, wenn es nicht beide Schlüssel hatte und somit beide Unterschriften überprüfen konnte. Dies wurde in der Version 0.6.43.1 ausgebessert. Es gab auch Verwirrung darüber, wie der Schlüssel an Benutzer verteilt wird, die bereits Secure Apt auf ihrem System laufen lassen. Am Anfang wurde er auf die Webseite hochgeladen, ohne Ankündigung und ohne eine echte Möglichkeit, ihn zu überprüfen, und die Benutzer mussten ihn per Hand herunterladen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:724
msgid "In January 2006, a new key for 2006 was made and the Release file began to be signed by it, but to try to avoid breaking systems that had the old 2005 key, the <file>Release</file> file was signed by that as well. In order to prevent confusion on the best distribution mechanism for users who already have systems using secure apt, the debian-archive-keyring package was introduced, which manages apt keyring updates."
msgstr "<!-- SB: English version ambiguous. Check paragraphs from here ...-->"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:726
msgid "Known release checking problems"
msgstr "Bekannte Probleme bei der Prüfung der Release-Datei"
#. type: <p><example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:730
msgid "One not so obvious problem is that if your clock is very far off, secure apt will not work. If it's set to a date in the past, such as 1999, apt will fail with an unhelpful message such as this:"
msgstr "Ein nicht offensichtliches Problem ist, dass Secure Apt nicht funktioniert, wenn Ihre Uhr sehr verstellt ist. Wenn sie auf ein Datum in der Vergangenheit wie 1999 eingestellt ist, wird Apt mit einer nichts sagenden Ausgabe wie dieser abbrechen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:732
#, no-wrap
msgid "W: GPG error: http://archive.progeny.com sid Release: Unknown error executing gpg"
msgstr "W: GPG error: http://archive.progeny.com sid Release: Unknown error executing gpg"
#. type: <p><example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:736
msgid "Although <prgn>apt-key</prgn> list will make the problem plain:"
msgstr "Dagegen macht <prgn>apt-key</prgn> das Problem deutlich:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:741
#, no-wrap
msgid ""
"gpg: key 2D230C5F was created 192324901 seconds in the future (time warp or clock problem)\n"
"gpg: key 2D230C5F was created 192324901 seconds in the future (time warp or clock problem)\n"
"pub 1024D/2D230C5F 2006-01-03\n"
"uid Debian Archive Automatic Signing Key (2006) <ftpmaster@debian.org>"
msgstr ""
"gpg: key 2D230C5F was created 192324901 seconds in the future (time warp or clock problem)\n"
"gpg: key 2D230C5F was created 192324901 seconds in the future (time warp or clock problem)\n"
"pub 1024D/2D230C5F 2006-01-03\n"
"uid Debian Archive Automatic Signing Key (2006) <ftpmaster@debian.org>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:745
msgid "If it's set to a date too far in the future, apt will treat the keys as expired."
msgstr "Falls die Uhr nicht zu weit vorgeht, behandelt Apt die Schlüssel als abgelaufen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:750
msgid "Another problem you may encouter if using testing or unstable is that if you have not run <prgn>apt-get update</prgn> lately and <prgn>apt-get install</prgn> a package, apt might complain that it cannot be authenticated (why does it do this?). <prgn>apt-get update</prgn> will fix this."
msgstr "Wenn Sie Testing oder Unstable verwenden, gibt es ein Problem, wenn Sie in letzter Zeit nicht <prgn>apt-get update</prgn> ausgeführt haben und mit <prgn>apt-get</prgn> ein Paket installieren möchten. Apt könnte sich darüber beschweren, dass es nicht authentifiziert werden konnte (Warum passiert das bloß?). <prgn>apt-get update</prgn> löst das Problem."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:752
msgid "Manual per distribution release check"
msgstr "Prüfung von Hand"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:765
msgid "In case you want to add now the additional security checks and don't want or cannot run the latest apt version<footnote><p>Either because you are using the stable, <em>sarge</em>, release or an older release or because you don't want to use the latest apt version, although we would really appreciate testing of it.</p></footnote> you can use the script below, provided by Anthony Towns. This script can automatically do some new security checks to allow the user to be sure that the software s/he's downloading matches the software Debian's distributing. This stops Debian developers from hacking into someone's system without the accountability provided by uploading to the main archive, or mirrors mirroring something almost, but not quite like Debian, or mirrors providing out of date copies of unstable with known security problems."
msgstr "Für den Fall, dass Sie nun zusätzliche Sicherheitsprüfungen einführen wollen, aber nicht die neuste Version von apt einsetzen wollen oder können<footnote> Entweder weil Sie Stable (<em>Sarge</em>) oder eine ältere Veröffentlichung verwenden, oder weil Sie nicht die neuste Version von Apt einsetzen wollen, obwohl wir das Testen wirklich schätzen würden. </footnote>, können Sie das folgende Skript von Anthony Towns benutzen. Dieses Skript führt automatisch neue Sicherheitsüberprüfungen durch, damit ein Benutzer sicher gehen kann, dass die Software, die er herunterlädt, die gleiche ist wie die, die von Debian bereitgestellt wird. Das verhindert, dass sich Debian-Entwickler in ein fremdes System einhacken können, ohne dass eine Zurechnung und Rückverfolgung möglich wäre, die durch das Hochladen eines Pakets auf das Hauptarchiv gewährleistet werden. Es kann auch verhindern, dass ein Spiegel etwas fast genau abbildet, das aber eben doch nicht ganz wie in Debian, oder dass veraltete Versionen von instabilen Paketen mit bekannten Sicherheitslücken zur Verfügung gestellt werden."
#. type: <p><example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:767
msgid "This sample code, renamed as <prgn>apt-check-sigs</prgn>, should be used in the following way:"
msgstr "Dieser Beispielscode, umbenannt nach <prgn>apt-check sigs</prgn>, sollte auf die folgende Art benutzt werden:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:772
#, no-wrap
msgid ""
"# apt-get update\n"
"# apt-check-sigs\n"
"(...results...)\n"
"# apt-get dist-upgrade"
msgstr ""
"# apt-get update\n"
"# apt-check-sigs\n"
"(... Ergebnisse ...)\n"
"# apt-get dist-upgrade"
#. type: <p><list>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:776
msgid "First you need to:"
msgstr "Zuerst müssen Sie jedoch Folgendes tun:"
#. type: <p><example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:782
msgid "get the keys the archive software uses to sign <file>Release</file> files, <url id=\"http://ftp-master.debian.org/ziyi_key_2006.asc\";> and add them to <file>~/.gnupg/trustedkeys.gpg</file> (which is what <prgn>gpgv</prgn> uses by default)."
msgstr "Holen Sie sich den Schlüssel, den die Archiv-Software verwendet, um <file>Release</file>-Dateien zu signieren, also <url id=\"http://ftp-master.debian.org/ziyi_key_2006.asc\";>, und fügen Sie ihn <file>~/.gnupg/trustedkeys.gpg</file> hinzu (was standardmäßig von <prgn>gpgv</prgn> benutzt wird)."
#. type: <example></example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:784
#, no-wrap
msgid " gpg --no-default-keyring --keyring trustedkeys.gpg --import ziyi_key_2006.asc"
msgstr " gpg --no-default-keyring --keyring trustedkeys.gpg --import ziyi_key_2006.asc"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:790
msgid "remove any <file>/etc/apt/sources.list</file> lines that don't use the normal \"dists\" structure, or change the script so that it works with them."
msgstr "Entfernen Sie alle Zeilen aus <file>/etc/apt/sources.list</file>, die nicht die normale »dists«-Struktur benutzen, oder ändern Sie das Skript, so dass es auch mit denen funktioniert."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:794
msgid "be prepared to ignore the fact that Debian security updates don't have signed <file>Release</file> files, and that <file>Sources</file> files don't have appropriate checksums in the <file>Release</file> file (yet)."
msgstr "Ignorieren Sie die Tatsache, dass Sicherheitsaktualisierungen von Debian keine signierten <file>Release</file>-Dateien haben, und das <file>Sources</file>-Dateien (noch) keine richtigen Prüfsummen in der <file>Release</file>-Datei haben."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:797
msgid "be prepared to check that the appropriate sources are signed by the appropriate keys."
msgstr "Bereiten Sie sich darauf vor, zu prüfen, dass die richtigen Quellen durch den richtigen Schlüssel signiert wurden."
#. type: <p><example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:805
msgid "This is the example code for <prgn>apt-check-sigs</prgn>, the latest version can be retrieved from <url id=\"http://people.debian.org/~ajt/apt-check-sigs\";>. This code is currently in beta, for more information read <url id=\"http://lists.debian.org/debian-devel/2002/debian-devel-200207/msg00421.html\";>."
msgstr "Dies ist der Beispielscode für <prgn>apt-check-sigs</prgn>. Die neuste Fassung ist unter <url id=\"http://people.debian.org/~ajt/apt-check-sigs\";> erhältlich. Dieser Code befindet sich im Moment noch im Beta-Stadium. Für weitere Informationen sollten Sie <url id=\"http://lists.debian.org/debian-devel/2002/debian-devel-200207/msg00421.html\";> lesen."
#. type: <example></example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:1050
#, no-wrap
msgid ""
"#!/bin/bash\n"
"\n"
"# Copyright (c) 2001 Anthony Towns <ajt@debian.org>\n"
"#\n"
"# This program is free software; you can redistribute it and/or modify\n"
"# it under the terms of the GNU General Public License as published by\n"
"# the Free Software Foundation; either version 2 of the License, or\n"
"# (at your option) any later version.\n"
"#\n"
"# This program is distributed in the hope that it will be useful,\n"
"# but WITHOUT ANY WARRANTY; without even the implied warranty of\n"
"# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the\n"
"# GNU General Public License for more details.\n"
"\n"
"rm -rf /tmp/apt-release-check\n"
"mkdir /tmp/apt-release-check || exit 1\n"
"cd /tmp/apt-release-check\n"
"\n"
">OK\n"
">MISSING\n"
">NOCHECK\n"
">BAD\n"
"\n"
"arch=`dpkg --print-installation-architecture`\n"
"\n"
"am_root () {\n"
" [ `id -u` -eq 0 ]\n"
"}\n"
"\n"
"get_md5sumsize () {\n"
" cat \"$1\" | awk '/^MD5Sum:/,/^SHA1:/' | \n"
" MYARG=\"$2\" perl -ne '@f = split /\\s+/; if ($f[3] eq $ENV{\"MYARG\"}) {\n"
"print \"$f[1] $f[2]\\n"
"\"; exit(0); }'\n"
"}\n"
"\n"
"checkit () {\n"
" local FILE=\"$1\"\n"
" local LOOKUP=\"$2\"\n"
"\n"
" Y=\"`get_md5sumsize Release \"$LOOKUP\"`\"\n"
" Y=\"`echo \"$Y\" | sed 's/^ *//;s/ */ /g'`\"\n"
"\n"
" if [ ! -e \"/var/lib/apt/lists/$FILE\" ]; then\n"
" if [ \"$Y\" = \"\" ]; then\n"
" # No file, but not needed anyway\n"
" echo \"OK\"\n"
" return\n"
" fi\n"
" echo \"$FILE\" >>MISSING\n"
" echo \"MISSING $Y\"\n"
" return\n"
" fi\n"
" if [ \"$Y\" = \"\" ]; then\n"
" echo \"$FILE\" >>NOCHECK\n"
" echo \"NOCHECK\"\n"
" return\n"
" fi\n"
" X=\"`md5sum < /var/lib/apt/lists/$FILE | cut -d\\ -f1` `wc -c < /var/lib\n"
"/apt/lists/$FILE`\"\n"
" X=\"`echo \"$X\" | sed 's/^ *//;s/ */ /g'`\"\n"
" if [ \"$X\" != \"$Y\" ]; then\n"
" echo \"$FILE\" >>BAD\n"
" echo \"BAD\"\n"
" return\n"
" fi\n"
" echo \"$FILE\" >>OK\n"
" echo \"OK\"\n"
"}\n"
"\n"
"echo\n"
"echo \"Checking sources in /etc/apt/sources.list:\"\n"
"echo \"~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\"\n"
"echo\n"
"(echo \"You should take care to ensure that the distributions you're downloading\n"
"\"\n"
"echo \"are the ones you think you are downloading, and that they are as up to\"\n"
"echo \"date as you would expect (testing and unstable should be no more than\"\n"
"echo \"two or three days out of date, stable-updates no more than a few weeks\"\n"
"echo \"or a month).\"\n"
") | fmt\n"
"echo\n"
"\n"
"cat /etc/apt/sources.list | \n"
" sed 's/^ *//' | grep '^[^#]' |\n"
" while read ty url dist comps; do\n"
" if [ \"${url%%:*}\" = \"http\" -o \"${url%%:*}\" = \"ftp\" ]; then\n"
" baseurl=\"${url#*://}\"\n"
" else\n"
" continue\n"
" fi\n"
"\n"
" echo \"Source: ${ty} ${url} ${dist} ${comps}\"\n"
"\n"
" rm -f Release Release.gpg\n"
" lynx -reload -dump \"${url}/dists/${dist}/Release\" >/dev/null 2>&1\n"
" wget -q -O Release \"${url}/dists/${dist}/Release\"\n"
"\n"
" if ! grep -q '^' Release; then\n"
" echo \" * NO TOP-LEVEL Release FILE\"\n"
" >Release\n"
" else\n"
" origline=`sed -n 's/^Origin: *//p' Release | head -1`\n"
" lablline=`sed -n 's/^Label: *//p' Release | head -1`\n"
" suitline=`sed -n 's/^Suite: *//p' Release | head -1`\n"
" codeline=`sed -n 's/^Codename: *//p' Release | head -1`\n"
" dateline=`grep \"^Date:\" Release | head -1`\n"
" dscrline=`grep \"^Description:\" Release | head -1`\n"
" echo \" o Origin: $origline/$lablline\"\n"
" echo \" o Suite: $suitline/$codeline\"\n"
" echo \" o $dateline\"\n"
" echo \" o $dscrline\"\n"
"\n"
" if [ \"${dist%%/*}\" != \"$suitline\" -a \"${dist%%/*}\" != \"$codeline\" ]; then\n"
" echo \" * WARNING: asked for $dist, got $suitline/$codeline\"\n"
" fi\n"
"\n"
" lynx -reload -dump \"${url}/dists/${dist}/Release.gpg\" >/dev/null 2>&1\n"
" wget -q -O Release.gpg \"${url}/dists/${dist}/Release.gpg\"\n"
"\n"
" gpgv --status-fd 3 Release.gpg Release 3>&1 >/dev/null 2>&1 | sed -n \"s/^\\[GNUPG:\\] //p\" | (okay=0; err=\"\"; while read gpgcode rest; do\n"
" if [ \"$gpgcode\" = \"GOODSIG\" ]; then\n"
" if [ \"$err\" != \"\" ]; then\n"
" echo \" * Signed by ${err# } key: ${rest#* }\"\n"
" else\n"
" echo \" o Signed by: ${rest#* }\"\n"
" okay=1\n"
" fi\n"
" err=\"\"\n"
" elif [ \"$gpgcode\" = \"BADSIG\" ]; then\n"
" echo \" * BAD SIGNATURE BY: ${rest#* }\"\n"
" err=\"\"\n"
" elif [ \"$gpgcode\" = \"ERRSIG\" ]; then\n"
" echo \" * COULDN'T CHECK SIGNATURE BY KEYID: ${rest %% *}\"\n"
" err=\"\"\n"
" elif [ \"$gpgcode\" = \"SIGREVOKED\" ]; then\n"
" err=\"$err REVOKED\"\n"
" elif [ \"$gpgcode\" = \"SIGEXPIRED\" ]; then\n"
" err=\"$err EXPIRED\"\n"
" fi\n"
" done\n"
" if [ \"$okay\" != 1 ]; then\n"
" echo \" * NO VALID SIGNATURE\"\n"
" >Release\n"
" fi)\n"
" fi\n"
" okaycomps=\"\"\n"
" for comp in $comps; do\n"
" if [ \"$ty\" = \"deb\" ]; then\n"
" X=$(checkit \"`echo \"${baseurl}/dists/${dist}/${comp}/binary-${arch}/Release\" | sed 's,//*,_,g'`\" \"${comp}/binary-${arch}/Release\")\n"
" Y=$(checkit \"`echo \"${baseurl}/dists/${dist}/${comp}/binary-${arch}/Packages\" | sed 's,//*,_,g'`\" \"${comp}/binary-${arch}/Packages\")\n"
" if [ \"$X $Y\" = \"OK OK\" ]; then\n"
" okaycomps=\"$okaycomps $comp\"\n"
" else\n"
" echo \" * PROBLEMS WITH $comp ($X, $Y)\"\n"
" fi\n"
" elif [ \"$ty\" = \"deb-src\" ]; then\n"
" X=$(checkit \"`echo \"${baseurl}/dists/${dist}/${comp}/source/Release\" | sed 's,//*,_,g'`\" \"${comp}/source/Release\")\n"
" Y=$(checkit \"`echo \"${baseurl}/dists/${dist}/${comp}/source/Sources\" | sed 's,//*,_,g'`\" \"${comp}/source/Sources\")\n"
" if [ \"$X $Y\" = \"OK OK\" ]; then\n"
" okaycomps=\"$okaycomps $comp\"\n"
" else\n"
" echo \" * PROBLEMS WITH component $comp ($X, $Y)\"\n"
" fi\n"
" fi\n"
" done\n"
" [ \"$okaycomps\" = \"\" ] || echo \" o Okay:$okaycomps\"\n"
" echo\n"
" done\n"
"\n"
"echo \"Results\"\n"
"echo \"~~~~~~~\"\n"
"echo\n"
"\n"
"allokay=true\n"
"\n"
"cd /tmp/apt-release-check\n"
"diff <(cat BAD MISSING NOCHECK OK | sort) <(cd /var/lib/apt/lists && find . -type f -maxdepth 1 | sed 's,^\\./,,g' | grep '_' | sort) | sed -n 's/^> //p' >UNVALIDATED\n"
"\n"
"cd /tmp/apt-release-check\n"
"if grep -q ^ UNVALIDATED; then\n"
" allokay=false\n"
" (echo \"The following files in /var/lib/apt/lists have not been validated.\"\n"
" echo \"This could turn out to be a harmless indication that this script\"\n"
" echo \"is buggy or out of date, or it could let trojaned packages get onto\"\n"
" echo \"your system.\"\n"
" ) | fmt\n"
" echo\n"
" sed 's/^/ /' < UNVALIDATED\n"
" echo\n"
"fi\n"
"\n"
"if grep -q ^ BAD; then\n"
" allokay=false\n"
" (echo \"The contents of the following files in /var/lib/apt/lists does not\"\n"
" echo \"match what was expected. This may mean these sources are out of date,\"\n"
" echo \"that the archive is having problems, or that someone is actively\"\n"
" echo \"using your mirror to distribute trojans.\"\n"
" if am_root; then \n"
" echo \"The files have been renamed to have the extension .FAILED and\"\n"
" echo \"will be ignored by apt.\"\n"
" cat BAD | while read a; do\n"
" mv /var/lib/apt/lists/$a /var/lib/apt/lists/${a}.FAILED\n"
" done\n"
" fi) | fmt\n"
" echo\n"
" sed 's/^/ /' < BAD\n"
" echo\n"
"fi\n"
"\n"
"if grep -q ^ MISSING; then\n"
" allokay=false\n"
" (echo \"The following files from /var/lib/apt/lists were missing. This\"\n"
" echo \"may cause you to miss out on updates to some vulnerable packages.\"\n"
" ) | fmt\n"
" echo\n"
" sed 's/^/ /' < MISSING\n"
" echo\n"
"fi\n"
"\n"
"if grep -q ^ NOCHECK; then\n"
" allokay=false\n"
" (echo \"The contents of the following files in /var/lib/apt/lists could not\"\n"
" echo \"be validated due to the lack of a signed Release file, or the lack\"\n"
" echo \"of an appropriate entry in a signed Release file. This probably\"\n"
" echo \"means that the maintainers of these sources are slack, but may mean\"\n"
" echo \"these sources are being actively used to distribute trojans.\"\n"
" if am_root; then \n"
" echo \"The files have been renamed to have the extension .FAILED and\"\n"
" echo \"will be ignored by apt.\"\n"
" cat NOCHECK | while read a; do\n"
" mv /var/lib/apt/lists/$a /var/lib/apt/lists/${a}.FAILED\n"
" done\n"
" fi) | fmt\n"
" echo\n"
" sed 's/^/ /' < NOCHECK\n"
" echo\n"
"fi\n"
"\n"
"if $allokay; then\n"
" echo 'Everything seems okay!'\n"
" echo\n"
"fi\n"
"\n"
"rm -rf /tmp/apt-release-check"
msgstr ""
"#!/bin/bash\n"
"\n"
"# Copyright (c) 2001 Anthony Towns <ajt@debian.org>\n"
"#\n"
"# This program is free software; you can redistribute it and/or modify\n"
"# it under the terms of the GNU General Public License as published by\n"
"# the Free Software Foundation; either version 2 of the License, or\n"
"# (at your option) any later version.\n"
"#\n"
"# This program is distributed in the hope that it will be useful,\n"
"# but WITHOUT ANY WARRANTY; without even the implied warranty of\n"
"# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the\n"
"# GNU General Public License for more details.\n"
"\n"
"rm -rf /tmp/apt-release-check\n"
"mkdir /tmp/apt-release-check || exit 1\n"
"cd /tmp/apt-release-check\n"
"\n"
">OK\n"
">MISSING\n"
">NOCHECK\n"
">BAD\n"
"\n"
"arch=`dpkg --print-installation-architecture`\n"
"\n"
"am_root () {\n"
" [ `id -u` -eq 0 ]\n"
"}\n"
"\n"
"get_md5sumsize () {\n"
" cat \"$1\" | awk '/^MD5Sum:/,/^SHA1:/' | \n"
" MYARG=\"$2\" perl -ne '@f = split /\\s+/; if ($f[3] eq $ENV{\"MYARG\"}) {\n"
"print \"$f[1] $f[2]\\n"
"\"; exit(0); }'\n"
"}\n"
"\n"
"checkit () {\n"
" local FILE=\"$1\"\n"
" local LOOKUP=\"$2\"\n"
"\n"
" Y=\"`get_md5sumsize Release \"$LOOKUP\"`\"\n"
" Y=\"`echo \"$Y\" | sed 's/^ *//;s/ */ /g'`\"\n"
"\n"
" if [ ! -e \"/var/lib/apt/lists/$FILE\" ]; then\n"
" if [ \"$Y\" = \"\" ]; then\n"
" # No file, but not needed anyway\n"
" echo \"OK\"\n"
" return\n"
" fi\n"
" echo \"$FILE\" >>MISSING\n"
" echo \"MISSING $Y\"\n"
" return\n"
" fi\n"
" if [ \"$Y\" = \"\" ]; then\n"
" echo \"$FILE\" >>NOCHECK\n"
" echo \"NOCHECK\"\n"
" return\n"
" fi\n"
" X=\"`md5sum < /var/lib/apt/lists/$FILE | cut -d\\ -f1` `wc -c < /var/lib\n"
"/apt/lists/$FILE`\"\n"
" X=\"`echo \"$X\" | sed 's/^ *//;s/ */ /g'`\"\n"
" if [ \"$X\" != \"$Y\" ]; then\n"
" echo \"$FILE\" >>BAD\n"
" echo \"BAD\"\n"
" return\n"
" fi\n"
" echo \"$FILE\" >>OK\n"
" echo \"OK\"\n"
"}\n"
"\n"
"echo\n"
"echo \"Checking sources in /etc/apt/sources.list:\"\n"
"echo \"~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\"\n"
"echo\n"
"(echo \"You should take care to ensure that the distributions you're downloading\n"
"\"\n"
"echo \"are the ones you think you are downloading, and that they are as up to\"\n"
"echo \"date as you would expect (testing and unstable should be no more than\"\n"
"echo \"two or three days out of date, stable-updates no more than a few weeks\"\n"
"echo \"or a month).\"\n"
") | fmt\n"
"echo\n"
"\n"
"cat /etc/apt/sources.list | \n"
" sed 's/^ *//' | grep '^[^#]' |\n"
" while read ty url dist comps; do\n"
" if [ \"${url%%:*}\" = \"http\" -o \"${url%%:*}\" = \"ftp\" ]; then\n"
" baseurl=\"${url#*://}\"\n"
" else\n"
" continue\n"
" fi\n"
"\n"
" echo \"Source: ${ty} ${url} ${dist} ${comps}\"\n"
"\n"
" rm -f Release Release.gpg\n"
" lynx -reload -dump \"${url}/dists/${dist}/Release\" >/dev/null 2>&1\n"
" wget -q -O Release \"${url}/dists/${dist}/Release\"\n"
"\n"
" if ! grep -q '^' Release; then\n"
" echo \" * NO TOP-LEVEL Release FILE\"\n"
" >Release\n"
" else\n"
" origline=`sed -n 's/^Origin: *//p' Release | head -1`\n"
" lablline=`sed -n 's/^Label: *//p' Release | head -1`\n"
" suitline=`sed -n 's/^Suite: *//p' Release | head -1`\n"
" codeline=`sed -n 's/^Codename: *//p' Release | head -1`\n"
" dateline=`grep \"^Date:\" Release | head -1`\n"
" dscrline=`grep \"^Description:\" Release | head -1`\n"
" echo \" o Origin: $origline/$lablline\"\n"
" echo \" o Suite: $suitline/$codeline\"\n"
" echo \" o $dateline\"\n"
" echo \" o $dscrline\"\n"
"\n"
" if [ \"${dist%%/*}\" != \"$suitline\" -a \"${dist%%/*}\" != \"$codeline\" ]; then\n"
" echo \" * WARNING: asked for $dist, got $suitline/$codeline\"\n"
" fi\n"
"\n"
" lynx -reload -dump \"${url}/dists/${dist}/Release.gpg\" >/dev/null 2>&1\n"
" wget -q -O Release.gpg \"${url}/dists/${dist}/Release.gpg\"\n"
"\n"
" gpgv --status-fd 3 Release.gpg Release 3>&1 >/dev/null 2>&1 | sed -n \"s/^\\[GNUPG:\\] //p\" | (okay=0; err=\"\"; while read gpgcode rest; do\n"
" if [ \"$gpgcode\" = \"GOODSIG\" ]; then\n"
" if [ \"$err\" != \"\" ]; then\n"
" echo \" * Signed by ${err# } key: ${rest#* }\"\n"
" else\n"
" echo \" o Signed by: ${rest#* }\"\n"
" okay=1\n"
" fi\n"
" err=\"\"\n"
" elif [ \"$gpgcode\" = \"BADSIG\" ]; then\n"
" echo \" * BAD SIGNATURE BY: ${rest#* }\"\n"
" err=\"\"\n"
" elif [ \"$gpgcode\" = \"ERRSIG\" ]; then\n"
" echo \" * COULDN'T CHECK SIGNATURE BY KEYID: ${rest %% *}\"\n"
" err=\"\"\n"
" elif [ \"$gpgcode\" = \"SIGREVOKED\" ]; then\n"
" err=\"$err REVOKED\"\n"
" elif [ \"$gpgcode\" = \"SIGEXPIRED\" ]; then\n"
" err=\"$err EXPIRED\"\n"
" fi\n"
" done\n"
" if [ \"$okay\" != 1 ]; then\n"
" echo \" * NO VALID SIGNATURE\"\n"
" >Release\n"
" fi)\n"
" fi\n"
" okaycomps=\"\"\n"
" for comp in $comps; do\n"
" if [ \"$ty\" = \"deb\" ]; then\n"
" X=$(checkit \"`echo \"${baseurl}/dists/${dist}/${comp}/binary-${arch}/Release\" | sed 's,//*,_,g'`\" \"${comp}/binary-${arch}/Release\")\n"
" Y=$(checkit \"`echo \"${baseurl}/dists/${dist}/${comp}/binary-${arch}/Packages\" | sed 's,//*,_,g'`\" \"${comp}/binary-${arch}/Packages\")\n"
" if [ \"$X $Y\" = \"OK OK\" ]; then\n"
" okaycomps=\"$okaycomps $comp\"\n"
" else\n"
" echo \" * PROBLEMS WITH $comp ($X, $Y)\"\n"
" fi\n"
" elif [ \"$ty\" = \"deb-src\" ]; then\n"
" X=$(checkit \"`echo \"${baseurl}/dists/${dist}/${comp}/source/Release\" | sed 's,//*,_,g'`\" \"${comp}/source/Release\")\n"
" Y=$(checkit \"`echo \"${baseurl}/dists/${dist}/${comp}/source/Sources\" | sed 's,//*,_,g'`\" \"${comp}/source/Sources\")\n"
" if [ \"$X $Y\" = \"OK OK\" ]; then\n"
" okaycomps=\"$okaycomps $comp\"\n"
" else\n"
" echo \" * PROBLEMS WITH component $comp ($X, $Y)\"\n"
" fi\n"
" fi\n"
" done\n"
" [ \"$okaycomps\" = \"\" ] || echo \" o Okay:$okaycomps\"\n"
" echo\n"
" done\n"
"\n"
"echo \"Results\"\n"
"echo \"~~~~~~~\"\n"
"echo\n"
"\n"
"allokay=true\n"
"\n"
"cd /tmp/apt-release-check\n"
"diff <(cat BAD MISSING NOCHECK OK | sort) <(cd /var/lib/apt/lists && find . -type f -maxdepth 1 | sed 's,^\\./,,g' | grep '_' | sort) | sed -n 's/^> //p' >UNVALIDATED\n"
"\n"
"cd /tmp/apt-release-check\n"
"if grep -q ^ UNVALIDATED; then\n"
" allokay=false\n"
" (echo \"The following files in /var/lib/apt/lists have not been validated.\"\n"
" echo \"This could turn out to be a harmless indication that this script\"\n"
" echo \"is buggy or out of date, or it could let trojaned packages get onto\"\n"
" echo \"your system.\"\n"
" ) | fmt\n"
" echo\n"
" sed 's/^/ /' < UNVALIDATED\n"
" echo\n"
"fi\n"
"\n"
"if grep -q ^ BAD; then\n"
" allokay=false\n"
" (echo \"The contents of the following files in /var/lib/apt/lists does not\"\n"
" echo \"match what was expected. This may mean these sources are out of date,\"\n"
" echo \"that the archive is having problems, or that someone is actively\"\n"
" echo \"using your mirror to distribute trojans.\"\n"
" if am_root; then \n"
" echo \"The files have been renamed to have the extension .FAILED and\"\n"
" echo \"will be ignored by apt.\"\n"
" cat BAD | while read a; do\n"
" mv /var/lib/apt/lists/$a /var/lib/apt/lists/${a}.FAILED\n"
" done\n"
" fi) | fmt\n"
" echo\n"
" sed 's/^/ /' < BAD\n"
" echo\n"
"fi\n"
"\n"
"if grep -q ^ MISSING; then\n"
" allokay=false\n"
" (echo \"The following files from /var/lib/apt/lists were missing. This\"\n"
" echo \"may cause you to miss out on updates to some vulnerable packages.\"\n"
" ) | fmt\n"
" echo\n"
" sed 's/^/ /' < MISSING\n"
" echo\n"
"fi\n"
"\n"
"if grep -q ^ NOCHECK; then\n"
" allokay=false\n"
" (echo \"The contents of the following files in /var/lib/apt/lists could not\"\n"
" echo \"be validated due to the lack of a signed Release file, or the lack\"\n"
" echo \"of an appropriate entry in a signed Release file. This probably\"\n"
" echo \"means that the maintainers of these sources are slack, but may mean\"\n"
" echo \"these sources are being actively used to distribute trojans.\"\n"
" if am_root; then \n"
" echo \"The files have been renamed to have the extension .FAILED and\"\n"
" echo \"will be ignored by apt.\"\n"
" cat NOCHECK | while read a; do\n"
" mv /var/lib/apt/lists/$a /var/lib/apt/lists/${a}.FAILED\n"
" done\n"
" fi) | fmt\n"
" echo\n"
" sed 's/^/ /' < NOCHECK\n"
" echo\n"
"fi\n"
"\n"
"if $allokay; then\n"
" echo 'Everything seems okay!'\n"
" echo\n"
"fi\n"
"\n"
"rm -rf /tmp/apt-release-check"
#. type: <p><example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:1055
msgid "You might need to apply the following patch for <em>sid</em> since <prgn>md5sum</prgn> adds an '-' after the sum when the input is stdin:"
msgstr "Sie müssen vielleicht bei <em>Sid</em> diesen Patch verwenden, da <prgn>md5sum</prgn> ein »-« an die Summe anfügt, wenn die Ausgabe auf stdin erfolgt:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:1074
#, no-wrap
msgid ""
"@@ -37,7 +37,7 @@\n"
" local LOOKUP=\"$2\"\n"
"\n"
" Y=\"`get_md5sumsize Release \"$LOOKUP\"`\"\n"
"- Y=\"`echo \"$Y\" | sed 's/^ *//;s/ */ /g'`\"\n"
"+ Y=\"`echo \"$Y\" | sed 's/-//;s/^ *//;s/ */ /g'`\"\n"
"\n"
" if [ ! -e \"/var/lib/apt/lists/$FILE\" ]; then\n"
" if [ \"$Y\" = \"\" ]; then\n"
"@@ -55,7 +55,7 @@\n"
" return\n"
" fi\n"
" X=\"`md5sum < /var/lib/apt/lists/$FILE` `wc -c < /var/lib/apt/lists/$FILE`\"\n"
"- X=\"`echo \"$X\" | sed 's/^ *//;s/ */ /g'`\"\n"
"+ X=\"`echo \"$X\" | sed 's/-//;s/^ *//;s/ */ /g'`\"\n"
" if [ \"$X\" != \"$Y\" ]; then\n"
" echo \"$FILE\" >>BAD\n"
" echo \"BAD\""
msgstr ""
"@@ -37,7 +37,7 @@\n"
" local LOOKUP=\"$2\"\n"
"\n"
" Y=\"`get_md5sumsize Release \"$LOOKUP\"`\"\n"
"- Y=\"`echo \"$Y\" | sed 's/^ *//;s/ */ /g'`\"\n"
"+ Y=\"`echo \"$Y\" | sed 's/-//;s/^ *//;s/ */ /g'`\"\n"
"\n"
" if [ ! -e \"/var/lib/apt/lists/$FILE\" ]; then\n"
" if [ \"$Y\" = \"\" ]; then\n"
"@@ -55,7 +55,7 @@\n"
" return\n"
" fi\n"
" X=\"`md5sum < /var/lib/apt/lists/$FILE` `wc -c < /var/lib/apt/lists/$FILE`\"\n"
"- X=\"`echo \"$X\" | sed 's/^ *//;s/ */ /g'`\"\n"
"+ X=\"`echo \"$X\" | sed 's/-//;s/^ *//;s/ */ /g'`\"\n"
" if [ \"$X\" != \"$Y\" ]; then\n"
" echo \"$FILE\" >>BAD\n"
" echo \"BAD\""
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:1078
msgid "Release check of non Debian sources"
msgstr "Prüfung der Release-Datei von Debian-fremden Quellen"
#. type: <p><example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:1087
msgid "Notice that, when using the latest apt version (with <em>secure apt</em>) no extra effort should be required on your part unless you use non-Debian sources, in which case an extra confirmation step will be required by apt-get. This is avoided by providing <file>Release</file> and <file>Release.gpg</file> files in the non-Debian sources. The <file>Release</file> file can be generated with <prgn>apt-ftparchive</prgn> (available in <package>apt-utils</package> 0.5.0 and later), the <file>Release.gpg</file> is just a detached signature. To generate both follow this simple procedure:"
msgstr "Beachten Sie, dass, wenn Sie die neuste Version von Apt (mit <em>Secure Apt</em>) einsetzen, kein zusätzlicher Aufwand auf Ihrer Seite notwendig sein sollte, wenn Sie keine Debian-fremden Quellen verwenden. Anderenfalls erfordert <prgn>apt-get</prgn> eine zusätzliche Bestätigung. Dies wird verhindert, wenn <file>Release</file>- und <file>Release.gpg</file>-Dateien in den Debian-fremden Quellen zur Verfügung stehen. Die <file>Release</file>-Datei kann mit <prgn>apt-ftparchive</prgn> (ist in <package>apt-utils</package> 0.5.0 und später enthalten) erstellt werden, die <file>Release.gpg</file> ist nur die abgetrennte Signatur. Beide können mit folgender einfacher Prozedur erstellt werden:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:1091
#, no-wrap
msgid ""
"$ rm -f dists/unstable/Release\n"
"$ apt-ftparchive release dists/unstable > dists/unstable/Release\n"
"$ gpg --sign -ba -o dists/unstable/Release.gpg dists/unstable/Release"
msgstr ""
"$ rm -f dists/unstable/Release\n"
"$ apt-ftparchive release dists/unstable > dists/unstable/Release\n"
"$ gpg --sign -ba -o dists/unstable/Release.gpg dists/unstable/Release"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:1095
msgid "Alternative per-package signing scheme"
msgstr "Alternativer Entwurf zur Einzelsignierung von Paketen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:1101
msgid "The additional scheme of signing each and every packages allows packages to be checked when they are no longer referenced by an existing <file>Packages</file> file, and also third-party packages where no <file>Packages</file> ever existed for them can be also used in Debian but will not be default scheme."
msgstr "Dieser zusätzliche Entwurf, jedes Paket einzeln zu signieren, erlaubt es, Pakete zu prüfen, selbst wenn sie nicht mehr in irgendeiner <file>Packages</file>-Datei erwähnt werden. Und so können auch Pakete von Dritten, für die es nie eine <file>Packages</file>-Datei gab, unter Debian installiert werden. Dies wird aber kein Standard werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:1110
msgid "This package signing scheme can be implemented using <package>debsig-verify</package> and <package>debsigs</package>. These two packages can sign and verify embedded signatures in the .deb itself. Debian already has the capability to do this now, but there is no feature plan to implement the policy or other tools since the archive signing scheme is prefered. These tools are available for users and archive administrators that would rather use this scheme instead."
msgstr "Dieser Entwurf zur Paketsignierung kann mit <package>debsig-verify</package> und <package>debsigs</package> umgesetzt werden. Diese beiden Pakete können in einer .deb-Datei eingebettete Unterschriften erstellen und prüfen. Debian hat bereits jetzt die Möglichkeiten, dies zu tun. Aber es gibt keine Planung, dieses Regelwerk oder ähnliche Werkzeuge umzusetzen, da nunmehr das Schema mit der Signierung des Archivs bevorzugt wird. Die Werkzeuge werden dennoch für Benutzer und Administratoren von Archiven zur Verfügung gestellt, wenn sie diese Vorgehensweise bevorzugen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:1116
msgid "Latest <prgn>dpkg</prgn> versions (since 1.9.21) incorporate a <url id=\"http://lists.debian.org/debian-dpkg/2001/debian-dpkg-200103/msg00024.html\"; name=\"patch\"> that provides this functionality as soon as <package>debsig-verify</package> is installed."
msgstr "Die aktuellen Versionen von <prgn>dpkg</prgn> (seit 1.9.21) beinhalten einen <url id=\"http://lists.debian.org/debian-dpkg/2001/debian-dpkg-200103/msg00024.html\"; name=\"Patch\">, der diese Funktionen zur Verfügung stellt, sobald <package>debsig-verify</package> installiert ist."
#. type: <p></p>
#: securing-debian-howto.en.sgml:55
#: en/infrastructure.sgml:1119
msgid "NOTE: Currently <file>/etc/dpkg/dpkg.cfg</file> ships with \"no-debsig\" as per default."
msgstr "HINWEIS: Derzeit wird <file>/etc/dpkg/dpkg.cfg</file> standardmäßig mit der Option »no-debsig« ausgeliefert."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:3
msgid "NOTE2: Signatures from developers are currently stripped when they enter off the package archive since the currently preferred method is release checks as described previously."
msgstr "HINWEIS 2: Unterschriften von Entwicklern werden im Moment entfernt, wenn sie in das Paketarchiv gelangen, da die derzeit vorzugswürdige Methode die Überprüfung der <file>Release</file>-Datei ist, wie es oben beschrieben wurde."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:5
msgid "Security tools in Debian"
msgstr "Sicherheitswerkzeuge in Debian"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:7
msgid "FIXME: More content needed."
msgstr "FIXME: More content needed."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:13
msgid "Debian provides also a number of security tools that can make a Debian box suited for security purposes. These purposes include protection of information systems through firewalls (either packet or application-level), intrusion detection (both network and host based), vulnerability assessment, antivirus, private networks, etc."
msgstr "Debian stellt außerdem einige Sicherheitswerkzeuge zur Verfügung, die eine Debian-Maschine zum Zweck der Sicherheit passend einrichten können. Diese Zielsetzung schließt die Sicherung von Systeminformationen durch Firewalls (sowohl auf Paket- als auch auf Anwendungsebene), Eindringlingserkennung (netzwerk- und hostbasiert), Einschätzung der Verwundbarkeit, Antivirus, private Netzwerke und vieles mehr ein."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:22
msgid "Since Debian 3.0 (<em>woody</em>), the distribution features cryptographic software integrated into the main distribution. OpenSSH and GNU Privacy Guard are included in the default install, and strong encryption is now present in web browsers and web servers, databases, and so forth. Further integration of cryptography is planned for future releases. This software, due to export restrictions in the US, was not distributed along with the main distribution but included only in non-US sites."
msgstr "Seit Debian 3.0 (<em>woody</em> ist kryptographische Software in der Hauptdistribution integriert. OpenSSH und GNU Privacy Guard sind in der Standardinstallation enthalten. Außerdem befinden sich jetzt in Web-Browsern und Web-Servern, Datenbanken usw. starke Verschlüsselungsmechanismen. Eine weitergehende Eingliederung von Kryptographie ist für zukünftige Veröffentlichungen geplant. Aufgrund von Exportbeschränkungen in den USA wurde diese Software nicht mit der Hauptdistribution ausgeliefert, sondern war nur auf Seiten außerhalb der USA erhältlich."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:24
msgid "Remote vulnerability assessment tools"
msgstr "Programme zur Fernprüfung der Verwundbarkeit"
#. type: <p><list>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:30
msgid "The tools provided by Debian to perform remote vulnerability assessment are: <footnote><p>Some of them are provided when installing the <package>harden-remoteaudit</package> package.</p></footnote>"
msgstr "Die Werkzeuge, um eine Fernprüfung der Verwundbarkeit durchzuführen, sind unter Debian: <footnote> Manche von ihnen sind erhältlich, wenn Sie das Paket <package>harden-remoteaudit</package> installieren. </footnote>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:32
msgid "<package>nessus</package>"
msgstr "<package>nessus</package>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:33
msgid "<package>raccess</package>"
msgstr "<package>raccess</package>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:34
msgid "<package>nikto</package> (<prgn>whisker</prgn>'s replacement)"
msgstr "<package>nikto</package> (Ersatz für <prgn>whisker</prgn>)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:47
msgid "By far, the most complete and up-to-date tools is <package>nessus</package> which is composed of a client (<package>nessus</package>) used as a GUI and a server (<package>nessusd</package>) which launches the programmed attacks. Nessus includes remote vulnerabilities for quite a number of systems including network appliances, ftp servers, www servers, etc. The latest security plugins are able even to parse a web site and try to discover which interactive pages are available which could be attacked. There are also Java and Win32 clients (not included in Debian) which can be used to contact the management server."
msgstr "Das weitaus vollständigste und aktuellste Werkzeug ist <package>nessus</package>, welches aus einem Client (<package>nessus</package>) mit graphischer Benutzungsschnittstelle und einem Server (<package>nessusd</package>), der die programmierten Attacken startet, besteht. Nessus kennt verschiedene entfernten Verwundbarkeiten für einige Systeme, einschließlich Netzwerkanwendungen, FTP-Servern, WWW-Servern, usw. Die neusten Sicherheitsplugins sind sogar in der Lage, eine Web-Seite zu analysieren und zu versuchen, interaktive Inhalte zu entdecken, die zu einem Angriff genutzt werden können. Es existieren auch Java- und Win32-Clients, die benutzt werden können, um sich mit dem Nessus-Server zu verbinden. Diese sind jedoch in Debian nicht enthalten."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:53
msgid "<package>nikto</package> is a web-only vulnerability assessment scanner including anti-IDS tactics (most of which are not <em>anti-IDS</em> anymore). It is one of the best cgi-scanners available, being able to detect a WWW server and launch only a given set of attacks against it. The database used for scanning can be easily modified to provide for new information."
msgstr "<package>nikto</package> ist ein Scanner zur Aufdeckung von Schwachstellen bei Webservern und kennt auch einige Anti-IDS-Taktiken (die meisten davon sind keine <em>Anti-IDS</em>-Taktiken mehr). Er ist einer der besten verfügbaren CGI-Scanner zur Erkennung von WWW-Servern und kann nur bestimmte Angriffe gegen ihn starten. Die Datenbank, die zum Scannen benutzt wird, kann sehr leicht geändert werden, um neue Informationen einzufügen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:54
msgid "Network scanner tools"
msgstr "Werkzeuge zum Scannen von Netzwerken"
#. type: <p><list>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:59
msgid "Debian does provide some tools used for remote scanning of hosts (but not vulnerability assessment). These tools are, in some cases, used by vulnerability assessment scanners as the first type of \"attack\" run against remote hosts in an attempt to determine remote services available. Currently Debian provides:"
msgstr "Debian bietet Ihnen einige Werkzeuge zum Scannen von Hosts (aber nicht zur Gefahrenabschätzung). Diese Programme werden in manchen Fällen von Scannern zur Gefahrenabschätzung zu einem ersten »Angriff« gegen entfernte Rechner genutzt, um festzustellen, welche Dienste angeboten werden. Unter Debian sind im Moment verfügbar:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:61
msgid "<package>nmap</package>"
msgstr "<package>nmap</package>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:62
msgid "<package>xprobe</package>"
msgstr "<package>xprobe</package>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:63
msgid "<package>p0f</package>"
msgstr "<package>p0f</package>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:64
msgid "<package>knocker</package>"
msgstr "<package>knocker</package>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:65
msgid "<package>isic</package>"
msgstr "<package>isic</package>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:66
msgid "<package>hping2</package>"
msgstr "<package>hping2</package>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:67
msgid "<package>icmpush</package>"
msgstr "<package>icmpush</package>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:68
msgid "<package>nbtscan</package> (for SMB /NetBIOS audits)"
msgstr "<package>nbtscan</package> (für die Prüfung von SMB und NetBIOS)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:69
msgid "<package>fragrouter</package>"
msgstr "<package>fragrouter</package>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:70
msgid "<prgn>strobe</prgn> (in the <package>netdiag</package> package)"
msgstr "<prgn>strobe</prgn>(aus dem Paket <package>netdiag</package>)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:71
msgid "<package>irpas</package>"
msgstr "<package>irpas</package>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:84
msgid "While <package>xprobe</package> provide only remote operating system detection (using TCP/IP fingerprinting, <package>nmap</package> and <package>knocker</package> do both operating system detection and port scanning of the remote hosts. On the other hand, <package>hping2</package> and <package>icmpush</package> can be used for remote ICMP attack techniques."
msgstr "Während <package>xprobe</package> lediglich aus der Ferne das Betriebssystem erkennen kann (indem es TCP/IP-Fingerabdrücke benutzt, machen <package>nmap</package> und <package>knocker</package> beides: das Betriebssystem erkennen und die Ports eines entfernten Rechners scannen. Andererseits können <package>hping2</package> und <package>icmpush</package> für ICMP-Angriffstechniken benutzt werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:89
msgid "Designed specifically for SMB networks, <package>nbtscan</package> can be used to scan IP networks and retrieve name information from SMB-enabled servers, including: usernames, network names, MAC addresses..."
msgstr "<package>Nbtscan</package>, das speziell für SMB-Netzwerke entworfen wurde, kann benutzt werden, um IP-Netzwerke zu scannen und diverse Informationen von SMB-Servern zu ermitteln einschließlich der Benutzernamen, Netzwerknamen, MAC-Adressen, ..."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:93
msgid "On the other hand, <package>fragrouter</package> can be used to test network intrusion detection systems and see if the NIDS can be eluded by fragmentation attacks."
msgstr "Dagegen kann <package>fragrouter</package> dazu verwendet werden, um Systeme zur Eindringlingserkennung zu testen und um zu sehen, ob das NIDS mit fragmentierten Angriffen umgangen werden kann."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:96
msgid "FIXME: Check <url id=\"http://bugs.debian.org/153117\"; name=\"Bug #153117\"> (ITP fragrouter) to see if it's included."
msgstr "FIXME: Check <url id=\"http://bugs.debian.org/153117\"; name=\"Bug #153117\"> (ITP fragrouter) to see if it's included."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:102
msgid "FIXME add information based on <url id=\"http://www.giac.org/practical/gcux/Stephanie_Thomas_GCUX.pdf\"; name=\"Debian Linux Laptop for Road Warriors\"> which describes how to use Debian and a laptop to scan for wireless (803.1) networks (link not there any more)."
msgstr "FIXME add information based on <url id=\"http://www.giac.org/practical/gcux/Stephanie_Thomas_GCUX.pdf\"; name=\"Debian Linux Laptop for Road Warriors\"> which describes how to use Debian and a laptop to scan for wireless (803.1) networks (link not there any more)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:103
msgid "Internal audits"
msgstr "Interne Prüfungen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:108
msgid "Currently, only the <package>tiger</package> tool used in Debian can be used to perform internal (also called white box) audit of hosts in order to determine if the file system is properly set up, which processes are listening on the host, etc."
msgstr "Derzeit kann lediglich das Programm <package>tiger</package> benutzt werden, um interne Prüfungen (auch »white box« genannt) eines Rechners vorzunehmen. Dabei wird festgestellt, ob das Dateisystem richtig aufgesetzt ist, welche Prozesse auf dem Rechner horchen, usw."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:109
msgid "Auditing source code"
msgstr "Testen des Quellcodes"
#. type: <p><list>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:112
msgid "Debian provides several packages that can be used to audit C/C++ source code programs and find programming errors that might lead to potential security flaws:"
msgstr "Debian bietet einige Pakete an, die C/C++-Quellcode prüfen und Programmierfehler finden, die zu möglichen Sicherheitsmängeln führen können:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:114
msgid "<package>flawfinder</package>"
msgstr "<package>flawfinder</package>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:115
msgid "<package>rats</package>"
msgstr "<package>rats</package>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:116
msgid "<package>splint</package>"
msgstr "<package>splint</package>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:117
msgid "<package>pscan</package>"
msgstr "<package>pscan</package>"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:121
msgid "Virtual Private Networks"
msgstr "Virtual Private Networks (virtuelle private Netzwerke)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:129
msgid "A virtual private network (VPN) is a group of two or more computer systems, typically connected to a private network with limited public network access, that communicate securely over a public network. VPNs may connect a single computer to a private network (client-server), or a remote LAN to a private network (server-server). VPNs often include the use of encryption, strong authentication of remote users or hosts, and methods for hiding the private network's topology."
msgstr "Ein virtuelles privates Netzwerk (VPN) ist eine Gruppe von zwei oder mehreren Computern, die typischerweise zu einem privaten Netzwerk mit begrenztem öffentlichen Netzwerkzugang verbunden sind und sicher über ein öffentliches Netzwerk kommunizieren. VPNs können einen einzelnen Rechner mit einem privaten Netzwerk verbinden (Client-Server) oder ein entferntes LAN mit einem privaten Netzwerk (Server-Server). VPNs verwenden Verschlüsselung, starke Authentifikation von entfernten Benutzern oder Hosts und Methoden, um die Struktur des privaten Netzwerks zu verstecken."
#. type: <p><list>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:132
msgid "Debian provides quite a few packages to set up encrypted virtual private networks:"
msgstr "Debian enthält etliche Pakete, die zum Aufsetzen von verschlüsselten virtuellen privaten Netzwerken verwendet werden können:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:135
msgid "<package>vtun</package>"
msgstr "<package>vtun</package>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:136
msgid "<package>tunnelv</package> (non-US section)"
msgstr "<package>tunnelv</package> (Abschnitt non-US)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:137
msgid "<package>cipe-source</package>, <package>cipe-common</package>"
msgstr "<package>cipe-source</package>, <package>cipe-common</package>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:138
msgid "<package>tinc</package>"
msgstr "<package>tinc</package>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:139
msgid "<package>secvpn</package>"
msgstr "<package>secvpn</package>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:140
msgid "<package>pptpd</package>"
msgstr "<package>pptpd</package>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:141
msgid "<package>openvpn</package>"
msgstr "<package>openvpn</package>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:143
msgid "<package>openswan</package> (<url id=\"http://www.openswan.org/\";>)"
msgstr "<package>openswan</package> (<url id=\"http://www.openswan.org/\";>)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:150
msgid "FIXME: Update the information here since it was written with FreeSWAN in mind. Check Bug #237764 and Message-Id: <200412101215.04040.rmayr@debian.org>."
msgstr "FIXME: Update the information here since it was written with FreeSWAN in mind. Check Bug #237764 and Message-Id: <200412101215.04040.rmayr@debian.org>."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:158
msgid "The OpenSWAN package is probably the best choice overall, since it promises to interoperate with almost anything that uses the IP security protocol, IPsec (RFC 2411). However, the other packages listed above can also help you get a secure tunnel up in a hurry. The point to point tunneling protocol (PPTP) is a proprietary Microsoft protocol for VPN. It is supported under Linux, but is known to have serious security issues."
msgstr "Das OpenSWAN-Paket ist wahrscheinlich die beste Wahl, da es nahezu mit allen zusammenarbeiten kann, die das IP-Security-Protokoll IPsec (RFC 2411) benutzen. Aber auch die anderen oben aufgeführten Pakete können Ihnen helfen, möglichst schnell einen sicheren Tunnel aufzusetzen. Das Point-to-Point-Tunneling-Protocol (PPTP) ist ein urheberrechtlich geschütztes Protokoll von Microsoft für VPN. Es wird unter Linux unterstützt, aber es sind einige schwere Sicherheitsprobleme bekannt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:168
msgid "For more information see the <url id=\"http://www.tldp.org/HOWTO/VPN-Masquerade-HOWTO.html\"; name=\"VPN-Masquerade HOWTO\"> (covers IPsec and PPTP), <url id=\"http://www.tldp.org/HOWTO/VPN-HOWTO.html\"; name=\"VPN HOWTO\"> (covers PPP over SSH), <url id=\"http://www.tldp.org/HOWTO/mini/Cipe+Masq.html\"; name=\"Cipe mini-HOWTO\">, and <url id=\"http://www.tldp.org/HOWTO/mini/ppp-ssh/index.html\"; name=\"PPP and SSH mini-HOWTO\">."
msgstr "Für weitere Informationen über IPsec und PPTP lesen Sie bitte das <url id=\"http://www.tldp.org/HOWTO/VPN-Masquerade-HOWTO.html\"; name=\"VPN-Masquerade-HOWTO\">, über PPP über SSH das <url id=\"http://www.tldp.org/HOWTO/VPN-HOWTO.html\"; name=\"VPN-HOWTO\">, das <url id=\"http://www.tldp.org/HOWTO/mini/Cipe+Masq.html\"; name=\"Cipe-Mini-HOWTO\"> und das <url id=\"http://www.tldp.org/HOWTO/mini/ppp-ssh/index.html\"; name=\"PPP- und SSH-Mini-HOWTO\">."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:172
msgid "Also worth checking out is <url id=\"http://yavipin.sourceforge.net/\"; name=\"Yavipin\">, but no Debian packages seem to be available yet."
msgstr "Es kann sich auch lohnen, sich <url id=\"http://yavipin.sourceforge.net/\"; name=\"Yavipin\"> anzusehen. Allerdings scheinen noch keine Pakete für Debian verfügbar zu sein."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:174
msgid "Point to Point tunneling"
msgstr "Point-to-Point-Tunneling"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:180
msgid "If you want to provide a tunneling server for a mixed environment (both Microsoft operating systems and Linux clients) and IPsec is not an option (since it's only provided for Windows 2000 and Windows XP), you can use <em>PoPToP</em> (Point to Point Tunneling Server), provided in the <package>pptpd</package> package."
msgstr "Wenn Sie einen tunnelnden Server für eine gemischte Umgebung (sowohl Microsofts Betriebssystem als auch Linux-Clients) zur Verfügung stellen wollen und IPsec keine Möglichkeit ist (da es nur in Windows 2000 und Windows XP enthalten ist), können Sie <em>PoPToP</em> (Point to Point Tunneling Server) verwenden. Er wird vom Paket <package>pptpd</package> bereitgestellt."
#. type: <p><example>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:184
msgid "If you want to use Microsoft's authentication and encryption with the server provided in the <package>ppp</package> package, note the following from the FAQ:"
msgstr "Wenn Sie Microsofts Authentifikation und Verschlüsselung mit dem Server verwenden wollen, die im Paket <package>ppp</package> enthalten sind, sollten Sie Folgendes aus der FAQ beachten:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:190
#, no-wrap
msgid ""
"It is only necessary to use PPP 2.3.8 if you want Microsoft compatible\n"
"MSCHAPv2/MPPE authentication and encryption. The reason for this is that\n"
"the MSCHAPv2/MPPE patch currently supplied (19990813) is against PPP\n"
"2.3.8. If you don't need Microsoft compatible authentication/encryption\n"
"any 2.3.x PPP source will be fine."
msgstr "Sie müssen nur dann PPP 2.3.8 einsetzen, wenn Sie zu Microsoft kompatible MSCHAPv2/MPPE-Authentifikation und Verschlüsselung haben wollen. Der Grund dafür ist, dass der aktuelle MSCHAPv2/MPPE-Patch (19990813) gegen PPP 2.3.8 erstellt wurde. Wenn Sie keine zu Microsoft kompatible Authentifikation und Verschlüsselung brauchen, können Sie jede PPP-Quelle mit der Version 2.3.x verwenden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:196
msgid "However, you also have to apply the kernel patch provided by the <package>kernel-patch-mppe</package> package, which provides the pp_mppe module for pppd."
msgstr "Allerdings müssen Sie auf den Kernel einen Patch anwenden, der im Paket <package>kernel-patch-mppe</package> enthalten ist. Er stellt das Module pp_mppe für den pppd zur Verfügung."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:201
msgid "Take into account that the encryption in ppptp forces you to store user passwords in clear text, and that the MS-CHAPv2 protocol contains <url id=\"http://mopo.informatik.uni-freiburg.de/pptp_mschapv2/\"; name=\"known security holes\">."
msgstr "Beachten Sie, dass Verschlüsselung in ppptp erfordert, dass Sie die Nutzerpasswörter in Klartext speichern. Außerdem sind für das MS-CHAPv2-Protokoll <url id=\"http://mopo.informatik.uni-freiburg.de/pptp_mschapv2/\"; name=\"Sicherheitslücken bekannt\">."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:203
msgid "Public Key Infrastructure (PKI)"
msgstr "Infrastruktur für öffentliche Schlüssel (Public Key Infrastructure, PKI)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:209
msgid "Public Key Infrastructure (PKI) is a security architecture introduced to provide an increased level of confidence for exchanging information over insecure networks. It makes use of the concept of public and private cryptographic keys to verify the identity of the sender (signing) and to ensure privacy (encryption)."
msgstr "Mit der Infrastruktur für öffentliche Schlüssel (PKI) wurde eine Sicherheitsarchitektur eingeführt, um den Grad der Vertrauenswürdigkeit von Informationen, die über unsichere Netzwerke ausgetauscht werden, zu erhöhen. Sie beruht auf dem Konzept von öffentlichen und privaten kryptographischen Schlüsseln, um die Identität des Absenders (Signierung) zu überprüfen und die Geheimhaltung zu sichern (Verschlüsselung)."
#. type: <p><list>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:212
msgid "When considering a PKI, you are confronted with a wide variety of issues:"
msgstr "Wenn Sie über die Einrichtung einer PKI nachdenken, sehen Sie sich mit einer breiten Palette von Problemen konfrontiert:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:217
msgid "a Certificate Authority (CA) that can issue and verify certificates, and that can work under a given hierarchy."
msgstr "eine Zertifizierungsstelle (Certification Authority, CA), die Zertifikate ausgeben und bestätigen und unter einer bestimmten Hierarchie arbeiten kann"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:219
msgid "a Directory to hold user's public certificates."
msgstr "ein Verzeichnis, das die öffentlichen Zertifikate der Benutzer enthält"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:221
msgid "a Database (?) to maintain Certificate Revocation Lists (CRL)."
msgstr "eine Datenbank (?), um eine List von Widerrufen von Zertifikaten (Certificate Revocation Lists, CRL) zu verwalten"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:224
msgid "devices that interoperate with the CA in order to print out smart cards/USB tokens/whatever to securely store certificates."
msgstr "Geräte, die mit der CA zusammenarbeiten, um Smartcards/USB-Token oder ähnliches zu erzeugen und die Zertifikate sicher zu speichern"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:229
msgid "certificate-aware applications that can use certificates issued by a CA to enroll in encrypted communication and check given certificates against CRL (for authentication and full Single Sign On solutions)."
msgstr "Anwendungen, die die von einer CA ausgestellten Zertifikate benutzen können, um verschlüsselte Kommunikation zu aufzubauen und bestimmte Zertifikate gegen die CRL zu prüfen (zur Authentifizierung und so genannte »full Single Sign On solutions«)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:231
msgid "a Time stamping authority to digitally sign documents."
msgstr "eine Zeitstempel-Autorität, um Dokumente digital zu signieren"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:234
msgid "a management console from which all of this can be properly used (certificate generation, revocation list control, etc...)."
msgstr "eine Verwaltungskonsole, von der aus dies alles vernünftig benutzt werden kann (Erstellung von Zertifikaten, Kontrolle der Widerruflisten, usw., ...)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:247
msgid "Debian GNU/Linux has software packages to help you with some of these PKI issues. They include <prgn>OpenSSL</prgn> (for certificate generation), <prgn>OpenLDAP</prgn> (as a directory to hold the certificates), <prgn>gnupg</prgn> and <prgn>openswan</prgn> (with X.509 standard support). However, as of the Woody release (Debian 3.0), Debian does not have any of the freely available Certificate Authorities such as pyCA, <url id=\"http://www.openca.org\"; name=\"OpenCA\"> or the CA samples from OpenSSL. For more information read the <url id=\"http://ospkibook.sourceforge.net/\"; name=\"Open PKI book\">."
msgstr "Debian GNU/Linux beinhaltet Softwarepaket, die Ihnen bei einigen dieser PKI-Probleme helfen können. Dazu gehört <prgn>OpenSSL</prgn> (zur Erstellung von Zertifikaten), <prgn>OpenLDAP</prgn> (für ein Verzeichnis, um die Zertifikate zu speichern) <prgn>gnupg</prgn> und <prgn>openswan</prgn> (mit X.509 Unterstützung). Jedoch stellt Debian zum Zeitpunkt der Veröffentlichung von Woody (Debian 3.0) keine der frei verfügbaren Certificate Authorities wie zum Beispiel pyCA, <url id=\"http://www.openca.org\"; name=\"OpenCA\"> oder die CA-Muster von OpenSSL zur Verfügung. Für weitere Informationen lesen Sie bitte das <url id=\"http://ospkibook.sourceforge.net/\"; name=\"Open PKI Buch\">."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:249
msgid "SSL Infrastructure"
msgstr "SSL-Infrastruktur"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:256
msgid "Debian does provide some SSL certificates with the distribution so that they can be installed locally. They are found in the <package>ca-certificates</package> package. This package provides a central repository of certificates that have been submitted to Debian and approved (that is, verified) by the package maintainer, useful for any OpenSSL applications which verify SSL connections."
msgstr "Debian stellt einige SSL-Zertifikate innerhalb der Distribution zur Verfügung, so dass Sie sie lokal installieren können. Sie befinden sich im Paket <package>ca-certificates</package>. Dieses Paket stellt eine zentrale Sammelstelle für Zertifikate dar, die an Debian übermittelt und vom Paketverwalter gebilligt (das heißt, verifiziert) wurden. Sie können für alle OpenSSL-Anwendungen, die SSL-Verbindungen verifizieren, nützlich sein."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:258
msgid "FIXME: read debian-devel to see if there was something added to this."
msgstr "FIXME: read debian-devel to see if there was something added to this."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:260
msgid "Antivirus tools"
msgstr "Antiviren-Werkzeuge"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:272
msgid "There are not many anti-virus tools included with Debian GNU/Linux, probably because GNU/Linux users are not plagued by viruses. The Unix security model makes a distinction between privileged (root) processes and user-owned processes, therefore a \"hostile\" executable that a non-root user receives or creates and then executes cannot \"infect\" or otherwise manipulate the whole system. However, GNU/Linux worms and viruses do exist, although there has not (yet, hopefully) been any that has spread in the wild over any Debian distribution. In any case, administrators might want to build up anti-virus gateways that protect against viruses arising on other, more vulnerable systems in their network."
msgstr "Es gibt nicht viele Antiviren-Werkzeuge in Debian, wahrscheinlich weil die Benutzer von GNU/Linux nicht von Viren betroffen sind. Das Sicherheitsmodell von Unix trifft eine Unterscheidung zwischen privilegierten Prozessen (Root) und den Prozessen der Benutzer. Daher kann ein »bösartiges« Programm, das ein Benutzer empfängt oder erstellt und dann ausführt, nicht das System »infizieren« oder daran Veränderungen vornehmen. Es existieren dennoch Würmer und Viren für GNU/Linux, auch wenn es (bisher) keinen Virus gab, der sich im Freien weit über eine Debian-Distribution verbreitet hat. Wie dem auch sei, Administratoren sollten vielleicht Antiviren-Gateways aufbauen, um verwundbarere Systeme in ihrem Netzwerk vor Viren zu schützen."
#. type: <p><list>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:275
msgid "Debian GNU/Linux currently provides the following tools for building antivirus environments:"
msgstr "Debian GNU/Linux bietet derzeit die folgenden Werkzeuge zum Erstellen von Antiviren-Umgebungen an:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:298
msgid "<url id=\"http://www.clamav.net\"; name=\"Clam Antivirus\">, provided since Debian <em>sarge</em> (3.1 release). Packages are provided both for the virus scanner (<package>clamav</package>) for the scanner daemon (<package>clamav-daemon</package>) and for the data files needed for the scanner. Since keeping an antivirus up-to-date is critical for it to work properly there are two different ways to get this data: <package>clamav-freshclam</package> provides a way to update the database through the Internet automatically and <package>clamav-data</package> which provides the data files directly. <footnote><p>If you use this last package and are running an official Debian, the database will not be updated with security updates. You should either use <package>clamav-freshclam</package>, <prgn>clamav-getfiles</prgn> to generate new <package>clamav-data</package> packages or update from the maintainers location: <example> deb http://people.debian.org/~zugschlus/clamav-data/ / deb-src http://people.debian.org/~zugschlus/clamav-data/ /</example></p></footnote>"
msgstr ""
"<url id=\"http://www.clamav.net\"; name=\"Clam Antivirus\">, das in Debian seit <em>Sarge</em> (der 3.1-Veröffentlichung) enthalten ist. Es sind Pakete sowohl für den Virusscanner (<package>clamav</package>) des Scanner-Daemons (<package>clamav-daemon</package>) als auch für die Daten, die der Scanner benötigt, verfügbar. Da es für die richtige Arbeit eines Antivirus-Programms entscheidend ist, dass seine Daten auf dem neusten Stand sind, gibt es zwei verschiedene Wege, um diese Daten aktuell zu halten: <package>clamav-freshclam</package> eröffnet die Möglichkeit, die Datenbank automatisch über das Internet zu aktualisieren, und <package>clamav-data</package> stellt die Daten unmittelbar zur Verfügung.<footnote> Wenn Sie das letztere Paket verwenden und ein offizielles Debian betreiben, wird die Datenbank nicht im Zuge von Sicherheitsaktualisierung auf den neusten Stand gebracht. Sie sollten entweder <package>clamav-freshclam</package>, <prgn>clamav-getfiles</prgn> verwenden, um neue <package>clamav-data</package>-Pakete zu erstellen, oder die Datenbank über die Seite der Betreuer aktuell halten: <example> deb http://people.debian.org/~zugschlus/clamav-data/ /\n"
" deb-src http://people.debian.org/~zugschlus/clamav-data/ / </example> </footnote>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:303
msgid "<package>mailscanner</package> an e-mail gateway virus scanner and spam detector. Using <package>sendmail</package> or <package>exim</package> as its basis, it can use more than 17 different virus scanning engines (including <package>clamav</package>)."
msgstr "<package>mailscanner</package> ist ein Gateway-Scanner, der in E-Mails Viren und Spam entdeckt. Er arbeitet auf der Grundlage von <package>sendmail</package> oder <package>exim</package> und kann mehr als 17 verschiedene Virensuch-Engines (einschließlich <package>clamav</package>) verwenden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:307
msgid "<package>libfile-scan-perl</package> which provides File::Scan, a Perl extension for scanning files for viruses. This modules can be used to make platform independent virus scanners."
msgstr "<package>libfile-scan-perl</package>, welches File::Scan liefert. Das ist eine Erweiterung von Perl, mit der Dateien nach Viren durchsucht werden können. Mit diesem Modul können plattformunabhängige Virenscanner realisiert werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:314
msgid "<url id=\"http://www.sourceforge.net/projects/amavis\"; name=\"Amavis Next Generation\">, provided in the package <package>amavis-ng</package> and available in <em>sarge</em>, which is a mail virus scanner which integrates with different MTA (Exim, Sendmail, Postfix, or Qmail) and supports over 15 virus scanning engines (including clamav, File::Scan and openantivirus)."
msgstr "<url id=\"http://www.sourceforge.net/projects/amavis\"; name=\"Amavis Next Generation\"> ist im Paket <package>amavis-ng</package> enthalten und in <em>Sarge</em> verfügbar. Es ist ein Virusscanner, der in verschiedene MTAs (Exim, Sendmail, Postfix oder Qmail) integriert werden kann. Er unterstützt mehr als 15 Virensuch-Engines (einschließlich clamav, File::Scan und openantivirus)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:319
msgid "<url id=\"http://packages.debian.org/sanitizer\"; name=\"sanitizer\">, a tool that uses the <package>procmail</package> package, which can scan email attachments for viruses, block attachments based on their filenames, and more."
msgstr "<url id=\"http://packages.debian.org/sanitizer\"; name=\"sanitizer\"> ist ein Werkzeug, welches das Paket <package>procmail</package> verwendet. Es kann den Anhang von E-Mails nach Viren durchsuchen, Anhänge aufgrund ihres Dateinamens abweisen und vieles mehr."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:324
msgid "<url id=\"http://packages.debian.org/amavis-postfix\"; name=\"amavis-postfix\">, a script that provides an interface from a mail transport agent to one or more commercial virus scanners (this package is built with support for the <prgn>postfix</prgn> MTA only)."
msgstr "<url id=\"http://packages.debian.org/amavis-postfix\"; name=\"amavis-postfix\"> ist ein Skript, das eine Schnittstelle vom Mail-Transport-Agent zu einem oder mehreren kommerziellen Viren-Scannern anbietet (dieses Paket ist lediglich für den MTA <package>postfix</package> bestimmt)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:327
msgid "<package>exiscan</package>, an e-mail virus scanner written in Perl that works with Exim."
msgstr "<package>exiscan</package> ist ein Virusscanner für E-Mails, der in Perl geschrieben wurde. Er arbeitet mit Exim zusammen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:329
msgid "<package>blackhole-qmail</package> a spam filter for Qmail with built-in support for Clamav."
msgstr "<package>blackhole-qmail</package> ist ein Spamfilter für Qmail mit eingebauter Unterstützung von Clamav."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:338
msgid "Some gateway daemons support already tools extensions to build antivirus environments including <package>exim4-daemon-heavy</package> (the <em>heavy</em> version of the Exim MTA), <package>frox</package> (a transparent caching ftp proxy server), <package>messagewall</package> (an SMTP proxy daemon) and <package>pop3vscan</package> (a transparent POP3 proxy)."
msgstr "Einige Gateway-Daemons bieten schon Programmerweiterungen an, um Antiviren-Umgebungen zu erstellen. Dazu gehören <package>exim4-daemon-heavy</package> (die <em>heavy</em> Version des Exim MTAs), <package>frox</package>, ein transparenter zwischenspeichernder FTP-Proxyserver), <package>messagewall</package> (ein SMTP-Proxyserver) und <package>pop3vscan</package> (ein transparenter POP3-Proxy)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:343
msgid "Debian currently provide <prgn>clamav</prgn> as the only antivirus scanning software in the main official distribution and it also provides multiple interfaces to build gateways with antivirus capabilities for different protocols."
msgstr "Zurzeit ist als einziges Programm zum Auffinden von Viren <prgn>clamav</prgn> in der Hauptdistribution enthalten. Daneben bietet Debian verschiedene Schnittstellen an, mit denen Gateways mit Antivirus-Fähigkeiten für unterschiedliche Protokolle erstellt werden können."
#. type: <p><list>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:346
msgid "Some other free software antivirus projects which might be included in future Debian GNU/Linux releases:"
msgstr "Im Folgenden einige andere freie Antiviren-Projekte, die in der Zukunft in Debian GNU/Linux enthalten sein könnten:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:355
msgid "<url id=\"http://sourceforge.net/projects/openantivirus/\"; name=\"Open Antivirus\"> (see <url id=\"http://bugs.debian.org/150698\"; name=\"Bug #150698 (ITP oav-scannerdaemon)\"> and <url id=\"http://bugs.debian.org/150695\"; name=\"Bug #150695 (ITP oav-update)\"> )."
msgstr "<url id=\"http://sourceforge.net/projects/openantivirus/\"; name=\"Open Antivirus\"> (siehe <url id=\"http://bugs.debian.org/150698\"; name=\"Fehler #150698 (ITP oav-scannerdaemon)\"> und <url id=\"http://bugs.debian.org/150695\"; name=\"Fehler #150695 (ITP oav-update)\">)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:360
msgid "FIXME: Is there a package that provides a script to download the latest virus signatures from <url id=\"http://www.openantivirus.org/latest.php\";>?"
msgstr "FIXME: Is there a package that provides a script to download the latest virus signatures from <url id=\"http://www.openantivirus.org/latest.php\";>?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:363
msgid "FIXME: Check if scannerdaemon is the same as the open antivirus scanner daemon (read ITPs)."
msgstr "FIXME: Check if scannerdaemon is the same as the open antivirus scanner daemon (read ITPs)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:387
msgid "However, Debian will <em>never</em> provide propietary (non-free and undistributable) antivirus software such as: Panda Antivirus, NAI Netshield, <url id=\"http://www.sophos.com/\"; name=\"Sophos Sweep\">, <url id=\"http://www.antivirus.com\"; name=\"TrendMicro Interscan\">, or <url id=\"http://www.ravantivirus.com\"; name=\"RAV\">. For more pointers see the <url id=\"http://www.computer-networking.de/~link/security/av-linux_e.txt\"; name=\"Linux antivirus software mini-FAQ\">. This does not mean that this software cannot be installed properly in a Debian system<footnote><p>Actually, there is an installer package for the <em>F-prot</em> antivirus, which is non-free but <em>gratis</em> for home users, called <prgn>f-prot-installer</prgn>. This installer, however, just downloads <url id=\"http://www.f-prot.com/products/home_use/linux/\"; name=\"F-prot's software\"> and installs it in the system.</p></footnote>."
msgstr "Allerdings wird Debian <em>niemals</em> proprietäre (unfreie und unverbreitbare) Antiviren-Software anbieten. Dazu zählen Panda Antivirus, NAI Netshield, <url id=\"http://www.sophos.com/\"; name=\"Sophos Sweep\">, <url id=\"http://www.antivirus.com\"; name=\"TrendMicro Interscan\"> oder <url id=\"http://www.ravantivirus.com\"; name=\"RAV\">. Weitere Hinweise finden Sie im <url id=\"http://www.computer-networking.de/~link/security/av-linux.txt\"; name=\"Mini-FAQ 'Antiviren-Software für Linux/Unix'\">. Das bedeutet nicht, dass diese Software nicht richtig auf einem Debian-System installiert werden kann.<footnote>Tatsächlich gibt es für das Antivirus-Programm <em>F-prot</em> das Installationspaket <prgn>f-prot-installer</prgn>, das zwar nicht frei, aber für Heimanwender <em>kostenlos</em> ist. Allerdings lädt dieser Installer nur <url id=\"http://www.f-prot.com/products/home_use/linux/\"; name=\"F-prot's Software\"> herunter und installiert sie.</footnote>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:392
msgid "For more information on how to set up a virus detection system read Dave Jones' article <url id=\"http://www.linuxjournal.com/article.php?sid=4882\"; name=\"Building an E-mail Virus Detection System for Your Network\">."
msgstr "Zusätzliche Informationen über das Aufsetzen eines Systems zur Virenerkennung erhalten Sie im Artikel <url id=\"http://www.linuxjournal.com/article.php?sid=4882\"; name=\"Building an E-mail Virus Detection System for Your Network\"> von Dave Jones."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:394
msgid "GPG agent"
msgstr "GPG-Agent"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:400
msgid "It is very common nowadays to digitally sign (and sometimes encrypt) e-mail. You might, for example, find that many people participating on mailing lists sign their list e-mail. Public key signatures are currently the only means to verify that an e-mail was sent by the sender and not by some other person."
msgstr "Es ist heutzutage weit verbreitet, E-Mails digital zu unterschreiben (manchmal auch zu verschlüsseln). Sie können z.B. feststellen, dass viele Menschen auf Mailinglisten ihre E-Mails signieren. Signaturen von öffentlichen Schlüsseln ist im Moment die einzige Möglichkeit festzustellen, ob eine E-Mail vom Absender geschickt wurden und nicht von jemand anderem."
#. type: <p><list>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:404
msgid "Debian GNU/Linux provides a number of e-mail clients with built-in e-mail signing capabilities that interoperate either with <package>gnupg</package> or <package>pgp</package>:"
msgstr "Debian GNU/Linux enthält eine Anzahl von E-Mail-Clients mit der eingebauten Fähigkeit, E-Mails zu signieren. Sie arbeiten entweder mit <package>gnupg</package> oder <package>pgp</package> zusammen:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:406
msgid "<package>evolution</package>."
msgstr "<package>evolution</package>."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:407
msgid "<package>mutt</package>."
msgstr "<package>mutt</package>."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:408
msgid "<package>kmail</package>."
msgstr "<package>kmail</package>."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:413
msgid "<package>icedove</package> (rebranded version of Mozilla's Thunderbird) through the <url id=\"http://enigmail.mozdev.org/\"; name=\"Enigmail\"> plugin. This plugin is provided by the <package>enigmail</package> package."
msgstr "<package>icedove</package> (umbenannte Version von Mozillas Thunderbird) mittels des Plugins <url id=\"http://enigmail.mozdev.org/\"; name=\"Enigmail\">. Dieses Plugin wird durch das Paket <package>enigmail</package> bereitgestellt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:417
msgid "<package>sylpheed</package>. Depending on how the stable version of this package evolves, you may need to use the <em>bleeding edge version</em>, <package>sylpheed-claws</package>."
msgstr "<package>sylpheed</package>. Abhängig davon wie sich die stabile Version dieses Pakets entwickelt, müssen Sie die <em>bleeding edge</em> Version, <package>sylpheed-claws</package>, verwenden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:421
msgid "<package>gnus</package>, which when installed with the <package>mailcrypt</package> package, is an <prgn>emacs</prgn> interface to <prgn>gnupg</prgn>."
msgstr "<package>gnus</package> ist, wenn mit dem Paket <package>mailcrypt</package> installiert, eine Schnittstelle für <prgn>emacs</prgn> zu <prgn>gnupg</prgn>."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:425
msgid "<package>kuvert</package>, which provides this functionality independently of your chosen mail user agent (MUA) by interacting with the mail transport agent (MTA)."
msgstr "<package>kuvert</package> stellt diese Funktion unabhängig von Ihrem Mail-User-Agent (MUA) zur Verfügung, indem es mit dem Mail-Transport-Agent (MTA) arbeitet."
#. type: <p><example>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:439
msgid "Key servers allow you to download published public keys so that you may verify signatures. One such key server is <url id=\"http://wwwkeys.pgp.net\";>. <package>gnupg</package> can automatically fetch public keys that are not already in your public keyring. For example, to configure <prgn>gnupg</prgn> to use the above key server, edit the file <file>~/.gnupg/options</file> and add the following line: <footnote><p>For more examples of how to configure <prgn>gnupg</prgn> check <file>/usr/share/doc/mutt/examples/gpg.rc</file>.</p></footnote>"
msgstr "Key-Server ermöglichen es Ihnen, veröffentlichte öffentliche Schlüssel herunterzuladen, damit Sie Signaturen überprüfen können. Einer diese Key-Server ist <url id=\"http://wwwkeys.pgp.net\";>. <package>gnupg</package> kann automatisch öffentliche Schlüssel holen, die sich nicht schon in Ihrem öffentlichen Schlüsselbund befinden. Um beispielsweise <prgn>gnupg</prgn> so einzurichten, dass es den oben genannten Key-Server verwendet, müssen Sie die Datei <file>~/.gnupg/options</file> bearbeiten und folgende Zeile hinzufügen: <footnote> Weitere Beispiele, wie Sie <prgn>gnupg</prgn> konfigurieren können, finden Sie in <file>/usr/share/doc/mutt/examples/gpg.rc</file>. </footnote>"
#. type: <example></example>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:441
#, no-wrap
msgid "keyserver wwwkeys.pgp.net"
msgstr "keyserver wwwkeys.pgp.net"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:450
msgid "Most key servers are linked, so that when your public key is added to one server, the addition is propagated to all the other public key servers. There is also a Debian GNU/Linux package <package>debian-keyring</package>, that provides all the public keys of the Debian developers. The <prgn>gnupg</prgn> keyrings are installed in <file>/usr/share/keyrings/</file>."
msgstr "Die meisten Key-Server sind miteinander verbunden. Wenn Sie also Ihren öffentlichen Schlüssel einem hinzufügen, wird er an alle anderen Key-Server weitergereicht. Da wäre auch noch das Debian GNU/Linux Paket <package>debian-keyring</package>, das die öffentlichen Schlüssel aller Debian-Entwickler enthält. Der Schlüsselbund von <prgn>gnupg</prgn> wird in <file>/usr/share/keyrings/</file> installiert."
#. type: <p><list>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:452
msgid "For more information:"
msgstr "Weitere Informationen:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:456
msgid "<url id=\"http://www.gnupg.org/faq.html\"; name=\"GnuPG FAQ\">."
msgstr "<url id=\"http://www.gnupg.org/faq.html\"; name=\"GnuPG FAQ\">"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:459
msgid "<url id=\"http://www.gnupg.org/gph/en/manual.html\"; name=\"GnuPG Handbook\">."
msgstr "<url id=\"http://www.gnupg.org/gph/de/manual/index.html\"; name=\"Das GNU-Handbuch zum Schutze der Privatsphäre\">"
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:463
msgid "<url id=\"http://www.dewinter.com/gnupg_howto/english/GPGMiniHowto.html\"; name=\"GnuPG Mini Howto (English)\">."
msgstr "<url id=\"http://www.dewinter.com/gnupg_howto/english/GPGMiniHowto.html\"; name=\"GnuPG Mini Howto (English)\">."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:466
msgid "<url id=\"http://www.uk.pgp.net/pgpnet/pgp-faq/\"; name=\"comp.security.pgp FAQ\">."
msgstr "<url id=\"http://www.uk.pgp.net/pgpnet/pgp-faq/\"; name=\"comp.security.pgp FAQ\">."
#. type: <p></p>
#: securing-debian-howto.en.sgml:56
#: en/sec-tools.sgml:469
msgid "<url id=\"http://www.cryptnet.net/fdp/crypto/gpg-party.html\"; name=\"Keysigning Party HOWTO\">."
msgstr "<url id=\"http://www.cryptnet.net/fdp/crypto/gpg-party.html\"; name=\"Keysigning Party HOWTO\">."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:8
msgid "Developer's Best Practices for OS Security"
msgstr "Der gute Umgang von Entwicklern mit der Sicherheit des OS"
#. type: <p></p>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:15
msgid "This chapter introduces some best secure coding practices for developers writing Debian packages. If you are really interested in secure coding I recommend you read David Wheeler's <url id=\"http://www.dwheeler.com/secure-programs/\"; name=\"Secure Programming for Linux and Unix HOWTO\"> and <url id=\"http://www.securecoding.org\"; name=\"Secure Coding: Principles and Practices\"> by Mark G. Graff and Kenneth R. van Wyk (O'Reilly, 2003)."
msgstr "Dieses Kapitel handelt von einigen der anerkannten Vorgehensweisen für sicheres Programmieren, wenn Entwickler Pakete für Debian erstellen. Wenn Sie sehr an sicherheitsbewusster Programmierung interessiert sind, sollten Sie David Wheelers <url id=\"http://www.dwheeler.com/secure-programs/\"; name=\"Secure Programming for Linux and Unix HOWTO\"> und <url id=\"http://www.securecoding.org\"; name=\"Secure Coding: Principles and Practices\"> von Mark G. Graff und Kenneth R. van Wyk (O'Reilly, 2003) lesen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:16
msgid "Best practices for security review and design"
msgstr "Das richtige Vorgehen für die Nachprüfung der Sicherheit und deren Gestaltung"
#. type: <p></p>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:20
msgid "Developers that are packaging software should make a best effort to ensure that the installation of the software, or its use, does not introduce security risks to either the system it is installed on or its users."
msgstr "Entwickler, die Software in Pakete packen, sollten größte Anstrengung darauf verwenden sicherzustellen, dass die Installation der Software und ihre Verwendung keine Sicherheitsrisiken für das System oder seine Benutzer eröffnet."
#. type: <p></p>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:34
msgid "In order to do so, they should make their best to review the source code of the package and detect any flaws that might introduce security bugs before releasing the software or distributing a new version. It is acknowledged that the cost of fixing bugs grows for different stages of its development, so it is easier (and cheaper) to fix bugs when designing than when the software has been deployed and is in maintenance mode (some studies say that the cost in this later phase is <strong>sixty</strong> times higher). Although there are some tools that try to automatically detect these flaws, developers should strive to learn about the different kind of security flaws in order to understand them and be able to spot them in the code they (or others) have written."
msgstr "Dazu sollten sie vor der Veröffentlichung der Software oder einer neuen Version den Quellcode des Pakets nachprüfen, um Fehler zu finden, die zu Sicherheitslücken führen können. Bekanntermaßen ist der Aufwand für die Fehlerbehebung in verschiedenen Stadien der Entwicklung unterschiedlich. So ist es leichter (und billiger), Fehler während der Entwicklung auszubessern als später, wenn die Software schon herausgegeben wurde und nur noch gewartet wird (einige Studien behaupten, dass die Kosten in dieser Phase <strong>60</strong> Mal höher sind). Es gibt Hilfsmittel, die versuchen, Fehler automatisch zu entdecken. Entwickler sollten dennoch die verschiedenen Sicherheitsfehler kennen, damit sie sie verstehen und sie so in eigenen (oder fremden) Programmcode entdecken können."
#. type: <p></p>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:52
msgid "The programming bugs which lead to security bugs typically include: <url id=\"http://en.wikipedia.org/wiki/Buffer_overflow\"; name=\"buffer overflows\">, format string overflows, heap overflows and integer overflows (in C/C++ programs), temporary <url id=\"http://en.wikipedia.org/wiki/Symlink_race\"; name=\"symlink race conditions\"> (in scripts), <url id=\"http://en.wikipedia.org/wiki/Directory_traversal\"; name=\"directory traversal\"> and command injection (in servers) and <url id=\"http://en.wikipedia.org/wiki/Cross_site_scripting\"; name=\"cross-site scripting\">, and <url id=\"http://en.wikipedia.org/wiki/SQL_injection\"; name=\"SQL injection bugs\"> (in the case of web-oriented applications). For a more complete information on security bugs review Fortify's <url id=\"http://vulncat.fortifysoftware.com/\"; name=\"Taxonomy of Software Security Errors\">."
msgstr "Programmierfehler, die typischerweise zu Sicherheitsproblemen führen, sind insbesondere: <url id=\"http://de.wikipedia.org/wiki/Puffer%C3%BCberlauf\"; name=\"Pufferüberläufe,\">, Format-String-Überläufe, Heap-Überläufe und Integer-Überläufe (in C/C++-Programmen), vorübergehende <url id=\"http://de.wikipedia.org/wiki/Symlink-Schwachstelle\"; name=\"Symlink-Schwachstellen\"> (in Skripten), <url id=\"http://de.wikipedia.org/wiki/Directory_Traversal\"; name=\"Directory Traversal\">, die Einschleusung von Befehlen (auf Servern) und <url id=\"http://de.wikipedia.org/wiki/Cross-Site_Scripting\"; name=\"Cross-Site Scripting\"> sowie <url id=\"http://de.wikipedia.org/wiki/SQL-Injektion\"; name=\"SQL-Injektionen\"> (bei web-orientierten Anwendungen). Eine ausführliche Liste von Sicherheitsfehlern finden Sie in Fortifys <url id=\"http://vulncat.fortifysoftware.com/\"; name=\"Taxonomy of Software Security Errors\">."
#. type: <p></p>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:62
msgid "Some of these issues might not be easy to spot unless you are an expert in the programming language the software uses, but some security problems are easy to detect and fix. For example, finding temporary race conditions due to misuse of temporary directories can easily be done just by running <tt>grep -r \"/tmp/\" .</tt>. Those calls can be reviewed and replace the hardcoded filenames using temporary directories to calls to either <prgn>mktemp</prgn> or <prgn>tempfile</prgn> in shell scripts, <manref name=\"File::Temp\" section=\"3perl\"> in Perl scripts, or <manref name=\"tmpfile\" section=\"3\"> in C/C++."
msgstr "Einige dieser Probleme können Sie nur erkennen, wenn Sie ein Experte in der verwendeten Programmiersprache sind. Aber andere können leicht entdeckt und behoben werden. Zum Beispiel kann eine Symlink-Schwachstelle auf Grund einer falschen Verwendung von temporären Verzeichnissen ohne Weiteres entdeckt werden, indem Sie <tt>grep -r \"/tmp/\" .</tt> ausführen. Diese Verweise sollten überprüft werden und fest einprogrammierte Dateinamen in temporären Verzeichnissen in Shell-Skripten mit <prgn>mktemp</prgn> oder <prgn>tempfile</prgn>, in Perl-Skripten mit <manref name=\"File::Temp\" section=\"3perl\"> und in C/C++ mit <manref name=\"tmpfile\" section=\"3\"> ersetzt werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:70
msgid "There are a set of tools available to assist to the security code review phase. These include <package>rats</package>, <package>flawfinder</package> and <package>pscan</package>. For more information, read the <url id=\"http://www.debian.org/security/audit/tools\"; name=\"list of tools used by the Debian Security Audit Team\">."
msgstr "Es stehen Ihnen einige Werkzeuge zur Verfügung, die Sie dabei unterstützen, den Quellcode auf Sicherheitsprobleme hin zu überprüfen. Dazu zählen <package>rats</package>, <package>flawfinder</package> und <package>pscan</package>. Weitere Informationen finden Sie in der <url id=\"http://www.de.debian.org/security/audit/tools\"; name=\"Liste der Werkzeuge, die vom Debian-Security-Audit-Team verwendet werden\">."
#. type: <p><list>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:73
msgid "When packaging software developers have to make sure that they follow common security principles, including:"
msgstr "Beim Paketieren von Software sollten Entwickler darauf achten, dass sie allgemein anerkannte Sicherheitsprinzipien einhalten. Dazu gehören:"
#. type: <p><list>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:77
msgid "The software runs with the minimum privileges it needs:"
msgstr "Die Software sollte mit so geringen Rechten wie möglich laufen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:86
msgid "The package does install binaries setuid or setgid. <prgn>Lintian</prgn> will warn of <url id=\" http://lintian.debian.org/reports/Tsetuid-binary.html\"; name=\"setuid\">, <url id=\"http://lintian.debian.org/reports/Tsetgid-binary.html\"; name=\"setgid\"> and <url id=\"http://lintian.debian.org/reports/Tsetuid-gid-binary.html\"; name=\"setuid and setgid\"> binaries."
msgstr "Falls das Paket Binaries mit setuid oder setgid enthält, wird <prgn>Lintian</prgn> vor <url id=\"http://lintian.debian.org/reports/Tsetuid-binary.html\"; name=\"setuid\">-, <url id=\"http://lintian.debian.org/reports/Tsetgid-binary.html\"; name=\"setgid\">- und <url id=\"http://lintian.debian.org/reports/Tsetuid-gid-binary.html\"; name=\"setuid und setgid\">-Binaries warnen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:89
msgid "The daemons the package provide run with a low privilege user (see <ref id=\"bpp-lower-privs\">)"
msgstr "Die Daemons, die in einem Paket enthalten sind, sollten mit den Rechten eines Benutzers laufen, der nur geringe Privilegien besitzt (vergleichen Sie dazu <ref id=\"bpp-lower-privs\">)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:95
msgid "Programmed (i.e., <prgn>cron</prgn>) tasks running in the system do NOT run as root or, if they do, do not implement complex tasks."
msgstr "Automatisierte Aufgaben (also mit <prgn>cron</prgn>) sollten NICHT mit Root-Rechten laufen. Zumindest sollten mit Root-Rechten keine komplizierten Aufgaben erledigt werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:105
msgid "If you have to do any of the above make sure the programs that might run with higher privileges have been audited for security bugs. If you are unsure, or need help, contact the <url id=\"http://www.debian.org/security/audit/\"; name=\"Debian Security Audit team\">. In the case of setuid/setgid binaries, follow the Debian policy section regarding <url id=\"http://www.debian.org/doc/debian-policy/ch-files.html#s10.9\"; name=\"permissions and owners\">"
msgstr "Falls Sie diese Prinzipien nicht einhalten können, sollten Sie sichergehen, dass das Programm, das mit umfangreicheren Rechten läuft, auf Sicherheitsprobleme überprüft wurde. Wenn Sie sich nicht sicher sind oder Hilfe benötigen, sollten Sie sich mit dem <url id=\"http://www.de.debian.org/security/audit/\"; name=\"Sicherheits-Audit-Team von Debian\"> in Verbindung setzen. Wenn Binaries setuid/setgid verwenden, sollten Sie die Richtlinie von Debian zu <url id=\"http://www.debian.org/doc/debian-policy/ch-files#s10.9\"; name=\"Rechten und Besitzern\"> beachten."
#. type: <p></p>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:113
msgid "For more information, specific to secure programming, make sure you read (or point your upstream to) <url id=\"http://www.dwheeler.com/secure-programs/\"; name=\"Secure Programming for Linux and Unix HOWTO\"> and the <url id=\"https://buildsecurityin.us-cert.gov/portal/\"; name=\"Build Security In\"> portal."
msgstr "Für weitere Informationen, insbesondere hinsichtlich Sicherheitsfragen, sollten Sie das <url id=\"http://www.dwheeler.com/secure-programs/\"; name=\"Secure Programming for Linux and Unix HOWTO\"> und das <url id=\"https://buildsecurityin.us-cert.gov/portal/\"; name=\"Build Security In\"> Portal lesen (oder den Programmautor darauf hinweisen)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:121
msgid "Creating users and groups for software daemons"
msgstr "Benutzer und Gruppen für Software-Daemons erstellen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:128
msgid "If your software runs a daemon that does not need root privileges, you need to create a user for it. There are two kind of Debian users that can be used by packages: static uids (assigned by <package>base-passwd</package>, for a list of static users in Debian see <ref id=\"faq-os-users\">) and dynamic uids in the range assigned to system users."
msgstr "Wenn Ihre Software als Daemon läuft, der keine Root-Rechte benötigt, müssen Sie für ihn einen Benutzer erstellen. Es gibt zwei Arten von Benutzern in Debian, die für Pakete verwendet werden können: statische UIDs (werden von <package>base-passwd</package> vergeben, eine Liste der statischen Benutzern in Debian finden Sie bei <ref id=\"faq-os-users\">) und dynamisches UIDs, die in einem zugewiesenen Bereich liegen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:133
msgid "In the first case, you need to ask for a user or group id to the <package>base-passwd</package>. Once the user is available there the package needs to be distributed including a proper versioned depends to the <package>base-passwd</package> package."
msgstr "Im ersten Fall müssen Sie mit <package>base-passwd</package> eine Benutzer- oder Gruppen-ID erstellen. Wenn der Benutzer verfügbar ist, muss das Paket, das Sie anbieten möchten, eine Abhängigkeit vom Paket <package>base-passwd</package> enthalten."
#. type: <p></p>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:137
msgid "In the second case, you need to create the system user either in the <em>preinst</em> or in the <em>postinst</em> and make the package depend on <tt>adduser (>= 3.11)</tt>."
msgstr "Im zweiten Fall müssen Sie den Systembenutzer entweder <em>preinst</em> oder <em>postinst</em> erstellen und dafür sorgen, dass das Paket von <tt>adduser (>= 3.11)</tt> abhängt."
#. type: <p><example>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:140
msgid "The following example code creates the user and group the daemon will run as when the package is installed or upgraded:"
msgstr "Im folgenden Programmbeispiel soll gezeigt werden, wie der Benutzer oder Gruppe, mit deren Rechten der Daemon laufen wird, bei der Installation oder Aktualisierung des Pakets erstellt wird."
#. type: <example></example>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:203
#, no-wrap
msgid ""
"[...]\n"
"case \"$1\" in\n"
" install|upgrade)\n"
"\n"
" # If the package has default file it could be sourced, so that\n"
" # the local admin can overwrite the defaults\n"
"\n"
" [ -f \"/etc/default/<var>packagename</var>\" ] && . /etc/default/<var>packagename</var>\n"
"\n"
" # Sane defaults:\n"
"\n"
" [ -z \"$SERVER_HOME\" ] && SERVER_HOME=<var>server_dir</var>\n"
" [ -z \"$SERVER_USER\" ] && SERVER_USER=<var>server_user</var>\n"
" [ -z \"$SERVER_NAME\" ] && SERVER_NAME=\"<var>Server description</var>\"\n"
" [ -z \"$SERVER_GROUP\" ] && SERVER_GROUP=<var>server_group</var>\n"
"\n"
" # Groups that the user will be added to, if undefined, then none.\n"
" ADDGROUP=\"\"\n"
"\n"
" # create user to avoid running server as root\n"
" # 1. create group if not existing\n"
" if ! getent group | grep -q \"^$SERVER_GROUP:\" ; then\n"
" echo -n \"Adding group $SERVER_GROUP..\"\n"
" addgroup --quiet --system $SERVER_GROUP 2>/dev/null ||true\n"
" echo \"..done\"\n"
" fi\n"
" # 2. create homedir if not existing\n"
" test -d $SERVER_HOME || mkdir $SERVER_HOME\n"
" # 3. create user if not existing\n"
" if ! getent passwd | grep -q \"^$SERVER_USER:\"; then\n"
" echo -n \"Adding system user $SERVER_USER..\"\n"
" adduser --quiet \\\n"
" --system \\\n"
" --ingroup $SERVER_GROUP \\\n"
" --no-create-home \\\n"
" --disabled-password \\\n"
" $SERVER_USER 2>/dev/null || true\n"
" echo \"..done\"\n"
" fi\n"
" # 4. adjust passwd entry\n"
" usermod -c \"$SERVER_NAME\" \\\n"
" -d $SERVER_HOME \\\n"
" -g $SERVER_GROUP \\\n"
" $SERVER_USER\n"
" # 5. adjust file and directory permissions\n"
" if ! dpkg-statoverride --list $SERVER_HOME >/dev/null\n"
" then\n"
" chown -R $SERVER_USER:adm $SERVER_HOME\n"
" chmod u=rwx,g=rxs,o= $SERVER_HOME\n"
" fi\n"
" # 6. Add the user to the ADDGROUP group\n"
" if test -n $ADDGROUP\n"
" then\n"
" if ! groups $SERVER_USER | cut -d: -f2 | \\\n"
" grep -qw $ADDGROUP; then\n"
" adduser $SERVER_USER $ADDGROUP\n"
" fi\n"
" fi\n"
" ;;\n"
" configure)\n"
"\n"
"[...]"
msgstr ""
"[...]\n"
"case \"$1\" in\n"
" install|upgrade)\n"
"\n"
" # If the package has default file it could be sourced, so that\n"
" # the local admin can overwrite the defaults\n"
"\n"
" [ -f \"/etc/default/<var>packagename</var>\" ] && . /etc/default/<var>packagename</var>\n"
"\n"
" # Sane defaults:\n"
"\n"
" [ -z \"$SERVER_HOME\" ] && SERVER_HOME=<var>server_dir</var>\n"
" [ -z \"$SERVER_USER\" ] && SERVER_USER=<var>server_user</var>\n"
" [ -z \"$SERVER_NAME\" ] && SERVER_NAME=\"<var>Server description</var>\"\n"
" [ -z \"$SERVER_GROUP\" ] && SERVER_GROUP=<var>server_group</var>\n"
"\n"
" # Groups that the user will be added to, if undefined, then none.\n"
" ADDGROUP=\"\"\n"
"\n"
" # create user to avoid running server as root\n"
" # 1. create group if not existing\n"
" if ! getent group | grep -q \"^$SERVER_GROUP:\" ; then\n"
" echo -n \"Adding group $SERVER_GROUP..\"\n"
" addgroup --quiet --system $SERVER_GROUP 2>/dev/null ||true\n"
" echo \"..done\"\n"
" fi\n"
" # 2. create homedir if not existing\n"
" test -d $SERVER_HOME || mkdir $SERVER_HOME\n"
" # 3. create user if not existing\n"
" if ! getent passwd | grep -q \"^$SERVER_USER:\"; then\n"
" echo -n \"Adding system user $SERVER_USER..\"\n"
" adduser --quiet \\\n"
" --system \\\n"
" --ingroup $SERVER_GROUP \\\n"
" --no-create-home \\\n"
" --disabled-password \\\n"
" $SERVER_USER 2>/dev/null || true\n"
" echo \"..done\"\n"
" fi\n"
" # 4. adjust passwd entry\n"
" usermod -c \"$SERVER_NAME\" \\\n"
" -d $SERVER_HOME \\\n"
" -g $SERVER_GROUP \\\n"
" $SERVER_USER\n"
" # 5. adjust file and directory permissions\n"
" if ! dpkg-statoverride --list $SERVER_HOME >/dev/null\n"
" then\n"
" chown -R $SERVER_USER:adm $SERVER_HOME\n"
" chmod u=rwx,g=rxs,o= $SERVER_HOME\n"
" fi\n"
" # 6. Add the user to the ADDGROUP group\n"
" if test -n $ADDGROUP\n"
" then\n"
" if ! groups $SERVER_USER | cut -d: -f2 | \\\n"
" grep -qw $ADDGROUP; then\n"
" adduser $SERVER_USER $ADDGROUP\n"
" fi\n"
" fi\n"
" ;;\n"
" configure)\n"
"\n"
"[...]"
#. type: <p><list>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:207
msgid "You have to make sure that the init.d script file:"
msgstr "Außerdem müssen Sie für das init.d-Skript sicherstellen,"
#. type: <p></p>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:213
msgid "Starts the daemon dropping privileges: if the software does not do the <manref name=\"setuid\" section=\"2\"> or <manref name=\"seteuid\" section=\"2\"> call itself, you can use the <tt>--chuid</tt> call of <prgn>start-stop-daemon</prgn>."
msgstr "dass der Daemon beim Starten seine Rechte ablegt: Wenn die Software nicht selbst den <manref name=\"setuid\" section=\"2\"> oder <manref name=\"seteuid\" section=\"2\"> Aufruf absetzt, sollten Sie die Option <tt>--chuid</tt> für <prgn>start-stop-daemon</prgn> verwenden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:217
msgid "Stops the daemon only if the user id matches, you can use the <prgn>start-stop-daemon</prgn> <tt>--user</tt> option for this."
msgstr "dass der Daemon nur angehalten wird, wenn die Benutzer-IDs übereinstimmen. Dafür ist die Option <tt>--user</tt> von <prgn>start-stop-daemon</prgn> hilfreich."
#. type: <p><example>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:218
msgid "Does not run if either the user or the group do not exist:"
msgstr "dass der Daemon nicht gestartet wird, wenn sein Benutzer oder Gruppe nicht existiert:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:227
#, no-wrap
msgid ""
" if ! getent passwd | grep -q \"^<var>server_user</var>:\"; then\n"
" echo \"Server user does not exist. Aborting\" >&2\n"
" exit 1\n"
" fi\n"
" if ! getent group | grep -q \"^<var>server_group</var>:\" ; then\n"
" echo \"Server group does not exist. Aborting\" >&2\n"
" exit 1\n"
" fi"
msgstr ""
" if ! getent passwd | grep -q \"^<var>server_user</var>:\"; then\n"
" echo \"Server user does not exist. Aborting\" >&2\n"
" exit 1\n"
" fi\n"
" if ! getent group | grep -q \"^<var>server_group</var>:\" ; then\n"
" echo \"Server group does not exist. Aborting\" >&2\n"
" exit 1\n"
" fi"
#. type: <p></p>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:243
msgid "If the package creates the system user it can remove it when it is purged in its <em>postrm</em>. This has some drawbacks, however. For example, files created by it will be orphaned and might be taken over by a new system user in the future if it is assigned the same uid<footnote><p>Some relevant threads discussing these drawbacks include <url id=\"http://lists.debian.org/debian-mentors/2004/10/msg00338.html\";> and <url id=\"http://lists.debian.org/debian-devel/2004/05/msg01156.html\";></p></footnote>. Consequently, removing system users on purge is not yet mandatory and depends on the package needs. If unsure, this action could be handled by asking the administrator for the prefered action when the package is installed (i.e. through <prgn>debconf</prgn>)."
msgstr "Wenn das Paket einen Systembenutzer erstellt, kann er wieder in <em>postrm</em> entfernt werden, wenn das Paket vollständig gelöscht wird (purge). Dabei gibt es allerdings einen Nachteil. Zum Beispiel werden Dateien, die von dem Benutzer des Daemons erstellt wurden, benutzerlos und können später einem neuen Benutzer gehören, dem die gleiche UID zugewiesen wurde <footnote>Interessante Diskussionen zu diesem Thema finden sich in <url id=\"http://lists.debian.org/debian-mentors/2004/10/msg00338.html\";> und <url id=\"http://lists.debian.org/debian-devel/2004/05/msg01156.html\";>.</footnote>. Daher ist nicht zwingend notwendig, dass Benutzer beim vollständigen Löschen eines Pakets entfernt werden. Dies hängt vielmehr vom jeweiligen Paket ab. Im Zweifelsfall sollte der Administrator gefragt werden (mit <prgn>debconf</prgn>), was passieren soll, wenn ein Paket gelöscht wird."
#. type: <p><example>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:251
msgid "The following example code<footnote><p>This might eventually be introduced as a <prgn>dh_adduser</prgn> in debhelper. See <url id=\"http://bugs.debian.org/81697\"; name=\"#81967\">, <url id=\"http://bugs.debian.org/291177\"; name=\"#291177\"> and <url id=\"http://bugs.debian.org/118787\"; name=\"#118787\">.</p></footnote> removes the user and groups created before only, and only if, the uid is in the range of dynamic assigned system uids and the gid is belongs to a system group:"
msgstr "Sehen Sie sich folgenden Code an <footnote>Unter Umständen wird er als <prgn>dh_adduser</prgn> in debhelper enthalten sein. Sehen Sie sich dazu <url id=\"http://bugs.debian.org/81697\"; name=\"#81967\">, <url id=\"http://bugs.debian.org/291177\"; name=\"#291177\"> und <url id=\"http://bugs.debian.org/118787\"; name=\"#118787\"> an.</footnote>, der zuvor erstellte Benutzer und Gruppen entfernt. Dies geschieht aber nur dann, wenn die UID im Bereich der dynamisch zugewiesenen System-UIDs liegt und die GID einer Systemgruppe angehört:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:297
#, no-wrap
msgid ""
"case \"$1\" in\n"
" purge)\n"
"[...]\n"
" # find first and last SYSTEM_UID numbers\n"
" for LINE in `grep SYSTEM_UID /etc/adduser.conf | grep -v \"^#\"`; do\n"
" case $LINE in\n"
" FIRST_SYSTEM_UID*)\n"
" FIST_SYSTEM_UID=`echo $LINE | cut -f2 -d '='`\n"
" ;;\n"
" LAST_SYSTEM_UID*)\n"
" LAST_SYSTEM_UID=`echo $LINE | cut -f2 -d '='`\n"
" ;;\n"
" *)\n"
" ;;\n"
" esac\n"
" done\n"
" # Remove system account if necessary\n"
" CREATEDUSER=\"<var>server_user</var>\"\n"
" if [ -n \"$FIST_SYSTEM_UID\" ] && [ -n \"$LAST_SYSTEM_UID\" ]; then\n"
" if USERID=`getent passwd $CREATEDUSER | cut -f 3 -d ':'`; then\n"
" if [ -n \"$USERID\" ]; then\n"
" if [ \"$FIST_SYSTEM_UID\" -le \"$USERID\" ] && \\\n"
" [ \"$USERID\" -le \"$LAST_SYSTEM_UID\" ]; then\n"
" echo -n \"Removing $CREATEDUSER system user..\"\n"
" deluser --quiet $CREATEDUSER || true\n"
" echo \"..done\"\n"
" fi\n"
" fi\n"
" fi\n"
" fi\n"
" # Remove system group if necessary\n"
" CREATEDGROUP=<var>server_group</var>\n"
" FIRST_USER_GID=`grep ^USERS_GID /etc/adduser.conf | cut -f2 -d '='`\n"
" if [ -n \"$FIST_USER_GID\" ] then\n"
" if GROUPGID=`getent group $CREATEDGROUP | cut -f 3 -d ':'`; then\n"
" if [ -n \"$GROUPGID\" ]; then\n"
" if [ \"$FIST_USER_GID\" -gt \"$GROUPGID\" ]; then\n"
" echo -n \"Removing $CREATEDGROUP group..\"\n"
" delgroup --only-if-empty $CREATEDGROUP || true\n"
" echo \"..done\"\n"
" fi\n"
" fi\n"
" fi\n"
" fi\n"
"[...]"
msgstr ""
"case \"$1\" in\n"
" purge)\n"
"[...]\n"
" # find first and last SYSTEM_UID numbers\n"
" for LINE in `grep SYSTEM_UID /etc/adduser.conf | grep -v \"^#\"`; do\n"
" case $LINE in\n"
" FIRST_SYSTEM_UID*)\n"
" FIST_SYSTEM_UID=`echo $LINE | cut -f2 -d '='`\n"
" ;;\n"
" LAST_SYSTEM_UID*)\n"
" LAST_SYSTEM_UID=`echo $LINE | cut -f2 -d '='`\n"
" ;;\n"
" *)\n"
" ;;\n"
" esac\n"
" done\n"
" # Remove system account if necessary\n"
" CREATEDUSER=\"<var>server_user</var>\"\n"
" if [ -n \"$FIST_SYSTEM_UID\" ] && [ -n \"$LAST_SYSTEM_UID\" ]; then\n"
" if USERID=`getent passwd $CREATEDUSER | cut -f 3 -d ':'`; then\n"
" if [ -n \"$USERID\" ]; then\n"
" if [ \"$FIST_SYSTEM_UID\" -le \"$USERID\" ] && \\\n"
" [ \"$USERID\" -le \"$LAST_SYSTEM_UID\" ]; then\n"
" echo -n \"Removing $CREATEDUSER system user..\"\n"
" deluser --quiet $CREATEDUSER || true\n"
" echo \"..done\"\n"
" fi\n"
" fi\n"
" fi\n"
" fi\n"
" # Remove system group if necessary\n"
" CREATEDGROUP=<var>server_group</var>\n"
" FIRST_USER_GID=`grep ^USERS_GID /etc/adduser.conf | cut -f2 -d '='`\n"
" if [ -n \"$FIST_USER_GID\" ] then\n"
" if GROUPGID=`getent group $CREATEDGROUP | cut -f 3 -d ':'`; then\n"
" if [ -n \"$GROUPGID\" ]; then\n"
" if [ \"$FIST_USER_GID\" -gt \"$GROUPGID\" ]; then\n"
" echo -n \"Removing $CREATEDGROUP group..\"\n"
" delgroup --only-if-empty $CREATEDGROUP || true\n"
" echo \"..done\"\n"
" fi\n"
" fi\n"
" fi\n"
" fi\n"
"[...]"
#. type: <p></p>
#: securing-debian-howto.en.sgml:57
#: en/developer.sgml:309
msgid "Running programs with a user with limited privileges makes sure that any security issue will not be able to damage the full system. It also follows the principle of <em>least privilege</em>. Also consider you can limit privileges in programs through other mechanisms besides running as non-root<footnote><p>You can even provide a SELinux policy for it</p></footnote>. For more information, read the <url id=\"http://www.dwheeler.com/secure-programs/Secure-Programs-HOWTO/minimize-privileges.html\"; name=\"Minimize Privileges\"> chapter of the <em>Secure Programming for Linux and Unix HOWTO</em> book."
msgstr "Wenn ein Programm unter einem Benutzer mit beschränkten Rechten läuft, wird sichergestellt, dass Sicherheitsprobleme nicht das gesamte System beschädigen können. Dieses Vorgehen beachtet auch das Prinzip der <em>geringst möglichen Privilegien</em>. Denken Sie daran, dass Sie die Rechte eines Programms auch noch durch andere Methoden als beschränkte Benutzerrechte weiter einschränken können <footnote>Sie können sogar eine SELinux-Richtlinie erstellen.</footnote>. Weitere Informationen finden Sie im Abschnitt <url id=\"http://www.dwheeler.com/secure-programs/Secure-Programs-HOWTO/minimize-privileges.html\"; name=\"Minimize Privileges\"> des Buchs <em>Secure Programming for Linux and Unix HOWTO</em>."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:5
msgid "Before the compromise"
msgstr "Vor der Kompromittierung"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:7
msgid "Keep your system secure"
msgstr "Halten Sie Ihr System sicher"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:18
msgid "You should strive to keep your system secure by monitoring its usage and also the vulnerabilities that might affect it, patching them as soon as patches are available. Even though you might have installed a really secure system initially you have to remember that security in a system degrades with time, security vulnerabilities might be found for exposed system services and users might expose the system security either because of lack of understanding (e.g. accessing a system remotely with a clear-text protocol or using easy to guess passwords) or because they are actively trying to subvert the system's security (e.g. install additional services locally on their accounts)."
msgstr "Sie sollten bestrebt sein, Ihr System sicher zu halten, indem Sie seine Verwendung und die es betreffenden Verwundbarkeiten im Auge behalten. Sobald Patches verfügbar sind, sollte Sie diese einspielen. Denn auch wenn Sie zu Beginn ein sehr sicheres System eingerichtet haben, sollten Sie daran denken, dass die Sicherheit eines Systems mit der Zeit nachlässt. Das liegt daran, dass Sicherheitslücken in Systemdiensten entdeckt werden können. Außerdem können Benutzer die Sicherheit untergraben, wenn ihnen das notwendige Verständnis fehlt (z.B. wenn sie aus der Ferne auf ein System mit einem Klartextpasswort oder einem einfach zu erratenden Passwort zugreifen) oder gar weil sie aktiv versuchen, die Sicherheit des Systems auszuschalten (indem sie z.B. zusätzliche Dienste lokal in ihren Konten installieren)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:20
msgid "Tracking security vulnerabilities"
msgstr "Beobachtung von Sicherheitslücken"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:30
msgid "Although most administrators are aware of security vulnerabilities affecting their systems when they see a patch that is made available you can strive to keep ahead of attacks and introduce temporary countermeasures for security vulnerabilities by detecting when your system is vulnerable. This is specially true when running an exposed system (i.e. connected to the Internet) and providing a service. In such case the system's administrators should take care to monitor known information sources to be the first to know when a vulnerability is detected that might affect a critical service."
msgstr "Die meisten Administratoren werden sich Sicherheitslücken, die ihr System betreffen, bewusst, wenn sie den dazugehörigen Patch sehen. Sie können aber Angriffen schon im Vorfeld begegnen und vorübergehende Abwehrmaßnahmen einleiten, sobald Sie festgestellt haben, dass Ihr System verwundbar ist. Dies gilt besonders für exponierte Systeme (die also mit dem Internet verbunden sind), die Dienste anbieten. In diesem Fall sollte der Systemadministrator einen Blick auf die bekannten Informationsquellen werfen, um als erster zu wissen, wenn eine Sicherheitslücke für einen kritischen Dienst entdeckt wird."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:38
msgid "This typically includes subscribing to the announcement mailing lists, project websites or bug tracking systems provided by the software developers for a specific piece of code. For example, Apache users should regularly review Apache's <url id=\"http://httpd.apache.org/security_report.html\"; name=\"lists of security vulnerabilities\"> and subscribe to the <url id=\"http://httpd.apache.org/lists.html#http-announce\"; name=\"Apache Server Announcements\"> mailing list."
msgstr "Typischerweise abonniert man eine Mailingliste für Ankündigungen und beobachtet Webseiten oder Fehlerverfolgungssysteme der Software-Entwickler eines bestimmten Programms. So sollten beispielsweise Apache-Benutzer regelmäßig Apaches <url id=\"http://httpd.apache.org/security_report.html\"; name=\"Auflistung von Sicherheitslücken\"> durchsehen und die Mailingliste <url id=\"http://httpd.apache.org/lists.html#http-announce\"; name=\"Ankündigungen für den Apache-Server\"> abonnieren."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:54
msgid "In order to track known vulnerabilities affecting the Debian distribution, the Debian Testing Security Team provides a <url id=\"http://security-tracker.debian.net/\"; name=\"security tracker\"> that lists all the known vulnerabilities which have not been yet fixed in Debian packages. The information in that tracker is obtained through different public channels and includes known vulnerabilities which are available either through security vulnerability databases or <url id=\"http://www.debian.org/Bugs/\"; name=\"Debian's Bug Tracking system\">. Administrators can search for the known security issues being tracked for <url id=\"http://security-tracker.debian.net/tracker/status/release/stable\"; name=\"stable\">, <url id=\"http://security-tracker.debian.net/tracker/status/release/oldstable\"; name=\"oldstable\">, <url id=\"http://security-tracker.debian.net/tracker/status/release/testing\"; name=\"testing\">, or <url id=\"http://security-tracker.debian.net/tracker/status/release/unstable\"; name=\"unstable\">."
msgstr "Um bekannte Sicherheitslücken, die die Debian-Distribution betreffen, zu verfolgen, bietet das Testing-Security-Team von Debian einen <url id=\"http://security-tracker.debian.net/\"; name=\"Sicherheitstracker\"> an. Dieser führt alle bekannten Sicherheitslücken auf, die in Paketen von Debian noch nicht ausgebessert wurden. Die Informationen im Tracker stammen aus öffentlich zugänglichen Quellen. Dazu zählen Datenbanken über Sicherheitslücken und die <url id=\"http://www.debian.org/Bugs/\"; name=\"Fehlerdatenbank von Debian\">. Administratoren können nach bekannten Sicherheitsmängeln für <url id=\"http://security-tracker.debian.net/tracker/status/release/stable\"; name=\"Stable\">, <url id=\"http://security-tracker.debian.net/tracker/status/release/oldstable\"; name=\"Oldstable\">, <url id=\"http://security-tracker.debian.net/tracker/status/release/testing\"; name=\"Testing\"> oder <url id=\"http://security-tracker.debian.net/tracker/status/release/unstable\"; name=\"Unstable\"> suchen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:59
msgid "The tracker has searchable interfaces (by <url id=\"http://cve.mitre.org/\"; name=\"CVE\"> name and package name) and some tools (such as <package>debsecan</package>, see <ref id=\"debsecan\">) use that database to provide information of vulnerabilities affecting a given system which have not yet been addressed (i.e. those who are pending a fix)."
msgstr "Der Tracker kann mittels einer Benutzerschnittstelle durchsucht werden (nach <url id=\"http://cve.mitre.org/\"; name=\"CVE\">-Namen und dem Paketnamen). Einige Werkzeuge (wie zum Beispiel <package>debsecan</package>, vgl. <ref id=\"debsecan\">) setzen diese Datenbank ein, um auf Verwundbarkeiten des betreffenden Systems hinzuweisen, die noch nicht ausgebessert wurden (d.h. für die eine Ausbesserung bevorsteht)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:64
msgid "Concious administrators can use that information to determine which security bugs might affect the system they are managing, determine the severity of the bug and apply (if available) temporary countermeasures before a patch is available fixing this issue."
msgstr "Sicherheitsbewusste Administratoren können mit diesen Informationen feststellen, welche Sicherheitslücken das System, das sie verwalten, betreffen könnten, wie schwer das Risiko der Lücke wiegt und ob vorübergehend Gegenmaßnahmen zu treffen sind (falls möglich), bis ein Patch verfügbar ist, der das Problem löst."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:72
msgid "Security issues tracked for releases supported by the Debian Security Team should eventually be handled through Debian Security Advisories (DSA) and will be available for all users (see <ref id=\"keep-up-to-date\">). Once security issues are fixed through an advisory they will not be available in the tracker, but you will be able to search security vulnerabilities (by CVE name) using the <url id=\"http://www.debian.org/security/crossreferences\"; name=\"security cross references table\"> available for published DSAs."
msgstr "Sicherheitsprobleme in Veröffentlichungen, die vom Sicherheitsteam von Debian unterstützt werden, sollten irgendwann in Debian-Sicherheits-Ankündigungen (DSA) behandelt werden, die allen Benutzern zur Verfügung gestellt werden (vergleiche <ref id=\"keep-up-to-date\">). Sobald ein Sicherheitsproblem ausgebessert wurde und die Lösung in einer Ankündigung enthalten ist, wird es nicht mehr im Tracker aufgeführt. Sie können es aber immer noch mit einer Suchanfrage (nach dem CVE-Namen) finden, indem Sie <url id=\"http://www.de.debian.org/security/crossreferences\"; name=\"Querverweise für Debian-Sicherheits-Ankündigungen\"> verwenden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:80
msgid "Notice, however, that the information tracked by the Debian Testing Security Team only involves disclosed vulnerabilities (i.e. those already public). In some occasions the Debian Security Team might be handling and preparing DSAs for packages based on undisclosed information provided to them (for example, through closed vendor mailing lists or by upstream maintainers of software). So do not be surprised to find security issues that only show up as an advisory but never get to show up in the security tracker."
msgstr "Beachten Sie aber, dass die Informationen im Tracker des Debian-Testing-Sicherheitsteams nur bekannte Sicherheitslücken (d.h. solche, die öffentlich sind) beinhalten. In einigen Fällen gibt das Debian-Sicherheitsteam DSA für Pakete heraus, die auf vertraulichen Informationen beruhen, die das Team erhalten hat (z.B. über nicht-öffentliche Mailinglisten der Distributionen oder von Programmautoren). Seien Sie also nicht überrascht, in Sicherheitsankündigungen Sicherheitsprobleme zu entdecken, die nicht im Tracker enthalten sind."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:82
msgid "Continuously update the system"
msgstr "Fortlaufende Aktualisierung des Systems"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:90
msgid "You should conduct security updates frequently. The vast majority of exploits result from known vulnerabilities that have not been patched in time, as this <url id=\"http://www.cs.umd.edu/~waa/vulnerability.html\"; name=\"paper by Bill Arbaugh\"> (presented at the 2001 IEEE Symposium on Security and Privacy) explains. Updates are described under <ref id=\"security-update\">."
msgstr "Sie sollten regelmäßig Sicherheitsaktualisierungen durchführen. Der ganz überwiegende Anteil der Exploits nutzt bekannte Sicherheitslücken aus, die nicht rechtzeitig ausgebessert wurden. Dies wird in der <url id=\"http://www.cs.umd.edu/~waa/vulnerability.html\"; name=\"Veröffentlichung von Bill Arbaugh\"> dargestellt, die 2001 auf dem »IEEE Symposium on Security and Privacy« vorgestellt wurde. Das Durchführen einer Aktualisierung wird unter <ref id=\"security-update\"> beschrieben."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:92
msgid "Manually checking which security updates are available"
msgstr "Überprüfung von Hand, welche Sicherheitsaktualisierungen verfügbar sind"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:96
msgid "Debian does have a specific tool to check if a system needs to be updated but many users will just want to manually check if any security updates are available for their system."
msgstr "Debian besitzt ein Werkzeug, um zu überprüfen, ob ein System aktualisiert werden muss. Viele Benutzer wollen aber einfach von Hand überprüfen, ob Sicherheitsaktualisierungen für ihr System zur Verfügung stehen."
#. type: <p><example>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:99
msgid "If you have configured your system as described in <ref id=\"security-update\"> you just need to do:"
msgstr "Wenn Sie Ihr System nach der Beschreibung unter <ref id=\"security-update\"> eingerichtet haben, müssen Sie nur Folgendes tun:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:106
#, no-wrap
msgid ""
"# apt-get update\n"
"# apt-get upgrade -s\n"
"[ ... review packages to be upgraded ... ]\n"
"# apt-get upgrade \n"
"# checkrestart\n"
"[ ... restart services that need to be restarted ... ]"
msgstr ""
"# apt-get update\n"
"# apt-get upgrade -s\n"
"[ ... überprüfen der zu aktualisierenden Pakete ... ]\n"
"# apt-get upgrade \n"
"# checkrestart\n"
"[ ... Neustart der Dienste, die neu gestartet werden müssen ... ]"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:112
msgid "And restart those services whose libraries have been updated if any. Note: Read <ref id=\"security-update\"> for more information on library (and kernel) upgrades."
msgstr "Weiter müssen alle Dienste, deren Bibliotheken aktualisiert wurden, neu gestartet werden. Hinweis: Lesen Sie <ref id=\"security-update\"> für weitere Informationen zu Bibliotheks- (und Kernel-)Aktualisierungen."
#. type: <p><example>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:118
msgid "The first line will download the list of packages available from your configured package sources. The <tt>-s</tt> will do a simulation run, that is, it will <em>not</em> download or install the packages but rather tell you which ones should be downloaded/installed. From the output you can derive which packages have been fixed by Debian and are available as a security update. Sample:"
msgstr "Die erste Zeile wird die Liste der verfügbaren Pakete von den festgelegten Paketquellen herunterladen. Die Option <tt>-s</tt> wird eine Simulation durchführen, d.h. es werden <em>keine</em> Pakete heruntergeladen oder installiert. Vielmehr teilt es Ihnen mit, welche heruntergeladen und installiert werden sollen. Durch dieses Ergebnis könnten Sie erfahren, welche Pakete von Debian ausgebessert wurden und als Sicherheitsaktualisierung verfügbar sind. Zum Beispiel:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:127
#, no-wrap
msgid ""
"# apt-get upgrade -s\n"
"Reading Package Lists... Done\n"
"Building Dependency Tree... Done\n"
"2 packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded.\n"
"Inst cvs (1.11.1p1debian-8.1 Debian-Security:3.0/stable)\n"
"Inst libcupsys2 (1.1.14-4.4 Debian-Security:3.0/stable)\n"
"Conf cvs (1.11.1p1debian-8.1 Debian-Security:3.0/stable)\n"
"Conf libcupsys2 (1.1.14-4.4 Debian-Security:3.0/stable)"
msgstr ""
"# apt-get upgrade -s\n"
"Reading Package Lists... Done\n"
"Building Dependency Tree... Done\n"
"2 packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded.\n"
"Inst cvs (1.11.1p1debian-8.1 Debian-Security:3.0/stable)\n"
"Inst libcupsys2 (1.1.14-4.4 Debian-Security:3.0/stable)\n"
"Conf cvs (1.11.1p1debian-8.1 Debian-Security:3.0/stable)\n"
"Conf libcupsys2 (1.1.14-4.4 Debian-Security:3.0/stable)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:140
msgid "In this example, you can see that the system needs to be updated with new <package>cvs</package> and <package>cupsys</package> packages which are being retrieved from <em>woody's</em> security update archive. If you want to understand why these packages are needed, you should go to <url id=\"http://security.debian.org\";> and check which recent Debian Security Advisories have been published related to these packages. In this case, the related DSAs are <url id=\"http://www.debian.org/security/2003/dsa-233\"; name=\"DSA-233\"> (for <package>cvs</package>) and <url id=\"http://www.debian.org/security/2003/dsa-232\"; name=\"DSA-232\"> (for <package>cupsys</package>)."
msgstr "In diesem Beispiel können Sie erkennen, dass auf dem System <package>cvs</package> und <package>cupsys</package> mit neuen Versionen aus <em>Woodys</em> Sicherheitsarchiv aktualisiert werden müssen. Um herauszufinden, warum eine Aktualisierung notwendig ist, sollten Sie <url id=\"http://security.debian.org\";> besuchen und sich ansehen, welche aktuellen Debian-Sicherheits-Ankündigungen zu diesen Paketen veröffentlicht wurden. In unserem Fall sind die zugehörigen DSA <url id=\"http://www.debian.org/security/2003/dsa-233\"; name=\"DSA-233\"> (für <package>cvs</package>) und <url id=\"http://www.debian.org/security/2003/dsa-232\"; name=\"DSA-232\"> (für <package>cupsys</package>)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:143
msgid "Notice that you will need to reboot your system if there has been a kernel upgrade."
msgstr "Hinweis: Sie werden Ihr System neustarten müssen, wenn der Kernel aktualisiert wurde."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:145
msgid "Checking for updates at the Desktop"
msgstr "Überprüfung von Aktualisierungen auf dem Desktop"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:151
msgid "Since Debian 4.0 <em>lenny</em> Debian provides and installs in a default installation <package>update-notifier</package>. This is a GNOME application that will startup when you enter your Desktop and can be used to keep track of updates available for your system and install them. It uses <package>update-manager</package> for this."
msgstr "Seit Debian 4.0 <em>Lenny</em> gibt es in Debian <package>update-notifier</package>, das in einer Standardinstallation installiert wird. Es ist eine GNOME-Anwendung, die beim Starten des Desktops mitgestartet wird. Sie kann geprüft, welche Aktualisierungen für Ihr System zur Verfügung stehen, und diese installieren. Dafür verwendet es <package>update-manager</package>."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:158
msgid "In a stable system updates are only available when a security patch is available or at point releases. Consequently, if the system is properly configured to receive security updates as described in <ref id=\"security-update\"> and you have a cron task running to update the package information you will be notified through an icon in the desktop notifcation area."
msgstr "In dem Stable-Zweig gibt es Aktualisierungen nur zum Entfernen von Sicherheitsproblemen oder dann, wenn eine Zwischenveröffentlichung (point release) angeboten wird. Wenn das System richtig konfiguriert ist, um Sicherheitsaktualisierungen zu erhalten (wie in <ref id=\"security-update\"> beschrieben), und Sie mit <prgn>cron</prgn> die Paketinformationen aktualisieren, werden Sie durch ein Desktop-Symbol in dem Benachrichtigungsbereich des Desktops über Aktualisierungen informiert werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:163
msgid "The notification is not intrusive and users are not forced to install updates. From the notification icon a desktop user (with the administrator's password) can access a simple GUI to show available updates and install them."
msgstr "Diese Benachrichtigung ist nicht aufdringlich und zwingt den Benutzer nicht dazu, die Aktualisierungen zu installieren. Über das Symbol kann der Desktop-Benutzer (mit dem Passwort des Systemadministrators) zu einer einfachen graphischen Benutzeroberfläche gelangen, um sich die verfügbaren Aktualisierungen anzeigen zu lassen und zu installieren."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:169
msgid "This application works by checking the package database and comparing the system with its contents. If the package database is updated periodically through a <prgn>cron</prgn> task then the contents of the database will be newer than the packages installed in the system and the application will notify you."
msgstr "Diese Anwendung arbeitet damit, dass sie die Paketdatenbank abruft und ihren Inhalt mit dem System vergleicht. Wenn die Datenbank regelmäßig mit <prgn>cron</prgn> aktualisiert wird, ist ihr Inhalt aktueller als die auf dem System installierten Pakete, worauf die Anwendung Sie hinweisen wird."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:175
msgid "<prgn>Apt</prgn> installs such a task (<file>/etc/cron.d/apt</file>) which will run based on Apt's configuration (more specifically <em>APT::Periodic</em>). In the GNOME environment this configuration value can be adjusted by going to System > Admin > Software origins > Updates, or running <prgn>/usr/bin/software-properties</prgn>."
msgstr "<prgn>Apt</prgn> richtet eine solche Aufgabe ein (<file>/etc/cron.d/apt</file>), die abhängig von der Konfiguration von Apt ausgeführt wird (genauer gesagt je nach <em>APT::Periodic</em>). In der GNOME-Umgebung kann dieser Wert über System > Admin > Software origins > Updates oder mit <prgn>/usr/bin/software-properties</prgn> geändert werden. <!-- SB(20140124): Wie heißen die Menüeinträge auf Deutsch? -->"
#. type: <p><example>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:179
msgid "If the system is set to download the packages list daily but not download the packages themselves your <file>/etc/apt/apt.conf.d/10periodic</file> should look like this:"
msgstr "Wenn Ihr System täglich die Paketliste herunterladen soll, aber nicht die Pakete selbst, sollte <file>/etc/apt/apt.conf.d/10periodic</file> etwa so aussehen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:182
#, no-wrap
msgid ""
"APT::Periodic::Update-Package-Lists \"1\";\n"
"APT::Periodic::Download-Upgradeable-Packages \"0\";"
msgstr ""
"APT::Periodic::Update-Package-Lists \"1\";\n"
"APT::Periodic::Download-Upgradeable-Packages \"0\";"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:188
msgid "You can use a different cron task, such as the one installed by <package>cron-apt</package> (see <ref id=\"cron-apt\">). You can also just manually check for upgrades using this application."
msgstr "Sie können auch eine andere cron-Aufgabe verwenden, z.B. die von <package>cron-apt</package> installierte (vgl. <ref id=\"cron-apt\">). Damit können Sie auch nur per Hand nach Aktualisierungen suchen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:193
msgid "Users of the KDE desktop environment will probably prefer to install <package>adept</package> and <package>adept-notifier</package> instead which offers a similar functionality but is not part of the standard installation."
msgstr "Benutzer der KDE-Umgebung sollten stattdessen <package>adept</package> und <package>adept-notifier</package> installieren, die vergleichbare Funktionen anbieten, aber nicht in der Standardinstallation enthalten sind."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:195
msgid "Automatically checking for updates with cron-apt"
msgstr "Automatisches Überprüfung von Aktualisierungen mit cron-apt"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:202
msgid "Another method for automatic security updates is the use of <package>cron-apt</package>. This package provides a tool to update the system at regular intervals (using a cron job), and can also be configured to send mails to the system administrator using the local mail transport agent. It will just update the package list and download new packages by default but it can be configured to automatically install new updates."
msgstr "Eine andere Methode für automatische Sicherheitsaktualisierungen ist <package>cron-apt</package>. Dieses Paket stellt ein Werkzeug zur Verfügung, mit dem das System in regelmäßigen Abständen (mit einem Cronjob) aktualisiert wird. Es kann so konfiguriert werden, dass es E-Mails mit dem lokalen Mail-Transport-Agent an den Systemadministrator schickt. Standardmäßig wird es nur die Paketliste aktualisieren und neue Pakete herunterladen. Es kann aber so konfiguriert werden, dass es automatisch Aktualisierungen installiert."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:208
msgid "Notice that you might want to check the distribution release, as described in <ref id=\"check-releases\">, if you intend to automatically updated your system (even if only downloading the packages). Otherwise, you cannot be sure that the downloaded packages really come from a trusted source."
msgstr "Hinweis: Wenn Sie vorhaben, Ihr System automatisch zu aktualisieren (auch wenn Sie sich nur die Pakete herunterladen), sollten Sie sich vielleicht die Distributionsveröffentlichung ansehen, wie in <ref id=\"check-releases\"> beschrieben wird. Anderenfalls können Sie sich nicht sicher sein, dass die heruntergeladenen Pakete wirklich aus einer vertrauenswürdigen Quelle stammen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:212
msgid "More information is available at the <url id=\"http://www.debian-administration.org/articles/162\"; name=\"Debian Administration site\">."
msgstr "Weitere Informationen finden Sie auf der <url id=\"http://www.debian-administration.org/articles/162\"; name=\"Debian-Administration-Site\">."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:214
msgid "Automatically checking for security issues with debsecan"
msgstr "Automatisches Überprüfung von Aktualisierungen mit debsecan"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:223
msgid "The <prgn>debsecan</prgn> program evaluates the security status of by reporting both missing security updates and security vulnerabilities. Unlike <package>cron-apt</package>, which only provides information related to security updates available, but this tool obtains information from the security vulnerability database maintained by the Debian Security Team which includes also information on vulnerabilities which are not yet fixed through a security update. Consequently, it is more efficient at helping administrators track security vulnerabilities (as described in <ref id=\"track-vulns\">)."
msgstr "Das Programm <prgn>debsecan</prgn> ermittelt den Sicherheitsstatus, indem es sowohl nicht installierte Sicherheitsaktualisierungen als auch Sicherheitslücken meldet. Im Gegensatz zu <package>cron-apt</package>, das nur Informationen zu verfügbaren Sicherheitsaktualisierungen bereitstellt, bezieht dieses Werkzeug auch Informationen von der Datenbank über Sicherheitslücken, die von Debians Sicherheitsteam verwaltet wird. Darin befinden sich auch Informationen über Lücken, die noch nicht durch eine Sicherheitsaktualisierung geschlossen wurden. Daher kann es Administratoren besser helfen, Sicherheitslücken im Blick zu behalten (wie unter <ref id=\"track-vulns\"> beschrieben)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:233
msgid "Upon installing the Debian package <package>debsecan</package>, and if the administrator consents to it, it will generate a cron task that will make it run and send the output to a specific user whenever it finds a vulnerable package. It will also download the information from the Internet. The location of the security database is also part of the questions ask on installation and are later defined <file>/etc/default/debsecan</file>, it can be easily adjusted for systems that do not have Internet access so that they all pull from a local mirror so that there is a single point that access the vulnerability database."
msgstr "Nach der Installation des Debian-Pakets <package>debsecan</package> wird es mit Zustimmung des Administrators eine cron-Aufgabe erstellen, die das Programm aufruft und das Ergebnis an einen bestimmten Benutzer schickt, wenn sie ein verwundbares Paket findet. Sie wird auch Informationen aus dem Internet laden. Bei der Installation wird auch nach dem Ort der Sicherheitsdatenbank gefragt, dieser wird in <file>/etc/default/debsecan</file> gespeichert. Er kann leicht so angepasst werden, damit Systeme ohne Internetzugang auf einen lokale Spiegelserver zugreifen können und nur dieser mit der Sicherheitsdatenbank verbunden sein muss."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:240
msgid "Notice, however, that the Security Team tracks many vulnerabilities including low-risk issues which might not be fixed through a security update and some vulnerabilities initially reported as affecting Debian might, later on, upon investigation, be dismissed. <prgn>Debsecan</prgn> will report on all the vulnerabilities, which makes it a quite more verbose than the other tools described above."
msgstr "Beachten Sie jedoch, dass das Sicherheitsteam viele Verwundbarkeiten aufführt, die (wie risikoarme Probleme) nicht mit einer Sicherheitsaktualisierung ausgebessert werden oder bei denen sich später herausstellt, dass sie, anders als zunächst angenommen, Debian nicht betreffen. <prgn>Debsecan</prgn> wird alle Verwundbarkeiten melden, wodurch diese Meldungen deutlich umfangreicher werden als bei den anderen beschriebenen Werkzeugen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:245
msgid "More information is available at the <url id=\"http://www.enyo.de/fw/software/debsecan/\"; name=\"author's siste\">."
msgstr "Weitere Informationen finden Sie auf der <url id=\"http://www.enyo.de/fw/software/debsecan/\"; name=\"Site des Autors\">."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:247
msgid "Other methods for security updates"
msgstr "Andere Methoden für Sicherheitsaktualisierungen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:254
msgid "There is also the <package>apticron</package>, which, similarly to <package>cron-apt</package> will check for updates and send mails to the administrator. More information on apticron is available at the <url id=\"http://www.debian-administration.org/articles/491\"; name=\"Debian Administration site\">."
msgstr "Es gibt auch <package>apticron</package>, das ähnlich wie <package>cron-apt</package> nach Aktualisierungen sucht und eine E-Mail an den Administrator schickt. Weitere Informationen über apticron finden Sie auf der <url id=\"http://www.debian-administration.org/articles/491\"; name=\"Site über Debian-Administration\">."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:263
msgid "You might also want to take a look at <url id=\"http://clemens.endorphin.org/secpack/\"; name=\"secpack\"> which is an unofficial program to do security updates from security.debian.org with signature checking written by Fruhwirth Clemens. Or to the Nagios Plugin <url id=\"http://www.unixdaemon.net/nagios_plugins.html#check_debian_packages\"; name=\"check_debian_updates.sh\"> written by Dean Wilson."
msgstr "Sie können auch einen Blick auf <url id=\"http://clemens.endorphin.org/secpack/\"; name=\"secpack\"> werfen. Es ist ein inoffizielles Programm, um Sicherheitsaktualisierungen von security.debian.org mit Prüfung der Signatur durchzuführen. Es wurde von Fruhwirth Clemens geschrieben. Eine weitere Alternative bietet die Nagios-Erweiterung <url id=\"http://www.unixdaemon.net/nagios_plugins.html#check_debian_packages\"; name=\"check_debian_updates.sh\"> von Dean Wilson."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:265
msgid "Avoid using the unstable branch"
msgstr "Vermeiden Sie den Unstable-Zweig"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:271
msgid "Unless you want to dedicate time to patch packages yourself when a vulnerability arises, you should <em>not</em> use Debian's unstable branch for production-level systems. The main reason for this is that there are no security updates for <em>unstable</em> (see <ref id=\"sec-unstable\">)."
msgstr "Falls Sie nicht Zeit darauf verwenden wollen, selbst Pakete zu patchen, wenn Verwundbarkeiten entdeckt werden, sollten Sie auf produktiven Systemen <em>nicht</em> Debians Unstable-Zweig einsetzen. Der Hauptgrund dafür ist, dass es für <em>Unstable</em> keine Sicherheitsaktualisierungen gibt (siehe <ref id=\"sec-unstable\">)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:277
msgid "The fact is that some security issues might appear in unstable and <em>not</em> in the <em>stable</em> distribution. This is due to new functionality constantly being added to the applications provided there, as well as new applications being included which might not yet have been thoroughly tested."
msgstr "Es ist eine Tatsache, dass manche Sicherheitsprobleme nur in Unstable auftreten und <em>nicht</em> in <em>Stable</em>. Das rührt daher, dass dort ständig neue Funktionen zu den Anwendungen hinzugefügt werden und auch neue Anwendungen aufgenommen werden, die unter Umständen noch nicht vollständig getestet wurden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:284
msgid "In order to do security upgrades in the <em>unstable</em> branch, you might have to do full upgrades to new versions (which might update much more than just the affected package). Although there have been some exceptions, security patches are usually only back ported into the <em>stable</em> branch. The main idea being that between updates, <em>no new code</em> should be added, just fixes for important issues."
msgstr "Um im <em>Unstable</em>-Zweig Sicherheitsaktualisierungen durchzuführen, müssen Sie unter Umständen eine vollständige Aktualisierung mit einer neuen Version durchführen (was viel mehr als nur das betroffene Pakete aktualisieren könnte). Sicherheitsaktualisierungen wurden – mit Ausnahmen – nur in den <em>Stable</em>-Zweig zurückportiert. Die Grundidee ist, dass mit Sicherheitsaktualisierungen <em>kein neuer Code</em> hinzugefügt werden sollte, sondern nur wichtige Probleme beseitigt werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:288
msgid "Notice, however, that you can use the security tracker (as described in <ref id=\"track-vulns\">) to track known security vulnerabilities affecting this branch."
msgstr "Denken Sie daran, dass Sie allerdings den Sicherheitstracker verwenden können (wie unter <ref id=\"track-vulns\"> beschrieben), um bekannte Sicherheitsprobleme für diesen Zweig nachzuvollziehen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:290
msgid "Security support for the testing branch"
msgstr "Sicherheitsunterstützung für den Testing-Zweig"
#. type: <p><list>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:294
msgid "If you are using the <em>testing</em> branch, there are some issues that you must take into account regarding the availability of security updates:"
msgstr "Wenn Sie den <em>Testing</em>-Zweig verwenden, müssen Sie einige Problemkreise hinsichtlich der Verfügbarkeit von Sicherheitsaktualisierungen in Betracht ziehen:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:307
msgid "When a security fix is prepared, the Security Team backports the patch to <em>stable</em> (since stable is usually some minor or major versions behind). Package maintainers are responsible for preparing packages for the <em>unstable</em> branch, usually based on a new upstream release. Sometimes the changes happen at nearly the same time and sometimes one of the releases gets the security fix before. Packages for the <em>stable</em> distribution are more thoroughly tested than <em>unstable</em>, since the latter will in most cases provide the latest upstream release (which might include new, unknown bugs)."
msgstr "Wenn eine Sicherheitslücke geschlossen wurde, portiert das Sicherheitsteam den Patch nach <em>Stable</em> zurück (da Stable normalerweise einige Minor- oder Majorversionen zurückliegt). Die Paketbetreuer sind dafür verantwortlich, Pakete für den <em>Unstable</em>-Zweig vorzubereiten. Grundlage dafür ist normalerweise eine neue Veröffentlichung des Originalprogramms. Manchmal ereignen sich die Änderungen fast zur selben Zeit und manchmal enthält eine der Veröffentlichungen eine Ausbesserung einer Sicherheitslücke vor einer anderen. Pakete in <em>Stable</em> werden gründlicher getestet als die in <em>Unstable</em>, da letztere in den meisten Fällen die neueste Veröffentlichung des Originalprogramms enthält (welches neue, unbekannte Fehler enthalten könnte)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:312
msgid "Security updates are available for the <em>unstable</em> branch usually when the package maintainer makes a new package and for the <em>stable</em> branch when the Security Team make a new upload and publish a DSA. Notice that neither of these change the <em>testing</em> branch."
msgstr "Gewöhnlich sind Sicherheitsaktualisierungen für den <em>Unstable</em>-Zweig verfügbar, wenn der Paketbetreuer ein neues Paket baut, und für den <em>Stable</em>-Zweig, wenn das Security Team eine neue Version hochlädt und ein DSA veröffentlicht. Beachten Sie, dass beides nicht des <em>Testing</em>-Zweig verändert."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:320
msgid "If no (new) bugs are detected in the <em>unstable</em> version of the package, it moves to <em>testing</em> after several days. The time this takes is usually ten days, although that depends on the upload priority of the change and whether the package is blocked from entering <em>testing</em> by its dependency relationships. Note that if the package is blocked from entering testing the upload priority will not change the time it takes to enter."
msgstr "Wenn keine (neuen) Fehler in der <em>Unstable</em>-Version des Pakets entdeckt werden, wandert es nach ein paar Tagen nach <em>Testing</em>. Das dauert normalerweise zehn Tage. Es hängt allerdings von der Priorität des Hochladens der Veränderung ab und davon, ob das Paket von <em>Testing</em> zurückgehalten wird, da Abhängigkeiten nicht aufgelöst werden können. Beachten Sie, dass wenn das Paket daran gehindert ist, nach Testing zu wandern, auch die Priorität des Hochladens daran nichts ändern kann."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:326
msgid "This behavior might change based on the release state of the distribution. When a release is almost imminent, the Security Team or package maintainers might provide updates directly to testing."
msgstr "Dieses Verhalten könnte sich je nach dem Status der Veröffentlichung der Distribution verändern. Wenn eine Veröffentlichung unmittelbar bevorsteht, werden auch das Sicherheitsteam oder die Paketbetreuer direkt Aktualisierungen für Testing zur Verfügung stellen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:332
msgid "Additionally, the <url id=\"http://secure-testing-master.debian.net\"; name=\"Debian Testing Security Team\"> can issue Debian Testing Security Advisories (DTSAs) for packages in the <em>testing</em> branch if there is an inmediate need to fix a security issue in that branch and cannot wait for the normal procedure (or the normal procedure is being blocked by some other packages)."
msgstr "Zusätzlich kann auch das <url id=\"http://secure-testing-master.debian.net\"; name=\"Debian-Testing-Sicherheitsteam\"> Debian-Testing-Sicherheitsankündigungen (DTSA) für Pakete im Testing-Zweig herausgeben, wenn sofort eine Lücke in diesem Zweig geschlossen werden muss und die normale Vorgehensweise nicht abgewartet werden kann (oder die übliche Vorgehensweise durch andere Pakete blockiert ist)."
#. type: <p><example>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:336
msgid "Users willing to take advantage of this support should add the following lines to their <file>/etc/apt/sources.list</file> (instead of the lines described in <ref id=\"security-update\">):"
msgstr "Benutzer, die von diesem Angebot Gebrauch machen wollen, müssen folgende Zeilen ihrer <file>/etc/apt/sources.list</file> (anstatt der Zeilen, die unter <ref id=\"security-update\"> dargestellt wurden) hinzufügen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:340
#, no-wrap
msgid ""
" deb http://security.debian.org testing/updates main contrib non-free\n"
"# This line makes it possible to donwload source packages too\n"
" deb-src http://security.debian.org testing/updates main contrib non-free"
msgstr ""
" deb http://security.debian.org testing/updates main contrib non-free\n"
"# Diese Zeile macht es möglich, auch Quellpakete herunterzuladen\n"
" deb-src http://security.debian.org testing/updates main contrib non-free"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:345
msgid "For additional information on this support please read the <url id=\"http://lists.debian.org/debian-devel-announce/2006/05/msg00006.html\"; name=\"announcement\">. This support officially started in <url id=\"http://lists.debian.org/debian-devel-announce/2005/09/msg00006.html\"; name=\"September 2005\"> in a separate repository and was later integrated into the main security archive."
msgstr "Für weitere Informationen zu diesem Angebot können Sie die entsprechende <url id=\"http://lists.debian.org/debian-devel-announce/2006/05/msg00006.html\"; name=\"Ankündigung\"> lesen. Dieses Angebot startete offiziell im <url id=\"http://lists.debian.org/debian-devel-announce/2005/09/msg00006.html\"; name=\"September 2005\"> als zusätzliches Paketdepot und wurde später in das allgemeine Sicherheitsarchiv integriert."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:349
msgid "Automatic updates in a Debian GNU/Linux system"
msgstr "Automatische Aktualisierungen in einem Debian GNU/Linux System"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:353
msgid "First of all, automatic updates are not fully recommended, since administrators should review the DSAs and understand the impact of any given security update."
msgstr "Es sei vorweggeschickt, dass automatische Aktualisierungen nicht vollständig empfohlen werden, da Administratoren die DSAs durchsehen und die Bedeutung einer bestimmten Sicherheitsaktualisierung verstehen sollten."
#. type: <p><list>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:355
msgid "If you want to update your system automatically you should:"
msgstr "Wenn Sie Ihr System automatisch aktualisieren wollen, sollten Sie Folgendes durchführen:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:362
msgid "Configure <prgn>apt</prgn> so that those packages that you do not want to update stay at their current version, either with <prgn>apt</prgn>'s <em>pinning</em> feature or marking them as <em>hold</em> with <prgn>dpkg</prgn> or <prgn>dselect</prgn>."
msgstr "Konfigurieren Sie <prgn>apt</prgn> so, dass Pakete, die Sie nicht aktualisieren wollen, ihrer momentane Version beibehalten. Das können Sie entweder mit einer Eigenschaft von <prgn>apt</prgn>, dem <em>pinning</em> (festheften), erreichen, oder Sie kennzeichnen sie mit <prgn>dpkg</prgn> oder <prgn>dselect</prgn> als <em>hold</em> (festgehalten)."
#. type: <p><example>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:366
msgid "To pin the packages under a given release, you must edit <file>/etc/apt/preferences</file> (see <manref name=\"apt_preferences\" section=\"5\">) and add:"
msgstr "Um Pakete einer bestimmten Veröffentlichung mit pinning festzuheften, müssen Sie <file>/etc/apt/preferences</file> bearbeiten (siehe <manref section=\"5\" name=\"apt_preferences\">) und Folgendes hinzufügen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:370
#, no-wrap
msgid ""
" Package: *\n"
" Pin: release a=stable\n"
" Pin-Priority: 100"
msgstr ""
" Package: *\n"
" Pin: release a=stable\n"
" Pin-Priority: 100"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:373
msgid "FIXME: verify if this configuration is OK."
msgstr "FIXME: verify if this configuration is OK."
#. type: <p><example>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:377
msgid "Either use <package>cron-apt</package> as described in <ref id=\"cron-apt\"> and enable it to install downloaded packages or add a <prgn>cron</prgn> entry yourself so that the update is run daily, for example:"
msgstr "Entweder setzen Sie <package>cron-apt</package> ein, wie in <ref id=\"cron-apt\"> beschrieben wird, und erlauben ihm, heruntergeladene Pakete zu installieren. Oder Sie fügen selbst einen Eintrag für <prgn>cron</prgn> hinzu, damit die Aktualisierung täglich ausgeführt wird. Ein Beispiel:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:379
#, no-wrap
msgid " apt-get update && apt-get -y upgrade"
msgstr " apt-get update && apt-get -y upgrade"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:390
msgid "The <tt>-y</tt> option will have <prgn>apt</prgn> assume 'yes' for all the prompts that might arise during the update. In some cases, you might want to use the <tt>--trivial-only</tt> option instead of the <tt>--assume-yes</tt> (equivalent to <tt>-y</tt>).<footnote><p>You may also want to use the <tt>--quiet</tt> (<tt>-q</tt>) option to reduce the output of <prgn>apt-get</prgn>, which will stop the generation of any output if no packages are installed.</p></footnote>"
msgstr "Die Option <tt>-y</tt> veranlasst <prgn>apt</prgn>, für alle Fragen, die während der Aktualisierung auftreten können, »yes« anzunehmen. In manchen Fällen sollten Sie die Option <tt>--trivial-only</tt> (nur Bagatellen) der Option <tt>--assume-yes</tt> (ist gleichbedeutend mit <tt>-y</tt>) vorziehen.<footnote> Sie können auch die Option <tt>--quiet</tt> (<tt>-q</tt>) verwenden. Sie verringert die Ausgabe von <prgn>apt-get</prgn> und wird keine Ausgabe produzieren, wenn keine Pakete installiert werden. </footnote>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:395
msgid "Configure <prgn>debconf</prgn> so no questions will be asked during upgrades, so that they can be done non-interactively. <footnote><p>Note that some packages might <em>not</em> use <prgn>debconf</prgn> and updates will stall due to packages asking for user input during configuration.</p></footnote>"
msgstr "Richten Sie <prgn>debconf</prgn> so ein, dass während der Aktualisierung keine Eingabe verlangt wird. Auf diese Weise können Aktualisierungen nicht-interaktiv durchgeführt werden.<footnote> Beachten Sie, dass einige Pakete <em>nicht</em> <prgn>debconf</prgn> verwenden könnten. Die Aktualisierung könnte dann hängen bleiben, da Pakete während ihrer Konfiguration Eingaben des Benutzers verlangen. </footnote>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:399
msgid "Check the results of the <prgn>cron</prgn> execution, which will be mailed to the superuser (unless changed with <tt>MAILTO</tt> environment variable in the script)."
msgstr "Überprüfen Sie die Ergebnisse der Ausführung von <prgn>cron</prgn>, die an den Superuser gemailt werden (sofern nicht die Umgebungsvariable <tt>MAILTO</tt> im Skript geändert wurde)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:406
msgid "A safer alternative might be to use the <tt>-d</tt> (or <tt>--download-only</tt>) option, which will download but not install the necessary packages. Then if the <prgn>cron</prgn> execution shows that the system needs to be updated, it can be done manually."
msgstr "Eine sichere Alternative könnte es sein, die Option <tt>-d</tt> (oder <tt>--download-only</tt>) zu verwenden. Das hat zur Folge, dass die benötigten Pakete nur heruntergeladen, aber nicht installiert werden. Und wenn dann die Ausführung von <prgn>cron</prgn> zeigt, dass das System aktualisiert werden muss, kann das von Hand vorgenommen werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:410
msgid "In order to accomplish any of these tasks, the system must be properly configured to download security updates as discussed in <ref id=\"security-update\">."
msgstr "Um diese Aufgaben zu erfüllen, muss das System korrekt konfiguriert sein, um Sicherheitsaktualisierungen herunterzuladen. Dies wurde in <ref id=\"security-update\"> diskutiert."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:419
msgid "However, this is not recommended for <em>unstable</em> without careful analysis, since you might bring your system into an unusable state if some serious bug creeps into an important package and gets installed in your system. <em>Testing</em> is slightly more <em>secure</em> with regard to this issue, since serious bugs have a better chance of being detected before the package is moved into the testing branch (although, you may have <em>no</em> security updates available whatsoever)."
msgstr "Allerdings wird dieses Vorgehen ohne eine genaue Analyse nicht für <em>Unstable</em> empfohlen, da Sie Ihr System in einen unbrauchbaren Zustand bringen können, wenn sich ein gravierender Fehler in ein wichtiges Paket eingeschlichen hat und auf Ihrem System installiert wird. <em>Testing</em> ist vor diesem Problem etwas besser <em>geschützt</em>, da gravierende Fehler eine bessere Chance haben entdeckt zu werden, bevor das Paket in den Testing-Zweig wandert (obwohl Ihnen trotzdem <em>keine</em> Sicherheitsaktualisierungen zur Verfügung stehen)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:430
msgid "If you have a mixed distribution, that is, a <em>stable</em> installation with some packages updated to <em>testing</em> or <em>unstable</em>, you can fiddle with the pinning preferences as well as the <tt>--target-release</tt> option in <prgn>apt-get</prgn> to update <em>only</em> those packages that you have updated.<footnote><p>This is a common issue since many users want to maintain a stable system while updating some packages to <em>unstable</em> to gain the latest functionality. This need arises due to some projects evolving faster than the time between Debian's <em>stable</em> releases.</p></footnote>"
msgstr "Wenn Sie eine gemischte Distribution haben, also eine Installation von <em>Stable</em> mit einige Pakete aus <em>Testing</em> oder <em>Unstable</em>, können Sie mit den Pinning-Eigenschaften oder der Option <tt>--target-release</tt> von <prgn>apt-get</prgn> herumspielen, um <em>nur</em> die Pakete zu aktualisieren, die Sie früher aktualisiert haben.<footnote> Dies ist ein verbreitetes Problem, da viele Benutzer ein stabiles System betreiben wollen, aber einige Pakete aus <em>Unstable</em> einsetzen, um die neusten Funktionen zu haben. Das kommt daher, dass sich manche Projekte schneller entwickeln als die Veröffentlichungen von Debians <em>Stable</em>. </footnote>"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:432
msgid "Do periodic integrity checks"
msgstr "Regelmäßiges Überprüfung der Integrität"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:438
msgid "Based on the baseline information you generated after installation (i.e. the snapshot described in <ref id=\"snapshot\">), you should be able to do an integrity check from time to time. An integrity check will be able to detect filesystem modifications made by an intruder or due to a system administrators mistake."
msgstr "Mit Hilfe der Basisinformationen, die Sie nach der Installation erstellt haben (also mit dem Schnappschuss, der in <ref id=\"snapshot\"> beschrieben wird), sollte es Ihnen möglich sein, von Zeit zu Zeit die Integrität des Systems zu überprüfen. Eine Integritätsprüfung kann Veränderungen am Dateisystem entdecken, die durch einen Eindringling oder einen Fehler des Systemadministrators entstanden sind."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:450
msgid "Integrity checks should be, if possible, done offline.<footnote><p>An easy way to do this is using a Live CD, such as <url id=\"http://www.knoppix-std.org/\"; name=\"Knoppix Std\"> which includes both the file integrity tools and the integrity database for your system.</p></footnote> That is, without using the operating system of the system to review, in order to avoid a false sense of security (i.e. false negatives) produced by, for example, installed rootkits. The integrity database that the system is checked against should also be used from read-only media."
msgstr "Überprüfungen der Integrität sollen, wenn möglich, extern durchgeführt werden.<footnote> Ein leichter Weg, das ist tun, ist die Verwendung einer Live-CD wie <url id=\"http://www.knoppix-std.org/\"; name=\"Knoppix Std\">, die sowohl die Programme zur Integritätsprüfung als auch die dazugehörige Datenbank enthält. </footnote> Das bedeutet, dass das Betriebssystem des überprüften Systems nicht verwendet wird, um den falschen Eindruck von Sicherheit (also falsche Negative) zu verhindern, der z.B. durch installierte Rootkits entstehen könnte. Die Datenbank, mit der das System verglichen wird, sollte sich daher auf einem nur-lesbaren Medium befinden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:457
msgid "You can consider doing integrity checks online using any of the filesystem integrity tools available (described in <ref id=\"check-integ\">) if taking offline the system is not an option. However, precaution should be taken to use a read-only integrity database and also assure that the integrity checking tool (and the operating system kernel) has not been tampered with."
msgstr "Falls der Einsatz einer externen Prüfung nicht möglich ist, sollten Sie in Betracht ziehen, die Integritätsprüfung mit den verfügbaren Werkzeugen zur Prüfung der Integrität des Dateisystem durchzuführen (wie unter <ref id=\"check-integ\"> beschrieben). Allerdings sollten Vorsichtsmaßnahmen getroffen werden: Die Datenbank für die Integritätsprüfung sollte nur-lesbar sein und Sie sollten auch sicherstellen, dass das Programm, das die Integrität überprüft, (und der Kernel des Betriebssystems) nicht manipuliert wurde."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:465
msgid "Some of the tools mentioned in the integrity tools section, such as <prgn>aide</prgn>, <prgn>integrit</prgn> or <prgn>samhain</prgn> are already prepared to do periodic reviews (through the crontab in the first two cases and through a standalone daemon in <prgn>samhain</prgn>) and can warn the administrator through different channels (usually e-mail, but <prgn>samhain</prgn> can also send pages, SNMP traps or syslog alerts) when the filesystem changes."
msgstr "Einige Werkzeuge, die im Abschnitt über Programme zur Integritätsprüfung beschrieben wurden, wie z.B. <prgn>aide</prgn>, <prgn>integrit</prgn> und <prgn>samhain</prgn>, sind schon so eingerichtet, dass sie regelmäßige Nachprüfungen durchführen (mittels crontab in den ersten beiden Fällen und mittels eines eigenständigen Daemons bei <prgn>samhain</prgn>). Sie können den Administrator auf verschiedenen Wegen warnen (normalerweise E-Mail, aber <prgn>samhain</prgn> kann auch Seiten, SNMP-Traps oder einen Alarm an syslog schicken), wenn sich das Dateisystem verändert."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:469
msgid "Of course, if you execute a security update of the system, the snapshot taken for the system should be re-taken to accommodate the changes done by the security update."
msgstr "Wenn Sie eine Sicherheitsaktualisierung des System vorgenommen haben, müssen Sie natürlich den Schnappschuss des Systems neu aufzeichnen, um ihn an die Änderungen durch die Sicherheitsaktualisierung anzupassen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:472
msgid "Set up Intrusion Detection"
msgstr "Aufsetzen einer Eindringlingserkennung"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:479
msgid "Debian GNU/Linux includes tools for intrusion detection, which is the practice of detecting inappropriate or malicious activity on your local system, or other systems in your private network. This kind of defense is important if the system is very critical or you are truly paranoid. The most common approaches to intrusion detection are statistical anomaly detection and pattern-matching detection."
msgstr "Debian GNU/Linux enthält Programme zur Erkennung von Eindringlingen. Das sind Programme, die unpassende oder bösartige Aktivitäten auf Ihrem lokalen System oder auf anderen System in Ihrem lokalen Netzwerk entdecken. Diese Art von Verteidigung ist wichtig, wenn das System sehr entscheidend ist oder Sie wirklich unter Verfolgungswahn leiden. Die gebräuchlichsten Herangehensweisen sind die statistische Entdeckung von Unregelmäßigkeiten und die Entdeckung bestimmter Muster."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:484
msgid "Always be aware that in order to really improve the system's security with the introduction of any of these tools, you need to have an alert+response mechanism in place. Intrusion detection is a waste of time if you are not going to alert anyone."
msgstr "Beachten Sie immer, dass Sie einen Alarm-und-Antwort-Mechanismus brauchen, um Ihre Systemsicherheit mit einer dieser Werkzeuge wirklich zu verbessern. Eindringlingserkennung ist Zeitverschwendung, wenn Sie niemanden alarmieren werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:494
msgid "When a particular attack has been detected, most intrusion detection tools will either log the event with <prgn>syslogd</prgn> or send e-mail to the root user (the mail recipient is usually configurable). An administrator has to properly configure the tools so that false positives do not trigger alerts. Alerts may also indicate an ongoing attack and might not be useful, say, one day later, since the attack might have already succeeded. So be sure that there is a proper policy on handling alerts and that the technical mechanisms to implement this policy are in place."
msgstr "Wenn ein bestimmter Angriff entdeckt worden ist, werden die meisten Programme zur Eindringlingserkennung entweder den Vorfall mit <prgn>syslog</prgn> protokollieren oder E-Mails an Root schicken (der Empfänger der E-Mails kann normalerweise eingestellt werden). Ein Administrator muss die Programme passend konfigurieren, so dass falsche Positivmeldungen keinen Alarm auslösen. Alarme können auf einen laufenden Angriff hindeuten und wären später – sagen wir mal am nächsten Tag – nicht mehr nützlich, da der Angriff dann bereits erfolgreich beendet worden sein könnte. Stellen Sie also sicher, dass es eine passende Regelung über die Handhabung von Alarmen gibt, und dass technische Maßnahmen zur Umsetzung dieser Regelung vorhanden sind."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:498
msgid "An interesting source of information is <url id=\"http://www.cert.org/tech_tips/intruder_detection_checklist.html\"; name=\"CERT's Intrusion Detection Checklist\">"
msgstr "Eine interessante Quelle für Informationen ist <url id=\"http://www.cert.org/tech_tips/intruder_detection_checklist.html\"; name=\"CERT's Intrusion Detection Checklist\">."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:500
msgid "Network based intrusion detection"
msgstr "Netzwerkbasierte Eindringlingserkennung"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:505
msgid "Network based intrusion detection tools monitor the traffic on a network segment and use this information as a data source. Specifically, the packets on the network are examined, and they are checked to see if they match a certain signature."
msgstr "Programme, die der netzwerkbasierten Eindringlingserkennung dienen, überwachen den Verkehr eines Netzwerkabschnitts und arbeiten auf Grundlage dieser Daten. Genauer ausgedrückt, es werden die Pakete im Netzwerk untersucht, um festzustellen, ob sie mit bestimmten Merkmalen übereinstimmen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:516
msgid "<package>snort</package> is a flexible packet sniffer or logger that detects attacks using an attack signature dictionary. It detects a variety of attacks and probes, such as buffer overflows, stealth port scans, CGI attacks, SMB probes, and much more. <prgn>snort</prgn> also has real-time alerting capability. You can use <prgn>snort</prgn> for a range of hosts on your network as well as for your own host. This is a tool which should be installed on every router to keep an eye on your network. Just install it with <tt>apt-get install snort</tt>, follow the questions, and watch it log. For a little broader security framework, see <url id=\"http://www.prelude-ids.org\"; name=\"Prelude\">."
msgstr "<package>snort</package> ist ein vielseitiger Paketschnüffler und -logger, der Angriffe mit Hilfe einer Bibliothek von Angriffssignaturen erkennt. Es erkennt eine breite Palette von Angriffen und Tests, wie zum Beispiel Pufferüberläufe, verdecktes Abtasten von Ports (stealth port scans), CGI Angriffe, SMB Tests und vieles mehr. <prgn>snort</prgn> hat auch die Fähigkeit, einen zeitnahen Alarm auszulösen. Dies ist ein Werkzeug, das auf jedem Router installiert werden sollte, um ein Auge auf Ihr Netzwerk zu haben. Installieren Sie es einfach mit <tt>apt-get install snort</tt>, beantworten Sie die Fragen und beobachten Sie die Protokolle. Für einen etwas breiteren Sicherheitsrahmen sollten Sie sich <url id=\"http://www.prelude-ids.org\"; name=\"Prelude\"> ansehen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:521
msgid "Debian's <package>snort</package> package has many security checks enabled by default. However, you should customize the setup to take into account the particular services you run on your system. You may also want to seek additional checks specific to these services."
msgstr "Debians Paket <package>snort</package> hat viele Sicherheitstests standardmäßig eingeschaltet. Jedoch sollten Sie die Konfiguration anpassen, um die Dienste, die auf Ihrem System laufen, zu berücksichtigen. Sie können auch zusätzliche Tests speziell für diese Dienste nutzen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:528
msgid "There are other, simpler tools that can be used to detect network attacks. <package>portsentry</package> is an interesting package that can tip you off to port scans against your hosts. Other tools like <package>ippl</package> or <package>iplogger</package> will also detect some IP (TCP and ICMP) attacks, even if they do not provide the kind of advanced techniques <prgn>snort</prgn> does."
msgstr "Es gibt noch andere, einfachere Werkzeuge, die dazu benutzt werden können, Angriffe auf das Netzwerk zu erkennen. <package>portsentry</package> ist ein interessantes Paket, das Sie warnen kann, wenn jemand Ihre Rechner scannt. Auch andere Programme wie <package>ippl</package> oder <package>iplogger</package> erkennen bestimmte IP (TCP und ICMP) Angriffe, auch wenn sie nicht so fortgeschrittene Techniken zur Erkennung von Netzwerkangriffen wie <prgn>snort</prgn> bieten."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:532
msgid "You can test any of these tools with the Debian package <package>idswakeup</package>, a shell script which generates false alarms, and includes many common attack signatures."
msgstr "Sie können jedes dieser Werkzeuge mit dem Paket <prgn>idswakeup</prgn> testen. Das ist ein Shell-Skript, das falsche Alarme verursacht und Signaturen vieler gebräuchlicher Angriffe enthält."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:534
msgid "Host based intrusion detection"
msgstr "Hostbasierte Eindringlingserkennung"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:540
msgid "Host based intrusion detection involves loading software on the system to be monitored which uses log files and/or the systems auditing programs as a data source. It looks for suspicious processes, monitors host access, and may even monitor changes to critical system files."
msgstr "Eine Eindringlingserkennung, die auf einem Host basiert, beruht darauf, Software auf dem zu überwachenden System zu laden, die Protokolldateien und die Auditing-Programme des Systems als Datengrundlage verwendet. Sie sucht nach verdächtigen Prozessen, kontrolliert den Zugang zum Host und überwacht u.U. auch Änderungen an kritischen Systemdateien."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:551
msgid "<package>tiger</package> is an older intrusion detection tool which has been ported to Debian since the Woody branch. <prgn>tiger</prgn> provides checks of common issues related to security break-ins, like password strength, file system problems, communicating processes, and other ways root might be compromised. This package includes new Debian-specific security checks including: MD5sums checks of installed files, locations of files not belonging to packages, and analysis of local listening processes. The default installation sets up <prgn>tiger</prgn> to run each day, generating a report that is sent to the superuser about possible compromises of the system."
msgstr "<package>tiger</package> ist ein älteres Programm zur Eindringlingserkennung, dass seit der Woody-Distribution auf Debian portiert wurde. <prgn>tiger</prgn> bietet Tests von verbreiteten Problemen in Zusammenhang mit Einbrüchen, wie der Stärke von Passwörtern, Problemen mit dem Dateisystem, kommunizierenden Prozessen und anderen Möglichkeiten, mit denen Root kompromittiert werden könnte. Dieses Paket umfasst neue, debianspezifische Sicherheitstests, einschließlich der MD5-Summen von installierten Programmen, des Orts von Dateien, die zu keinem Paket gehören und einer Analyse von lokalen lauschenden Prozessen. Die Standardinstallation lässt <prgn>tiger</prgn> einmal am Tag laufen und einen Bericht erstellen, der an den Superuser geschickt wird und Informationen zu möglichen Kompromittierungen enthält."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:554
msgid "Log analysis tools, such as <package>logcheck</package> can also be used to detect intrusion attempts. See <ref id=\"custom-logcheck\">."
msgstr "Programme zur Protokollanalyse, wie zum Beispiel <package>logcheck</package>, können zusätzliche benutzt werden, um Einbruchsversuche zu erkennen. Siehe <ref id=\"custom-logcheck\">."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:561
msgid "In addition, packages which monitor file system integrity (see <ref id=\"check-integ\">) can be quite useful in detecting anomalies in a secured environment. It is most likely that an effective intrusion will modify some files in the local file system in order to circumvent local security policy, install Trojans, or create users. Such events can be detected with file system integrity checkers."
msgstr "Daneben können Pakete, welche die Integrität des Dateisystems überwachen (siehe <ref id=\"check-integ\">), sehr nützlich sein, um Anomalien in einer abgesicherten Umgebung zu erkennen. Ein erfolgreicher Einbruch wird höchstwahrscheinlich Dateien auf dem lokalen Dateisystem verändern, um die lokalen Sicherheitsrichtlinien zu umgehen, Trojaner zu installieren oder Benutzer zu erstellen. Solche Ereignisse können mit Prüfwerkzeugen der Dateisystemintegrität erkannt werden."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:563
msgid "Avoiding root-kits"
msgstr "Vermeiden von Root-Kits"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:565
msgid "Loadable Kernel Modules (LKM)"
msgstr "Ladbare Kernel-Module (LKM)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:573
msgid "Loadable kernel modules are files containing dynamically loadable kernel components used to expand the functionality of the kernel. The main benefit of using modules is the ability to add additional devices, like an Ethernet or sound card, without patching the kernel source and recompiling the entire kernel. However, crackers are now using LKMs for root-kits (knark and adore), opening up back doors in GNU/Linux systems."
msgstr "Ladbare Kernel-Module sind Dateien, die nachladbare Teile des Kernels enthalten. Sie werden dazu verwendet, die Funktionalität des Kernel zu erweitern. Der Hauptnutzen des Einsatzes von Modulen liegt darin, dass Sie zusätzliche Geräte wie eine Ethernet- oder Soundkarte hinzuzufügen können, ohne dass die Kernelquelle gepatcht und der gesamte Kernel neu übersetzt werden müsste. Allerdings können Cracker LKMs für Root-Kits (knark und adore) benutzen, um auf GNU/Linux Systemen Hintertüren zu öffnen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:581
msgid "LKM back doors are more sophisticated and less detectable than traditional root-kits. They can hide processes, files, directories and even connections without modifying the source code of binaries. For example, a malicious LKM can force the kernel into hiding specific processes from <file>procfs</file>, so that even a known good copy of the binary <prgn>ps</prgn> would not list accurate information about the current processes on the system."
msgstr "LKM-Hintertüren sind ausgeklügelter und schwere zu entdecken als traditionelle Root-Kits. Sie können Prozesse, Dateien, Verzeichnisse und sogar Verbindungen verstecken, ohne den Quellcode der Programme verändern zu müssen. Zum Beispiel kann ein bösartiges LKM den Kernel dazu zwingen, bestimmte Prozesses vor <file>procfs</file> zu verstecken, so dass nicht einmal eine unmanipulierte Kopie des Programms <prgn>ps</prgn> alle Informationen über die aktuellen Prozesse korrekt auflisten."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:583
msgid "Detecting root-kits"
msgstr "Erkennen von Root-Kits"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:588
msgid "There are two approaches to defending your system against LKM root-kits, a proactive defense and a reactive defense. The detection work can be simple and painless, or difficult and tiring, depending on the approach taken."
msgstr "Es gibt zwei Herangehensweisen, um Ihr System gegen LKM-Root-Kits zu verteidigen: die aktive Verteidigung und die reaktive Verteidigung. Die Sucharbeit kann einfach und schmerzlos sein oder schwierig und ermüdend, ganz abhängig von der Maßnahme, die Sie ergreifen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:590
msgid "Proactive defense"
msgstr "Proaktive Verteidigung"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:600
msgid "The advantage of this kind of defense is that it prevents damage to the system in the first place. One such strategy is <em>getting there first</em>, that is, loading an LKM designed to protect the system from other malicious LKMs. A second strategy is to remove capabilities from the kernel itself. For example, you can remove the capability of loadable kernel modules entirely. Note, however, that there are rootkits which might work even in this case, there are some that tamper with <file>/dev/kmem</file> (kernel memory) directly to make themselves undetectable."
msgstr "Der Vorteil dieser Art der Verteidigung ist, dass schon verhindert wird, dass das System Schaden nimmt. Eine mögliche Strategie ist, <em>das Ziel als Erster zu erreichen</em>, also ein LKM zu laden, das dazu da ist, das System vor anderen böswilligen LKMs zu schützen. Eine andere Maßnahme ist es, dem Kernel Fähigkeiten zu entziehen. Zum Beispiel können Sie aus dem Kernel vollständig die Fähigkeit von ladbaren Kernel-Modulen entfernen. Beachten Sie allerdings, dass es Root-Kits gibt, die selbst in diesen Fällen funktionieren. Es gibt auch welche, die direkt <file>/dev/kmem</file> (Kernelspeicher) manipulieren, um sich zu verstecken."
#. type: <p><list>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:603
msgid "Debian GNU/Linux has a few packages that can be used to mount a proactive defense:"
msgstr "Debian GNU/Linux hat ein paar Pakete, die dazu verwendet werden können, eine aktive Verteidigung aufzusetzen:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:653
msgid "<package>lcap</package> - A user friendly interface to remove <em>capabilities</em> (kernel-based access control) in the kernel, making the system more secure. For example, executing <tt>lcap CAP_SYS_MODULE</tt> <footnote><p>There are over 28 capabilities including: <tt>CAP_BSET</tt>, <tt>CAP_CHOWN</tt>, <tt>CAP_FOWNER</tt>, <tt>CAP_FSETID</tt>, <tt>CAP_FS_MASK</tt>, <tt>CAP_FULL_SET</tt>, <tt>CAP_INIT_EFF_SET</tt>, <tt>CAP_INIT_INH_SET</tt>, <tt>CAP_IPC_LOCK</tt>, <tt>CAP_IPC_OWNER</tt>, <tt>CAP_KILL</tt>, <tt>CAP_LEASE</tt>, <tt>CAP_LINUX_IMMUTABLE</tt>, <tt>CAP_MKNOD</tt>, <tt>CAP_NET_ADMIN</tt>, <tt>CAP_NET_BIND_SERVICE</tt>, <tt>CAP_NET_RAW</tt>, <tt>CAP_SETGID</tt>, <tt>CAP_SETPCAP</tt>, <tt>CAP_SETUID</tt>, <tt>CAP_SYS_ADMIN</tt>, <tt>CAP_SYS_BOOT</tt>, <tt>CAP_SYS_CHROOT</tt>, <tt>CAP_SYS_MODULE</tt>, <tt>CAP_SYS_NICE</tt>, <tt>CAP_SYS_PACCT</tt>, <tt>CAP_SYS_PTRACE</tt>, <tt>CAP_SYS_RAWIO</tt>, <tt>CAP_SYS_RESOURCE</tt>, <tt>CAP_SYS_TIME</tt>, and <tt>CAP_SYS_TTY_CONFIG</tt>. All of them can be de-activated to harden your kernel.</p></footnote> will remove module loading capabilities (even for the root user).<footnote><p>You don't need to install <package>lcap</package> to do this, but it's easier than setting <file>/proc/sys/kernel/cap-bound</file> by hand.</p></footnote> There is some (old) information on capabilities at Jon Corbet's <url id=\"http://lwn.net/1999/1202/kernel.php3\"; name=\"Kernel development\"> section on LWN (dated December 1999)."
msgstr "<package>lcap</package> – eine benutzerfreundliche Schnittstelle, um dem Kernel <em>Fähigkeiten</em> zu entziehen (kernelbasierte Zugriffskontrolle), um das System sicherer zu machen. Beispielsweise wird das Ausführen von <tt>lcap CAP_SYS_MODULE</tt> <footnote> Es gibt über 28 Fähigkeiten einschließlich <tt>CAP_BSET</tt>, <tt>CAP_CHOWN</tt>, <tt>CAP_FOWNER</tt>, <tt>CAP_FSETID</tt>, <tt>CAP_FS_MASK</tt>, <tt>CAP_FULL_SET</tt>, <tt>CAP_INIT_EFF_SET</tt>, <tt>CAP_INIT_INH_SET</tt>, <tt>CAP_IPC_LOCK</tt>, <tt>CAP_IPC_OWNER</tt>, <tt>CAP_KILL</tt>, <tt>CAP_LEASE</tt>, <tt>CAP_LINUX_IMMUTABLE</tt>, <tt>CAP_MKNOD</tt>, <tt>CAP_NET_ADMIN</tt>, <tt>CAP_NET_BIND_SERVICE</tt>, <tt>CAP_NET_RAW</tt>, <tt>CAP_SETGID</tt>, <tt>CAP_SETPCAP</tt>, <tt>CAP_SETUID</tt>, <tt>CAP_SYS_ADMIN</tt>, <tt>CAP_SYS_BOOT</tt>, <tt>CAP_SYS_CHROOT</tt>, <tt>CAP_SYS_MODULE</tt>, <tt>CAP_SYS_NICE</tt>, <tt>CAP_SYS_PACCT</tt>, <tt>CAP_SYS_PTRACE</tt>, <tt>CAP_SYS_RAWIO</tt>, <tt>CAP_SYS_RESOURCE</tt>, <tt>CAP_SYS_TIME</tt> und <tt>CAP_SYS_TTY_CONFIG</tt>. Alle können deaktiviert werden, um Ihren Kernel abzuhärten. </footnote> die Fähigkeit der ladbaren Module entfernen (sogar für Root).<footnote> Um dies tun zu können, müssen Sie nicht <package>lcap</package> installieren, aber damit ist es einfacher, als von Hand <file>/proc/sys/kernel/cap-bound</file> anzupassen. </footnote> Weitere (etwas ältere) Informationen zu Kernelfähigkeiten finden Sie in Jon Corbets Abschnitt <url id=\"http://lwn.net/1999/1202/kernel.php3\"; name=\"Kernel development\"> auf LWN vom Dezember 1999."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:664
msgid "If you don't really need many kernel features on your GNU/Linux system, you may want to disable loadable modules support during kernel configuration. To disable loadable module support, just set CONFIG_MODULES=n during the configuration stage of building your kernel, or in the <file>.config</file> file. This will prevent LKM root-kits, but you lose this powerful feature of the Linux kernel. Also, disabling loadable modules can sometimes overload the kernel, making loadable support necessary."
msgstr "Wenn Sie diese vielen Möglichkeiten auf Ihrem GNU/Linux System nicht wirklich brauchen, sollten Sie die Unterstützung für ladbare Module während der Konfiguration des Kernels abschalten. Das erreichen Sie, indem Sie einfach CONFIG_MODULES=n während des Konfiguration Ihres Kernels oder in der Datei <file>.config</file> festsetzen. So werden LKM-Root-Kits vermieden, aber Sie verlieren eine leistungsfähige Eigenschaft des Linux-Kernels. Außerdem kann das Abschalten der nachladbaren Module den Kernel überladen, so dass die Unterstützung ladbarer Module notwendig wird."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:666
msgid "Reactive defense"
msgstr "Reaktive Verteidigung"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:672
msgid "The advantage of a reactive defense is that it does not overload system resources. It works by comparing the system call table with a known clean copy in a disk file, <file>System.map</file>. Of course, a reactive defense will only notify the system administrator after the system has already been compromised."
msgstr "Der Vorteil reaktiver Verteidigung ist, dass sie die Systemressourcen nicht überlädt. Sie funktioniert durch das Vergleichen von einer Tabelle der Systemaufrufe mit einer bekanntermaßen sauberen Kopie (<file>System.map</file>). Eine reaktive Verteidigung kann den Systemadministrator natürlich nur benachrichtigen, wenn das System bereits kompromittiert wurde."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:677
msgid "Detection of some root-kits in Debian can be accomplished with the <package>chkrootkit</package> package. The <url id=\"http://www.chkrootkit.org\"; name=\"Chkrootkit\"> program checks for signs of several known root-kits on the target system, but is not a definitive test."
msgstr "Die Entdeckung von Root-Kits vollbringt unter Debian <package>chkrootkit</package>. Das Programm <url name=\"Chkrootkit\" id=\"http://www.chkrootkit.org\";> prüft Anzeichen von bekannten Root-Kits auf dem Zielsystem. Es ist aber kein völlig sicherer Test."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:679
msgid "Genius/Paranoia Ideas — what you could do"
msgstr "Geniale/paranoide Ideen — was Sie tun können"
#. type: <p><list>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:684
msgid "This is probably the most unstable and funny section, since I hope that some of the \"duh, that sounds crazy\" ideas might be realized. The following are just some ideas for increasing security — maybe genius, paranoid, crazy or inspired depending on your point of view."
msgstr "Dies ist wahrscheinlich der unsicherste und lustigste Abschnitt, da ich hoffe, dass manche der »Wow, das klingt verrückt«-Ideen umgesetzt werden. Im Folgenden werden nur ein paar Ideen vorgestellt, wie Sie Ihre Sicherheit erhöhen können — abhängig von Ihrem Standpunkt aus können Sie sie für genial, paranoid, verrückt oder sicher halten."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:692
msgid "Playing around with Pluggable Authentication Modules (PAM). As quoted in the Phrack 56 PAM article, the nice thing about PAM is that \"You are limited only by what you can think of.\" It is true. Imagine root login only being possible with fingerprint or eye scan or cryptocard (why did I use an OR conjunction instead of AND?)."
msgstr "Mit Pluggable Authentication Modules (PAM) herum spielen. Wie in einem phrack 56 Artikel geschrieben wurde, ist das Schöne an PAM, dass »Ihrer Fantasie keine Grenzen gesetzt sind.« Das stimmt. Stellen Sie sich vor, Root kann sich nur mit einen Fingerabdruck oder Abtastung des Auges oder einer Kryptokarte einloggen (warum habe ich hier nur »oder« und nicht »und« gesagt?)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:698
msgid "Fascist Logging. I would refer to all the previous logging discussion above as \"soft logging\". If you want to perform real logging, get a printer with fanfold paper, and send all logs to it. Sounds funny, but it's reliable and it cannot be tampered with or removed."
msgstr "Faschistisches Protokollieren. Ich würde sagen, dass alles, was wir bisher über Protokollieren besprochen haben, unter »weiches Loggen« fällt. Wenn Sie echtes Protokollieren betreiben wollen, besorgen Sie sich einen Drucker mit Endlos-Papier und schicken ihm alle Protokolle. Hört sich lustig an, ist aber zuverlässig und kann nicht manipuliert oder entfernt werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:707
msgid "CD distribution. This idea is very easy to realize and offers pretty good security. Create a hardened Debian distribution, with proper firewall rules. Turn it into a boot-able ISO image, and burn it on a CDROM. Now you have a read-only distribution, with about 600 MB space for services. Just make sure all data that should get written is done over the network. It is impossible for intruders to get read/write access on this system, and any changes an intruder does make can be disabled with a reboot of the system."
msgstr "CD-Distribution. Diese Idee ist sehr leicht zu realisieren und bewirkt ganz gute Sicherheit. Erstellen Sie eine abgesicherte Debian-Distribution mit passenden Firewall-Regeln. Erstellen Sie davon ein bootbares ISO-Image und brennen Sie es auf eine CD-ROM. Jetzt haben Sie eine nur lesbare Distribution mit etwa 600 MB Speicherplatz für Dienste. Stellen Sie lediglich sicher, dass alle Daten, die geschrieben werden sollen, übers Netz geschrieben werden. Für einen Eindringling ist es unmöglich, Schreibzugriff auf diesem System zu erhalten. Alle Änderungen, die ein Eindringling vornimmt, werden mit einem Neustart des Systems rückgängig gemacht."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:712
msgid "Switch module capability off. As discussed earlier, when you disable the usage of kernel modules at kernel compile time, many kernel based back doors are impossible to implement because most are based on installing modified kernel modules."
msgstr "Schalten Sie die Modul-Fähigkeiten des Kernels ab. Wenn Sie die Nutzung von Kernel-Modulen während der Kernel-Kompilierung abschalten, werden viele kernelbasierte Hintertüren nicht einsetzbar, da die meisten von ihnen darauf beruhen, modifizierte Kernel-Module zu installieren (siehe oben)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:725
msgid "Logging through serial cable (contributed by Gaby Schilders). As long as servers still have serial ports, imagine having one dedicated logging system for a number of servers. The logging system is disconnected from the network, and connected to the servers via a serial-port multiplexer (Cyclades or the like). Now have all your servers log to their serial ports, write only. The log-machine only accepts plain text as input on its serial ports and only writes to a log file. Connect a CD/DVD-writer, and transfer the log file to it when the log file reaches the capacity of the media. Now if only they would make CD writers with auto-changers... Not as hard copy as direct logging to a printer, but this method can handle larger volumes and CD-ROMs use less storage space."
msgstr "Protokollieren über ein serielles Kabel (von Gaby Schilders). So lange Server immer noch serielle Schnittstellen haben: Stellen Sie sich ein Protokollsystem für eine Anzahl von Servern vor. Es ist vom Netz abgeschnitten und mit den Servern über einen Multiplexer für serielle Schnittstellen (Cyclades oder ähnliches) verbunden. Jetzt sollen alle Ihre Server die Protokolle an ihre serielle Schnittstelle schicken, einfach nur hinschreiben. Die Protokollmaschine akzeptiert nur einfachen Text als Eingabe auf ihrer seriellen Schnittstelle und schreibt ihn lediglich in eine Protokolldatei. Schließen Sie einen CD- oder DVD-Brenner an. Brennen Sie die Protokolldatei, wenn sie die Größe des Mediums erreicht hat. Wenn es jetzt nur noch CD-Brenner mit automatischem Medien-Wechsel gäbe ... Nicht so dauerhaft gespeichert wie ein Ausdruck, aber mit dieser Methode kann man größere Mengen handhaben und die CD-ROMs nehmen nicht so viel Platz weg."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:736
msgid "Change file attributes using <prgn>chattr</prgn> (taken from the Tips-HOWTO, written by Jim Dennis). After a clean install and initial configuration, use the <prgn>chattr</prgn> program with the <tt>+i</tt> attribute to make files unmodifiable (the file cannot be deleted, renamed, linked or written to). Consider setting this attribute on all the files in <file>/bin</file>, <file>/sbin/</file>, <file>/usr/bin</file>, <file>/usr/sbin</file>, <file>/usr/lib</file> and the kernel files in root. You can also make a copy of all files in <file>/etc/</file>, using <prgn>tar</prgn> or the like, and mark the archive as immutable."
msgstr "Ändern Sie die Dateiattribute mit <prgn>chattr</prgn> (dem Tipps-HOWTO von Jim Dennis entnommen). Nachdem Sie Ihr System sauber installiert und konfiguriert haben, verwenden Sie das Programm <prgn>chattr</prgn> mit dem Attribut <tt>+i</tt>, um Dateien unveränderbar zu machen (die Datei kann nicht gelöscht, umbenannt, verlinkt oder beschrieben werden). Sie sollten dieses Attribut für alle Dateien in <file>/bin</file>, <file>/sbin/</file>, <file>/usr/bin</file>, <file>/usr/sbin</file>, <file>/usr/lib</file> und den Kerneldateien in root. Sie können auch eine Kopie aller Dateien in <file>/etc/</file> mit <prgn>tar</prgn> oder dergleichen erstellen und das Archiv als unveränderbar kennzeichnen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:742
msgid "This strategy will help limit the damage that you can do when logged in as root. You won't overwrite files with a stray redirection operator, and you won't make the system unusable with a stray space in a <prgn>rm -fr</prgn> command (you might still do plenty of damage to your data — but your libraries and binaries will be safer)."
msgstr "Mit dieser Vorgehensweise können Sie den Schaden zu begrenzen, den Sie anrichten können, wenn Sie als Root eingeloggt sind. Sie können nicht mehr Dateien mit einer fehlgeleiteten Umleitung überschreiben oder Ihr System durch ein fehlplatziertes Leerzeichen im Kommando <prgn>rm -fr</prgn> unbenutzbar machen (Sie können aber Ihren Daten immer noch einigen Schaden zufügen – aber Ihre Bibliotheken und Programme sind sicherer)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:747
msgid "This strategy also makes a variety of security and denial of service (DoS) exploits either impossible or more difficult (since many of them rely on overwriting a file through the actions of some SETUID program that <em>isn't providing an arbitrary shell command</em>)."
msgstr "Dies macht auch verschiedene Sicherheits- und Denial-of-Service (DoS) Exploits entweder unmöglich oder weitaus schwieriger (da viele von ihnen darauf beruhen, Dateien durch Aktionen eines SETUID-Programms zu überschreiben, das <em>keinen frei wählbaren Shellbefehl zur Verfügung stellt</em>.<!-- SB (20050313): Was will uns das sagen? \"that <em>isn't providing an arbitrary shell command</em>\" -->"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:757
msgid "One inconvenience of this strategy arises during building and installing various system binaries. On the other hand, it prevents the <prgn>make install</prgn> from over-writing the files. When you forget to read the Makefile and <prgn>chattr -i</prgn> the files that are to be overwritten, (and the directories to which you want to add files) ‐ the make command fails, and you just use the <prgn>chattr</prgn> command and rerun it. You can also take that opportunity to move your old bin's and libs out of the way, into a .old/ directory or tar archive for example."
msgstr "Eine Unbequemlichkeit dieser Vorgehensweise macht sich bemerkbar, wenn Sie verschiedene Systemprogramme bauen und installieren. Auf der anderen Seite verhindert dies auch, dass <prgn>make install</prgn> die Dateien überschreibt. Wenn Sie vergessen, das Makefile zu lesen, und die Dateien, die überschrieben werden sollen, mit chattr -i behandelt haben (und die Verzeichnisse, in denen Sie neue Dateien erstellen wollen), schlägt der make-Befehl fehl. Sie müssen nur das Kommando <prgn>chattr</prgn> ausführen und make neu aufrufen. Sie können diese Gelegenheit gleich dazu benutzen, Ihre alten bin's und libs auszumisten und sie z.B. in ein .old/-Verzeichnis oder Tar-Archiv zu verschieben."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:763
msgid "Note that this strategy also prevents you from upgrading your system's packages, since the files updated packages provide cannot be overwritten. You might want to have a script or other mechanism to disable the immutable flag on all binaries right before doing an <prgn>apt-get update</prgn>."
msgstr "Beachten Sie, dass dies Sie auch daran hindert, die Pakete Ihres Systems zu aktualisieren, da die Dateien aus den Paketen nicht überschrieben werden können. Also sollten Sie vielleicht ein Skript oder einen anderen Mechanismus haben, der das immutable-Flag auf allen Dateien deaktiviert, bevor Sie ein <prgn>apt-get update</prgn> ausführen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:768
msgid "Play with UTP cabling in a way that you cut 2 or 4 wires and make the cable one-way traffic only. Then use UDP packets to send information to the destination machine which can act as a secure log server or a credit card storage system."
msgstr "Spielen Sie mit der UTP-Verkabelung herum. Schneiden Sie dazu zwei oder vier Kabel durch und stellen ein Kabel her, das nur Verkehr in eine Richtung zulässt. Verwenden Sie dann UDP-Pakete, um Informationen an die Zielmaschine zu schicken, die ein sicherer Protokollserver oder ein System zur Speicherung von Kreditkartennummern sein kann."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:772
msgid "Building a honeypot"
msgstr "Einrichten eines Honigtopfes (honeypot)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:779
msgid "A honeypot is a system designed to teach system administrators how crackers probe for and exploit a system. It is a system setup with the expectation and goal that the system will be probed, attacked and potentially exploited. By learning the tools and methods employed by the cracker, a system administrator can learn to better protect their own systems and network."
msgstr "Ein Honigtopf ist ein System, das darauf ausgelegt ist, Systemadministratoren beizubringen, wie Cracker ein System abtasten und darin einbrechen. Es ist eine Systemeinstellung mit der Erwartung und dem Zweck, dass das System abgetastet und angegriffen und möglicherweise darin eingebrochen wird. Wenn Systemadministratoren erfahren, welche Werkzeuge und Methoden Cracker anwenden, können sie daraus lernen, wie sie ihr System und Netzwerk besser schützen."
#. type: <p><list>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:791
msgid "Debian GNU/Linux systems can easily be used to setup a honeynet, if you dedicate the time to implement and monitor it. You can easily setup the fake honeypot server as well as the firewall<footnote><p>You will typically use a bridge firewall so that the firewall itself is not detectable, see <ref id=\"bridge-fw\">.</p></footnote> that controls the honeynet and some sort of network intrusion detector, put it on the Internet, and wait. Do take care that if the system is exploited, you are alerted in time (see <ref id=\"log-alerts\">) so that you can take appropriate measures and terminate the compromise when you've seen enough. Here are some of the packages and issues to consider when setting up your honeypot:"
msgstr "Debian GNU/Linux-Systeme können leicht als Honigtopf eingerichtet werden, wenn Sie Zeit opfern, sie aufzusetzen und zu überwachen. Sie können leicht den gefälschten Server, die Firewall<footnote>Sie sollten typischerweise eine Bridge-Firewall einsetzen, damit die Firewall selbst nicht entdeckt werden kann. Lesen Sie mehr dazu unter <ref id=\"bridge-fw\">.</footnote>, die den Honigtopf überwacht, und ein Programm, das Eindringling ins Netzwerk entdecken kann, einrichten. Verbinden Sie den Honigtopf mit dem Internet und warten Sie ab. Stellen Sie sicher, dass Sie rechtzeitig alarmiert werden (siehe <ref id=\"log-alerts\">), wenn in das System eingedrungen wird, damit Sie geeignete Schritte einleiten und den Angriff beenden können, wenn Sie genug gesehen haben. Hier folgen einige Pakete und Probleme, die Sie in Betracht ziehen sollten, wenn Sie einen Honigtopf einrichten:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:796
msgid "The firewall technology you will use (provided by the Linux kernel)."
msgstr "die Firewall-Technologie, die Sie verwenden (verfügbar durch den Linux-Kernel)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:799
msgid "<package>syslog-ng</package>, useful for sending logs from the honeypot to a remote syslog server."
msgstr "<package>syslog-ng</package>: nützlich, um Protokolle des Honigtopfs zu einem entfernen syslog-Server zu schicken"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:802
msgid "<package>snort</package>, to set up capture of all the incoming network traffic to the honeypot and detect the attacks."
msgstr "<package>snort</package>, um allen eingehenden Netzwerkverkehr auf den Honigtopf mitzuschneiden und die Angriffe zu erkennen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:805
msgid "<package>osh</package>, a SETUID root, security enhanced, restricted shell with logging (see Lance Spitzner's article below)."
msgstr "<package>osh</package>, eine eingeschränkte Shell mit Protokollfunktion, die unter SETUID-Root läuft und verbesserte Sicherheit hat (siehe den Artikel von Lance Spitzner weiter unten)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:810
msgid "Of course, all the daemons you will be using for your fake server honeypot. Depending on what type of attacker you want to analyse you will or will <em>not</em> harden the honeypot and keep it up to date with security patches."
msgstr "natürlich alle Daemons, die Sie auf dem falschen Honigtopfserver verwenden wollen: Je nachdem, welche Art von Angreifer Sie analysieren wollen, können Sie den Honigtopf abhärten und die Sicherheitsaktualisierungen einspielen (oder eben <em>nicht</em>)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:813
msgid "Integrity checkers (see <ref id=\"check-integ\">) and The Coroner's Toolkit (<package>tct</package>) to do post-attack audits."
msgstr "Integritätsprüfer (siehe <ref id=\"check-integ\">) und das Coroner's Toolkit (<package>tct</package>), um nach dem Angriff eine Analyse durchzuführen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:818
msgid "<package>honeyd</package> and <package>farpd</package> to setup a honeypot that will listen to connections to unused IP addresses and forward them to scripts simulating live services. Also check out <package>iisemulator</package>."
msgstr "<package>honeyd</package> und <package>farpd</package>, um einen Honigtopf einzurichten, der auf Verbindungen zu ungenutzten IP-Adressen lauscht und diese an Skripte weiterleitet, die echte Dienste simulieren. Sehen Sie sich auch <package>iisemulator</package> an."
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:821
msgid "<package>tinyhoneypot</package> to setup a simple honeypot server with fake services."
msgstr "<package>tinyhoneypot</package>, um einen einfachen Honigtopf-Server mit gefälschten Diensten einzurichten"
#. type: <p></p>
#: securing-debian-howto.en.sgml:58
#: en/before-compromise.sgml:831
msgid "If you cannot use spare systems to build up the honeypots and the network systems to protect and control it you can use the virtualisation technology available in <prgn>xen</prgn> or <prgn>uml</prgn> (User-Mode-Linux). If you take this route you will need to patch your kernel with either <package>kernel-patch-xen</package> or <package>kernel-patch-uml</package>."
msgstr "Falls Sie kein System übrig haben, um die Honigtöpfe und Systeme, die das Netzwerk schützen und kontrollieren, zu bauen, können Sie die Technologie zur Virtualisierung einsetzen, die in <prgn>xen</prgn> oder <prgn>uml</prgn> (User-Mode-Linux) enthalten ist. Wenn Sie diesen Weg wählen, müssen Sie Ihren Kernel entweder mit <package>kernel-patch-xen</package> oder <package>kernel-patch-uml</package> patchen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:59
#: en/after-compromise.sgml:3
msgid "You can read more about building honeypots in Lanze Spitzner's excellent article <url id=\"http://www.net-security.org/text/articles/spitzner/honeypot.shtml\"; name=\"To Build a Honeypot\"> (from the Know your Enemy series). Also, the <url id=\"http://project.honeynet.org/\"; name=\"Honeynet Project\"> provides valuable information about building honeypots and auditing the attacks made on them."
msgstr "Sie können mehr über das Aufstellen eines Honigtopfs in Lanze Spitzners exzellentem Artikel <url id=\"http://www.net-security.org/text/articles/spitzner/honeypot.shtml\"; name=\"To Build a Honeypot\"> (aus der Know your Enemy Serie). Außerdem stellt das <url id=\"http://project.honeynet.org/\"; name=\"Honeynet Project\"> wertvolle Informationen über das Aufstellen von Honigtöpfen und der Analyse von Angriffen auf sie zur Verfügung."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:59
#: en/after-compromise.sgml:5
msgid "After the compromise (incident response)"
msgstr "Nach einer Kompromittierung (Reaktion auf einem Vorfall)"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:59
#: en/after-compromise.sgml:7
msgid "General behavior"
msgstr "Allgemeines Verhalten"
#. type: <p></p>
#: securing-debian-howto.en.sgml:59
#: en/after-compromise.sgml:14
msgid "If you are physically present when an attack is happening, your first response should be to remove the machine from the network by unplugging the network card (if this will not adversely affect any business transactions). Disabling the network at layer 1 is the only true way to keep the attacker out of the compromised box (Phillip Hofmeister's wise advice)."
msgstr "Wenn Sie während eines Angriffs physisch anwesend sind, sollte Ihre erste Reaktion sein, den Rechner vom Netzwerk zu trennen, indem Sie das Kabel aus der Netzwerkkarte ziehen (wenn das keinen nachteiligen Einfluss auf Ihre Geschäfte hat). Das Netzwerk auf Schicht 1 abzuschalten ist der einzig wirklich erfolgreiche Weg, um den Angreifer aus dem gehackten Rechner herauszuhalten (weiser Ratschlag von Phillip Hofmeister)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:59
#: en/after-compromise.sgml:35
msgid "However, some tools installed by rootkits, trojans and, even, a rogue user connected through a back door, might be capable of detecting this event and react to it. Seeing a <tt>rm -rf /</tt> executed when you unplug the network from the system is not really much fun. If you are unwilling to take the risk, and you are sure that the system is compromised, you should <em>unplug the power cable</em> (all of them if more than one) and cross your fingers. This may be extreme but, in fact, will avoid any logic-bomb that the intruder might have programmed. In this case, the compromised system <em>should not be re-booted</em>. Either the hard disks should be moved to another system for analysis, or you should use other media (a CD-ROM) to boot the system and analyze it. You should <em>not</em> use Debian's rescue disks to boot the system, but you <em>can</em> use the shell provided by the installation disks (remember, Alt+F2 will take you to it) to analyze <footnote><p>If you are adventurous, you can login to the system and save information on all running processes (you'll get a lot from /proc/nnn/). It is possible to get the whole executable code from memory, even if the attacker has deleted the executable files from disk. Then pull the power cord.</p></footnote> the system."
msgstr "Allerdings können einige Werkzeuge, die durch Rootkits, Trojaner oder sogar unehrlichen Benutzern über eine Hintertür installiert wurden, diesen Vorgang erkennen und auf ihn reagieren. Es ist nicht wirklich lustig, wenn Sie sehen, dass <tt>rm -rf /</tt> ausgeführt wird, wenn Sie das Netzwerkkabel ziehen. Wenn Sie nicht bereit sind, dieses Risiko einzugehen, und Sie sich sicher sind, dass in das System eingebrochen wurde, sollten Sie <em>das Stromkabel herausziehen</em> (alle, wenn es mehr als eines gibt) und Ihre Daumen drücken. Das hört sich zwar extrem an, verhindert aber tatsächlich eine Logikbombe, die ein Eindringling programmiert haben könnte. Auf jeden Fall sollte ein kompromittiertes System <em>nicht neugestartet</em> werden. Entweder sollten die Festplatten in einem anderen System analysiert werden oder Sie sollten ein anderen Medium (eine CD-ROM) benutzen, um das System zu booten und analysieren. Sie sollten <em>nicht</em> die Rettungsdisk von Debian verwenden, um das System zu starten. Sie <em>können</em> aber die Shell auf der Installationsdisk benutzen (wie Sie wissen, erreichen Sie sie mit Alt+F2), um das System zu analysieren. <footnote> Wenn Sie abenteuerlustig sind, sollten Sie sich am System anmelden und die Informationen aller laufenden Prozesse speichern (Sie bekommen eine Menge aus /proc/nnn/). Es ist möglich, den gesamten ausführbaren Code aus dem Arbeitsspeicher zu ziehen, sogar dann, wenn der Angreifer die ausführbaren Dateien von der Festplatte gelöscht hat. Ziehen Sie danach das Stromkabel. </footnote>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:59
#: en/after-compromise.sgml:51
msgid "The most recommended method for recovering a compromised system is to use a live-filesystem on CD-ROM with all the tools (and kernel modules) you might need to access the compromised system. You can use the <package>mkinitrd-cd</package> package to build such a CD-ROM<footnote><p>In fact, this is the tool used to build the CD-ROMs for the <url id=\"http://www.gibraltar.at/\"; name=\"Gibraltar\"> project (a firewall on a live CD-ROM based on the Debian distribution).</p></footnote>. You might find the <url id=\"http://www.caine-live.net/\"; name=\"Caine\"> (Computer Aided Investigative Environment) CD-ROM useful here too, since it's also a live CD-ROM under active development with forensic tools useful in these situations. There is not (yet) a Debian-based tool such as this, nor an easy way to build the CD-ROM using your own selection of Debian packages and <package>mkinitrd-cd</package> (so you'll have to read the documentation provided with it to make your own CD-ROMs)."
msgstr "Die beste Methode, um ein gehacktes System wiederherzustellen, ist, ein Live-Dateisystem auf einer CD-ROM mit allen Programmen (und Kernel-Modulen) verwenden, die Sie brauchen, um auf das eingebrochene System zugreifen zu können. Sie können das Paket <package>mkinitrd-cd</package> benutzen, um eine solche CD-ROM zu erstellen <footnote> Das ist auch das Werkzeug, mit dem die CD-ROMs für das Projekt <url id=\"http://www.gibraltar.at/\"; name=\"Gibraltar\"> erstellt werden. Das ist eine Firewall auf einer Live-CD-ROM, die auf der Debian-Distribution beruht. </footnote>. Auch die CD-ROM von <url id=\"http://biatchux.dmzs.com/\"; name=\"FIRE\"> (früher als Biatchux bekannt) könnte hilfreich sein, da diese Live-CD-ROM forensische Werkzeuge enthält, die in solchen Situationen nützlich sind. Es gibt (noch) kein Programm wie dieses, das auf Debian basiert. Es gibt auch keinen leichten Weg, eine CD-ROM mit Ihrer Auswahl von Debian-Paketen und <package>mkinitrd-cd</package> zu erstellen. Daher werden Sie die Dokumentation lesen müssen, wie Sie Ihre eigenen CD-ROMs machen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:59
#: en/after-compromise.sgml:65
msgid "If you really want to fix the compromise quickly, you should remove the compromised host from your network and re-install the operating system from scratch. Of course, this may not be effective because you will not learn how the intruder got root in the first place. For that case, you must check everything: firewall, file integrity, log host, log files and so on. For more information on what to do following a break-in, see <url id=\"http://www.cert.org/tech_tips/root_compromise.html\"; name=\"CERT's Steps for Recovering from a UNIX or NT System Compromise\"> or SANS's <url id=\"http://www.sans.org/reading_room/whitepapers/incident/\"; name=\"Incident Handling whitepapers\">."
msgstr "Wenn Sie eine Kompromittierung wirklich schnell reparieren wollen, sollten Sie den kompromittierten Rechner aus dem Netzwerk entfernen und das Betriebssystem von Grund auf neu installieren. Dies könnte natürlich nicht sehr wirkungsvoll sein, da Sie nicht erfahren, wie der Eindringling zuvor Root-Rechte bekommen hat. Um das herauszufinden, müssen Sie alles prüfen: Firewall, Integrität der Dateien, Log-Host, Protokolldateien und so weiter. Weitere Informationen, was Sie nach einem Einbruch unternehmen sollten, finden Sie in <url id=\"http://www.cert.org/tech_tips/root_compromise.html\"; name=\"CERT's Steps for Recovering from a UNIX or NT System Compromise\"> oder in Sans' <url name=\"Incident Handling Guide\" id=\"http://www.sans.org/y2k/DDoS.htm\";>."
#. type: <p></p>
#: securing-debian-howto.en.sgml:59
#: en/after-compromise.sgml:68
msgid "Some common questions on how to handle a compromised Debian GNU/Linux system are also available in <ref id=\"vulnerable-system\">."
msgstr "Einige häufige Fragen, wie mit einem gehackten Debian-GNU/Linux-System umzugehen ist, sind unter <ref id=\"vulnerable-system\"> zu finden."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:59
#: en/after-compromise.sgml:70
msgid "Backing up the system"
msgstr "Anlegen von Sicherheitskopien Ihres Systems"
#. type: <p></p>
#: securing-debian-howto.en.sgml:59
#: en/after-compromise.sgml:75
msgid "Remember that if you are sure the system has been compromised you cannot trust the installed software or any information that it gives back to you. Applications might have been trojanized, kernel modules might be installed, etc."
msgstr "Wenn Sie sich sicher sind, dass das System kompromittiert wurde, vergessen Sie nicht, dass Sie weder der installierten Software noch irgendwelchen Informationen, die sie an Sie liefert, vertrauen können. Anwendungen könnten von einem Trojaner befallen sein, Kernel-Module könnten installiert worden sein, usw."
#. type: <p></p>
#: securing-debian-howto.en.sgml:59
#: en/after-compromise.sgml:84
msgid "The best thing to do is a complete file system backup copy (using <prgn>dd</prgn>) after booting from a safe medium. Debian GNU/Linux CD-ROMs can be handy for this since they provide a shell in console 2 when the installation is started (jump to it using Alt+2 and pressing Enter). From this shell, backup the information to another host if possible (maybe a network file server through NFS/FTP). Then any analysis of the compromise or re-installation can be performed while the affected system is offline."
msgstr "Am besten ist es, eine komplette Sicherheitskopie Ihres Dateisystems (mittels <prgn>dd</prgn>) zu erstellen, nachdem Sie von einem sicheren Medium gebootet haben. Debian GNU/Linux CD-ROMs können dazu nützlich sein, da sie auf Konsole 2 eine Shell anbieten, nachdem die Installation gestartet wurde (mit Alt+2 und Enter aktivieren Sie sie). Von dieser Shell aus sollten Sie eine Sicherheitskopie möglichst auf einem anderen Host erstellen (vielleicht auf einen Netzwerk-Datei-Server über NFS/FTP). Dadurch kann eine Analyse des Einbruchs oder eine Neuinstallation durchgeführt werden, während das betroffene System offline ist."
#. type: <p></p>
#: securing-debian-howto.en.sgml:59
#: en/after-compromise.sgml:89
msgid "If you are sure that the only compromise is a Trojan kernel module, you can try to run the kernel image from the Debian CD-ROM in <em>rescue</em> mode. Make sure to startup in <em>single user</em> mode, so no other Trojan processes run after the kernel."
msgstr "Wenn Sie sich sicher sind, dass es sich lediglich um ein trojanisiertes Kernel-Modul handelt, können Sie versuchen, das Kernel-Image von der Debian-CD-ROM im <em>rescue</em>-Modus zu laden. Stellen Sie sicher, dass Sie im <em>single</em>-Modus starten, so dass nach dem Kernel keine weiteren Trojaner-Prozesse gestartet werden."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:59
#: en/after-compromise.sgml:90
msgid "Contact your local CERT"
msgstr "Setzen Sie sich mit dem lokal CERT in Verbindung"
#. type: <p></p>
#: securing-debian-howto.en.sgml:59
#: en/after-compromise.sgml:121
msgid "The CERT (Computer and Emergency Response Team) is an organization that can help you recover from a system compromise. There are CERTs worldwide <footnote><p>This is a list of some CERTs, for a full list look at the <url id=\"http://www.first.org/about/organization/teams/index.html\"; name=\"FIRST Member Team information\"> (FIRST is the Forum of Incident Response and Security Teams): <url id=\"http://www.auscert.org.au\"; name=\"AusCERT\"> (Australia), <url id=\"http://www.unam-cert.unam.mx/\"; name=\"UNAM-CERT\"> (Mexico) <url id=\"http://www.cert.funet.fi\"; name=\"CERT-Funet\"> (Finland), <url id=\"http://www.dfn-cert.de\"; name=\"DFN-CERT\"> (Germany), <url id=\"http://cert.uni-stuttgart.de/\"; name=\"RUS-CERT\"> (Germany), <url id=\"http://security.dico.unimi.it/\"; name=\"CERT-IT\"> (Italy), <url id=\"http://www.jpcert.or.jp/\"; name=\"JPCERT/CC\"> (Japan), <url id=\"http://cert.uninett.no\"; name=\"UNINETT CERT\"> (Norway), <url id=\"http://www.cert.hr\"; name=\"HR-CERT\"> (Croatia) <url id=\"http://www.cert.pl\"; name=\"CERT Polskay\"> (Poland), <url id=\"http://www.cert.ru\"; name=\"RU-CERT\"> (Russia), <url id=\"http://www.arnes.si/si-cert/\"; name=\"SI-CERT\"> (Slovenia) <url id=\"http://www.rediris.es/cert/\"; name=\"IRIS-CERT\"> (Spain), <url id=\"http://www.switch.ch/cert/\"; name=\"SWITCH-CERT\"> (Switzerland), <url id=\"http://www.cert.org.tw\"; name=\"TWCERT/CC\"> (Taiwan), and <url id=\"http://www.cert.org\"; name=\"CERT/CC\"> (US).</p></footnote> and you should contact your local CERT in the event of a security incident which has lead to a system compromise. The people at your local CERT can help you recover from it."
msgstr "Das CERT (Computer and Emergency Response Team) ist eine Organisation, die Ihnen helfen kann, Ihr System nach einem Einbruch wiederherzustellen. Es gibt CERTs weltweit <footnote> Dies ist eine Liste einiger CERTs. Ein vollständige Liste erhalten Sie unter <url id=\"http://www.first.org/about/organization/teams/index.html\"; name=\"FIRST Member Team information\"> (FIRST ist das Forum von Incident Response and Security Teams): <url id=\"http://www.auscert.org.au\"; name=\"AusCERT\"> (Australien), <url id=\"http://www.unam-cert.unam.mx/\"; name=\"UNAM-CERT\"> (Mexiko) <url id=\"http://www.cert.funet.fi\"; name=\"CERT-Funet\"> (Finnland), <url id=\"http://www.dfn-cert.de\"; name=\"DFN-CERT\"> (Deutschland), <url id=\"http://cert.uni-stuttgart.de/\"; name=\"RUS-CERT\"> (Deutschland), <!--FIXME URL --> <url id=\"http://security.dico.unimi.it/\"; name=\"CERT-IT\"> (Italien), <url id=\"http://www.jpcert.or.jp/\"; name=\"JPCERT/CC\"> (Japan), <url id=\"http://cert.uninett.no\"; name=\"UNINETT CERT\"> (Norwegen), <url id=\"http://www.cert.hr\"; name=\"HR-CERT\"> (Kroatien) <url id=\"http://www.cert.pl\"; name=\"CERT Polskay\"> (Polen), <url id=\"http://www.cert.ru\"; name=\"RU-CERT\"> (Russland), <url id=\"http://www.arnes.si/si-cert/\"; name=\"SI-CERT\"> (Slowenien) <url id=\"http://www.rediris.es/cert/\"; name=\"IRIS-CERT\"> (Spanien), <url id=\"http://www.switch.ch/cert/\"; name=\"SWITCH-CERT\"> (Schweiz), <url id=\"http://www.cert.org.tw\"; name=\"TWCERT/CC\"> (Taiwan), und <url id=\"http://www.cert.org\"; name=\"CERT/CC\"> (USA). </footnote>. Sie sollten mit dem lokalen CERT Verbindung aufnehmen, wenn sich ein sicherheitsrelevanter Vorfall ereignet hat, der zu einem Einbruch in Ihr System geführt hat. Die Menschen in der lokalen CERT können Ihnen helfen, Ihr System wiederherzustellen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:59
#: en/after-compromise.sgml:135
msgid "Providing your local CERT (or the CERT coordination center) with information on the compromise even if you do not seek assistance can also help others since the aggregate information of reported incidents is used in order to determine if a given vulnerability is in wide spread use, if there is a new worm aloft, which new attack tools are being used. This information is used in order to provide the Internet community with information on the <url id=\"http://www.cert.org/current/\"; name=\"current security incidents activity\">, and to publish <url id=\"http://www.cert.org/incident_notes/\"; name=\"incident notes\"> and even <url id=\"http://www.cert.org/advisories/\"; name=\"advisories\">. For more detailed information read on how (and why) to report an incident read <url id=\"http://www.cert.org/tech_tips/incident_reporting.html\"; name=\"CERT's Incident Reporting Guidelines\">."
msgstr "Selbst wenn Sie keine Hilfe benötigen, kann es anderen helfen, wenn Sie dem lokalen CERT (oder dem Koordinationszentrum des CERTs) Informationen des Einbruchs zur Verfügung stellen. Die gesammelten Informationen von gemeldeten Vorfällen werden verwendet, um herauszufinden, ob eine bestimmte Verwundbarkeit weit verbreitet ist, ob sich ein neuer Wurm ausbreitet oder welche neuen Angriffswerkzeuge eingesetzt werden. Diese Informationen werden benutzt, um die Internet-Gemeinschaft mit Informationen über die <url id=\"http://www.cert.org/current/\"; name=\"aktuellen Sicherheitsvorkommnisse\"> zu versorgen und um <url id=\"http://www.cert.org/incident_notes/\"; name=\"Hinweise zu Vorfällen\"> und sogar <url id=\"http://www.cert.org/advisories/\"; name=\"Ankündigungen\"> zu veröffentlichen. Ausführliche Informationen, wie (und warum) ein Vorfall gemeldet wird, können Sie auf <url id=\"http://www.cert.org/tech_tips/incident_reporting.html\"; name=\"CERT's Incident Reporting Guidelines\"> nachlesen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:59
#: en/after-compromise.sgml:144
msgid "You can also use less formal mechanisms if you need help for recovering from a compromise or want to discuss incident information. This includes the <url id=\"http://marc.theaimsgroup.com/?l=incidents\"; name=\"incidents mailing list\"> and the <url id=\"http://marc.theaimsgroup.com/?l=intrusions\"; name=\"Intrusions mailing list\">."
msgstr "Sie können auch weniger formale Einrichtungen verwenden, wenn Sie Hilfe brauchen, um Ihr System wiederherzustellen, oder wenn Sie Informationen des Vorfalls diskutieren wollen. Dazu zählen die <url id=\"http://marc.theaimsgroup.com/?l=incidents\"; name=\" Mailingliste für Vorfälle\"> und die <url id=\"http://marc.theaimsgroup.com/?l=intrusions\"; name=\" Mailingliste für Einbrüche\">."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:59
#: en/after-compromise.sgml:146
msgid "Forensic analysis"
msgstr "Forensische Analyse"
#. type: <p></p>
#: securing-debian-howto.en.sgml:59
#: en/after-compromise.sgml:157
msgid "If you wish to gather more information, the <package>tct</package> (The Coroner's Toolkit from Dan Farmer and Wietse Venema) package contains utilities which perform a <em>post mortem</em> analysis of a system. <package>tct</package> allows the user to collect information about deleted files, running processes and more. See the included documentation for more information. These same utilities and some others can be found in <url id=\"http://www.sleuthkit.org/\"; name=\"Sleuthkit and Autopsy\"> by Brian Carrier, which provides a web front-end for forensic analysis of disk images. In Debian you can find both <package>sleuthkit</package> (the tools) and <package>autopsy</package> (the graphical front-end)."
msgstr "Wenn Sie mehr Informationen sammeln wollen, enthält das Paket <package>tct</package> (The Coroner's Toolkit von Dan Farmer und Wietse Venema) Werkzeuge für eine <em>post mortem</em>-Analyse des Systems. <package>tct</package> erlaubt es dem Benutzer, Informationen über gelöschte Dateien, laufende Prozesse und mehr zu sammeln. Sehen Sie für weitere Informationen in die mitgelieferte Dokumentation. Diese und andere Werkzeuge können auch auf <url name=\"Sleuthkit and Autopsy\" id=\"http://www.sleuthkit.org/\";> von Brian Carrier, welches ein Web-Frontend zur forensischen Analyse von Disk-Images zur Verfügung stellt, gefunden werden. In Debian befindet sich sowohl <package>sleuthkit</package> (die Werkzeuge) und <package>autopsy</package> (die grafische Oberfläche)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:59
#: en/after-compromise.sgml:161
msgid "Remember that forensics analysis should be done always on the backup copy of the data, <em>never</em> on the data itself, in case the data is altered during analysis and the evidence is lost."
msgstr "Forensische Analysen sollten immer auf einer Sicherheitskopie der Daten angewendet werden, <em>niemals</em> auf die Daten selbst, da sie durch diese Analyse beeinflusst werden könnten und so Beweismittel zerstört werden würden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:59
#: en/after-compromise.sgml:179
msgid "You will find more information on forensic analysis in Dan Farmer's and Wietse Venema's <url id=\"http://www.porcupine.org/forensics/forensic-discovery/\"; name=\"Forensic Discovery\"> book (available online), as well as in their <url id=\"http://www.porcupine.org/forensics/column.html\"; name=\"Computer Forensics Column\"> and their <url id=\"http://www.porcupine.org/forensics/handouts.html\"; name=\"Computer Forensic Analysis Class handouts\">. Brian Carrier's newsletter <url id=\"http://www.sleuthkit.org/informer/index.php\"; name=\"The Sleuth Kit Informer\"> is also a very good resource on forensic analysis tips. Finally, the <url id=\"http://www.honeynet.org/misc/chall.html\"; name=\"Honeynet Challenges\"> are an excellent way to hone your forensic analysis skills as they include real attacks against honeypot systems and provide challenges that vary from forensic analysis of disks to firewall logs and packet captures. For information about available forensics packages in Debian visit <url id=\"http://forensics.alioth.debian.org/\"; name=\"Debian Forensics\">"
msgstr "Weiterführende Informationen über forensische Analyse können Sie in Dan Farmers und Wietse Venemas Buch <url id=\"http://www.porcupine.org/forensics/forensic-discovery/\"; name=\"Forensic Discovery\"> (online verfügbar), in ihrer <url id=\"http://www.porcupine.org/forensics/column.html\"; name=\"Computer Forensics Column\"> und in ihrem <url id=\"http://www.porcupine.org/forensics/handouts.html\"; name=\"Computer Forensic Analysis Class Handouts\"> finden. Eine weitere sehr gute Quelle für Tipps zur forensischen Analyse ist Brian Carriers Newsletter <url id=\"http://www.sleuthkit.org/informer/index.php\"; name=\"The Sleuth Kit Informer\">. Auch die <url id=\"http://www.honeynet.org/misc/chall.html\"; name=\"Honeynet Challenges\"> sind eine ausgezeichnete Möglichkeit, Ihre forensischen Fähigkeiten zu verbessern, da sie echte Angriffe auf Honigtopfsysteme umfassen und Herausforderungen bieten, die von der forensischen Analyse von Festplatten bis zu Protokollen der Firewall und Paketerfassung alles beinhalten."
#. type: <p></p>
#: securing-debian-howto.en.sgml:59
#: en/after-compromise.sgml:182
msgid "FIXME: This paragraph will hopefully provide more information about forensics in a Debian system in the coming future."
msgstr "FIXME: This paragraph will hopefully provide more information about forensics in a Debian system in the coming future."
#. type: <p></p>
#: securing-debian-howto.en.sgml:59
#: en/after-compromise.sgml:186
msgid "FIXME: Talk on how to do a debsums on a stable system with the MD5sums on CD and with the recovered file system restored on a separate partition."
msgstr "FIXME: Talk on how to do a debsums on a stable system with the MD5sums on CD and with the recovered file system restored on a separate partition."
#. type: <p></p>
#: securing-debian-howto.en.sgml:59
#: en/after-compromise.sgml:190
msgid "FIXME: Add pointers to forensic analysis papers (like the Honeynet's reverse challenge or <url id=\"http://staff.washington.edu/dittrich/\"; name=\"David Dittrich's papers\">)."
msgstr "FIXME: Add pointers to forensic analysis papers (like the Honeynet's reverse challenge or <url id=\"http://staff.washington.edu/dittrich/\"; name=\"David Dittrich's papers\">)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:59
#: en/after-compromise.sgml:191
msgid "Analysis of malware"
msgstr "Analyse von Schadprogrammen"
#. type: <p><list>
#: securing-debian-howto.en.sgml:59
#: en/after-compromise.sgml:194
msgid "Some other tools that can be used for forensic analysis provided in the Debian distribution are:"
msgstr "Einige andere Programme aus der Debian-Distribution, die für forensische Analyse verwendet werden können, sind:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:59
#: en/after-compromise.sgml:196
msgid "<package>strace</package>."
msgstr "<package>strace</package>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:59
#: en/after-compromise.sgml:197
msgid "<package>ltrace</package>."
msgstr "<package>ltrace</package>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:59
#: en/after-compromise.sgml:205
msgid "Any of these packages can be used to analyze rogue binaries (such as back doors), in order to determine how they work and what they do to the system. Some other common tools include <prgn>ldd</prgn> (in <package>libc6</package>), <prgn>strings</prgn> and <prgn>objdump</prgn> (both in <package>binutils</package>)."
msgstr "Alle diese Pakete können dazu benutzt werden, um Schurkenprogramme (wie z.B. Hintertüren) zu analysieren, um herauszufinden, wie sie arbeiten und was sie mit dem System anstellen. Einige andere gebräuchliche Werkzeuge sind <prgn>ldd</prgn> (in <package>libc6</package>), <prgn>strings</prgn> und <prgn>objdump</prgn> (beide in <package>binutils</package>)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:59
#: en/after-compromise.sgml:214
msgid "If you try to do forensic analysis with back doors or suspected binaries retrieved from compromised systems, you should do so in a secure environment (for example in a <package>bochs</package> or <package>xen</package> image or a <prgn>chroot</prgn>'ed environment using a user with low privileges<footnote><p>Be <em>very</em> careful if using chroots, since if the binary uses a kernel-level exploit to increase its privileges it might still be able to infect your system</p></footnote>). Otherwise your own system can be back doored/r00ted too!"
msgstr "Wenn Sie eine forensische Analyse von Hintertüren oder verdächtigen Programmen durchführen, die Sie von gehackten Systemen haben, sollten Sie dies in einer sicheren Umgebung durchführen, z.B. in einem <package>bochs</package>-, oder <package>xen</package>-Image oder in einer <prgn>chroot</prgn>-Umgebung eines Benutzers mit geringen Rechten.<footnote>Seien Sie <em>äußerst</em> vorsichtig, wenn sie Chroots einsetzen wollen, da das Binary durch Ausnutzung eines Kernel-Exploits seine Rechte erweitern und es ihm darüber gelingen könnte, Ihr System zu infizieren.</footnote> Andernfalls könnte auch auf Ihrem eigenen System eine Hintertür eingerichtet oder Root-Rechte erlangt werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:3
msgid "If you are interested in malware analysis then you should read the <url id=\"http://www.porcupine.org/forensics/forensic-discovery/chapter6.html\"; name=\"Malware Analysis Basics\"> chapter of Dan Farmer's and Wietse Venema's forensics book."
msgstr "Falls Sie an der Analyse von Schadprogrammen interessiert sind, sollten Sie das Kapitel <url id=\"http://www.porcupine.org/forensics/forensic-discovery/chapter6.html\"; name=\"Malware Analysis Basics\"> aus dem Forensik-Buch von Dan Farmer und Wietse Venema lesen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:5
msgid "Frequently asked Questions (FAQ)"
msgstr "Häufig gestellte Fragen / Frequently asked Questions (FAQ)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:9
msgid "This chapter introduces some of the most common questions from the Debian security mailing list. You should read them before posting there or else people might tell you to RTFM."
msgstr "Dieses Kapitel führt Sie in ein paar der am häufigsten gestellten Fragen in der Security-Mailingliste von Debian ein. Sie sollten sie lesen, bevor Sie dort etwas posten, oder die Leute werden Ihnen »RTFM!« sagen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:11
msgid "Security in the Debian operating system"
msgstr "Sicherheit im Debian-Betriebssystem"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:13
msgid "Is Debian more secure than X?"
msgstr "Ist Debian sicherer als X?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:20
msgid "A system is only as secure as its administrator is capable of making it. Debian's default installation of services aims to be <em>secure</em>, but may not be as paranoid as some other operating systems which install all services <em>disabled by default</em>. In any case, the system administrator needs to adapt the security of the system to his local security policy."
msgstr "Ein System ist so sicher, wie der Administrator fähig ist, es sicher zu machen. Debians Standardinstallation von Diensten zielt darauf ab, <em>sicher</em> zu sein. Sie ist aber nicht so paranoid wie andere Betriebssysteme, die Dienste <em>standardmäßig abgeschaltet</em>. In jedem Fall muss der Systemadministrator die Sicherheit des System den lokalen Sicherheitsmaßstäben anpassen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:41
msgid "For a collection of data regarding security vulnerabilities for many operating systems, see the <url id=\"http://www.cert.org/stats/cert_stats.html\"; name=\"US-CERT stats\"> or generate stats using the <url id=\"http://nvd.nist.gov/statistics.cfm\"; name=\"National Vulnerability Database\"> (formerly ICAT) Is this data useful? There are several factors to consider when interpreting the data, and it is worth noticing that the data cannot be used to compare the vulnerabilities of one operating system versus another.<footnote><p>For example, based on some data, it might seem that Windows NT is more secure than Linux, which is a questionable assertion. After all, Linux distributions usually provide many more applications compared to Microsoft's Windows NT. This <em>counting vulnerabilities</em> issues are better described in <url id=\"http://www.dwheeler.com/oss_fs_why.html#security\"; name=\"Why Open Source Software / Free Software (OSS/FS)? Look at the Numbers!\"> by David A. Wheeler</p></footnote> Also, keep in mind that some reported vulnerabilities regarding Debian apply only to the <em>unstable</em> (i.e. unreleased) branch."
msgstr "Für eine Übersicht der Sicherheitslücken von vielen Betriebssystemen sollten Sie sich die <url id=\"http://www.cert.org/stats/cert_stats.html\"; name=\"US-CERT-Statistik\"> ansehen oder sich selber Statistiken mit der <url id=\"http://nvd.nist.gov/statistics.cfm\"; name=\"National Vulnerability Database\"> (früher ICAT) erstellen. Sind diese Daten nützlich? Es müssen verschiedene Faktoren berücksichtigt werden, wenn die Daten interpretiert werden sollen. Man sollte beachten, dass diese Daten nicht dazu verwendet werden können, um die Verwundbarkeit eines Betriebssystems mit der eines anderen zu vergleichen. <footnote> Zum Beispiel könnte es auf Grundlage einiger Daten scheinen, dass Windows NT sicherer ist als Linux. Dies wäre eine fragwürdige Annahme. Das liegt daran, dass Linux-Distributionen normalerweise viel mehr Anwendungen zur Verfügung stellen als Microsofts Windows NT. Dieses Problem des <em>Abzählens von Sicherheitslücken</em> wird besser in <url id=\"http://www.dwheeler.com/oss_fs_why.html#security\"; name=\"Why Open Source Software / Free Software (OSS/FS)? Look at the Numbers!\"> von David A. Wheeler beschrieben. </footnote> Bedenken Sie außerdem, dass sich einige registrierte Sicherheitslücken im Zusammenhang mit Debian nur auf den <em>Unstable</em>-Zweig, also den nicht offiziell veröffentlichten Zweig, beziehen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:44
msgid "Is Debian more secure than other Linux distributions (such as Red Hat, SuSE...)?"
msgstr "Ist Debian sicherer als andere Linux-Distributionen (wie Red Hat, SuSE, ...)?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:52
msgid "There are not really many differences between Linux distributions, with exceptions to the base installation and package management system. Most distributions share many of the same applications, with differences mainly in the versions of these applications that are shipped with the distribution's stable release. For example, the kernel, Bind, Apache, OpenSSH, Xorg, gcc, zlib, etc. are all common across Linux distributions."
msgstr "Der Unterschied zwischen den Linux-Distributionen ist nicht sehr groß mit Ausnahme der Basisinstallation und der Paketverwaltung. Die meisten Distributionen beinhalten zum Großteil die gleichen Anwendungen. Der Hauptunterschied besteht in den Versionen dieser Programme, die mit der stabilen Veröffentlichung der Distribution ausgeliefert werden. Zum Beispiel sind der Kernel, Bind, Apache, OpenSSH, Xorg, gcc, zlib, etc. in allen Linux-Distributionen vorhanden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:59
msgid "For example, Red Hat was unlucky and shipped when foo 1.2.3 was current, which was then later found to have a security hole. Debian, on the other hand, was lucky enough to ship foo 1.2.4, which incorporated the bug fix. That was the case in the big <url id=\"http://www.cert.org/advisories/CA-2000-17.html\"; name=\"rpc.statd\"> problem from a couple years ago."
msgstr "Ein Beispiel: Red Hat hatte Pech und wurde veröffentlicht, als foo 1.2.3 aktuell war. Später wurde darin eine Sicherheitslücke entdeckt. Dagegen hatte Debian das Glück, dass es mit foo 1.2.4 ausgeliefert wurde, in dem der Fehler schon behoben war. Das war der Fall beim großen Problem mit <url id=\"http://www.cert.org/advisories/CA-2000-17.html\"; name=\"rpc.statd\"> vor ein paar Jahren."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:68
msgid "There is a lot of collaboration between the respective security teams for the major Linux distributions. Known security updates are rarely, if ever, left unfixed by a distribution vendor. Knowledge of a security vulnerability is never kept from another distribution vendor, as fixes are usually coordinated upstream, or by <url id=\"http://www.cert.org\"; name=\"CERT\">. As a result, necessary security updates are usually released at the same time, and the relative security of the different distributions is very similar."
msgstr "Es besteht eine weitgehende Zusammenarbeit zwischen den jeweiligen Sicherheitsteams der großen Linux-Distributionen. Bekannte Sicherheitsaktualisierungen werden selten (wenn nicht sogar nie) von den Anbietern der Distribution nicht eingespielt. Das Wissen um eine Sicherheitslücke wird niemals vor anderen Anbietern von Distributionen geheim gehalten, da die Ausbesserungen gewöhnlich vom Programmautor oder von <url id=\"http://www.cert.org\"; name=\"CERT\"> koordiniert werden. Das hat zur Folge, dass notwendige Sicherheitsaktualisierungen üblicherweise zur selben Zeit veröffentlicht werden. Damit ist die relative Sicherheit der verschiedenen Distributionen ziemlich ähnlich."
Reply to: