Re: [RFR] Securing Debian Manual de.po (Teil4)
Securing Debian Manual: Teil 4
#. type: <p><list>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:72
msgid "One of Debian's main advantages with regards to security is the ease of system updates through the use of <prgn>apt</prgn>. Here are some other aspects of security in Debian to consider:"
msgstr "Einer großen Vorteile von Debian in Hinblick auf die Sicherheit ist die Leichtigkeit von Systemaktualisierungen mit <prgn>apt</prgn>. Hier sind ein paar andere Aspekte über die Sicherheit in Debian, die Sie berücksichtigen sollten:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:77
msgid "Debian provides more security tools than other distributions, see <ref id=\"sec-tools\">."
msgstr "Debian bietet mehr Sicherheitswerkzeuge an als andere Distributionen. Vergleichen Sie dazu <ref id=\"sec-tools\">."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:92
msgid "Debian's standard installation is smaller (less functionality), and thus more secure. Other distributions, in the name of usability, tend to install many services by default, and sometimes they are not properly configured (remember the <url id=\"http://www.sophos.com/virusinfo/analyses/linuxlion.html\"; name=\"Lion\"> <url id=\"http://www.sophos.com/virusinfo/analyses/linuxramen.html\"; name=\"Ramen\">). Debian's installation is not as limited as OpenBSD (no daemons are active per default), but it's a good compromise. <footnote><p>Without diminishing the fact that some distributions, such as Red Hat or Mandrake, are also taking into account security in their standard installations by having the user select <em>security profiles</em>, or using wizards to help with configuration of <em>personal firewalls</em>.</p></footnote>"
msgstr "Debians Standardinstallation ist kleiner (weniger Funktionen) und daher sicherer. Andere Distributionen tendieren im Namen der Benutzerfreundlichkeit dazu, standardmäßig viele Dienst zu installieren, und manchmal sind diese nicht ordentlich konfiguriert (denken Sie an <url id=\"http://www.sophos.com/virusinfo/analyses/linuxlion.html\"; name=\"Lion\"> oder <url id=\"http://www.sophos.com/virusinfo/analyses/linuxramen.html\"; name=\"Ramen\">). Debians Installation ist nicht so streng wie OpenBSD (dort laufen Daemonen standardmäßig nicht), aber es ist ein guter Kompromiss. <footnote> Ohne die Tatsache in Abrede zu stellen, dass einige Distributionen wie Red Hat oder Mandrake auch die Sicherheit bei ihrer Standardinstallation berücksichtigen, indem der Benutzer <em>Sicherheitsprofile</em> auswählen kann, oder Wizards verwendet werden, um beim Einrichten einer <em>Personal Firewall</em> zu helfen. </footnote>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:95
msgid "Debian documents best security practices in documents like this one."
msgstr "Debian stellt die besten Verfahren zur Sicherheit in Dokumenten wie diesem vor."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:100
msgid "There are many Debian bugs in Bugtraq. Does this mean that it is very vulnerable?"
msgstr "In Bugtraq gibt es viele Debian-Fehler. Heißt das, dass es sehr gefährdet ist?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:105
msgid "The Debian distribution boasts a large and growing number of software packages, probably more than provided by many proprietary operating systems. The more packages installed, the greater the potential for security issues in any given system."
msgstr "Die Debian-Distribution enthält eine große und wachsende Zahl von Softwarepaketen, wahrscheinlich sogar mehr als mit vielen proprietären Betriebssystemen geliefert wird. Je mehr Pakete installiert sind, desto größer ist die Möglichkeit von Sicherheitslücken in einem System."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:111
msgid "More and more people are examining source code for flaws. There are many advisories related to source code audits of the major software components included in Debian. Whenever such source code audits turn up security flaws, they are fixed and an advisory is sent to lists such as Bugtraq."
msgstr "Immer mehr Menschen untersuchen den Quellcode, um Fehler zu entdecken. Es gibt viele Anweisungen im Zusammenhang mit Audits des Quellcodes von großen Softwarekomponenten, die in Debian enthalten sind. Immer wenn ein solcher Audit Sicherheitslücken aufdeckt, werden sie ausgebessert und eine Ankündigung wird an Listen wie Bugtraq geschickt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:115
msgid "Bugs that are present in the Debian distribution usually affect other vendors and distributions as well. Check the \"Debian specific: yes/no\" section at the top of each advisory (DSA)."
msgstr "Fehler, die in der Debian-Distribution vorhanden sind, betreffen normalerweise auch andere Anbieter und Distributionen. Prüfen Sie einfach den »Debian specific: yes/no«-Abschnitt am Anfang jeder Ankündigung (DSA)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:117
msgid "Does Debian have any certification related to security?"
msgstr "Hat Debian irgendein Zertifikat für Sicherheit?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:119
msgid "Short answer: no."
msgstr "Die kurze Antwort: Nein."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:129
msgid "Long answer: certification costs money (specially a <em>serious</em> security certification), nobody has dedicated the resources in order to certify Debian GNU/Linux to any level of, for example, the <url id=\"http://niap.nist.gov/cc-scheme/st/\"; name=\"Common Criteria\">. If you are interested in having a security-certified GNU/Linux distribution, try to provide the resources needed to make it possible."
msgstr "Die lange Antwort: Zertifikate kosten Geld (besonders ein <em>seriöses</em> Sicherheitszertifikat). Niemand hat die Ressourcen aufgebracht, um Debian GNU/Linux beispielsweise mit irgendeinem Level des <url id=\"http://niap.nist.gov/cc-scheme/st/\"; name=\"Common Criteria\"> zertifizieren zu lassen. Wenn Sie daran interessiert sind, eine GNU/Linux-Distribution mit Sicherheitszertifikaten zu haben, stellen Sie uns die Ressourcen zur Verfügung, um dies möglich zu machen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:136
msgid "There are currently at least two linux distributions certified at different <url id=\"http://en.wikipedia.org/wiki/Evaluation_Assurance_Level\"; name=\"EAL\"> levels. Notice that some of the CC tests are being integrated into the <url id=\"http://ltp.sourceforge.net\"; name=\"Linux Testing Project\"> which is available in Debian in the <package>ltp</package>."
msgstr "Es gibt im Moment mindestens zwei Linux-Distributionen, die mit verschiedenen <url id=\"http://en.wikipedia.org/wiki/Evaluation_Assurance_Level\"; name=\"EAL\">-Levels zertifiziert sind. Beachten Sie, dass einige CC-Tests im <url id=\"http://ltp.sourceforge.net\"; name=\"Linux Testing Project\"> vorhanden sind, welche in Debian durch <package>ltp</package> angeboten wird."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:138
msgid "Are there any hardening programs for Debian?"
msgstr "Gibt es irgendein Abhärtungsprogramm für Debian?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:145
msgid "Yes. <url id=\"http://bastille-linux.sourceforge.net/\"; name=\"Bastille Linux\">, originally oriented toward other Linux distributions (Red Hat and Mandrake), it currently works also for Debian. Steps are being taken to integrate the changes made to the upstream version into the Debian package, named <package>bastille</package>."
msgstr "Ja. <url name=\"Bastille Linux\" id=\"http://bastille-linux.sourceforge.net\";>, das sich ursprünglich an anderen Linux-Distributionen (Red Hat und Mandrake) orientierte, es funktioniert derzeit auch mit Debian. Es sind Maßnahmen eingeleitet, um Änderungen am Originalprogramm auch in das Debian-Paket <package>bastille</package> einfließen zu lassen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:148
msgid "Some people believe, however, that a hardening tool does not eliminate the need for good administration."
msgstr "Manche Leute glauben jedoch, dass ein Absicherungsprogramm nicht die Notwendigkeit einer guten Administration ersetzen kann."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:150
msgid "I want to run XYZ service, which one should I choose?"
msgstr "Ich möchte den Dienst XYZ laufen lassen. Welchen sollte ich benutzen?"
#. type: <p><list>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:158
msgid "One of Debian's great strengths is the wide variety of choice available between packages that provide the same functionality (DNS servers, mail servers, ftp servers, web servers, etc.). This can be confusing to the novice administrator when trying to determine which package is right for you. The best match for a given situation depends on a balance between your feature and security needs. Here are some questions to ask yourself when deciding between similar packages:"
msgstr "Einer der größten Stärken von Debian ist die große Vielfalt von Paketen, welche die gleichen Funktionen erfüllen (DNS-Server, Mail-Server, FTP-Server, Web-Server etc.). Das kann einen unerfahrenen Administrator verwirren, wenn er herausfinden will, welches Paket das richtige für ihn ist. Die beste Wahl hängt in der Balance zwischen Ihrem Bedürfnis nach Funktionalität und dem nach Sicherheit in der jeweiligen Situation ab. Im Folgenden einige Fragen, die Sie sich stellen sollten, wenn Sie zwischen ähnlichen Paketen entscheiden müssen:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:162
msgid "Is the software maintained upstream? When was the last release?"
msgstr "Wird die Software noch von ihrem Autor gepflegt? Wann war die letzte Veröffentlichung?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:166
msgid "Is the package mature? The version number really does <em>not</em> tell you about its maturity. Try to trace the software's history."
msgstr "Ist das Paket ausgereift? Die Versionsnummer sagt <em>nichts</em> darüber aus, wie ausgereift es ist. Versuchen Sie seine Geschichte nachzuvollziehen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:169
msgid "Is the software bug-ridden? Have there been security advisories related to it?"
msgstr "Ist die Software von Fehlern durchsetzt? Gab es Sicherheits-Ankündigungen im Zusammenhang mit ihr?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:172
msgid "Does the software provide all the functionality you need? Does it provide more than you really need?"
msgstr "Stellt die Software die ganze Funktionalität zur Verfügung, die Sie benötigen? Bietet es mehr, als Sie wirklich brauchen?"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:177
msgid "How can I make service XYZ more secure in Debian?"
msgstr "Wie mache ich den Dienst XYZ unter Debian sicherer?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:185
msgid "You will find information in this document to make some services (FTP, Bind) more secure in Debian GNU/Linux. For services not covered here, check the program's documentation, or general Linux information. Most of the security guidelines for Unix systems also apply to Debian. In most cases, securing service X in Debian is like securing that service in any other Linux distribution (or Un*x, for that matter)."
msgstr "Sie werden in diesem Dokument Informationen über das Absichern von einigen Diensten (FTP, Bind) unter Debian GNU/Linux finden. Für Dienste, die hier nicht abgedeckt werden, prüfen Sie die Programm-Dokumentation oder allgemeine Linux-Informationen. Die meisten Sicherheitshinweise für Unix-Systeme sind auch auf Debian anwendbar. So wird Dienst X unter Debian in den meisten Fällen wie in einer anderen Linux-Distribution (oder Un*x, was das betrifft) abgesichert."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:187
msgid "How can I remove all the banners for services?"
msgstr "Wie kann ich die Banner von Diensten entfernen?"
#. type: <p><example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:195
msgid "If you do not like users connecting to your POP3 daemon, for example, and retrieving information about your system, you might want to remove (or change) the banner the service shows to users. <footnote><p>Note that this is 'security by obscurity', and will probably not be worth the effort in the long term.</p></footnote> Doing so depends on the software you are running for a given service. For example, in <prgn>postfix</prgn>, you can set your SMTP banner in <file>/etc/postfix/main.cf</file>:"
msgstr "Wenn Sie z.B. nicht wollen, dass Benutzer sich mit Ihrem POP3-Daemon verbinden und dadurch Informationen über Ihr System erlangen, sollten Sie das Banner, das der Dienst den Benutzern zeigt, entfernen (oder verändern). <footnote> Beachten Sie, dass das »security by obscurity« ist und daher auf lange Sicht gesehen wahrscheinlich nicht der Mühe wert ist. </footnote> Wie Sie das anstellen können, hängt von der Software ab, mit der Sie einen bestimmten Dienst betreiben. Für <prgn>postfix</prgn> stellen Sie beispielsweise das SMTP-Banner in <file>/etc/postfix/main.cf</file> ein:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:197
#, no-wrap
msgid " smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)"
msgstr " smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:205
msgid "Other software is not as easy to change. <package>ssh</package> will need to be recompiled in order to change the version that it prints. Take care not to remove the first part (<tt>SSH-2.0</tt>) of the banner, which clients use to identify which protocol(s) is supported by your package."
msgstr "Andere Software kann nicht so leicht verändert werden. <package>ssh</package> muss neu kompiliert werden, um die angezeigte Version zu ändern. Stellen Sie sicher, dass Sie nicht den ersten Teil des Banners (<tt>SSH-2.0</tt>) entfernen, da Clients ihn verwenden, um die von Ihrem Paket unterstützten Protokolle zu identifizieren."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:207
msgid "Are all Debian packages safe?"
msgstr "Sind alle Debian-Pakete sicher?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:219
msgid "The Debian security team cannot possibly analyze all the packages included in Debian for potential security vulnerabilities, since there are just not enough resources to source code audit the whole project. However, Debian does benefit from the source code audits made by upstream developers."
msgstr "Das Sicherheitsteam von Debian kann nicht alle Pakete aus Debian auf potenzielle Sicherheitslücken hin analysieren, da es einfach nicht genug Ressourcen gibt, um für das gesamte Projekt ein Quellcodeaudit durchzuführen. Allerdings profitiert Debian von den Quellcode-Prüfungen durch die Originalautoren."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:225
msgid "As a matter of fact, a Debian developer could distribute a Trojan in a package, and there is no possible way to check it out. Even if introduced into a Debian branch, it would be impossible to cover all the possible situations in which the Trojan would execute. This is why Debian has a <em>\"no guarantees\"</em> license clause."
msgstr "Tatsächlich könnte ein Debian-Entwickler in einem Paket einen Trojaner verbreiten und es gibt keine Möglichkeit das nachzuprüfen. Sogar wenn es in einen Zweig von Debian eingeführt werden würde, wäre es unmöglich, alle möglichen Situationen abzudecken, in denen der Trojaner ausgeführt werden würde. Das ist der Grund, warum Debian eine <em>»Keine Gewährleistung«</em>-Klausel in seiner Lizenz hat."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:234
msgid "However, Debian users can take confidence in the fact that the stable code has a wide audience and most problems would be uncovered through use. Installing untested software is not recommended in a critical system (if you cannot provide the necessary code audit). In any case, if there were a security vulnerability introduced into the distribution, the process used to include packages (using digital signatures) ensures that the problem can be ultimately traced back to the developer. The Debian project has not taken this issue lightly."
msgstr "Allerdings können Debian-Benutzer insofern Vertrauen fassen, als dass der stabile Quellcode eine breite Prüfung hinter sich hat. Die meisten Probleme würden dabei durch Benutzung entdeckt. Es ist nicht zu empfehlen, ungetestete Software auf kritischen Systemen zu installieren, wenn Sie nicht die notwendige Code-Prüfung vornehmen können. In jedem Fall gewährleistet der Aufnahmeprozess in die Distribution (mit digitalen Signaturen), dass im Falle von in die Distribution eingeschleusten Sicherheitsproblemen das Problem letztendlich zum Entwickler zurückgeführt werden kann. Das Debian-Projekt hat diese Angelegenheiten nie auf die leichte Schulter genommen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:237
msgid "Why are some log files/configuration files world-readable, isn't this insecure?"
msgstr "Warum sind einige Protokoll- und Konfigurationsdateien für alle lesbar? Ist das nicht unsicher?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:242
msgid "Of course, you can change the default Debian permissions on your system. The current policy regarding log files and configuration files is that they are world readable <em>unless</em> they provide sensitive information."
msgstr "Natürlich können Sie die Standardrecht von Debian auf Ihrem System abändern. Der aktuelle Richtlinie in Bezug auf Protokoll- und Konfigurationsdateien besagt, dass sie für alle lesbar sein sollen, <em>es sei denn</em>, sie enthalten sensible Informationen."
#. type: <p><list>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:244
msgid "Be careful if you do make changes since:"
msgstr "Seien Sie vorsichtig, wenn Sie Änderungen vornehmen:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:249
msgid "Processes might not be able to write to log files if you restrict their permissions."
msgstr "Prozesse könnten nicht mehr in der Lage sein, in Protokolldateien zu schreiben, wenn Sie ihre Rechte einschränken."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:255
msgid "Some applications may not work if the configuration file they depend on cannot be read. For example, if you remove the world-readable permission from <file>/etc/samba/smb.conf</file>, the <prgn>smbclient</prgn> program will not work when run by a normal user."
msgstr "Einige Anwendungen könnten nicht mehr funktionieren, wenn sie ihre Konfigurationsdatei nicht mehr lesen können. Wenn Sie zum Beispiel das Recht, für alle lesbar zu sein, von <file>/etc/samba/smb.conf</file> entfernen, kann das Programm <prgn>smbclient</prgn> nicht funktionieren, wenn es von einem normalen Benutzer ausgeführt wird."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:260
msgid "FIXME: Check if this is written in the Policy. Some packages (i.e. ftp daemons) seem to enforce different permissions."
msgstr "FIXME: Check if this is written in the Policy. Some packages (i.e. ftp daemons) seem to enforce different permissions."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:262
msgid "Why does /root/ (or UserX) have 755 permissions?"
msgstr "Warum hat /root/ (oder BenutzerX) die Rechte 755?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:269
msgid "As a matter of fact, the same questions stand for any other user. Since Debian's installation does not place <em>any</em> file under that directory, there's no sensitive information to protect there. If you feel these permissions are too broad for your system, consider tightening them to 750. For users, read <ref id=\"limit-user-perm\">."
msgstr "Tatsächlich kann die gleiche Frage auch für jeden anderen Benutzer gestellt werden. Da Debians Standardinstallation <em>keine</em> Dateien unter diesem Verzeichnis abgelegt, sind keine sensiblen Informationen vorhanden, die geschützt werden müssten. Wenn Sie denken, dass diese Rechte für Ihr System zu locker sind, können Sie sie auf 750 einschränken. Für Benutzer sollten Sie <ref id=\"limit-user-perm\"> lesen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:273
msgid "This Debian security mailing list <url id=\"http://lists.debian.org/debian-devel/2000/debian-devel-200011/msg00783.html\"; name=\"thread\"> has more on this issue."
msgstr "Dieser <url id=\"http://lists.debian.org/debian-devel/2000/debian-devel-200011/msg00783.html\"; name= \"Thread\"> der Sicherheitsmailingliste von Debian hat weitere Ausführungen zu diesem Thema."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:276
msgid "After installing a grsec/firewall, I started receiving many console messages! How do I remove them?"
msgstr "Nach der Installation von grsec oder einer Firewall bekomme ich viele Nachrichten auf der Konsole. Wie entferne ich sie?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:281
msgid "If you are receiving console messages, and have configured <file>/etc/syslog.conf</file> to redirect them to either files or a special TTY, you might be seeing messages sent directly to the console."
msgstr "Wenn Sie Nachrichten auf der Konsole empfangen, aber <file>/etc/syslog.conf</file> so eingerichtet haben, dass diese in Dateien oder auf ein spezielles TTY umgeleitet werden, sehen Sie dennoch Nachrichten auf der Konsole, die direkt an sie geschickt werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:287
msgid "The default console log level for any given kernel is 7, which means that any message with lower priority will appear in the console. Usually, firewalls (the LOG rule) and some other security tools log lower that this priority, and thus, are sent directly to the console."
msgstr "Der Standardloglevel der Konsole ist bei jeden Kernel 7, was bedeutet, dass alle Nachrichten mit einer niedrigeren Priorität auf der Konsole erscheinen werden. Für gewöhnlich haben Firewalls (die LOG-Regel) und einige andere Sicherheitswerkzeuge eine niedrigere Log-Priorität. Daher werden ihre Protokolle direkt an die Konsole geschickt."
#. type: <p><example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:293
msgid "To reduce messages sent to the console, you can use <prgn>dmesg</prgn> (<tt>-n</tt> option, see <manref name=\"dmesg\" section=\"8\">), which examines and <em>controls</em> the kernel ring buffer. To fix this after the next reboot, change <file>/etc/init.d/klogd</file> from:"
msgstr "Um die Nachrichten, die an die Konsole geschickt werden, zu verringern, können Sie <prgn>dmesg</prgn> (Option <tt>-n</tt>, vergleichen Sie <manref section=\"8\" name=\"dmesg\">) verwenden, das den Ringspeicher des Kernel untersucht und <em>steuert</em>. Damit das nach dem nächsten Neustart geändert ist, ändern Sie in <file>/etc/init.d/klogd</file> von"
#. type: <example></example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:295
#, no-wrap
msgid " KLOGD=\"\""
msgstr " KLOGD=\"\""
#. type: <example></example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:301
#, no-wrap
msgid " KLOGD=\"-c 4\""
msgstr " KLOGD=\"-c 4\""
#. type: <p><example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:307
msgid "Use a lower number for <tt>-c</tt> if you are still seeing them. A description of the different log levels can be found in <file>/usr/include/sys/syslog.h</file>:"
msgstr "Verwenden Sie eine niedrigere Nummer für <tt>-c</tt>, wenn Sie immer noch unerwünschte Nachrichten sehen. Eine Beschreibung der verschiedenen Loglevels befindet sich in <file>/usr/include/sys/syslog.h</file>:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:316
#, no-wrap
msgid ""
" #define LOG_EMERG 0 /* system is unusable */\n"
" #define LOG_ALERT 1 /* action must be taken immediately */\n"
" #define LOG_CRIT 2 /* critical conditions */\n"
" #define LOG_ERR 3 /* error conditions */\n"
" #define LOG_WARNING 4 /* warning conditions */\n"
" #define LOG_NOTICE 5 /* normal but significant condition */\n"
" #define LOG_INFO 6 /* informational */\n"
" #define LOG_DEBUG 7 /* debug-level messages */"
msgstr ""
" #define LOG_EMERG 0 /* system is unusable */\n"
" #define LOG_ALERT 1 /* action must be taken immediately */\n"
" #define LOG_CRIT 2 /* critical conditions */\n"
" #define LOG_ERR 3 /* error conditions */\n"
" #define LOG_WARNING 4 /* warning conditions */\n"
" #define LOG_NOTICE 5 /* normal but significant condition */\n"
" #define LOG_INFO 6 /* informational */\n"
" #define LOG_DEBUG 7 /* debug-level messages */"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:320
msgid "Operating system users and groups"
msgstr "Benutzer und Gruppen des Betriebssystems"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:322
msgid "Are all system users necessary?"
msgstr "Sind alle Systembenutzer notwendig?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:334
msgid "Yes and no. Debian comes with some predefined users (user id (UID) < 99 as described in <url id=\"http://www.debian.org/doc/debian-policy/\"; name=\"Debian Policy\"> or <file>/usr/share/doc/base-passwd/README</file>) to ease the installation of some services that require that they run under an appropriate user/UID. If you do not intend to install new services, you can safely remove those users who do not own any files in your system and do not run any services. In any case, the default behavior is that UID's from 0 to 99 are reserved in Debian, and UID's from 100 to 999 are created by packages on install (and deleted when the package is purged)."
msgstr "Ja und nein. Debian wird mit einigen vordefinierten Benutzern (mit einer User-ID (UID) < 99 wie in der <url name=\"Debian Policy\" id=\"http://www.de.debian.org/doc/debian-policy/\";> oder in <file>/usr/share/doc/base-passwd/README</file> beschrieben) ausgeliefert. Dadurch wird die Installation einiger Dienste erleichtert, für die es notwendig ist, unter einem passenden Benutzer/UID zu laufen. Wenn Sie nicht vorhaben, neue Dienste zu installieren, können Sie die Benutzer entfernen, denen keine Dateien auf Ihrem System gehören und die keine Dienste laufen lassen. Unabhängig davon ist das Standardverhalten in Debian, dass UIDs von 0 bis 99 reserviert sind und UIDs von 100 bis 999 von Paketen bei der Installation erstellt werden und gelöscht werden, wenn das Pakete vollständig gelöscht wird (purge) wird."
#. type: <p><example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:341
msgid "To easily find users who don't own any files, execute the following command<footnote><p>Be careful, as this will traverse your whole system. If you have a lot of disk and partitions you might want to reduce it in scope.</p></footnote> (run it as root, since a common user might not have enough permissions to go through some sensitive directories):"
msgstr "Benutzer, denen keine Dateien gehören, finden Sie leicht mit dem folgenden Kommando<footnote>Bedenken Sie, dass damit Ihr gesamtes System durchsucht wird. Falls Sie viele Festplatten und Partitionen haben, sollten Sie u.U. den Suchrahmen einschränken.</footnote> (führen Sie es als Root aus, da ein normaler Benutzer nicht genügend Zugriffsrechte haben könnte, um einige sensible Verzeichnisse zu durchsuchen):"
#. type: <example></example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:344
#, no-wrap
msgid ""
" cut -f 1 -d : /etc/passwd | \\\n"
" while read i; do find / -user \"$i\" | grep -q . || echo \"$i\"; done"
msgstr ""
" cut -f 1 -d : /etc/passwd | \\\n"
" while read i; do find / -user \"$i\" | grep -q . || echo \"$i\"; done"
#. type: <p><list>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:351
msgid "These users are provided by <package>base-passwd</package>. Look in its documentation for more information on how these users are handled in Debian. The list of default users (with a corresponding group) follows:"
msgstr "Diese Benutzer werden von dem Paket <package>base-passwd</package> angelegt. Sie finden Informationen über die Behandlung dieser Benutzer unter Debian in der Dokumentation des Pakets. Es folgt nun eine Liste der Standardbenutzer (mit einer entsprechenden Gruppe):"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:355
msgid "root: Root is (typically) the superuser."
msgstr "root: Root ist (typischerweise) der Superuser."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:362
msgid "daemon: Some unprivileged daemons that need to write to files on disk run as daemon.daemon (e.g., <prgn>portmap</prgn>, <prgn>atd</prgn>, probably others). Daemons that don't need to own any files can run as nobody.nogroup instead, and more complex or security conscious daemons run as dedicated users. The daemon user is also handy for locally installed daemons."
msgstr "daemon: Einige unprivilegierte Daemonen, die Dateien auf die Festplatte schreiben müssen, laufen als daemon.daemon (z.B. <prgn>portmap</prgn>, <prgn>atd</prgn>, wahrscheinlich noch andere). Daemonen, die keine eigenen Dateien besitzen müssen, können stattdessen als nobody.nogroup laufen. Komplexere oder sicherheitsbewusste Daemonen laufen als eigenständige Benutzer. Der Benutzer daemon ist auch praktisch für lokal installierte Daemons."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:364
msgid "bin: maintained for historic reasons."
msgstr "bin: aus historischen Gründen beibehalten"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:367
msgid "sys: same as with bin. However, /dev/vcs* and <file>/var/spool/cups</file> are owned by group sys."
msgstr "sys: das gleiche wie bei bin. Jedoch gehören /dev/vcs* und <file>/var/spool/cups</file> der Gruppe sys."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:372
msgid "sync: The shell of user sync is <file>/bin/sync</file>. Thus, if its password is set to something easy to guess (such as \"\"), anyone can sync the system at the console even if they have don't have an account."
msgstr "sync: Die Shell des Benutzers sync ist <file>/bin/sync</file>. Wenn das Passwort auf etwas leicht zu ratendes gesetzt wurde (zum Beispiel »«), kann jeder das System von der Konsole aus synchronisieren lassen, auch wenn er kein Konto hat."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:375
msgid "games: Many games are SETGID to games so they can write their high score files. This is explained in policy."
msgstr "games: Viele Spiele sind SETGID »games«, damit sie ihre Highscore-Dateien schreiben können. Dies wird in der Richtlinie erklärt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:378
msgid "man: The man program (sometimes) runs as user man, so it can write cat pages to <file>/var/cache/man</file>"
msgstr "man: Das Programm man läuft (manchmal) als Benutzer »man«, damit es Cat-Seiten nach <file>/var/cache/man</file> schreiben kann."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:380
msgid "lp: Used by printer daemons."
msgstr "lp: wird von Druck-Daemonen benutzt"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:384
msgid "mail: Mailboxes in <file>/var/mail</file> are owned by group mail, as explained in policy. The user and group are used for other purposes by various MTA's as well."
msgstr "mail: Mailboxen unter <file>/var/mail</file> gehören der Gruppe »mail«, wie in der Richtlinie erklärt wird. Der Benutzer und die Gruppe werden auch von verschiedene MTAs zu anderen Zwecken benutzt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:390
msgid "news: Various news servers and other associated programs (such as <prgn>suck</prgn>) use user and group news in various ways. Files in the news spool are often owned by user and group news. Programs such as <prgn>inews</prgn> that can be used to post news are typically SETGID news."
msgstr "news: Verschiedene News-Server und ähnliche Programme (zum Beispiel <prgn>suck</prgn>) benutzen den Benutzer und die Gruppe news auf unterschiedliche Weise. Dateien im news-Spool gehören häufig dem Benutzer und der Gruppe news. Programme wie <prgn>inews</prgn>, die man benutzen kann, um News zu posten, sind normalerweise SETGID news."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:394
msgid "uucp: The uucp user and group is used by the UUCP subsystem. It owns spool and configuration files. Users in the uucp group may run uucico."
msgstr "uucp: Der Benutzer uucp und die Gruppe uucp werden vom UUCP-Subsystem benutzt. Ihnen gehören Spool- und Konfigurationsdateien. Nutzer in der Gruppe uucp können uucico aufrufen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:399
msgid "proxy: Like daemon, this user and group is used by some daemons (specifically, proxy daemons) that don't have dedicated user id's and that need to own files. For example, group proxy is used by <prgn>pdnsd</prgn>, and <prgn>squid</prgn> runs as user proxy."
msgstr "proxy: Wie Daemon wird dieser Benutzer und diese Gruppe von manchen Daemonen (insbesondere Proxy-Daemonen) verwendet, die keine spezielle User-ID haben, aber eigene Dateien besitzen müssen. Zum Beispiel wird die Gruppe proxy von <prgn>pdnsd</prgn> benutzt, und <prgn>squid</prgn> läuft als Benutzer proxy."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:403
msgid "majordom: <prgn>Majordomo</prgn> has a statically allocated UID on Debian systems for historical reasons. It is not installed on new systems."
msgstr "majordom: <prgn>Majordomo</prgn> hat auf Debian-Systemen aus historischen Gründen eine statisch zugewiesene UID. Auf neuen Systemen wird sie nicht installiert."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:407
msgid "postgres: <prgn>Postgresql</prgn> databases are owned by this user and group. All files in <file>/var/lib/postgresql</file> are owned by this user to enforce proper security."
msgstr "postgres: <prgn>Postgresql</prgn>-Datenbanken gehören diesem Benutzer und dieser Gruppe. Alle Dateien in <file>/var/lib/postgresql</file> gehören diesem Benutzer, um anständige Sicherheit zu gewährleisten."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:412
msgid "www-data: Some web servers run as www-data. Web content should <em>not</em> be owned by this user, or a compromised web server would be able to rewrite a web site. Data written out by web servers, including log files, will be owned by www-data."
msgstr "www-data: Einige Web-Server laufen als www-data. Web-Inhalte sollten <em>nicht</em> diesem Benutzer gehören, andernfalls wäre ein kompromittierter Web-Server in der Lage, eine Web-Seite zu überschreiben. Daten, die der Web-Server schreibt, einschließlich Protokolldateien, gehören www-data."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:415
msgid "backup: So backup/restore responsibilities can be locally delegated to someone without full root permissions."
msgstr "backup: So können Backup-/Wiederherstellungszuständigkeiten lokal an irgendjemanden ohne volle Root-Zugriff delegiert werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:418
msgid "operator: Operator is historically (and practically) the only 'user' account that can login remotely, and doesn't depend on NIS/NFS."
msgstr "operator: operator ist historisch (und praktisch) das einzige »Benutzer«-Konto, in das man sich entfernt einloggen kann, und das nicht von NIS/NFS abhängt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:421
msgid "list: Mailing list archives and data are owned by this user and group. Some mailing list programs may run as this user as well."
msgstr "list: Mailinglisten-Archive und Daten gehören diesem Benutzer und dieser Gruppe. Manche Mailinglisten-Programme laufen auch unter diesem Benutzer."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:425
msgid "irc: Used by irc daemons. A statically allocated user is needed only because of a bug in <prgn>ircd</prgn>, which SETUID()s itself to a given UID on startup."
msgstr "irc: Wird von irc-Daemonen benutzt. Ein statisch zugewiesener Benutzer wird nur wegen eines Fehlers in <prgn>ircd</prgn> benötigt, das beim Start SETUID() auf sich selbst für eine bestimmte UID ausführt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:427
msgid "gnats."
msgstr "gnats"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:431
msgid "nobody, nogroup: Daemons that need not own any files run as user nobody and group nogroup. Thus, no files on a system should be owned by this user or group."
msgstr "nobody, nogroup: Daemonen die keine eigenen Dateien haben laufen als Benutzer nobody und Gruppe nogroup. Demzufolge sollten keine Dateien auf dem gesamten System diesem Benutzer oder dieser Gruppe gehören."
#. type: <p><list>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:435
msgid "Other groups which have no associated user:"
msgstr "Andere Gruppe, die keinen dazugehörigen Benutzer haben:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:443
msgid "adm: Group adm is used for system monitoring tasks. Members of this group can read many log files in <file>/var/log</file>, and can use xconsole. Historically, <file>/var/log</file> was <file>/usr/adm</file> (and later <file>/var/adm</file>), thus the name of the group."
msgstr "adm: Die Gruppe adm wird zu Zwecken der Überwachung benutzt. Mitglieder dieser Gruppe können viele Dateien in <file>/var/log</file> lesen und die xconsole benutzen. <file>/var/log</file> war früher einmal <file>/usr/adm</file> (und später <file>/var/adm</file>), daher der Name dieser Gruppe."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:446
msgid "tty: TTY devices are owned by this group. This is used by write and wall to enable them to write to other people's TTYs."
msgstr "tty: TTY-Geräte gehören dieser Gruppe. Die Befehle write und wall benutzen dies, um auf die TTYs anderer Leute zu schreiben."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:448
msgid "disk: Raw access to disks. Mostly equivalent to root access."
msgstr "disk: Roh-Zugriff auf Festplatten. Größtenteils äquivalent zum Root-Zugriff."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:452
msgid "kmem: /dev/kmem and similar files are readable by this group. This is mostly a BSD relic, but any programs that need direct read access to the system's memory can thus be made SETGID kmem."
msgstr "kmem: /dev/kmem und ähnliche Dateien sind von dieser Gruppe lesbar. Dies ist größtenteils ein Relikt aus BSD. Aber jedes Programm, das Lese-Zugriff auf den Systemspeicher braucht, kann so SETGID kmem gemacht werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:455
msgid "dialout: Full and direct access to serial ports. Members of this group can reconfigure the modem, dial anywhere, etc."
msgstr "dialout: Voller und direkter Zugriff auf serielle Schnittstellen. Mitglieder dieser Gruppen können Modems rekonfigurieren, sich irgendwo einwählen, usw."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:461
msgid "dip: The group's name stands for \"Dial-up IP\", and membership in dip allows you to use tools like <prgn>ppp</prgn>, <prgn>dip</prgn>, <prgn>wvdial</prgn>, etc. to dial up a connection. The users in this group cannot configure the modem, but may run the programs that make use of it."
msgstr "dip: Der Name der Gruppe steht für »Dial-up IP«. Mitgliedern der Gruppe dip können Programme wie <prgn>ppp</prgn>, <prgn>dip</prgn>, <prgn>wvdial</prgn> usw. benutzen, um eine Verbindung herzustellen. Die Benutzer in dieser Gruppe können das Modem nicht konfigurieren. Sie können lediglich Programme aufrufen, die es benutzen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:463
msgid "fax: Allows members to use fax software to send / receive faxes."
msgstr "fax: erlaubt es den Mitgliedern, Fax-Software zu benutzen, um Faxe zu senden und zu empfangen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:466
msgid "voice: Voicemail, useful for systems that use modems as answering machines."
msgstr "voice: Voicemail, nützlich für Systeme, die Modems als Anrufbeantworter benutzen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:469
msgid "cdrom: This group can be used locally to give a set of users access to a CDROM drive."
msgstr "cdrom: Diese Gruppe kann dazu benutzt werden, einer bestimmen Gruppe von Benutzern Zugriff auf CD-ROM-Laufwerke zu geben."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:472
msgid "floppy: This group can be used locally to give a set of users access to a floppy drive."
msgstr "floppy: Diese Gruppe kann dazu benutzt werden, einer bestimmen Gruppe von Benutzern Zugriff auf Diskettenlaufwerke zu geben."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:475
msgid "tape: This group can be used locally to give a set of users access to a tape drive."
msgstr "tape: Diese Gruppe kann dazu benutzt werden, einer bestimmen Gruppe von Benutzern Zugriff auf Bandlaufwerke zu geben."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:479
msgid "sudo: Members of this group don't need to type their password when using <prgn>sudo</prgn>. See <file>/usr/share/doc/sudo/OPTIONS</file>."
msgstr "sudo: Mitglieder dieser Gruppe müssen ihr Passwort nicht eingeben, wenn sie <prgn>sudo</prgn> benutzen. Siehe <file>/usr/share/doc/sudo/OPTIONS</file>."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:482
msgid "audio: This group can be used locally to give a set of users access to an audio device."
msgstr "audio: Diese Gruppe kann dazu benutzt werden, einer bestimmen Gruppe von Benutzern Zugriff auf jedes Audiogerät zu geben."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:486
msgid "src: This group owns source code, including files in <file>/usr/src</file>. It can be used locally to give a user the ability to manage system source code."
msgstr "src: Dieser Gruppe gehören die Quellcodes, einschließlich der Dateien in <file>/usr/src</file>. Sie kann benutzt werden, um einem bestimmten Benutzern die Möglichkeit zu bieten, Quellcode des Systems zu verwalten."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:489
msgid "shadow: <file>/etc/shadow</file> is readable by this group. Some programs that need to be able to access the file are SETGID shadow."
msgstr "shadow: <file>/etc/shadow</file> ist von dieser Gruppe lesbar. Einige Programme, die auf diese Datei zugreifen müssen, sind SETGID shadow."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:493
msgid "utmp: This group can write to <file>/var/run/utmp</file> and similar files. Programs that need to be able to write to it are SETGID utmp."
msgstr "utmp: Diese Gruppe kann nach <file>/var/run/utmp</file> und ähnlichen Dateien schreiben. Programme, die darin schreiben können müssen, sind SETGID utmp."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:496
msgid "video: This group can be used locally to give a set of users access to a video device."
msgstr "video: Diese Gruppe kann dazu benutzt werden, einer bestimmen Gruppe von Benutzern Zugriff auf ein Videogerät zu geben."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:501
msgid "staff: Allows users to add local modifications to the system (<file>/usr/local</file>, <file>/home</file>) without needing root privileges. Compare with group \"adm\", which is more related to monitoring/security."
msgstr "staff: Erlaubt Benutzern lokale Modifikationen am System vorzunehmen (<file>/usr/local</file>, <file>/home</file>), ohne dass sie Root-Privilegien bräuchten. Vergleichen Sie sie mit »adm«, die sich mehr auf Überwachung/Sicherheit bezieht."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:506
msgid "users: While Debian systems use the private user group system by default (each user has their own group), some prefer to use a more traditional group system, in which each user is a member of this group."
msgstr "users: Während Debian-Systeme standardmäßig das System einer privaten Benutzergruppe (jeder Benutzer hat seine eigene Gruppe) verwenden, ziehen es manche vor, ein traditionelleres Gruppen-System zu verwenden. In diesem System ist jeder Benutzer Mitglied dieser Gruppe."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:510
msgid "I removed a system user! How can I recover?"
msgstr "Ich entfernte einen Systembenutzer! Wie kann ich dies rückgängig machen?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:516
msgid "If you have removed a system user and have not made a backup of your <file>password</file> and <file>group</file> files you can try recovering from this issue using <prgn>update-passwd</prgn> (see <manref name=\"update-passwd\" section=\"8\">)."
msgstr "Wenn Sie einen Systembenutzer entfernt und kein Backup Ihrer <file>password</file>- und <file>group</file>-Dateien haben, können Sie versuchen, diesen mittels <prgn>update-passwd</prgn> (vergleichen Sie <manref name=\"update-passwd\" section=\"8\">) wiederherzustellen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:518
msgid "What is the difference between the adm and the staff group?"
msgstr "Was ist der Unterschied zwischen den Gruppen adm und staff?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:524
msgid "The 'adm' group are usually administrators, and this group permission allows them to read log files without having to <prgn>su</prgn>. The 'staff' group are usually help-desk/junior sysadmins, allowing them to work in <file>/usr/local</file> and create directories in <file>/home</file>."
msgstr "Die Gruppe »adm« besteht üblicherweise aus Administratoren. Die Rechte dieser Gruppe erlauben es ihnen, Protokolldateien zu lesen, ohne <prgn>su</prgn> benutzen zu müssen. Die Gruppe »staff« ist gewöhnlich für Kundendienst- und Junioradministratoren bestimmt und gibt ihnen die Möglichkeit, Dinge in <file>/usr/local</file> zu erledigen und Verzeichnisse in <file>/home</file> anzulegen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:527
msgid "Why is there a new group when I add a new user? (or Why does Debian give each user one group?)"
msgstr "Warum gibt es eine neue Gruppe, wenn ich einen neuen Benutzer anlege? (Oder warum gibt Debian jedem Benutzer eine eigene Gruppe?)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:535
msgid "The default behavior in Debian is that each user has its own, private group. The traditional UN*X scheme assigned all users to the <em>users</em> group. Additional groups were created and used to restrict access to shared files associated with different project directories. Managing files became difficult when a single user worked on multiple projects because when someone created a file, it was associated with the primary group to which they belong (e.g. 'users')."
msgstr "Das Standardverhalten von Debian ist, dass jeder Benutzer seine eigene, persönliche Gruppe hat. Das traditionelle UN*X-Modell weist alle Benutzer der Gruppe <em>users</em> zu. Zusätzliche Gruppe werden erstellt, um den Zugang zu gemeinsam genutzten Dateien, die mit verschiedenen Projektverzeichnissen verbunden sind, einzuschränken. Die Dateiverwaltung wurde schwierig, wenn ein einzelner Benutzer an verschiedenen Projekten arbeitete, da, wenn jemand eine Datei erstellte, diese mit der primären Gruppe des Erstellers (z.B. »users«) verbunden war."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:542
msgid "Debian's scheme solves this problem by assigning each user to their own group; so that with a proper umask (0002) and the SETGID bit set on a given project directory, the correct group is automatically assigned to files created in that directory. This makes it easier for people who work on multiple projects, because they will not have to change groups or umasks when working on shared files."
msgstr "Das Modell von Debian löst dieses Problem, indem es jedem Benutzer seine eigene Gruppe zuweist. So wird mit einer korrekten Umask (0002) und mit dem SETGID-Bit für ein Projektverzeichnis den Dateien, die in diesem Verzeichnis erstellt werden, automatisch die richtige Gruppe zugewiesen. Das erleichtert die Arbeit von Menschen, die an verschiedenen Projekten arbeiten, da sie nicht die Gruppe oder Umasks ändern müssen, wenn sie mit gemeinsam genutzten Dateien arbeiten."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:548
msgid "You can, however, change this behavior by modifying <file>/etc/adduser.conf</file>. Change the <em>USERGROUPS</em> variable to 'no', so that a new group is not created when a new user is created. Also, set <em>USERS_GID</em> to the GID of the users group which all users will belong to."
msgstr "Sie können allerdings dieses Verhalten verändern, indem Sie <file>/etc/adduser.conf</file> modifizieren. Ändern Sie die Variable <em>USERGROUPS</em> auf »no« ab. Dadurch wird keine neue Gruppe erstellt, wenn ein neuer Benutzer angelegt wird. Sie sollten auch <em>USERS_GID</em> die GID der Gruppe zuweisen, der alle Benutzer angehören."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:550
msgid "Questions regarding services and open ports"
msgstr "Fragen über Dienste und offene Ports"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:552
msgid "Why are all services activated upon installation?"
msgstr "Warum werden alle Dienste während der Installation aktiviert?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:559
msgid "That's just an approach to the problem of being, on one side, security conscious and on the other side user friendly. Unlike OpenBSD, which disables all services unless activated by the administrator, Debian GNU/Linux will activate all installed services unless deactivated (see <ref id=\"disableserv\"> for more information). After all you installed the service, didn't you?"
msgstr "Das ist der Annäherung an das Problem, auf der einen Seite sicherheitsbewusst und auf der anderen Seite benutzerfreundlich zu sein. Anders als OpenBSD, das alle Dienste abschaltet, bis sie vom Administrator aktiviert werden, aktiviert Debian GNU/Linux alle installierten Dienste, bis sie abgeschaltet werden (siehe dazu <ref id=\"disableserv\">). Immerhin haben Sie den Dienst installiert, oder?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:564
msgid "There has been much discussion on Debian mailing lists (both at debian-devel and at debian-security) regarding which is the better approach for a standard installation. However, as of this writing (March 2002), there still isn't a consensus."
msgstr "Es gab viele Diskussionen auf Debian-Mailinglisten (sowohl auf debian-devel als auch auf debian-security) darüber, welches die bessere Vorgehensweise für eine Standardinstallation ist. Jedoch gab es bisher (10. März 2002) keinen Konsens."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:566
msgid "Can I remove <prgn>inetd</prgn>?"
msgstr "Kann ich <prgn>inetd</prgn> entfernen?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:572
msgid "<prgn>Inetd</prgn> is not easy to remove since <package>netbase</package> depends on the package that provides it (<package>netkit-inetd</package>). If you want to remove it, you can either disable it (see <ref id=\"disableserv\">) or remove the package by using the <package>equivs</package> package."
msgstr "<prgn>Inetd</prgn> ist nicht leicht zu entfernen, da <package>netbase</package> von dem Paket abhängt, das es enthält (<package>netkit-inetd</package>). Wenn Sie es entfernen wollen, können Sie es entweder abschalten (siehe <ref id=\"disableserv\">) oder das Paket entfernen, indem Sie das Paket <package>equivs</package> benutzen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:574
msgid "Why do I have port 111 open?"
msgstr "Warum ist bei mir Port 111 offen?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:580
msgid "Port 111 is sunrpc's portmapper, and it is installed by default as part of Debian's base installation since there is no need to know when a user's program might need RPC to work correctly. In any case, it is used mostly for NFS. If you do not need it, remove it as explained in <ref id=\"rpc\">."
msgstr "Port 111 ist sunrpcs Portmapper und wird standardmäßig bei der Grundinstallationen eines Debian-Systems eingerichtet, da es keine Möglichkeit gibt herauszubekommen, wann ein Programm eines Benutzers RPC gebrauchen könnte, um korrekt zu arbeiten. Jedenfalls wird es meistens von NFS benutzt. Wenn Sie kein NFS benutzen, entfernen Sie es, wie in <ref id=\"rpc\"> erklärt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:585
msgid "In versions of the <package>portmap</package> package later than 5-5 you can actually have the portmapper installed but listening only on localhost (by modifying <file>/etc/default/portmap</file>)"
msgstr "In Versionen des Pakets <package>portmap</package> später als 5-5 können Sie sogar den Portmapper installieren, aber ihn nur auf dem Localhost lauschen lassen (dazu müssen Sie <file>/etc/default/portmap</file> verändern)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:587
msgid "What use is <prgn>identd</prgn> (port 113) for?"
msgstr "Wozu ist der <prgn>identd</prgn> (Port 113) da?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:595
msgid "Identd service is an authentication service that identifies the owner of a specific TCP/IP connection to the remote server accepting the connection. Typically, when a user connects to a remote host, <prgn>inetd</prgn> on the remote host sends back a query to port 113 to find the owner information. It is often used by mail, FTP and IRC servers, and can also be used to track down which user in your local system is attacking a remote system."
msgstr "Der Dienst Identd ist ein Authentisierungsdienst, der den Besitzer einer bestimmten TCP/IP-Verbindung zu einem entfernten Server, der die Verbindung annimmt, identifiziert. Wenn ein Benutzer sich mit einem entfernten Host verbindet, schickt <prgn>inetd</prgn> auf dem entfernten Host üblicherweise eine Anfrage an Port 113 zurück, um Informationen über den Besitzer herauszufinden. Er wird häufig von Mail-, FTP- und IRC-Servern eingesetzt. Er kann auch dazu verwendet werden, um einen Benutzer Ihres lokalen Systems, der ein entferntes System angreift, aufzuspüren."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:608
msgid "There has been extensive discussion on the security of <prgn>identd</prgn> (See <url id=\"http://lists.debian.org/debian-security/2001/debian-security-200108/msg00297.html\"; name=\"mailing list archives\">). In general, <prgn>identd</prgn> is more helpful on a multi-user system than on a single user workstation. If you don't have a use for it, disable it, so that you are not leaving a service open to the outside world. If you decide to firewall the identd port, <em>please</em> use a reject policy and not a deny policy, otherwise a connection to a server utilizing <prgn>identd</prgn> will hang until a timeout expires (see <url id=\"http://logi.cc/linux/reject_or_deny.php3\"; name=\"reject or deny issues\">)."
msgstr "Es gab ausführliche Diskussionen über die Sicherheit von <prgn>identd</prgn> (siehe in den <url id=\"http://lists.debian.org/debian-security/2001/debian-security-200108/msg00297.html\"; name=\"Archiven der Mailingliste\">. Im Allgemeinen ist <prgn>identd</prgn> auf Multi-User-Systemen nützlicher als auf einer Workstation mit nur einem Benutzer. Wenn Sie keine Verwendung von ihn haben, sollten Sie ihn abschalten, damit Sie keinen Dienst für die Außenwelt offen lassen. Wenn Sie sich entscheiden, den identd-Port mit einer Firewall zu blockieren, benutzen Sie <em>bitte</em> die Regel »reject« und nicht die Regel »deny«, da andernfalls eine Verbindung zu einem Server, die <prgn>identd</prgn> verwendet, bis zu einer Zeitüberschreitung hängen bleiben wird (lesen Sie dazu <url id=\"http://logi.cc/linux/reject_or_deny.php3\"; name=\"reject or deny issues\">)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:611
msgid "I have services using port 1 and 6, what are they and how can I remove them?"
msgstr "Ich habe Dienste, welche die Ports 1 und 6 verwenden. Welche sind das und wie kann ich sie entfernen?"
#. type: <p><example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:613
msgid "If you have run the command <tt>netstat -an</tt> and receive:"
msgstr "Sie führen den Befehl <tt>netstat -an</tt> aus und erhalten Folgendes:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:621
#, no-wrap
msgid ""
" Active Internet connections (servers and established)\n"
" Proto Recv-Q Send-Q Local Address Foreign Address State\n"
" PID/Program name\n"
" raw 0 0 0.0.0.0:1 0.0.0.0:* 7\n"
" -\n"
" raw 0 0 0.0.0.0:6 0.0.0.0:* 7\n"
" -"
msgstr ""
" Active Internet connections (servers and established)\n"
" Proto Recv-Q Send-Q Local Address Foreign Address State\n"
" PID/Program name\n"
" raw 0 0 0.0.0.0:1 0.0.0.0:* 7\n"
" -\n"
" raw 0 0 0.0.0.0:6 0.0.0.0:* 7\n"
" -"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:632
msgid "You are <em>not</em> seeing processes listening on TCP/UDP port 1 and 6. In fact, you are seeing a process listening on a <em>raw</em> socket for protocols 1 (ICMP) and 6 (TCP). Such behavior is common to both Trojans and some intrusion detection systems such as <package>iplogger</package> and <package>portsentry</package>. If you have these packages simply remove them. If you do not, try netstat's <tt>-p</tt> (process) option to see which process is running these listeners."
msgstr "Sie sehen <em>nicht</em> Prozesse, die auf dem TCP/UDP-Port 1 und 6 lauschen. Tatsächlich sehen Sie einen Prozess, der auf einem <em>Raw</em>-Socket für Protokoll 1 (ICMP) und 6 (TCP) lauscht. Ein solches Verhalten ist für Trojaner und einige Systeme zur Eindringlingserkennung wie <package>iplogger</package> und <package>portsentry</package> üblich. Wenn Sie diese Pakete besitzen, löschen Sie sie einfach. Falls nicht, versuchen Sie mit netcats Option <tt>-p</tt> (Prozess) herauszufinden, welcher Prozess diese Lauscher betreibt."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:634
msgid "I found the port XYZ open, can I close it?"
msgstr "Ich habe festgestellt, dass Port XYZ offen ist. Kann ich ihn schließen?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:641
msgid "Yes, of course. The ports you are leaving open should adhere to your individual site's policy regarding public services available to other networks. Check if they are being opened by <prgn>inetd</prgn> (see <ref id=\"inetd\">), or by other installed packages and take the appropriate measures (i.e, configure inetd, remove the package, avoid it running on boot-up)."
msgstr "Ja, natürlich. Die Ports, die Sie offen lassen, hängen von Ihrer individuellen Richtlinie bezüglich öffentlich zugänglicher Dienste ab. Prüfen Sie, ob sie von <prgn>inetd</prgn> (siehe <ref id=\"inetd\">) oder von anderen installierten Paketen geöffnet werden, und leiten Sie passende Maßnahmen ein (d.h. konfigurieren Sie inetd, entfernen Sie das Paket, verhindern Sie, dass der Dienst beim Booten gestartet wird)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:644
msgid "Will removing services from <file>/etc/services</file> help secure my box?"
msgstr "Hilft das Löschen von Diensten aus <file>/etc/services</file>, um meinen Rechner abzusichern?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:651
msgid "<em>No</em>, <file>/etc/services</file> only provides a mapping between a virtual name and a given port number. Removing names from this file will not (usually) prevent services from being started. Some daemons may not run if <file>/etc/services</file> is modified, but that's not the norm. To properly disable the service, see <ref id=\"disableserv\">."
msgstr "<em>Nein</em>, <file>/etc/services</file> stellt nur eine Verbindung zwischen virtuellem Namen und Portnummer her. Das Entfernen von Namen aus dieser Datei verhindert (üblicherweise) nicht, dass ein Dienst gestartet wird. Manche Daemonen starten vielleicht nicht, wenn <file>/etc/services</file> verändert wurde, aber das ist nicht die Norm. Um einen Dienst richtig abzuschalten, sehen Sie sich <ref id=\"disableserv\"> an."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:653
msgid "Common security issues"
msgstr "Allgemeine Sicherheitsprobleme"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:655
msgid "I have lost my password and cannot access the system!"
msgstr "Ich habe mein Passwort vergessen und kann auf das System nicht mehr zugreifen!"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:659
msgid "The steps you need to take in order to recover from this depend on whether or not you have applied the suggested procedure for limiting access to <prgn>lilo</prgn> and your system's BIOS."
msgstr "Die nötigen Schritte, um wieder Zugriff erhalten, hängen davon ab, ob Sie die vorgeschlagene Prozedur zum Absichern von <prgn>lilo</prgn> und BIOS durchgeführt haben oder nicht."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:664
msgid "If you have limited both, you need to disable the BIOS setting that only allows booting from the hard disk before proceeding. If you have also forgotten your BIOS password, you will have to reset your BIOS by opening the system and manually removing the BIOS battery."
msgstr "Wenn Sie beides eingeschränkt haben, müssen Sie im BIOS erlauben, von anderen Medien als der Festplatte zu booten, bevor Sie weitermachen können. Wenn Sie auch Ihr BIOS-Passwort vergessen haben, müssen Sie Ihr BIOS zurücksetzen. Dazu öffnen Sie das PC-Gehäuse und entfernen die BIOS-Batterie."
#. type: <p><list>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:667
msgid "Once you have enabled booting from a CD-ROM or diskette enable, try the following:"
msgstr "Sobald Sie das Booten von CD-ROM oder Diskette eingeschaltet haben, sollten Sie Folgendes ausprobieren:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:671
msgid "Boot-up from a rescue disk and start the kernel"
msgstr "Booten Sie von eine Rettungsdiskette und starten den Kernel."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:673
msgid "Go to the virtual console (Alt+F2)"
msgstr "Wechseln Sie mit Alt+F2 auf eine virtuelle Konsole."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:675
msgid "Mount the hard disk where your /root is"
msgstr "Binden Sie die Partition ein, auf der sich Ihr /root befindet."
#. type: <p><example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:680
msgid "Edit (Debian 2.2 rescue disk comes with the editor <prgn>ae</prgn>, and Debian 3.0 comes with <prgn>nano-tiny</prgn> which is similar to <prgn>vi</prgn>) <file>/etc/shadow</file> and change the line:"
msgstr "Editieren Sie (auf der Rettungsdiskette von Debian 2.2 befindet sich <prgn>ae</prgn>, Debian 3.0 enthält <prgn>nano-tiny</prgn>, der <prgn>vi</prgn> ähnelt) die Datei <file>/etc/shadow</file> und ändern Sie die Zeile:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:682
#, no-wrap
msgid " root:asdfjl290341274075:XXXX:X:XXXX:X::: (X=any number)"
msgstr " root:asdfjl290341274075:XXXX:X:XXXX:X::: (X=irgendeine Ziffer)"
#. type: <example></example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:688
#, no-wrap
msgid " root::XXXX:X:XXXX:X:::"
msgstr " root::XXXX:X:XXXX:X:::"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:699
msgid "This will remove the forgotten root password, contained in the first colon separated field after the user name. Save the file, reboot the system and login with root using an empty password. Remember to reset the password. This will work unless you have configured the system more tightly, i.e. if you have not allowed users to have null passwords or not allowed root to login from the console."
msgstr "Dies entfernt das vergessene Root-Passwort, das sich im ersten durch Doppelpunkte abgetrennten Feld nach dem Benutzernamen befand. Speichern Sie die Datei ab, starten Sie das System neu und melden Sie sich als Root mit einem leeren Passwort an. Dies wird funktionieren, außer wenn Sie Ihr System etwas sicherer eingestellt haben, d.h. wenn Sie nicht erlauben, dass Benutzer leere Passwörter haben, oder dass Root sich auf einer Konsole einloggen kann."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:706
msgid "If you have introduced these features, you will need to enter into single user mode. If LILO has been restricted, you will need to rerun <prgn>lilo</prgn> just after the root reset above. This is quite tricky since your <file>/etc/lilo.conf</file> will need to be tweaked due to the root (/) file system being a ramdisk and not the real hard disk."
msgstr "Falls Sie derartige Maßnahmen getroffen haben, müssen Sie im Single-User-Modus starten. Wenn Sie LILO eingeschränkt haben, müssen <prgn>lilo</prgn> erneut ausführen, nachdem Sie das Root-Passwort zurückgesetzt haben. Das ist ziemlich verzwickt, da Ihre <file>/etc/lilo.conf</file> verändert werden muss, da das Root-Dateisystem (/) eine RAM-Disk und keine echte Festplatte ist."
#. type: <p><list>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:708
msgid "Once LILO is unrestricted, try the following:"
msgstr "Sobald LILO nicht mehr eingeschränkt ist, versuchen Sie Folgendes:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:713
msgid "Press the Alt, shift or Control key just before the system BIOS finishes, and you should get the LILO prompt."
msgstr "Drücken Sie Alt, Shift oder Steuerung (Control), kurz bevor das BIOS seine Arbeit beendet hat, und Sie sollten nun einen LILO-Prompt erhalten."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:716
msgid "Type <tt>linux single</tt>, <tt>linux init=/bin/sh</tt> or <tt>linux 1</tt> at the prompt."
msgstr "Geben Sie am Prompt <tt>linux single</tt>, <tt>linux init=/bin/sh</tt> oder <tt>linux 1</tt> ein."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:719
msgid "This will give you a shell prompt in single-user mode (it will ask for a password, but you already know it)"
msgstr "Sie erhalten einen Shell-Prompt im Single-User-Modus (Sie werden nach dem Passwort gefragt, aber das kennen Sie jetzt ja)."
#. type: <p><example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:721
msgid "Re-mount read/write the root (/) partition, using the mount command."
msgstr "Binden Sie die Root-Partition (/) im Schreib/Lese-Modus neu ein, indem Sie den Befehl mount verwenden:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:723
#, no-wrap
msgid " # mount -o remount,rw /"
msgstr " # mount -o remount,rw /"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:728
msgid "Change the superuser password with <prgn>passwd</prgn> (since you are superuser it will not ask for the previous password)."
msgstr "Ändern Sie das Superuser-Passwort mit <prgn>passwd</prgn> (da Sie der Superuser sind, werden Sie nicht nach dem alten Passwort gefragt)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:733
msgid "How do I accomplish setting up a service for my users without giving out shell accounts?"
msgstr "Wie muss ich vorgehen, wenn ich meinen Benutzern einen Dienst anbieten möchte, ihnen aber keine Shell-Konten geben will?"
#. type: <p><example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:744
msgid "For example, if you want to set up a POP service, you don't need to set up a user account for each user accessing it. It's best to set up directory-based authentication through an external service (like Radius, LDAP or an SQL database). Just install the appropriate PAM library (<package>libpam-radius-auth</package>, <package>libpam-ldap</package>, <package>libpam-pgsql</package> or <package>libpam-mysql</package>), read the documentation (for starters, see <ref id=\"auth-pam\">) and configure the PAM-enabled service to use the back end you have chosen. This is done by editing the files under <file>/etc/pam.d/</file> for your service and modifying the"
msgstr "Wenn Sie zum Beispiel einen POP-Dienst anbieten wollen, müssen Sie nicht für jeden zugreifenden Benutzer ein Konto anlegen. Am besten setzen Sie hierzu eine Authentifizierung, die auf Verzeichnisses basiert, durch einen externen Dienst (wie Radius, LDAP oder eine SQL-Datenbank) ein. Installieren Sie einfach die gewünschte PAM-Bibliothek (<package>libpam-radius-auth</package>, <package>libpam-ldap</package>, <package>libpam-pgsql</package> oder <package>libpam-mysql</package>), lesen Sie die Dokumentation (Einsteiger sehen bitte unter <ref id=\"auth-pam\"> nach) und konfigurieren Sie den PAM-nutzenden Dienst, so dass er Ihren Backend benutzt. Bearbeiten Sie dazu die dem Dienst entsprechenden Dateien unter <file>/etc/pam.d/</file> und ändern die folgenden Zeile von:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:746
#, no-wrap
msgid " auth required pam_unix_auth.so shadow nullok use_first_pass"
msgstr " auth required pam_unix_auth.so shadow nullok use_first_pass"
#. type: </example><example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:748
msgid "to, for example, ldap:"
msgstr "beispielsweise für ldap zu:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:750
#, no-wrap
msgid " auth required pam_ldap.so"
msgstr " auth required pam_ldap.so"
#. type: <p><example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:761
msgid "In the case of LDAP directories, some services provide LDAP schemas to be included in your directory that are required in order to use LDAP authentication. If you are using a relational database, a useful trick is to use the <em>where</em> clause when configuring the PAM modules. For example, if you have a database with the following table attributes:"
msgstr "Im Fall von LDAP-Verzeichnissen liefern manche Dienste LDAP-Schemata mit, die Sie Ihrem Verzeichnis hinzufügen können, um eine LDAP-Authentifizierung zu benutzen. Wenn Sie relationale Datenbanken benutzen, gibt es einen nützlichen Trick: Benutzen Sie die Klausel <em>where</em>, wenn Sie die PAM-Module konfigurieren. Wenn Sie beispielsweise eine Datenbank mit der folgenden Tabelle haben:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:763
#, no-wrap
msgid " (user_id, user_name, realname, shell, password, UID, GID, homedir, sys, pop, imap, ftp)"
msgstr " (user_id, user_name, realname, shell, password, UID, GID, homedir, sys, pop, imap, ftp)"
#. type: <p><list>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:769
msgid "By making the services attributes boolean fields, you can use them to enable or disable access to the different services just by inserting the appropriate lines in the following files:"
msgstr "Wenn Sie die Attribute der Dienste zu Boolean-Feldern machen, können Sie sie verwenden, um den Zugang zu den verschiedenen Diensten zu erlauben oder zu verbieten. Sie müssen dazu nur die geeigneten Zeilen in folgende Dateien einfügen:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:773
msgid "<file>/etc/pam.d/imap</file>:<tt>where=imap=1</tt>."
msgstr "<file>/etc/pam.d/imap</file>:<tt>where=imap=1</tt>."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:775
msgid "<file>/etc/pam.d/qpopper</file>:<tt>where=pop=1</tt>."
msgstr "<file>/etc/pam.d/qpopper</file>:<tt>where=pop=1</tt>."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:778
msgid "<file>/etc/nss-mysql*.conf</file>:<tt>users.where_clause = user.sys = 1;</tt>."
msgstr "<file>/etc/nss-mysql*.conf</file>:<tt>users.where_clause = user.sys = 1;</tt>."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:780
msgid "<file>/etc/proftpd.conf</file>:<tt> SQLWhereClause \"ftp=1\"</tt>."
msgstr "<file>/etc/proftpd.conf</file>:<tt> SQLWhereClause \"ftp=1\"</tt>."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:784
msgid "My system is vulnerable! (Are you sure?)"
msgstr ">Mein System ist angreifbar! (Sind Sie sich sicher?)"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:787
msgid "Vulnerability assessment scanner X says my Debian system is vulnerable!"
msgstr "Der Scanner X zur Einschätzung der Verwundbarkeit sagt, dass mein Debian-System verwundbar wäre?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:795
msgid "Many vulnerability assessment scanners give false positives when used on Debian systems, since they only use version checks to determine if a given software package is vulnerable, but do not really test the security vulnerability itself. Since Debian does not change software versions when fixing a package (many times the fix made for newer releases is back ported), some tools tend to think that an updated Debian system is vulnerable when it is not."
msgstr "Viele Scanner zur Einschätzung der Verwundbarkeit liefern falsche Positivmeldungen, wenn sie auf Debian-Systemen eingesetzt werden. Das liegt daran, dass sie nur die Version eines Softwarepakets überprüfen, um herauszufinden, ob es verwundbar ist. Sie prüfen nicht, ob tatsächlich eine Sicherheitslücke vorhanden ist. Da Debian nicht die Version einer Software ändert, wenn ein Paket repariert wird (häufig werden Ausbesserungen an neueren Veröffentlichungen zurückportiert), neigen einige Werkzeuge dazu zu denken, dass ein aktualisiertes Debian-System verwundbar ist, auch wenn das nicht der Fall ist."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:800
msgid "If you think your system is up to date with security patches, you might want to use the cross references to security vulnerability databases published with the DSAs (see <ref id=\"dsa\">) to weed out false positives, if the tool you are using includes CVE references."
msgstr "Wenn Sie denken, dass Ihr System auf dem aktuellen Stand der Sicherheitsaktualisierungen ist, sollten Sie die Querverweise zu den Datenbanken mit Sicherheitslücken, in denen die DSAs veröffentlicht sind (vergleichen Sie dazu <ref id=\"dsa\">), verwenden, um falsche Positive auszusondern, wenn das Programm, das Sie verwenden, CVE-Referenzen enthält."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:803
msgid "I've seen an attack in my system's logs. Is my system compromised?"
msgstr "Ich habe in meinen Protokolldateien einen Angriff gesehen: Ist mein System kompromittiert?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:810
msgid "A trace of an attack does not always mean that your system has been compromised, and you should take the usual steps to determine if the system is indeed compromised (see <ref id=\"after-compromise\">). Even if your system was not vulnerable to the attack that was logged, a determined attacker might have used some other vulnerability besides the ones you have detected."
msgstr "Ein Hinweis auf einen Angriff heißt nicht notwendigerweise, dass Ihr System gehackt wurde. Leiten Sie die üblichen Schritte ein, um festzustellen, ob das System kompromittiert wurde (siehe <ref id=\"after-compromise\">). Selbst wenn Ihr System hinsichtlich des protokollierten Angriffs nicht verwundbar ist, könnte ein entschlossener Angreifer neben der von Ihnen entdeckten Sicherheitslücke auch eine andere ausgenutzt haben."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:812
msgid "I have found strange 'MARK' lines in my logs: Am I compromised?"
msgstr "Ich habe in meinen Protokollen merkwürdige »MARK«-Einträge gefunden. Wurde ich gehackt?"
#. type: <p><example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:814
msgid "You might find the following lines in your system logs:"
msgstr "Sie können die folgenden Zeilen in Ihren Systemprotokollen finden:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:818
#, no-wrap
msgid ""
" Dec 30 07:33:36 debian -- MARK --\n"
" Dec 30 07:53:36 debian -- MARK --\n"
" Dec 30 08:13:36 debian -- MARK --"
msgstr ""
" Dec 30 07:33:36 debian -- MARK --\n"
" Dec 30 07:53:36 debian -- MARK --\n"
" Dec 30 08:13:36 debian -- MARK --"
#. type: <p><example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:827
msgid "This does not indicate any kind of compromise, and users changing between Debian releases might find it strange. If your system does not have high loads (or many active services), these lines might appear throughout your logs. This is an indication that your <prgn>syslogd</prgn> daemon is running properly. From <manref name=\"syslogd\" section=\"8\">:"
msgstr "Dies stellt keinen Hinweis auf eine Kompromittierung dar, obwohl Benutzer, die von einer Debian-Release wechseln, es vielleicht merkwürdig finden. Wenn Ihr System keine große Last (oder nicht viele aktive Dienste) hat, können diese Zeilen in alle Protokollen auftauchen. Dies ist ein Hinweis, dass Ihr <prgn>syslogd</prgn>-Daemon richtig läuft. Aus <manref section=\"8\" name=\"syslogd\">:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:833
#, no-wrap
msgid ""
" -m interval\n"
" The syslogd logs a mark timestamp regularly. The\n"
" default interval between two -- MARK -- lines is 20\n"
" minutes. This can be changed with this option.\n"
" Setting the interval to zero turns it off entirely."
msgstr ""
" -m interval\n"
" Der Syslogd protokolliert regelmäßig einen\n"
" Zeitstempel. Der voreingestellte Abstand zwischen zwei\n"
" – MARK – Zeilen ist 20 Minuten. Er kann mit dieser Option\n"
" geändert werden. Setzen Sie den Abstand auf Null, um\n"
" die Zeitstempel komplett abzuschalten."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:837
msgid "I found users using 'su' in my logs: Am I compromised?"
msgstr "Ich habe Benutzer gefunden, die laut meinen Protokolldateien »su« benutzen: Bin ich kompromittiert?"
#. type: <p><example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:838
msgid "You might find lines in your logs like:"
msgstr "Sie könnten in Ihren Protokolldateien Zeilen wie die folgenden finden:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:841
#, no-wrap
msgid ""
" Apr 1 09:25:01 server su[30315]: + ??? root-nobody\n"
" Apr 1 09:25:01 server PAM_unix[30315]: (su) session opened for user nobody by (UID=0)"
msgstr ""
" Apr 1 09:25:01 server su[30315]: + ??? root-nobody\n"
" Apr 1 09:25:01 server PAM_unix[30315]: (su) session opened for user nobody by (UID=0)"
#. type: <p><example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:847
msgid "Don't worry too much. Check to see if these entries are due to <prgn>cron</prgn> jobs (usually <file>/etc/cron.daily/find</file> or <prgn>logrotate</prgn>):"
msgstr "Seien Sie nicht zu besorgt. Prüfen Sie, ob dies durch einen <prgn>Cron</prgn>-Job hervorgerufen wird (normalerweise <file>/etc/cron.daily/find</file> oder <prgn>logrotate</prgn>):"
#. type: <example></example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:853
#, no-wrap
msgid ""
" $ grep 25 /etc/crontab\n"
" 25 9 * * * root test -e /usr/sbin/anacron || run-parts --report\n"
" /etc/cron.daily\n"
" $ grep nobody /etc/cron.daily/*\n"
" find:cd / && updatedb --localuser=nobody 2>/dev/null"
msgstr ""
" $ grep 25 /etc/crontab\n"
" 25 9 * * * root test -e /usr/sbin/anacron || run-parts --report\n"
" /etc/cron.daily\n"
" $ grep nobody /etc/cron.daily/*\n"
" find:cd / && updatedb --localuser=nobody 2>/dev/null"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:858
msgid "I have found 'possible SYN flooding' in my logs: Am I under attack?"
msgstr "Ich habe »possible SYN flooding« in meinen Protokollen entdeckt: Werde ich angegriffen?"
#. type: <p><example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:860
msgid "If you see entries like these in your logs:"
msgstr "Sie sehen Einträge wie diese in Ihren Protokollen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:865
#, no-wrap
msgid ""
" May 1 12:35:25 linux kernel: possible SYN flooding on port X. Sending cookies.\n"
" May 1 12:36:25 linux kernel: possible SYN flooding on port X. Sending cookies.\n"
" May 1 12:37:25 linux kernel: possible SYN flooding on port X. Sending cookies.\n"
" May 1 13:43:11 linux kernel: possible SYN flooding on port X. Sending cookies."
msgstr ""
" May 1 12:35:25 linux kernel: possible SYN flooding on port X. Sending cookies.\n"
" May 1 12:36:25 linux kernel: possible SYN flooding on port X. Sending cookies.\n"
" May 1 12:37:25 linux kernel: possible SYN flooding on port X. Sending cookies.\n"
" May 1 13:43:11 linux kernel: possible SYN flooding on port X. Sending cookies."
#. type: <p><example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:870
msgid "Check if there is a high number of connections to the server using <prgn>netstat</prgn>, for example:"
msgstr "Überprüfen Sie mit <prgn>netstat</prgn>, ob es eine große Anzahl von Verbindungen zum Server gibt. Zum Beispiel:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:873
#, no-wrap
msgid ""
" linux:~# netstat -ant | grep SYN_RECV | wc -l\n"
" 9000"
msgstr ""
" linux:~# netstat -ant | grep SYN_RECV | wc -l\n"
" 9000"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:884
msgid "This is an indication of a denial of service (DoS) attack against your system's X port (most likely against a public service such as a web server or mail server). You should activate TCP syncookies in your kernel, see <ref id=\"tcp-syncookies\">. Note, however, that a DoS attack might flood your network even if you can stop it from crashing your systems (due to file descriptors being depleted, the system might become unresponsive until the TCP connections timeout). The only effective way to stop this attack is to contact your network provider."
msgstr "Dies ist ein Anzeichen, dass ein Denial-of-Service-Angriff (DoS) auf den Port X Ihres Systems (am wahrscheinlichsten gegen einen öffentlichen Dienst wie Ihren Web- oder Mailserver). Sie sollten TCP-Syncookies in Ihrem Kernel einschalten, siehe <ref id=\"tcp-syncookies\">. Beachten Sie, dass ein DoS-Angriff Ihr Netzwerk überfluten kann, auch wenn Sie verhindern können, dass er Ihr System zum Absturz bringt. <footnote> Da keine Datei-Deskriptoren mehr vorhanden sind, könnte das System nicht mehr antworten, bis das Zeitlimit der TCP-Verbindungen überschritten wurde. </footnote> Der einzige effektive Weg, diesen Angriff abzuwehren, ist, mit Ihrem Netzprovider in Verbindung zu treten."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:887
msgid "I have found strange root sessions in my logs: Am I compromised?"
msgstr "Ich habe seltsame Root-Sessions in meinen Protokollen entdeckt: Wurde ich gehackt?"
#. type: <p><example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:890
msgid "You might see these kind of entries in your <file>/var/log/auth.log</file> file:"
msgstr "Sie sehen folgende Art von Einträgen in der Datei <file>/var/log/auth.log</file>:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:896
#, no-wrap
msgid ""
" May 2 11:55:02 linux PAM_unix[1477]: (cron) session closed for user root\n"
" May 2 11:55:02 linux PAM_unix[1476]: (cron) session closed for user root\n"
" May 2 12:00:01 linux PAM_unix[1536]: (cron) session opened for user root by\n"
" (UID=0)\n"
" May 2 12:00:02 linux PAM_unix[1536]: (cron) session closed for user root"
msgstr ""
" May 2 11:55:02 linux PAM_unix[1477]: (cron) session closed for user root\n"
" May 2 11:55:02 linux PAM_unix[1476]: (cron) session closed for user root\n"
" May 2 12:00:01 linux PAM_unix[1536]: (cron) session opened for user root by\n"
" (UID=0)\n"
" May 2 12:00:02 linux PAM_unix[1536]: (cron) session closed for user root"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:905
msgid "These are due to a <prgn>cron</prgn> job being executed (in this example, every five minutes). To determine which program is responsible for these jobs, check entries under: <file>/etc/crontab</file>, <file>/etc/cron.d</file>, <file>/etc/crond.daily</file> and root's <file>crontab</file> under <file>/var/spool/cron/crontabs</file>."
msgstr "Sie kommen von einem ausgeführten <prgn>Cron</prgn>-Job (in unserem Beispiel alle fünf Minuten). Um herauszufinden, welches Programm für diese Jobs verantwortlich ist, überprüfen Sie die Einträge in <file>/etc/crontab</file>, <file>/etc/cron.d</file>, <file>/etc/crond.daily</file> und Roots <file>crontab</file> in <file>/var/spool/cron/crontabs</file>."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:907
msgid "I have suffered a break-in, what do I do?"
msgstr "Ich bin Opfer eines Einbruchs, was soll ich jetzt tun?"
#. type: <p><list>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:910
msgid "There are several steps you might want to take in case of a break-in:"
msgstr "Es gibt mehrere Schritte, die Sie bei einem Einbruch durchführen sollten:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:921
msgid "Check if your system is up to date with security patches for published vulnerabilities. If your system is vulnerable, the chances that the system is in fact compromised are increased. The chances increase further if the vulnerability has been known for a while, since there is usually more activity related to older vulnerabilities. Here is a link to <url id=\"http://www.sans.org/top20/\"; name=\"SANS Top 20 Security Vulnerabilities\">."
msgstr "Prüfen Sie, ob Ihr System auf dem aktuellen Stand der Sicherheitsaktualisierungen für veröffentlichte Verwundbarkeiten ist. Wenn Ihr System verwundbar ist, erhöht dies die Möglichkeit, dass Ihr System tatsächlich gehackt wurde. Die Wahrscheinlichkeit steigt weiter an, wenn die Sicherheitslücke schon eine Zeit lang bekannt ist, da üblicherweise mehr Angriffsversuche in Bezug auf ältere Verwundbarkeiten bestehen. Hier ist ein Link zu <url id=\"http://www.sans.org/top20/\"; name=\"SANS Top 20 Security Vulnerabilities\">."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:924
msgid "Read this document, especially the <ref id=\"after-compromise\"> section."
msgstr "Lesen Sie dieses Dokument, insbesondere den Abschnitt <ref id=\"after-compromise\">."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:927
msgid "Ask for assistance. You might use the debian-security mailing list and ask for advice on how to recover/patch your system."
msgstr "Fragen Sie nach Hilfe. Sie können die Mailingliste debian-security benutzen und um Rat fragen, wie Sie Ihr System wiederherstellen oder patchen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:934
msgid "Notify your local <url id=\"http://www.cert.org\"; name=\"CERT\"> (if it exists, otherwise you may want to consider contacting CERT directly). This might or might not help you, but, at the very least, it will inform CERT of ongoing attacks. This information is very valuable in determining which tools and attacks are being used by the <em>blackhat</em> community."
msgstr "Benachrichtigen Sie Ihren lokalen <url id=\"http://www.cert.org\"; name=\"CERT\"> (wenn einer existiert, ansonsten sollten Sie sich vielleicht direkt mit CERT in Verbindung setzen). Das könnte Ihnen helfen (vielleicht aber auch nicht), aber wenigstens wird CERT über laufende Angriffe informiert. Diese Informationen sind sehr wertvoll, um herauszufinden, welche Werkzeuge und Angriffsarten von der <em>Blackhat</em>-Community verwendet werden."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:938
msgid "How can I trace an attack?"
msgstr "Wie verfolge ich einen Angriff zurück?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:947
msgid "By watching the logs (if they have not been tampered with), using intrusion detection systems (see <ref id=\"intrusion-detect\">), <prgn>traceroute</prgn>, <prgn>whois</prgn> and similar tools (including forensic analysis), you may be able to trace an attack to the source. The way you should react to this information depends solely on your security policy, and what <em>you</em> consider is an attack. Is a remote scan an attack? Is a vulnerability probe an attack?"
msgstr "Sie können einen Angriff zu seinem Ursprung zurückverfolgen, indem Sie die Protokolle (wenn sie nicht geändert wurden) mit Hilfe eines Systems zur Eindringlingserkennung (siehe <ref id=\"intrusion-detect\">), <prgn>traceroute</prgn>, <prgn>whois</prgn> oder ähnlicher Werkzeuge (einschließlich forensischer Analyse) durchsehen. Wie Sie auf diese Informationen reagieren und was <em>Sie</em> als Angriff betrachten, hängt ausschließlich von Ihren Sicherheitsrichtlinien ab. Ist ein einfacher Scan ein Angriff? Ist die Prüfung auf eine Verwundbarkeit ein Angriff?"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:949
msgid "Program X in Debian is vulnerable, what do I do?"
msgstr "Das Programm X in Debian ist angreifbar – was soll ich tun?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:955
msgid "First, take a moment to see if the vulnerability has been announced in public security mailing lists (like Bugtraq) or other forums. The Debian Security Team keeps up to date with these lists, so they may also be aware of the problem. Do not take any further actions if you see an announcement at <url id=\"http://security.debian.org\";>."
msgstr "Nehmen Sie sich zuerst einen Augenblick Zeit, um zu schauen, ob die Sicherheitslücke in öffentlichen Sicherheitsmailinglisten (wie Bugtraq) oder anderen Foren bekannt gemacht wurde. Das Sicherheitsteam von Debian ist hinsichtlich dieser Listen auf dem Laufenden, daher sollte ihm dieses Problem bereits bekannt sein. Leiten Sie keine weiteren Maßnahmen ein, wenn Sie schon eine Bekanntmachung auf <url id=\"http://security.debian.org\";> sehen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:961
msgid "If no information seems to be published, please send e-mail about the affected package(s), as well as a detailed description of the vulnerability (proof of concept code is also OK), to <url id=\"mailto:team@security.debian.org\"; name=\"team@security.debian.org\">. This will get you in touch with Debian's security team."
msgstr "Wenn anscheinend keine Informationen veröffentlicht wurden, schicken Sie bitte eine E-Mail zu den betroffenen Paketen mit einer detaillierten Beschreibung der Verwundbarkeit (Code, der dies bestätigt, ist auch in Ordnung) an <url id=\"mailto:team@security.debian.org\"; name=\"team@security.debian.org\">. Dort erreichen Sie das Sicherheitsteam von Debian."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:964
#: en/faq.sgml:1089
msgid "The version number for a package indicates that I am still running a vulnerable version!"
msgstr "Laut der Versionsnummer eines Paketes läuft bei mir immer noch eine angreifbare Version!"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:974
msgid "Instead of upgrading to a new release, Debian backports security fixes to the version that was shipped in the stable release. The reason for this is to make sure that the stable release changes as little as possible, so that things will not change or break unexpectedly as a result of a security fix. You can check if you are running a secure version of a package by looking at the package changelog, or comparing its exact (upstream version -slash- debian release) version number with the version indicated in the Debian Security Advisory."
msgstr "Statt auf eine neue Veröffentlichung zu aktualisieren, portiert Debian sicherheitsrelevante Korrekturen zu der Version zurück, die in der Stable-Veröffentlichung enthalten ist. Der Grund dafür ist, dass sicher gegangen werden soll, dass die Stable-Veröffentlichung so wenig wie möglich verändert wird. Damit wird verhindert, dass sich Dinge als Folge einer Sicherheitskorrektur unerwartet ändern oder kaputt gehen. Ob Sie eine sichere Version eines Paketes benutzen, stellen Sie fest, indem Sie das Changelog des Paketes durchsehen oder indem Sie die exakte Versionsnummer (ursprüngliche Version -slash- Debian-Release) mit der Nummer aus der Debian-Sicherheits-Ankündigung (DSA) vergleichen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:976
msgid "Specific software"
msgstr "Bestimmte Software"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:979
msgid "<package>proftpd</package> is vulnerable to a Denial of Service attack."
msgstr "<package>Proftpd</package> ist für einen Denial-of-Service-Angriff anfällig."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:982
msgid "Add <tt>DenyFilter \\*.*/</tt> to your configuration file, and for more information see <url id=\"http://www.proftpd.org/bugs.html\";>."
msgstr "Fügen Sie Ihrer Konfigurationsdatei <tt>DenyFilter \\*.*/</tt>hinzu. Mehr Informationen entnehmen Sie <url id=\"http://www.proftpd.org/bugs.html\";>."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:985
msgid "After installing <package>portsentry</package>, there are a lot of ports open."
msgstr "Nach der Installation von <package>portsentry</package> sind viele Ports offen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:988
msgid "That's just the way <prgn>portsentry</prgn> works. It opens about twenty unused ports to try to detect port scans."
msgstr "Dies ist nur die Art und Weise, wie <prgn>portsentry</prgn> arbeitet. Es öffnet etwas zwanzig ungenutzte Ports und versucht so, Port-Scans zu entdecken."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:990
msgid "Questions regarding the Debian security team"
msgstr "Fragen zu Debians Sicherheitsteam"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:998
msgid "This information is derived from the <url id=\"http://www.debian.org/security/faq\"; name=\"Debian Security FAQ\">. It includes the information as of January, 2006, and provides answers for some other common questions asked in the debian-security mailing list."
msgstr "Diese Informationen stammen aus dem <url id=\"http://www.de.debian.org/security/faq\"; name=\"Debian Sicherheits-FAQ\">. Es umfasst Informationen bis zum Januar 2006 und beantwortet auch andere häufige Fragen aus der Mailingliste debian-security."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1000
msgid "What is a Debian Security Advisory (DSA)?"
msgstr "Was ist eine Debian-Sicherheits-Ankündigung (Debian Security Advisory, DSA)?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1007
msgid "It is information sent by the Debian Security Team (see below) regarding the discovery and fix for a security related vulnerability in a package available in Debian GNU/Linux. Signed DSAs are sent to public mailing lists (debian-security-announce) and posted on Debian's web site (both in the front page and in the <url id=\"http://www.debian.org/security/\"; name=\"security area\">)."
msgstr "Das Debian-Sicherheitsteam (siehe unten) weist darin auf die Entdeckung und Korrektur von sicherheitsrelevanten Verwundbarkeiten in einem Paket von Debian GNU/Linux hin. Digital unterschriebene DSAs werden an öffentliche Mailinglisten gesendet und auf der Webseite von Debian veröffentlicht (sowohl auf der Hauptseite als auch unter <url id=\"http://www.debian.org/security/\"; name=\"Sicherheits-Informationen\">)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1013
msgid "DSAs include information on the affected package(s), the security flaw that was discovered and where to retrieve the updated packages (and their MD5 sums)."
msgstr "DSAs enthalten Informationen über die beeinträchtigten Pakete, den entdeckten Sicherheitsmangel und wo man die aktualisierten Pakete bekommt (und ihre MD5-Summen)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1015
msgid "The signature on Debian advisories does not verify correctly!"
msgstr "Die digitale Signatur eines Debian-Ankündigung wird nicht korrekt verifiziert!"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1021
msgid "This is most likely a problem on your end. The <url id=\"http://www.debian.org/security/faq\"; name=\"debian-security-announce\"> list has a filter that only allows messages with a correct signature from one of the security team members to be posted."
msgstr "Dies ist wahrscheinlich ein Problem auf Ihrer Seite. Die Liste <url id=\"http://www.de.debian.org/security/faq\"; name=\"debian-security-announce\"> besitzt einen Filter, der es nur erlaubt, Nachrichten mit einer korrekten Signatur eines Mitglieds des Sicherheitsteams zu versenden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1026
msgid "Most likely some piece of mail software on your end slightly changes the message, thus breaking the signature. Make sure your software does not do any MIME encoding or decoding, or tab/space conversions."
msgstr "Die häufigste Ursache dafür ist zumeist ein Mail-Programm auf Ihrer Seite, das die Nachricht leicht verändert und dadurch die Signatur ungültig macht. Stellen Sie sicher, dass Ihre Software keine MIME-Entschlüsselung oder -Verschlüsselung durchführt und auch keine Tabulator/Leerzeichen-Konvertierungen vornimmt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1029
msgid "Known culprits fetchmail (with the mimedecode option enabled), formail (from procmail 3.14 only) and evolution."
msgstr "Bekannte Übeltäter sind fetchmail (mit der Option mimedecode), formail (nur von procmail 3.14) und evolution."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1031
msgid "How is security handled in Debian?"
msgstr "Wie wird die Sicherheit in Debian gehandhabt?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1040
msgid "Once the Security Team receives a notification of an incident, one or more members review it and consider its impact on the stable release of Debian (i.e. if it's vulnerable or not). If our system is vulnerable, we work on a fix for the problem. The package maintainer is contacted as well, if he didn't contact the Security Team already. Finally, the fix is tested and new packages are prepared, which then are compiled on all stable architectures and uploaded afterwards. After all of that is done, an advisory is published."
msgstr "Sobald das Sicherheitsteam auf einen Vorfall aufmerksam wird, überprüfen ihn ein oder mehrere Mitglieder und bewerten seinen Einfluss auf die Stable-Veröffentlichung von Debian (z.B. ob es verwundbar ist oder nicht). Wenn unser System verwundbar ist, arbeiten wir an einer Problembehebung. Der Paketbetreuer wird ebenfalls kontaktiert, wenn dieser nicht bereits selbst das Sicherheits-Team kontaktiert hat. Schlussendlich wird die Behebung des Problems getestet und neue Pakete werden vorbereitet, die dann auf allen Stable-Architekturen übersetzt und anschließend hochgeladen werden. Nachdem das alles geschehen ist, wird eine Ankündigung veröffentlicht."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1042
msgid "Why are you fiddling with an old version of that package?"
msgstr "Wieso spielen Sie mit einer alten Version des Pakets herum?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1050
msgid "The most important guideline when making a new package that fixes a security problem is to make as few changes as possible. Our users and developers are relying on the exact behavior of a release once it is made, so any change we make can possibly break someone's system. This is especially true in case of libraries: make sure you never change the Application Program Interface (API) or Application Binary Interface (ABI), no matter how small the change is."
msgstr "Die wichtigste Regel beim Erstellen eines neuen Pakets, das ein Sicherheitsproblem behebt, ist, so wenig Änderungen wie möglich vorzunehmen. Unsere Benutzer und Entwickler vertrauen auf das genaue Verhalten einer Veröffentlichung nach dessen Freigabe. Daher kann jede Änderung, die wir durchführen, möglicherweise das System von jemandem zerstören. Dies gilt insbesondere für Bibliotheken: Es muss darauf geachtet werden, dass sich das Anwendungs-Programm-Interface (API) oder Anwendungs-Binär-Interface (ABI) niemals ändert, egal wie klein die Änderung ist."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1055
msgid "This means that moving to a new upstream version is not a good solution, instead the relevant changes should be backported. Generally upstream maintainers are willing to help if needed, if not the Debian security team might be able to help."
msgstr "Dies bedeutet, dass das Umsteigen auf eine neue Version der Originalprogramms keine gute Lösung ist und stattdessen die relevanten Änderungen zurückportiert werden sollten. Üblicherweise sind die Betreuer des Originalprogramms, wenn notwendig, bereit zu helfen, falls das Debian-Sicherheitsteam nicht helfen kann."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1060
msgid "In some cases it is not possible to backport a security fix, for example when large amounts of source code need to be modified or rewritten. If that happens it might be necessary to move to a new upstream version, but this has to be coordinated with the security team beforehand."
msgstr "In einigen Fällen ist es nicht möglich, eine Sicherheitsreparatur zurückzuportieren, zum Beispiel, wenn ein großer Teil des Quellcodes modifiziert oder neu geschrieben werden muss. Wenn dies passiert, kann es notwendig sein, auf eine neue Version des Originalprogramms umzusteigen, aber dies muss zuvor mit dem Sicherheits-Team koordiniert werden."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1062
msgid "What is the policy for a fixed package to appear in security.debian.org?"
msgstr "Was sind die Richtlinien für ein repariertes Paket, um auf security.debian.org zu erscheinen?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1070
msgid "Security breakage in the stable distribution warrants a package on security.debian.org. Anything else does not. The size of a breakage is not the real problem here. Usually the security team will prepare packages together with the package maintainer. Provided someone (trusted) tracks the problem and gets all the needed packages compiled and submit them to the security team, even very trivial security problem fixes will make it to security.debian.org. Please see below."
msgstr "Sicherheitslücken in der Stable-Distribution garantieren, dass ein Paket zu security.debian.org hinzugefügt wird. Alles andere tut das nicht. Die Größe der Lücke ist hier nicht das wirkliche Problem. Üblicherweise bereitet das Sicherheitsteam die Pakete gemeinsam mit dem Paketbetreuer vor. Sofern jemand (ein Vertrauenswürdiger) das Problem analysiert, alle benötigten Pakete übersetzt und diese an das Sicherheitsteam übermittelt, dann können auch sehr kleine Sicherheitsreparaturen auf security.debian.org erscheinen. Lesen Sie dazu bitte auch unten weiter."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1074
msgid "Security updates serve one purpose: to supply a fix for a security vulnerability. They are not a method for sneaking additional changes into the stable release without going through normal point release procedure."
msgstr "Sicherheitsaktualisierungen dienen einem Zweck: Eine Behebung für eine Sicherheitsverwundbarkeit zu bieten. Sie sind keine Methode, um zusätzliche Änderungen in das Stable-Release einzubringen, ohne diese die normale Point-Release-Prozedur durchmachen zu lassen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1076
msgid "What does \"local (remote)\" mean?"
msgstr "Was bedeutet »lokal (aus der Ferne)« [local (remote)]?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1083
msgid "Some advisories cover vulnerabilities that cannot be identified with the classic scheme of local and remote exploitability. Some vulnerabilities cannot be exploited from remote, i.e. don't correspond to a daemon listening to a network port. If they can be exploited by special files that could be provided via the network while the vulnerable service is not permanently connected with the network, we write \"local (remote)\" in such cases."
msgstr "Einige Ankündigungen decken Verwundbarkeiten ab, die nicht mit dem klassischen Schema von lokalen und Verwundbarkeiten aus der Ferne identifiziert werden können. Einige Verwundbarkeiten können nicht aus der Ferne ausgenutzt werden, d.h. sie arbeiten nicht mit einem Daemon, der auf einer Netzschnittstelle horcht. Falls sie durch spezielle Dateien ausgenutzt werden können, die über das Netz bereit gestellt werden, während der verwundbare Dienst nicht permanent mit dem Netz verbunden ist, schreiben wir in diesen Fällen »lokal (aus der Ferne)«."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1087
msgid "Such vulnerabilities are somewhat between local and remote vulnerabilities and often cover archives that could be provided through the network, e.g. as mail attachment or from a download page."
msgstr "Diese Verwundbarkeiten liegen irgendwo zwischen lokalen und solchen aus der Ferne und decken oft Archive ab, die über das Netz bereitgestellt werden könnten, z.B. E-Mail-Anhänge oder von einer Download-Seite."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1091
msgid "See <ref id=\"version-backport\">."
msgstr "Siehe Sie sich dazu <ref id=\"version-backport\"> an."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1093
msgid "How is security handled for <tt>testing</tt> and <tt>unstable</tt>?"
msgstr "Wie wird die Sicherheit für Testing und Unstable gehandhabt?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1103
msgid "The short answer is: it's not. Testing and unstable are rapidly moving targets and the security team does not have the resources needed to properly support those. If you want to have a secure (and stable) server you are strongly encouraged to stay with stable. However, work is in progress to change this, with the formation of a <url id=\"http://secure-testing-master.debian.net/\"; name=\"testing security team\"> which has begun work to offer security support for testing, and to some extent, for unstable. For more information see <ref id=\"security-support-testing\">"
msgstr "Die kurze Antwort ist: gar nicht. Testing und Unstable sind starken Änderungen unterworfen und das Sicherheitsteam hat nicht die Mittel, die benötigt würden, um diese entsprechend zu unterstützen. Wenn Sie einen sicheren (und stabilen) Server benötigen, wird Ihnen dringend empfohlen, bei Stable zu bleiben. Jedoch wird daran gearbeitet, dies zu ändern: Das <url id=\"http://secure-testing-master.debian.net/\"; name=\"Testing-Security-Team\"> wurde gegründet, das Unterstützung der Sicherheit für Testing, teilweise auch für Unstable, anbietet. Weitere Informationen können Sie unter <ref id=\"security-support-testing\"> finden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1108
msgid "In some cases, however, the unstable branch usually gets security fixes quite quickly, because those fixes are usually available upstream faster (other versions, like those in the stable branch, usually need to be back ported)."
msgstr "In einigen Fällen bekommt allerdings der Unstable-Zweig Sicherheitsreparaturen ziemlich schnell, da diese Reparaturen im Originalprogramm schneller verfügbar sind (dagegen müssen andere Versionen, wie die im Stable-Zweig, normalerweise zurückportiert werden)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1114
msgid "You can review public vulnerabilities affecting the <tt>testing</tt> and <tt>unstable</tt> release at the <url id=\"http://security-tracker.debian.net/tracker/\"; name=\"Security Bug Tracker\">."
msgstr "Sie können veröffentlichte Verwundbarkeiten für <tt>Testing</tt> und <tt>Unstable</tt> im <url id=\"http://security-tracker.debian.net/tracker/\"; name=\"Security-Bug-Tracker\"> einsehen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1116
msgid "I use an older version of Debian, is it supported by the Debian Security Team?"
msgstr "Ich verwende eine ältere Version von Debian. Wird sie vom Debian-Sicherheitsteam unterstützt?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1122
msgid "No. Unfortunately, the Debian Security Team cannot handle both the stable release (unofficially, also the unstable) and other older releases. However, you can expect security updates for a limited period of time (usually several months) immediately following the release of a new Debian distribution."
msgstr "Nein. Unglücklicherweise kann das Sicherheitsteam von Debian nicht sowohl die Stable-Veröffentlichung (und inoffiziell auch Unstable) als auch andere, ältere Veröffentlichungen handhaben. Sie können allerdings Sicherheitsaktualisierungen für eine bestimmte Zeitspanne (normalerweise einige Monate) nach der Veröffentlichung einer neuen Debian-Distribution erwarten."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1124
msgid "How does <em>testing</em> get security updates?"
msgstr "Wie bekommt Testing Sicherheitsaktualisierungen?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1130
msgid "Security updates will migrate into the testing distribution via unstable. They are usually uploaded with their priority set to high, which will reduce the quarantine time to two days. After this period, the packages will migrate into testing automatically, given that they are built for all architectures and their dependencies are fulfilled in testing."
msgstr "Sicherheitsaktualisierungen gelangen über Unstable in die Testing-Distribution. Normalerweise werden sie mit einer hohen Priorität hochgeladen, wodurch sich die Quarantäne auf zwei Tage reduziert. Nach dieser Zeit gelangen die Pakete automatisch nach Testing, wenn sie für alle Architekturen gebaut worden sind und ihre Abhängigkeiten in Testing erfüllt werden können."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1134
msgid "The <url id=\"http://secure-testing-master.debian.net/\"; name=\"testing security team\"> also makes security fixes available in their repository when the normal migration process is not fast enough."
msgstr "Das <url id=\"http://secure-testing-master.debian.net/\"; name=\"Testing-Sicherheitsteam\"> stellt ebenfalls Sicherheitsaktualisierungen in seinem Depot zur Verfügung, wenn der normale Migrationsprozess nicht schnell genug ist."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1136
msgid "How is security handled for contrib and non-free?"
msgstr "Wie wird die Sicherheit für contrib und non-free gehandhabt?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1144
msgid "The short answer is: it's not. Contrib and non-free aren't official parts of the Debian Distribution and are not released, and thus not supported by the security team. Some non-free packages are distributed without source or without a license allowing the distribution of modified versions. In those cases no security fixes can be made at all. If it is possible to fix the problem, and the package maintainer or someone else provides correct updated packages, then the security team will generally process them and release an advisory."
msgstr "Die kurze Antwort ist: gar nicht. Contrib und non-free sind nicht offizieller Bestandteil der Debian-Distribution und werden nicht freigegeben und daher nicht vom Sicherheits-Team unterstützt. Einige non-free Pakete werden ohne Quellcode oder ohne eine Lizenz vertrieben, welche die Verteilung von geänderten Versionen erlaubt. In diesen Fällen ist es überhaupt nicht möglich, Sicherheitsreparaturen durchzuführen. Falls es möglich ist, das Problem zu beheben und der Paketbetreuer oder jemand anderes korrekte, aktualisierte Pakete zur Verfügung stellt, wird das Security-Team diese normalerweise bearbeiten und eine Ankündigung veröffentlichen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1146
msgid "Why are there no official mirrors for security.debian.org?"
msgstr "Warum gibt es keinen offiziellen Spiegelserver von security.debian.org?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1150
msgid "Actually, there are. There are several official mirrors, implemented through DNS aliases. The purpose of security.debian.org is to make security updates available as quickly and easily as possible."
msgstr "Tatsächlich gibt es dieses. Es existieren mehrere offizielle Spiegel, die über DNS-Aliase implementiert sind. Der Zweck von security.debian.org ist es, Sicherheitsaktualisierungen möglichst schnell und einfach zur Verfügung zu stellen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1154
msgid "Encouraging the use of unofficial mirrors would add extra complexity that is usually not needed and that can cause frustration if these mirrors are not kept up to date."
msgstr "Die Verwendung von inoffiziellen Spiegeln zu empfehlen, würde zusätzliche Komplexität hinzufügen, die üblicherweise nicht benötigt wird und frustrierend sein kann, wenn diese Spiegel nicht aktuell gehalten werden. Offizielle Spiegel sind jedoch für die Zukunft geplant."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1156
msgid "I've seen DSA 100 and DSA 102, now where is DSA 101?"
msgstr "Ich habe DSA 100 und DSA 102 gesehen, doch wo ist DSA 101?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1173
msgid "Several vendors (mostly of GNU/Linux, but also of BSD derivatives) coordinate security advisories for some incidents and agree to a particular timeline so that all vendors are able to release an advisory at the same time. This was decided in order to not discriminate against some vendors that need more time (e.g. when the vendor has to pass packages through lengthy QA tests or has to support several architectures or binary distributions). Our own security team also prepares advisories in advance. Every now and then, other security issues have to be dealt with before the parked advisory could be released, and hence temporarily leaving out one or more advisories by number."
msgstr "Verschiedene Distributoren (zumeist von GNU/Linux, aber auch von BSD-Derivaten) koordinieren Sicherheits-Ankündigung für verschiedene Vorfälle und haben vereinbart, einen bestimmten Zeitplan einzuhalten, so dass alle Distributoren in der Lage sind, eine Anweisung zur selben Zeit zu veröffentlichen. Dadurch soll verhindert werden, dass ein Anbieter diskriminiert wird, der mehr Zeit benötigt (z.B. falls der Hersteller längere Qualitätssicherungstests für die Pakete durchführt oder mehrere Architekturen bzw. Binär-Distributionen unterstützt). Unser eigenes Sicherheitsteam bereitet ebenfalls Anweisungen im Vorhinein vor. Es passiert immer wieder mal, dass andere Sicherheitsprobleme früher abgearbeitet werden müssen, als vorbereitete Gutachten veröffentlicht werden können, und daher wird temporär eine oder mehrere Anweisungen der Nummer nach ausgelassen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1175
msgid "I tried to download a package listed in one of the security advisories, but I got a `file not found' error."
msgstr "Ich habe versucht, ein Paket herunterzuladen, das in einem der Sicherheitsankündigungen aufgeführt war, aber ich bekomme dabei den Fehler »file not found«."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1180
msgid "Whenever a newer bugfix supersedes an older package on security.debian.org, chances are high that the old package will be removed by the time the new one gets installed. Hence, you'll get this `file not found' error. We don't want to distribute packages with known security bugs longer than absolutely necessary."
msgstr "Immer, wenn eine neuere Fehlerbehebung ein älteres Paket auf security.debian.org ersetzt, stehen die Chancen gut, dass das ältere Paket gelöscht wird, wenn das neue installiert wird. Daher erhalten Sie diesen »file not found«-Fehler. Wir wollen Pakete mit bekannten Sicherheitslücken nicht länger als absolut notwendig verbreiten."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1186
msgid "Please use the packages from the latest security advisories, which are distributed through the <url id=\"http://lists.debian.org/debian-security-announce\"; name=\"debian-security-announce mailing list\">. It's best to simply run <em>apt-get update</em> before upgrading the package."
msgstr "Bitte benutzen Sie die Pakete von den neuesten Sicherheitsankündigungen, die über die <url id=\"http://lists.debian.org/debian-security-announce\"; name=\"Mailingliste debian-security-announce\"> verteilt werden. Am besten rufen Sie einfach <em>apt-get update</em> auf, bevor Sie das Paket aktualisieren."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1188
msgid "How can I reach the security team?"
msgstr "Wie kann ich das Sicherheitsteam erreichen?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1204
msgid "Security information can be sent to <url id=\"mailto:security@debian.org\"; name=\"security@debian.org\">, which is read by all Debian developers. If you have sensitive information please use <url id=\"mailto:team@security.debian.org\"; name=\"team@security.debian.org\"> which only the members of the team can read. If desired, email can be encrypted with the Debian Security Contact key (key ID <url id=\"http://pgpkeys.pca.dfn.de:11371/pks/lookup?search=0x363CCD95&op=vindex\"; name=\"0x363CCD95\">). See also the <url id=\"http://www.debian.org/security/keys.txt\"; name=\"PGP/GPG keys for the security team\">."
msgstr "Sicherheitsinformationen können an <url id=\"mailto:security@debian.org\"; name=\"security@debian.org\"> geschickt werden, damit sie von allen Debian-Entwicklern gelesen werden. Wenn Sie sensible Informationen haben, benutzen Sie bitte <url id=\"mailto:team@security.debian.org\"; name=\"team@security.debian.org\">, die nur vom Sicherheitsteam gelesen wird. Wenn Sie es wünschen, kann die E-Mail auch mit dem Kontaktschlüssel von Debian-Security (Key-ID <url id=\"http://pgpkeys.pca.dfn.de:11371/pks/lookup?search=0x363CCD95&op=vindex\"; name=\"0x363CCD95\">) verschlüsselt werden. Sehen Sie sich auch die <url id=\"http://www.debian.org/security/keys.txt\"; name=\"PGP/GPG-Schlüssel des Sicherheitsteams\"> an."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1207
msgid "What difference is there between security@debian.org and debian-security@lists.debian.org?"
msgstr "Was ist der Unterschied zwischen security@debian.org und debian-security@lists.debian.org?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1220
msgid "When you send messages to security@debian.org, they are sent to the developers' mailing list (debian-private). All Debian developers are subscribed to this list and posts are kept private <footnote><p>There has been a declassification decision, voted in <url id=\"http://www.debian.org/vote/2005/vote_002\"; name=\"GR-2005-002\">, that might make some posts available in the future, however.</p></footnote> (i.e. are not archived at the public website). The public mailing list, debian-security@lists.debian.org, is open to anyone that wants to <url id=\"http://www.debian.org/MailingLists/\"; name=\"subscribe\">, and there are searchable archives available <url id=\"http://lists.debian.org/search.html\"; name=\"here\">."
msgstr "Wenn Sie eine Nachricht an security@debian.org schicken, wird diese an die Developer-Mailingliste geschickt (debian-private), die alle Entwickler von Debian abonniert haben. Nachrichten an diese Liste werden vertraulich behandelt (d.h. sie werden nicht auf einer öffentlichen Webseite archiviert).<footnote>Allerdings wurden durch die <url id=\"http://www.debian.org/vote/2005/vote_002\"; name=\"GR-2005-002\"> diese Nachrichten neu eingestuft, so dass in der Zukunft einige Nachrichten veröffentlicht werden könne.</footnote> debian-security@lists.debian.org ist eine öffentliche Mail-Liste, offen für jeden, der Sie <url id=\"http://www.de.debian.org/MailingLists/\"; name=\"abonnieren\"> möchte, und es gibt <url id=\"http://lists.debian.org/search.html\"; name=\"hier\"> ein durchsuchbares Archiv."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1222
msgid "I guess I found a security problem, what should I do?"
msgstr "Ich glaube, ich habe ein Sicherheitsproblem entdeckt, was soll ich tun?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1229
msgid "If you learn about a security problem, either in one of your own packages or in someone else's please always contact the security team. If the Debian security team confirms the vulnerability and other vendors are likely to be vulnerable as well, they usually contact other vendors as well. If the vulnerability is not yet public they will try to coordinate security advisories with the other vendors, so all major distributions are in sync."
msgstr "Wenn Sie von einem Sicherheitsproblem erfahren, entweder in Ihren eigenen Paketen oder in denen eines anderen Entwicklers, dann kontaktieren Sie bitte immer das Sicherheits-Team. Wenn das Debian-Sicherheits-Team die Verwundbarkeit bestätigt und andere Distributoren höchstwahrscheinlich ebenfalls davon betroffen sind, kontaktiert es diese üblicherweise auch. Wenn die Verwundbarkeit noch nicht öffentlich bekannt ist, wird es versuchen, die Sicherheitsankündigungen mit den anderen Distributoren zu koordinieren, damit alle Haupt-Distributionen synchron sind."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1232
msgid "If the vulnerability is already publicly known, be sure to file a bug report in the Debian BTS, and tag it <em>security</em>."
msgstr "Falls die Verwundbarkeit bereits öffentlich bekannt ist, schreiben Sie bitte unbedingt einen Fehlerbericht für das Debian-Fehlerverfolgungssystem und markieren Sie ihn mit dem Tag <em>security</em>."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1233
msgid "How can I contribute to the Debian security team?"
msgstr "Wie kann ich das Debian-Sicherheitsteam unterstützen?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1241
msgid "By contributing to this document, fixing FIXMEs or providing new content. Documentation is important and reduces the overhead of answering common issues. Translation of this documentation into other languages is also of great help."
msgstr "Indem Sie etwas zu diesem Dokument beitragen, FIXMEs bearbeiten oder neuen Inhalt beisteuern. Dokumentation ist wichtig und reduziert die Last durch Beantworten allgemeiner Fragen. Übersetzen dieses Dokuments in andere Sprachen ist auch ein großartiger Beitrag (Anm.d.Ü.: Fehler bereinigen in der Übersetzung auch)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1247
msgid "By packaging applications that are useful for checking or enhancing security in a Debian GNU/Linux system. If you are not a developer, file a <url id=\"http://www.debian.org/devel/wnpp/\"; name=\"WNPP bug\"> and ask for software you think would be useful, but is not currently provided."
msgstr "Indem Sie Pakete von Programmen erstellen, mit denen sich die Sicherheit eines Debian-Systems erhöhen oder prüfen lässt. Wenn Sie kein Entwickler sind, reichen Sie einen <url name=\"WNPP-Fehler\" id=\"http://www.de.debian.org/devel/wnpp/\";> ein und fragen nach Software, die Sie für nützlich halten, die aber noch nicht zur Verfügung steht."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1250
msgid "Audit applications in Debian or help solve security bugs and report issues to security@debian.org."
msgstr "Testen Sie Anwendungen in Debian oder helfen Sie Sicherheitslücken zu schließen. Teilen Sie Probleme security@debian.org mit."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1258
msgid "In all cases, please review each problem before reporting it to security@debian.org. If you are able to provide patches, that would speed up the process. Do not simply forward Bugtraq mails, since they are already received. Providing additional information, however, is always a good idea."
msgstr "Prüfen Sie bitte in jedem Fall ein Problem nach, bevor Sie es an security@debian.org melden. Wenn Sie Patches beifügen, beschleunigt das den Prozess natürlich. Leiten Sie nicht einfach Mails von Bugtraq weiter, da diese bereits empfangen wurden. Es ist aber eine gute Idee, zusätzliche Informationen zu schicken."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1260
msgid "Who is the Security Team composed of?"
msgstr "Aus wem setzt sich das Sicherheitsteam zusammen?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1264
msgid "The Debian security team consists of <url id=\"http://www.debian.org/intro/organization\"; name=\"several officers and secretaries\">. The security team itself appoints people to join the team."
msgstr "Das Debian-Sicherheitsteam besteht aus <url id=\"http://www.debian.org/intro/organization\"; name=\"mehreren Beauftragten und Unterstützern\">. Das Sicherheitsteam bestimmt selbst, wen es neu ins Team aufnehmen will."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1267
msgid "Does the Debian Security team check every new package in Debian?"
msgstr "Prüft das Debian-Sicherheitsteam jedes Paket in Debian?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1275
msgid "No, the Debian security team does not check every new package and there is no automatic (lintian) check to detect new packages including malicious codes, since those checks are rather impossible to perform automatically. Maintainers, however, are fully responsible for the packages they introduce into Debian, and all packages are first signed by an authorized developer(s). The developer is in charge of analyzing the security of all packages that they maintain."
msgstr "Nein, weder prüft das Sicherheitsteam jedes neue Paket noch gibt es einen automatischen (lintian) Test, um neue Pakete mit bösartigem Inhalt zu entdecken, da solche Dinge praktisch unmöglich automatisch durchgeführt werden können. Paket-Verwalter sind jedoch voll und ganz verantwortlich für die Software, die sie in Debian einführen. Keine Software wird eingeführt, die nicht zuerst von einem autorisierten Entwickler signiert wurde. Die Entwickler sind dafür verantwortlich, die Sicherheit aller Pakete, die sie betreuen, zu analysieren."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1277
msgid "How much time will it take Debian to fix vulnerability XXXX?"
msgstr "Wie lange braucht Debian, um die Angriffs-Möglichkeit XXXX zu reparieren?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1287
msgid "The Debian security team works quickly to send advisories and produce fixed packages for the stable branch once a vulnerability is discovered. A report <url id=\"http://lists.debian.org/debian-security/2001/debian-security-200112/msg00257.html\"; name=\"published in the debian-security mailing list\"> showed that in the year 2001, it took the Debian Security Team an average of 35 days to fix security-related vulnerabilities. However, over 50% of the vulnerabilities where fixed in a 10-day time frame, and over 15% of them where fixed the <em>same day</em> the advisory was released."
msgstr "Das Sicherheitsteam von Debian arbeitet schnell, um Ankündigungen zu verschicken und korrigierte Pakete für den Stable-Zweig zu erstellen, sobald eine Sicherheitslücke entdeckt wurde. Ein Bericht, der <url id=\"http://lists.debian.org/debian-security/2001/debian-security-200112/msg00257.html\"; name=\"auf der Mailingliste von debian-security veröffentlicht wurde\">, zeigt, dass das Debian-Sicherheitsteam im Jahr 2001 durchschnittlich 35 Tage gebraucht hat, um Sicherheitslücken auszubessern. Allerdings wurden über 50% der Verwundbarkeiten innerhalb von zehn Tagen beseitigt und über 15% wurden am <em>selben Tag</em> repariert, an dem die Ankündigung veröffentlicht wurde."
#. type: <p><list>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1289
msgid "However, when asking this question people tend to forget that:"
msgstr "Oft vergessen Leute, die diese Frage stellen, dass:"
#. type: <p><list>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1293
msgid "DSAs are not sent until:"
msgstr "DSAs nicht verschickt werden bis:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1300
msgid "packages are available for <em>all</em> architectures supported by Debian (which takes some time for packages that are part of the system core, especially considering the number of architectures supported in the stable release)."
msgstr "Pakete für <em>alle</em> von Debian unterstützte Architekturen verfügbar sind (dies braucht etwas Zeit, wenn es sich um Pakete handelt, die Teil des Systemkerns sind, besonders wenn man die Anzahl der in der stabilen Veröffentlichung unterstützten Architekturen berücksichtigt)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1303
msgid "new packages are thoroughly tested in order to ensure that no new bugs are introduced"
msgstr "Neue Pakete gründlich getestet werden, um sicher zu stellen, dass sich keine neuen Fehler eingeschlichen haben."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1308
msgid "Packages might be available before the DSA is sent (in the incoming queue or on the mirrors)."
msgstr "Pakete möglicherweise schon verfügbar sind, bevor das DSA verschickt wird (in der Incoming-Warteschlange oder auf den Spiegelservern)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1310
msgid "Debian is a volunteer-based project."
msgstr "Debian ein Projekt auf freiwilligen Basis ist."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1312
msgid "Debian is licensed with a \"no guarantees\" clause."
msgstr "Es eine »keine Garantie«-Klausel gibt, die Teil der Lizenz ist, der Debian unterliegt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1325
msgid "If you want more in-depth analysis on the time it takes for the Security Team to work on vulnerabilities, you should consider that new DSAs (see <ref id=\"dsa\">) published on the <url id=\"http://security.debian.org\"; name=\"security website\">, and the metadata used to generate them, include links to vulnerability databases. You could download the sources from the web server (from the <url id=\"http://cvs.debian.org\"; name=\"CVS\">) or use the HTML pages to determine the time that it takes for Debian to fix vulnerabilities and correlate this data with public databases."
msgstr "Wenn Sie eine tiefergehende Analyse wünschen, wie lange das Sicherheitsteam an Sicherheitslücken arbeitet, sollten Sie wissen, dass neue DSAs (vergleichen Sie <ref id=\"dsa\">) auf der <url id=\"http://security.de.debian.org\"; name=\"Sicherheits-Webseite\"> veröffentlicht werden. Daneben finden sich dort auch die Metadaten, die verwendetet werden, um die DSAs zu erstellen, und Links zur Datenbank mit den Sicherheitslücken. Sie können die Quellen vom Webserver herunterladen (aus dem <url id=\"http://cvs.debian.org\"; name=\"CVS\">) oder die HTML-Seiten benutzen, um zu bestimmen, wie lange Debian braucht, um Verwundbarkeiten auszubessern, und um diese Daten mit öffentlichen Datenbanken zu vergleichen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1327
msgid "How long will security updates be provided?"
msgstr "Wie lange werden Sicherheitsaktualisierungen angeboten?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1332
msgid "The security team tries to support a stable distribution for about one year after the next stable distribution has been released, except when another stable distribution is released within this year. It is not possible to support three distributions; supporting two simultaneously is already difficult enough."
msgstr "Das Sicherheits-Team versucht, eine stabile Distribution für in etwa ein Jahr zu unterstützen, nachdem die nächste stabile Distribution freigegeben wurde; außer, eine weitere stabile Distribution wird innerhalb dieser Zeitspanne freigegeben. Es ist nicht möglich, drei Distributionen zu unterstützen; die gleichzeitige Unterstützung für zwei ist bereits schwierig genug."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1336
msgid "How can I check the integrity of packages?"
msgstr "Wie kann ich die Integrität der Pakete prüfen?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1345
msgid "This process involve checking the Release file signature against the public key (available at <url id=\"http://ftp-master.debian.org/ziyi_key_2006.asc\";>, substitute 2006 for the current year) for the archive. The Release file contains the MD5 checksums of Packages and Sources files, which contain MD5 checksums of binary and source packages. Detailed instruction on how to check packages integrity can be found <ref id=\"deb-pack-sign\">."
msgstr "Dieser Prozess umfasst das Prüfen der Release-Datei-Signatur gegen den öffentlichen Schlüssel (erhältlich unter <url id=\"http://ftp-master.debian.org/ziyi_key_2006.asc\";>), der für die Archive verwendet wird. Die Release-Datei enthält die MD5-Prüfsummen der Packages- und Sources-Dateien, die MD5-Prüfsummen der Binär- und Quellcodepakete enthalten. Ausführlichere Anweisungen, wie man die Paket-Integrität prüfen kann, können Sie unter <url id=\"deb-pack-sign\"> nachlesen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:1347
msgid "What to do if a random package breaks after a security update?"
msgstr "Was soll ich tun, wenn ein zufälliges Paket nach einer Sicherheitsaktualisierung nicht mehr funktioniert?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:3
msgid "First of all, you should figure out why the package breaks and how it is connected to the security update, then contact the security team if it is serious or the stable release manager if it is less serious. We're talking about random packages that break after a security update of a different package. If you can't figure out what's going wrong but have a correction, talk to the security team as well. You may be redirected to the stable release manager though."
msgstr "Zuerst sollten Sie herausfinden, warum dieses Paket nicht mehr funktioniert und wie es mit der Sicherheitsaktualisierung zusammenhängt. Danach sollten Sie sich an das Sicherheits-Team wenden, wenn es ein schwerwiegendes Problem ist, oder an den Stable-Release-Betreuer, wenn es nicht so ernsthaft ist. Es geht hier um zufällige Pakete, die nach der Aktualisierung eines anderen Paketes nicht mehr funktionieren. Wenn Sie nicht herausfinden können, was schief geht, aber eine Lösung gefunden haben, wenden Sie sich auch an das Sicherheits-Team. Es könnte jedoch sein, dass man Sie an den Stable-Release-Betreuer weiterleitet."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:13
msgid "The hardening process step by step"
msgstr "Der Abhärtungsprozess Schritt für Schritt"
#. type: <p><list>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:19
msgid "Below is a post-installation, step-by-step procedure for hardening a Debian 2.2 GNU/Linux system. This is one possible approach to such a procedure and is oriented toward the hardening of network services. It is included to show the entire process you might use during configuration. Also, see <ref id=\"checklist\">."
msgstr "Eine Anleitung, die Schritt für Schritt darstellt, wie ein Debian 2.2 GNU/Linux-System nach der Installation abgehärtet wird, ist unten aufgeführt. Das ist nur eine denkbare Herangehensweise für einem solchen Vorgang. Sie ist am Absichern von Netzwerkdiensten orientiert und stellt den gesamten Anlauf der Konfiguration vor. Vergleichen Sie auch <ref id=\"checklist\">."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:26
msgid "Install the system, taking into account the information regarding partitioning included earlier in this document. After base installation, go into custom install. Do not select task packages. Select shadow passwords."
msgstr "Installieren Sie das System. Beachten Sie dabei die Informationen dieses HOWTOs bezüglich der Partitionierung. Nach der Basis-Installation nehmen Sie eine angepasste Installation vor. Wählen Sie keine Task-Pakete aus. Aktivieren Sie shadow-Passwörter."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:30
msgid "Using <prgn>dselect</prgn>, remove all unneeded but selected packages before doing [I]nstall. Keep the bare minimum of packages for the system."
msgstr "Entfernen Sie mit <prgn>dselect</prgn> alle nicht benötigten, aber ausgewählten Pakete, bevor Sie [I]nstallation wählen. Belassen Sie nur die absolut notwendige Software auf dem System."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:34
msgid "Update all software from the latest packages available at security.debian.org as explained previously in <ref id=\"security-update\">."
msgstr "Aktualisieren Sie die ganze Software mit den aktuellen Paketen von security.debian.org, wie bereits unter <ref id=\"security-update\"> beschrieben."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:37
msgid "Implement the suggestions presented in this manual regarding user quotas, login definitions and <prgn>lilo</prgn>"
msgstr "Implementieren Sie die in dieser Anleitung vorgeschlagenen Maßnahmen zu Benutzer-Quotas, Ausgestaltung des Anmeldevorgangs und <prgn>Lilo</prgn>."
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:39
msgid "Make a list of services currently running on your system. Try:"
msgstr "Machen Sie sich eine Liste von allen Diensten, die derzeit auf Ihrem System laufen. Versuchen Sie dazu Folgendes:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:43
#, no-wrap
msgid ""
" $ ps aux\n"
" $ netstat -pn -l -A inet \n"
" # /usr/sbin/lsof -i | grep LISTEN"
msgstr ""
" $ ps aux\n"
" $ netstat -pn -l -A inet \n"
" # /usr/sbin/lsof -i | grep LISTEN"
#. type: </example></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:50
msgid "You will need to install <package>lsof-2.2</package> for the third command to work (run it as root). You should be aware that <prgn>lsof</prgn> can translate the word LISTEN to your locale settings."
msgstr "Damit das dritte Kommando funktioniert, werden Sie <package>lsof-2.2</package> installieren müssen (und es als Root laufen lassen). Beachten Sie, dass <prgn>lsof</prgn> das Wort LISTEN passend zu Ihrer Lokalisation übersetzen kann."
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:56
msgid "In order to remove unnecessary services, first determine what package provides the service and how it is started. This can be accomplished by checking the program that listens in the socket. The following shell script, which uses the programs <prgn>lsof</prgn> and <prgn>dpkg</prgn>, does just that:"
msgstr "Um einen unnötigen Dienst zu entfernen, stellen Sie zunächst fest, wie er gestartet wird und welches Paket ihn zur Verfügung stellt. Sie können dies ganz einfach machen, indem Sie das Programm prüfen, das auf dem Socket lauscht. Das nachfolgende Shell-Skript, das die Programme <prgn>lsof</prgn> und <prgn>dpkg</prgn> verwendet, macht genau das:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:67
#, no-wrap
msgid ""
"#!/bin/sh\n"
"# FIXME: this is quick and dirty; replace with a more robust script snippet\n"
"for i in `sudo lsof -i | grep LISTEN | cut -d \" \" -f 1 |sort -u` ; do\n"
" pack=`dpkg -S $i |grep bin |cut -f 1 -d : | uniq`\n"
" echo \"Service $i is installed by $pack\";\n"
" init=`dpkg -L $pack |grep init.d/ `\n"
" if [ ! -z \"$init\" ]; then\n"
" echo \"and is run by $init\"\n"
" fi\n"
"done"
msgstr ""
"#!/bin/sh\n"
"# FIXME: this is quick and dirty; replace with a more robust script snippet\n"
"for i in `sudo lsof -i | grep LISTEN | cut -d \" \" -f 1 |sort -u` ; do\n"
" pack=`dpkg -S $i |grep bin |cut -f 1 -d : | uniq`\n"
" echo \"Service $i is installed by $pack\";\n"
" init=`dpkg -L $pack |grep init.d/ `\n"
" if [ ! -z \"$init\" ]; then\n"
" echo \"and is run by $init\"\n"
" fi\n"
"done"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:74
msgid "Once you find any unwanted services, remove the associated package (with <prgn>dpkg --purge</prgn>), or disable the service from starting automatically at boot time using <prgn>update-rc.d</prgn> (see <ref id=\"disableserv\">)."
msgstr "Wenn Sie einen unerwünschten Dienst finden, entfernen Sie das Paket (mit <prgn>dpkg --purge</prgn>). Oder benutzen Sie <prgn>update-rc.d</prgn> (siehe <ref id=\"disableserv\">), um ihn aus dem Start-Prozess zu entfernen."
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:77
msgid "For inetd services (launched by the superdaemon), check which services are enabled in <file>/etc/inetd.conf</file> using:"
msgstr "Überprüfen Sie bei inetd-Diensten (werden durch den Superdaemon gestartet), welche Dienste in <file>/etc/inetd.conf</file> aktiviert sind. Verwenden Sie dazu Folgendes:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:79
#, no-wrap
msgid " $ grep -v \"^#\" /etc/inetd.conf | sort -u"
msgstr " $ grep -v \"^#\" /etc/inetd.conf | sort -u"
#. type: </example></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:85
msgid "Then disable those services that are not needed by commenting out the line that includes them in <file>/etc/inetd.conf</file>, removing the package, or using <prgn>update-inetd</prgn>."
msgstr "Deaktivieren Sie dann diejenigen Dienste, die Sie nicht benötigen, indem Sie die Zeile in <file>/etc/inetd.conf</file> auskommentieren, das Paket entfernen, oder indem Sie <prgn>update-inetd</prgn> benutzen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:90
msgid "If you have wrapped services (those using <prgn>/usr/sbin/tcpd</prgn>), check that the files <file>/etc/hosts.allow</file> and <file>/etc/hosts.deny</file> are configured according to your service policy."
msgstr "Wenn Sie Dienste eingehüllt haben (und <prgn>/usr/sbin/tcpd</prgn> benutzen), prüfen Sie, ob die Dateien <file>/etc/hosts.allow</file> und <file>/etc/hosts.deny</file> passend zu Ihrer Richtlinie für die Dienste konfiguriert sind."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:96
msgid "If the server uses more than one external interface, depending on the service, you may want to limit the service to listen on a specific interface. For example, if you want internal FTP access only, make the FTP daemon listen only on your management interface, not on all interfaces (i.e, 0.0.0.0:21)."
msgstr "Wenn der Server mehr als eine externe Schnittstelle benutzt, können Sie Dienste darauf beschränken, auf bestimmten Schnittstellen zu lauschen. Ob das möglich ist, hängt aber von den Diensten ab. Wenn Sie zum Beispiel internen FTP-Zugriff erlauben wollen, lassen Sie den FTP-Daemon nur auf der internen Schnittstelle lauschen, nicht auf allen (d.h. 0.0.0.0:21)."
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:99
msgid "Re-boot the machine, or switch to single user mode and then back to multiuser using the commands:"
msgstr "Booten Sie die Maschine neu, oder wechseln Sie in den Single-User-Modus und zurück in den Multi-User-Modus mit:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:103
#, no-wrap
msgid ""
" # init 1\n"
" (....)\n"
" # init 2"
msgstr ""
" # init 1\n"
" (....)\n"
" # init 2"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:108
msgid "Check the services now available, and, if necessary, repeat the steps above."
msgstr "Prüfen Sie die nun angebotenen Dienste und wiederholen Sie gegebenenfalls die letzten Schritte."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:111
msgid "Now install the needed services, if you have not done so already, and configure them properly."
msgstr "Installieren Sie jetzt die benötigten Dienste, falls es noch nicht geschehen ist, und konfigurieren Sie sie passend."
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:114
msgid "Use the following shell command to determine what user each available service is running as:"
msgstr "Prüfen Sie mit folgendem Shell-Befehl, unter welchem Benutzer die verfügbaren Dienste laufen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:118
#, no-wrap
msgid ""
" # for i in `/usr/sbin/lsof -i |grep LISTEN |cut -d \" \" -f 1 |sort -u`; \\\n"
" > do user=`ps ef |grep $i |grep -v grep |cut -f 1 -d \" \"` ; \\\n"
" > echo \"Service $i is running as user $user\"; done"
msgstr ""
" # for i in `/usr/sbin/lsof -i |grep LISTEN |cut -d \" \" -f 1 |sort -u`; \\\n"
" > do user=`ps ef |grep $i |grep -v grep |cut -f 1 -d \" \"` ; \\\n"
" > echo \"Dienst $i läuft als Benutzer $user\"; done"
#. type: </example></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:131
msgid "Consider changing these services to a specific user/group and maybe <prgn>chroot</prgn>'ing them for increased security. You can do this by changing the <file>/etc/init.d</file> scripts which start the service. Most services in Debian use <prgn>start-stop-daemon</prgn>, which has options (<tt>--change-uid</tt> and <tt>--chroot</tt>) for accomplishing this. A word of warning regarding the <prgn>chroot</prgn>'ing of services: you may need to put all the files installed by the package (use dpkg -L) providing the service, as well as any packages it depends on, in the <prgn>chroot</prgn>'ed environment. Information about setting up a <prgn>chroot</prgn> environment for the <prgn>ssh</prgn> program can be found in <ref id=\"chroot-ssh-env\">."
msgstr "Überlegen Sie, ob Sie diese Dienste einem bestimmten Benutzer oder Gruppe zuweisen wollen und sie vielleicht auch in eine chroot-Umgebung einsperren wollen, um die Sicherheit zu erhöhen. Sie können dies tun, indem Sie die <file>/etc/init.d</file>-Skripte ändern, die den Dienst starten. Die meisten Dienste benutzen unter Debian <prgn>start-stop-daemon</prgn>, der die dafür Optionen (<tt>--change-uid</tt> und <tt>--chroot</tt>) zur Verfügung stellt. Ein paar warnende Worte zum Einsperren in eine <prgn>chroot</prgn>-Umgebung: Sie müssen alle Dateien, die durch das Paket des Dienstes installiert wurden (verwenden Sie dpkg -L), und alle Pakete, von denen es abhängt, in die <prgn>Chroot</prgn>-Umgebung legen. Informationen, wie das Programm <prgn>ssh</prgn> in eine <prgn>chroot</prgn>-Umgebung eingesperrt wird, finden Sie unter <ref id=\"chroot-ssh-env\">."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:135
msgid "Repeat the steps above in order to check that only desired services are running and that they are running as the desired user/group combination."
msgstr "Wiederholen Sie die Schritte oben um zu prüfen, ob nur die gewünschten Dienste laufen und ob sie unter der gewünschten Benutzer/Gruppen-Kombination laufen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:138
msgid "Test the installed services in order to see if they work as expected."
msgstr "Testen Sie die installierten Dienste, um festzustellen, ob sie wie erwartet arbeiten."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:143
msgid "Check the system using a vulnerability assessment scanner (like <package>nessus</package>), in order to determine vulnerabilities in the system (i.e., misconfiguration, old services or unneeded services)."
msgstr "Überprüfen Sie das System, indem Sie einen Scanner zur Abschätzung der Verwundbarkeit (zum Beispiel <package>nessus</package>) benutzen, um Angriffsmöglichkeiten (Fehlkonfigurationen, alte oder nicht benötigte Dienste) zu finden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:146
msgid "Install network and host intrusion measures like <package>snort</package> and <package>logcheck</package>."
msgstr "Installieren Sie Instrumente zur Entdeckung von Eindringlingen in Netzwerk und Hosts (wie <package>snort</package> und <package>logcheck</package>)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:149
msgid "Repeat the network scanner step and verify that the intrusion detection systems are working correctly."
msgstr "Wiederholen Sie den Netzwerk-Scan und prüfen Sie, ob das System zur Erkennung von Eindringlingen funktioniert."
#. type: <p><list>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:153
msgid "For the truly paranoid, also consider the following:"
msgstr "Die richtig Paranoiden überlegen sich auch Folgendes:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:159
msgid "Add firewalling capabilities to the system, accepting incoming connections only to offered services and limiting outgoing connections only to those that are authorized."
msgstr "Fügen Sie dem System Firewall-Fähigkeiten hinzu, die eingehende Verbindungen nur zu angebotenen Diensten erlauben und ungenehmigte ausgehende Verbindungen verhindern."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:162
msgid "Re-check the installation with a new vulnerability assessment using a network scanner."
msgstr "Überprüfen Sie erneut die Installation auf Angriffspunkte mit einem Netzwerk-Scanner."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:166
msgid "Using a network scanner, check outbound connections from the system to an outside host and verify that unwanted connections do not find their way out."
msgstr "Prüfen Sie ausgehende Verbindungen vom System zu Hosts außerhalb mit einem Netzwerk-Scanner, um sicherzustellen, dass ungewollte Verbindungen keinen Weg nach draußen finden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:173
msgid "FIXME: this procedure considers service hardening but not system hardening at the user level, include information regarding checking user permissions, SETUID files and freezing changes in the system using the ext2 file system."
msgstr "FIXME: this procedure considers service hardening but not system hardening at the user level, include information regarding checking user permissions, SETUID files and freezing changes in the system using the ext2 file system."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:175
msgid "Configuration checklist"
msgstr "Prüfliste der Konfiguration"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:187
msgid "This appendix briefly reiterates points from other sections in this manual in a condensed checklist format. This is intended as a quick summary for someone who has already read the manual. There are other good checklists available, including Kurt Seifried's <url id=\"http://seifried.org/security/os/linux/20020324-securing-linux-step-by-step.html\"; name=\"Securing Linux Step by Step\"> and <url id=\"http://www.cert.org/tech_tips/usc20_full.html\"; name=\"CERT's Unix Security Checklist\">."
msgstr "Dieser Anhang wiederholt kurz Punkte aus anderen Abschnitten dieser Anleitung in einem verdichteten Prüflisten-Format. Er ist als schnelle Zusammenfassung für Leute gedacht, die bereits diese Anleitung gelesen haben. Es gibt auch andere gute Prüflisten, zum Beispiel Kurt Seifrieds <url id=\"http://seifried.org/security/os/linux/20020324-securing-linux-step-by-step.html\"; name=\"Securing Linux Step by Step\"> und <url id=\"http://www.cert.org/tech_tips/usc20_full.html\"; name=\"CERT's Unix Security Checklist\">."
#. type: <p><list>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:189
msgid "FIXME: This is based on v1.4 of the manual and might need to be updated."
msgstr "FIXME: This is based on v1.4 of the manual and might need to be updated."
#. type: <p><list>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:190
msgid "Limit physical access and booting capabilities"
msgstr "Beschränkung des physischen Zugriffs und der Boot-Fähigkeiten:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:192
msgid "Enable a password in the BIOS."
msgstr "Setzen Sie im BIOS ein Passwort."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:193
msgid "Disable floppy/cdrom/... booting in the system's BIOS."
msgstr "Schalten Sie im BIOS das Booten von Diskette, CD-ROM, ... ab."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:197
msgid "Set a LILO or GRUB password (<file>/etc/lilo.conf</file> or <file>/boot/grub/menu.lst</file>, respectively); check that the LILO or GRUB configuration file is read-protected."
msgstr "Setzen Sie ein LILO- bzw. GRUB-Passwort (<file>/etc/lilo.conf</file> bzw. <file>/boot/grub/menu.lst</file>); stellen Sie sicher, dass die Konfigurationsdatei von LILO oder GRUB nicht lesbar ist."
#. type: <p><list>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:200
msgid "Partitioning"
msgstr "Partitionierung:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:205
msgid "Separate user-writable data, non-system data, and rapidly changing run-time data to their own partitions"
msgstr "Legen Sie Daten, die von Benutzern geschrieben wurden, Daten, die nicht zum System gehören, und sich ständig ändernde Laufzeitdaten auf eigenen, getrennten Partitionen ab."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:210
msgid "Set <tt>nosuid,noexec,nodev</tt> mount options in <file>/etc/fstab</file> on ext2/3 partitions that should not hold binaries such as <file>/home</file> or <file>/tmp</file>."
msgstr "Setzen Sie die Mount-Optionen <tt>nosuid,noexec,nodev</tt> in <file>/etc/fstab</file> bei ext2/3-Partitionen, die keine ausführbaren Programme enthalten sollten, wie zum Beispiel <file>/home</file> oder <file>/tmp</file>."
#. type: <p><list>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:214
msgid "Password hygiene and login security"
msgstr "Passworthygiene und Anmeldesicherheit:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:216
msgid "Set a good root password"
msgstr "Wählen Sie ein gutes Root-Passwort."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:217
msgid "Enable password shadowing and MD5"
msgstr "Benutzen Sie Shadow- und MD5-Passwörter."
#. type: <p><list>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:219
msgid "Install and use PAM"
msgstr "Installieren und benutzen Sie PAM:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:229
msgid "Add MD5 support to PAM and make sure that (generally speaking) entries in <file>/etc/pam.d/</file> files which grant access to the machine have the second field in the pam.d file set to <tt>requisite</tt> or <tt>required</tt>."
msgstr "Fügen Sie die Unterstützung von PAM-MD5 hinzu, und stellen Sie sicher (allgemein gesprochen), dass die Einträge in den <file>/etc/pam.d/</file>-Dateien, die Zugriff auf die Maschine gewähren, das zweite Feld in der pam.d-Datei auf <tt>requisite</tt> oder <tt>required</tt> gesetzt haben."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:232
msgid "Tweak <file>/etc/pam.d/login</file> so as to only permit local root logins."
msgstr "Ändern Sie <file>/etc/pam.d/login</file>, so dass nur lokale Anmeldungen von Root erlaubt werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:237
msgid "Also mark authorized tty:s in <file>/etc/security/access.conf</file> and generally set up this file to limit root logins as much as possible."
msgstr "Bezeichnen Sie außerdem autorisierte ttys in <file>/etc/security/access.conf</file> und richten Sie diese Datei überhaupt so ein, dass Anmeldungen von Root so weit wie möglich eingeschränkt werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:240
msgid "Add pam_limits.so if you want to set per-user limits"
msgstr "Fügen Sie pam_limits.so hinzu, wenn Sie Begrenzungen für jeden Benutzer vornehmen wollen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:244
msgid "Tweak <file>/etc/pam.d/passwd</file>: set minimum length of passwords higher (6 characters maybe) and enable MD5"
msgstr "Ändern Sie <file>/etc/pam.d/passwd</file>: Erhöhen Sie die minimale Länge von Passwörtern (vielleicht sechs Zeichen) und schalten Sie MD5 ein."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:248
msgid "Add group wheel to <file>/etc/group</file> if desired; add pam_wheel.so group=wheel entry to <file>/etc/pam.d/su</file>"
msgstr "Wenn Sie es wünschen, fügen Sie <file>/etc/group</file> die Gruppe wheel hinzu; fügen Sie <file>/etc/pam.d/su</file> pam_wheel.so group=wheel hinzu."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:251
msgid "For custom per-user controls, use pam_listfile.so entries where appropriate"
msgstr "Für angepasste Kontrollen der einzelnen Benutzer nehmen Sie Einträge in pam_listfile.so an den passenden Stellen vor."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:254
msgid "Have an <file>/etc/pam.d/other</file> file and set it up with tight security"
msgstr "Erstellen Sie eine Datei <file>/etc/pam.d/other</file> und setzen Sie sie mit strenger Sicherheit auf."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:260
msgid "Set up limits in <file>/etc/security/limits.conf</file> (note that <file>/etc/limits</file> is not used if you are using PAM)"
msgstr "Setzen Sie in <file>/etc/security/limits.conf</file> Begrenzungen (beachten Sie, dass <file>/etc/limits</file> nicht benutzt wird, wenn Sie PAM verwenden)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:264
msgid "Tighten up <file>/etc/login.defs</file>; also, if you enabled MD5 and/or PAM, make sure you make the corresponding changes here, too"
msgstr "Nehmen Sie Einschränkungen in <file>/etc/login.defs</file> vor; wenn Sie MD5 oder PAM einschalten, machen Sie auch hier die entsprechenden Änderungen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:266
msgid "Tighten up <file>/etc/pam.d/login</file>"
msgstr "Nehmen Sie Einschränkungen in <file>/etc/pam.d/login</file> vor."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:268
msgid "Disable root ftp access in <file>/etc/ftpusers</file>"
msgstr "Schalten Sie den FTP-Zugriff von Root in <file>/etc/ftpusers</file> ab."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:273
msgid "Disable network root login; use <manref name=\"su\" section=\"1\"> or <manref name=\"sudo\" section=\"1\">. (consider installing <package>sudo</package>)"
msgstr "Schalten Sie Anmeldungen von Root über das Netzwerk ab; benutzen Sie <manref name=\"su\" section=\"1\"> oder <manref name=\"sudo\" section=\"1\"> (denken Sie über die Installation von <package>sudo</package> nach)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:275
msgid "Use PAM to enforce additional constraints on logins?"
msgstr "Benutzen Sie PAM, um zusätzliche Auflagen für Anmeldungen zu ermöglichen."
#. type: <p><list>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:278
msgid "Other local security issues"
msgstr "Andere lokale Sicherheitsangelegenheiten:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:282
msgid "Kernel tweaks (see <ref id=\"kernel-conf\">)"
msgstr "Kernel-Tweaks (siehe <ref id=\"kernel-conf\">)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:285
msgid "Kernel patches (see <ref id=\"kernel-patches\">)"
msgstr "Kernel-Patches (siehe <ref id=\"kernel-patches\">)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:288
msgid "Tighten up log file permissions (<file>/var/log/{last,fail}log</file>, Apache logs)"
msgstr "Schränken Sie die Zugriffsrechte auf Protokolldateien (<file>/var/log/{last,fail}log</file>, Protokolle von Apache) ein."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:291
msgid "Verify that SETUID checking is enabled in <file>/etc/checksecurity.conf</file>"
msgstr "Stellen Sie sicher, dass in <file>/etc/checksecurity.conf</file> die Prüfung von SETUID eingeschaltet ist."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:295
msgid "Consider making some log files append-only and configuration files immutable using chattr (ext2/3 file systems only)"
msgstr "Überlegen Sie sich, an Protokolldateien nur erweiterbar (append-only) und Konfigurationsdateien unveränderbar (immutable) zu machen, indem Sie chattr benutzen (nur ext2/3-Dateisystem)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:299
msgid "Set up file integrity (see <ref id=\"check-integ\">). Install <package>debsums</package>"
msgstr "Setzen Sie eine Integritätsprüfung des Dateisystems auf (siehe <ref id=\"check-integ\">). Installieren Sie <package>debsums</package>."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:301
msgid "Log everything to a local printer?"
msgstr "Alles auf einem lokalen Drucker mitprotokollieren?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:304
msgid "Burn your configuration on a boot-able CD and boot off that?"
msgstr "Brennen Sie Ihre Konfiguration auf eine bootbare CD und booten Sie hiervon?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:306
msgid "Disable kernel modules?"
msgstr "Abschalten von Kernel-Modulen?"
#. type: <p><list>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:309
msgid "Limit network access"
msgstr "Einschränkung des Netzwerkzugriffs:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:316
msgid "Install and configure <prgn>ssh</prgn> (suggest PermitRootLogin No in <file>/etc/ssh/sshd_config</file>, PermitEmptyPasswords No; note other suggestions in text also)"
msgstr "Installieren und konfigurieren Sie <prgn>ssh</prgn> (Vorschlag: PermitRootLogin No in <file>/etc/ssh/sshd_config</file>, PermitEmptyPasswords No; beachten Sie auch die anderen Vorschläge im Text)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:318
msgid "Disable or remove <prgn>in.telnetd</prgn>, if installed"
msgstr "Schalten Sie <prgn>in.telnetd</prgn> ab oder entfernen Sie ihn, falls er installiert ist."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:323
msgid "Generally, disable gratuitous services in <file>/etc/inetd.conf</file> using <prgn>update-inetd --disable</prgn> (or disable <prgn>inetd</prgn> altogether, or use a replacement such as <prgn>xinetd</prgn> or <prgn>rlinetd</prgn>)"
msgstr "Deaktivieren Sie ganz allgemein alle überflüssigen Dienste in <file>/etc/inetd.conf</file>. Benutzen Sie dazu <prgn>update-inetd --disable</prgn> (oder Sie schalten <prgn>inetd</prgn> ganz ab oder verwenden einen Ersatz wie <prgn>xinetd</prgn> oder <prgn>rlinetd</prgn>)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:329
msgid "Disable other gratuitous network services; ftp, DNS, WWW etc should not be running if you do not need them and monitor them regularly. In most cases mail should be running but configured for local delivery only."
msgstr "Schalten Sie andere überflüssige Netzwerkdienste ab. ftp, DNS, www, usw. sollten nicht laufen, wenn Sie sie nicht brauchen und nicht regelmäßig überwachen. In den meisten Fällen muss ein Mail-Server betrieben werden, sollte aber so konfiguriert sein, dass er nur lokal Mails zustellt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:335
msgid "For those services which you do need, do not just use the most common programs, look for more secure versions shipped with Debian (or from other sources). Whatever you end up running, make sure you understand the risks."
msgstr "Installieren Sie von den Diensten, die Sie brauchen, nicht einfach das verbreiteteste Programm, sondern schauen Sie nach sichereren Versionen, die Debian liefert (oder aus anderen Quellen), um. Was auch immer Sie schließlich benutzen: Stellen Sie sicher, dass Sie die Risiken verstanden haben."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:338
msgid "Set up <prgn>chroot</prgn> jails for outside users and daemons."
msgstr "Setzen Sie <prgn>Chroot</prgn>-Gefängnisse für auswärtige Benutzer und Daemonen auf."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:342
msgid "Configure firewall and tcpwrappers (i.e. <manref name=\"hosts_access\" section=\"5\">); note trick for <file>/etc/hosts.deny</file> in text."
msgstr "Konfigurieren Sie die Firewall und die tcp-Wrapper (d.h. <manref name=\"hosts_access\" section=\"5\">); beachten Sie den Trick für <file>/etc/hosts.deny</file> im Text."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:345
msgid "If you run ftp, set up your ftpd server to always run <prgn>chroot</prgn>'ed to the user's home directory"
msgstr "Wenn Sie FTP laufen lassen, setzen Sie den ftpd-Server so auf, dass er immer in einer <prgn>chroot</prgn>-Umgebung im Home-Verzeichnis des Benutzers läuft."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:352
msgid "If you run X, disable xhost authentication and go with <prgn>ssh</prgn> instead; better yet, disable remote X if you can (add -nolisten tcp to the X command line and turn off XDMCP in <file>/etc/X11/xdm/xdm-config</file> by setting the requestPort to 0)"
msgstr "Wenn Sie X laufen lassen, schalten Sie xhost-Authentifizierung ab und benutzen Sie stattdessen <prgn>ssh</prgn>. Oder noch besser: Deaktivieren Sie die Weiterleitung von X komplett, falls das möglich ist (fügen Sie -nolisten tcp zu der X-Kommando-Zeile hinzu und schalten Sie XDMCP in <file>/etc/X11/xdm/xdm-config</file> ab, indem Sie den requestPort auf 0 setzen)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:354
msgid "Disable remote access to printers"
msgstr "Schalten Sie Zugriff von außerhalb auf den Drucker ab."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:358
msgid "Tunnel any IMAP or POP sessions through SSL or <prgn>ssh</prgn>; install stunnel if you want to provide this service to remote mail users"
msgstr "Tunneln Sie alle IMAP- oder POP-Sitzungen durch SSL oder <prgn>ssh</prgn>. Installieren Sie stunnel, wenn Sie diesen Dienst anderen Mail-Benutzern anbieten wollen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:361
msgid "Set up a log host and configure other machines to send logs to this host (<file>/etc/syslog.conf</file>)"
msgstr "Setzen Sie einen Log-Host auf, und konfigurieren Sie andere Maschinen, ihre Protokolle an diesen Host zu senden (<file>/etc/syslog.conf</file>)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:364
msgid "Secure BIND, Sendmail, and other complex daemons (run in a <prgn>chroot</prgn> jail; run as a non-root pseudo-user)"
msgstr "Sichern Sie BIND, Sendmail und andere komplexe Daemonen ab (starten Sie sie in einer <prgn>chroot</prgn>-Umgebung und als Pseudobenutzer, der nicht Root ist)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:365
msgid "Install tiger or a similar network intrusion detection tool."
msgstr "Installieren Sie tiger oder ein ähnliches Werkzeug zur Erkennung von Eindringlingen in Ihr Netzwerk."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:366
msgid "Install snort or a similar network intrusion detection tool."
msgstr "Installieren Sie snort oder ein ähnliches Werkzeug zur Erkennung von Eindringlingen in Ihr Netzwerk."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:368
msgid "Do without NIS and RPC if you can (disable portmap)."
msgstr "Verzichten Sie, falls möglich, auf NIS und RPC (Abschalten von portmap)."
#. type: <p><list>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:371
msgid "Policy issues"
msgstr "Angelegenheiten mit Richtlinien:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:379
msgid "Educate users about the whys and hows of your policies. When you have prohibited something which is regularly available on other systems, provide documentation which explains how to accomplish similar results using other, more secure means."
msgstr "Klären Sie die Benutzer über das Wie und Warum Ihrer Richtlinien auf. Wenn Sie etwas verboten haben, das auf anderen Systemen normalerweise verfügbar ist, stellen Sie Dokumentation bereit, die erklärt, wie man die gleichen Resultate erreicht, indem man andere, sichere Mittel anwendet."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:383
msgid "Prohibit use of protocols which use clear-text passwords (<prgn>telnet</prgn>, <prgn>rsh</prgn> and friends; ftp, imap, http, ...)."
msgstr "Verbieten Sie die Nutzung von Protokollen, die Klartext-Passwörter benutzen (<prgn>telnet</prgn>, <prgn>rsh</prgn> und ähnliche, ftp, imap, pop, http, ...)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:385
msgid "Prohibit programs which use SVGAlib."
msgstr "Verbieten Sie Programme, die SVGAlib benutzen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:387
msgid "Use disk quotas."
msgstr "Benutzen Sie Disk-Quotas."
#. type: <p><list>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:390
msgid "Keep informed about security issues"
msgstr "Bleiben Sie über Sicherheitsangelegenheiten informiert:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:394
msgid "Subscribe to security mailing lists"
msgstr "Abonnieren Sie sicherheitsrelevante Mailinglisten."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:399
msgid "Configure <package>apt</package> for security updates -- add to <file>/etc/apt/sources.list</file> an entry (or entries) for http://security.debian.org/";
msgstr "Richten Sie Sicherheitsaktualisierungen für <package>apt</package> ein – fügen Sie <file>/etc/apt/sources.list</file> einen Eintrag (oder Einträge) für http://security.debian.org/ hinzu."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:404
msgid "Also remember to periodically run <prgn>apt-get update ; apt-get upgrade</prgn> (perhaps install as a <prgn>cron</prgn> job?) as explained in <ref id=\"security-update\">."
msgstr "Vergessen Sie auch nicht, regelmäßig <prgn>apt-get update ; apt-get upgrade</prgn> (vielleicht als <prgn>Cron</prgn>-Job?) laufen zu lassen, wie unter <ref id=\"security-update\"> beschrieben."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:411
msgid "Setting up a stand-alone IDS"
msgstr "Aufsetzen eines eigenständigen IDS"
#. type: <p><list>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:415
msgid "You can easily set up a dedicated Debian system as a stand-alone Intrusion Detection System using <package>snort</package> and a web-based interface to analyse the intrusion detection alerts:"
msgstr "Sie können sehr leicht eine Debian-Box als eigenständiges Eindringlings-Erkennungs-System (Intrusion Detection System, IDS) aufsetzen, indem Sie <package>snort</package> benutzen und eine webbasierte Schnittstelle zur Überwachung der Alarme über Eindringlinge einrichten:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:419
msgid "Install a base Debian system and select no additional packages."
msgstr "Installieren Sie ein Debian-Basis-System ohne zusätzliche Pakete."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:422
msgid "Install one of the Snort versions with database support and configure the IDS to log alerts into the database."
msgstr "Installieren Sie eine Version von Snort, die Datenbanken unterstützt, und richten Sie Snort so ein, dass die Alarme in der Datenbank protokolliert werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:426
msgid "Download and install BASE (Basic Analysis and Security Engine), or ACID (Analysis Console for Intrusion Databases). Configure it to use the same database than Snort."
msgstr "Laden Sie BASE (Basic Analysis and Security Engine) oder ACID (Analysis Console for Intrusion Databases, Konsole zur Analyse für Eindringling-Datenbanken) herunter und installieren Sie es. Konfigurieren Sie es so, dass es die gleiche Datenbank wie Snort verwendet."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:429
msgid "Download and install the necessary packages<footnote><p>Typically the needed packages will be installed through the dependencies</p></footnote>."
msgstr "Installieren Sie die notwendigen Pakete.<footnote>Normalerweise werden alle benötigten Pakete installiert, um Abhängigkeiten aufzulösen.</footnote>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:441
msgid "BASE is currently packaged for Debian in <package>acidbase</package> and ACID is packaged as <package>acidlab</package><footnote><p>It can also be downloaded from <url id=\"http://www.cert.org/kb/acid/\";>, <url id=\"http://acidlab.sourceforge.net\";> or <url id=\"http://www.andrew.cmu.edu/~rdanyliw/snort/\";>.</p></footnote>. Both provide a graphical WWW interface to Snort's output."
msgstr "BASE wird derzeit für Debian im Paket <package>acidbase</package> geliefert, ACID im Paket <package>acidlab</package>.<footnote>Es kann auch von <url id=\"http://www.cert.org/kb/acid/\";>, <url id=\"http://acidlab.sourceforge.net\";> oder <url id=\"http://www.andrew.cmu.edu/~rdanyliw/snort/\";> heruntergeladen werden.</footnote> Beide stellen eine graphische WWW-Schnittstelle zur Ausgabe von Snort zur Verfügung."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:447
msgid "Besides the base installation you will also need a web server (such as <package>apache</package>), a <prgn>PHP</prgn> interpreter and a relational database (such <package>postgresql</package> or <package>mysql</package>) where Snort will store its alerts."
msgstr "Neben der Grundinstallationen benötigen Sie auch einen Webserver (wie <package>apache</package>), einen <prgn>PHP</prgn>-Interpreter und eine relationale Datenbank (wie <package>postgresql</package> oder <package>mysql</package>), wo Snort seine Alarme ablegen kann."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:453
msgid "This system should be set up with at least two interfaces: one interface connected to a management LAN (for accessing the results and maintaining the system), and one interface with no IP address attached to the network segment being analyzed. You should configure the web server to listen only on the interface connected to the management LAN."
msgstr "Dieses System sollte mit wenigstens zwei Netzwerk-Schnittstellen ausgestattet sein: Eine verbunden mit einem Verwaltungs-LAN (um die Resultate abzufragen und das System zu verwalten), und eine ohne IP-Adresse, das an mit dem zu beobachtenden Abschnitt des Netzwerks verbunden ist. Sie sollten den Webserver so einrichten, dass er nur auf der Schnittstelle lauscht, die mit dem Verwaltungs-LAN verbunden ist."
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:459
msgid "You should configure both interfaces in the standard Debian <file>/etc/network/interfaces</file> configuration file. One (the management LAN) address can be configured as you would normally do. The other interface needs to be configured so that it is started up when the system boots, but with no interface address. You can use the following interface definition:"
msgstr "Sie sollten beide Schnittstellen in der Standardkonfigurationsdatei von Debian <file>/etc/network/interfaces</file> einrichten. Eine Adresse, nämlich die des Verwaltungs-LANs, sollten Sie wie gewöhnlich einrichten. Die andere Schnittstelle muss so konfiguriert werden, dass sie aktiviert wird, wenn das System startet, ihr darf aber keine Interface-Adresse zugewiesen sein. Eine Konfiguration der Schnittstelle könnte folgendermaßen aussehen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:466
#, no-wrap
msgid ""
"auto eth0\n"
"iface eth0 inet manual\n"
" up ifconfig $IFACE 0.0.0.0 up\n"
" up ip link set $IFACE promisc on\n"
" down ip link set $IFACE promisc off\n"
" down ifconfig $IFACE down"
msgstr ""
"auto eth0\n"
"iface eth0 inet manual\n"
" up ifconfig $IFACE 0.0.0.0 up\n"
" up ip link set $IFACE promisc on\n"
" down ip link set $IFACE promisc off\n"
" down ifconfig $IFACE down"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:477
msgid "The above configures an interface to read all the traffic on the network in a <em>stealth</em>-type configuration. This prevents the NIDS system to be a direct target in a hostile network since the sensors have no IP address on the network. Notice, however, that there have been known bugs over time in sensors part of NIDS (for example see <url id=\"http://www.debian.org/security/2003/dsa-297\"; name=\"DSA-297\"> related to Snort) and remote buffer overflows might even be triggered by network packet processing."
msgstr "Diese Konfiguration führt dazu, dass die Schnittstelle den gesamten Netzwerkverkehr <em>heimlich</em> mitliest. Damit wird verhindert, dass das NIDS in einem feindlichen Netzwerk direkt angegriffen werden kann, da die Sensoren im Netzwerk keine IP-Adresse haben. Beachten Sie aber, dass es im Lauf der Zeit Fehler im Sensorenteil des NIDS gab (z.B. <url id=\"http://www.debian.org/security/2003/dsa-297\"; name=\"DSA-297\"> im Zusammenhang mit Snort), und dass Pufferüberläufe auch entfernt durch die Verarbeitung von Netzwerkpaketen ausgelöst werden können."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:482
msgid "You might also want to read the <url id=\"http://www.faqs.org/docs/Linux-HOWTO/Snort-Statistics-HOWTO.html\"; name=\"Snort Statistics HOWTO\"> and the documentation available at the <url id=\"http://www.snort.org/docs/\"; name=\"Snort official site\">."
msgstr "Sie sollten auch einen Blick in das <url id=\"http://www.faqs.org/docs/Linux-HOWTO/Snort-Statistics-HOWTO.html\"; name=\"Snort Statistics HOWTO\"> und in die Dokumentation auf der <url id=\"http://www.snort.org/docs/\"; name=\"offiziellen Seite von Snort\"> werfen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:484
msgid "Setting up a bridge firewall"
msgstr "Aufsetzenden einer Bridge-Firewall"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:520
msgid "This information was contributed by Francois Bayart in order to help users set up a Linux bridge/firewall with the 2.4.x kernel and <package>iptables</package>. Kernel patches are no more needed as the code was made standard part of the Linux kernel distribution."
msgstr "Diese Informationen trug Francois Bayart bei, um Benutzern zu helfen, eine Linux Bridge/Firewall mit 2.4.x Kernel und <package>iptables</package> aufzusetzen. Ein Kernelpatch wird nicht mehr benötigt, da der Code Standardinhalt der Linux-Kernel-Distribution wurde."
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:524
msgid "To configure the kernel with necessary support, run <tt>make menuconfig</tt> or <tt>make xconfig</tt>. In the section <em>Networking options</em>, enable the following options:"
msgstr "Um die notwendigen Einstellungen im Kernel vorzunehmen, rufen Sie <tt>make menuconfig</tt> oder <tt>make xconfig</tt> auf. Aktivieren Sie im Abschnitt <em>Networking options</em> folgende Optionen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:529
#, no-wrap
msgid ""
"[*] Network packet filtering (replaces ipchains)\n"
"[ ] Network packet filtering debugging (NEW)\n"
"<*> 802.1d Ethernet Bridging\n"
"[*] netfilter (firewalling) support (NEW)"
msgstr ""
"[*] Network packet filtering (replaces ipchains)\n"
"[ ] Network packet filtering debugging (NEW)\n"
"<*> 802.1d Ethernet Bridging\n"
"[*] netfilter (firewalling) support (NEW)"
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:534
msgid "Caution: you must disable this if you want to apply some firewalling rules or else <prgn>iptables</prgn> will not work:"
msgstr "Passen Sie auf, dass Sie Folgendes deaktiviert müssen, wenn Sie Firewall-Regeln anwenden wollen; anderenfalls wird iptables nicht funktioniert:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:536
#, no-wrap
msgid "[ ] Network packet filtering debugging (NEW)"
msgstr "[ ] Network packet filtering debugging (NEW)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:546
msgid "Next, add the correct options in the section <em>IP: Netfilter Configuration</em>. Then, compile and install the kernel. If you want to do it the <em>Debian way</em>, install <package>kernel-package</package> and run <prgn>make-kpkg</prgn> to create a custom Debian kernel package you can install on your server using dpkg. Once the new kernel is compiled and installed, install the <package>bridge-utils</package> package."
msgstr "Anschließend müssen Sie die korrekten Optionen im Abschnitt <em>IP: Netfilter Configuration</em> setzen. Dann kompilieren und installieren Sie den Kernel. Wenn Sie dies auf die <em>Debian-Art</em> machen wollen, installieren Sie <package>kernel-package</package> und benutzen Sie <prgn>make-kpkg</prgn>, um ein maßgeschneidertes Debian-Kernelpaket zu erstellen, das Sie mit dpkg auf Ihrem Server installieren können. Sobald der neue Kernel kompiliert und installiert ist, müssen Sie das Paket <package>bridge-utils</package> installieren."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:551
msgid "Once these steps are complete, you can complete the configuration of your bridge. The next section presents two different possible configurations for the bridge, each with a hypothetical network map and the necessary commands."
msgstr "Wenn Sie diesen Schritt abgeschlossen haben, können Sie die Konfiguration Ihrer Bridge fertigstellen. Im nächsten Abschnitt werden Ihnen zwei verschiedene mögliche Konfigurationen einer Bridge vorgestellt. Beide sind mit einer Übersicht eines hypothetischen Netzwerks und den notwendigen Befehlen versehen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:553
msgid "A bridge providing NAT and firewall capabilities"
msgstr "Eine Bridge mit NAT- und Firewall-Fähigkeiten"
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:557
msgid "The first configuration uses the bridge as a firewall with network address translation (NAT) that protects a server and internal LAN clients. A diagram of the network configuration is shown below:"
msgstr "Die erste Konfigurationsmöglichkeit benutzt die Bridge als Firewall mit Network Address Translation (NAT, Übersetzung der Netzwerkadressen), die einen Server und interne LAN-Clienten schützt. Unten wird eine Darstellung der Anordnung des Netzwerks gezeigt:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:565
#, no-wrap
msgid ""
"Internet ---- router ( 62.3.3.25 ) ---- bridge (62.3.3.26 gw 62.3.3.25 / 192.168.0.1)\n"
" |\n"
" |\n"
" |---- WWW Server (62.3.3.27 gw 62.3.3.25)\n"
" |\n"
" |\n"
" LAN --- Zipowz (192.168.0.2 gw 192.168.0.1)"
msgstr ""
"Internet ---- Router ( 62.3.3.25 ) ---- Bridge (62.3.3.26 gw 62.3.3.25 / 192.168.0.1)\n"
" |\n"
" |\n"
" |---- WWW-Server (62.3.3.27 gw 62.3.3.25)\n"
" |\n"
" |\n"
" LAN --- Zipowz (192.168.0.2 gw 192.168.0.1)"
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:569
#: en/appendix.sgml:611
msgid "The following commands show how this bridge can be configured."
msgstr "Die folgenden Befehle zeigen, wie diese Bridge konfiguriert werden kann:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:592
#, no-wrap
msgid ""
"# Create the interface br0\n"
"/usr/sbin/brctl addbr br0\n"
"\n"
"# Add the Ethernet interface to use with the bridge\n"
"/usr/sbin/brctl addif br0 eth0\n"
"/usr/sbin/brctl addif br0 eth1\n"
"\n"
"# Start up the Ethernet interface\n"
"/sbin/ifconfig eth0 0.0.0.0\n"
"/sbin/ifconfig eth1 0.0.0.0\n"
"\n"
"# Configure the bridge ethernet\n"
"# The bridge will be correct and invisible ( transparent firewall ).\n"
"# It's hidden in a traceroute and you keep your real gateway on the \n"
"# other computers. Now if you want you can config a gateway on your \n"
"# bridge and choose it as your new gateway for the other computers.\n"
"\n"
"/sbin/ifconfig br0 62.3.3.26 netmask 255.255.255.248 broadcast 62.3.3.31\n"
"\n"
"# I have added this internal IP to create my NAT \n"
"ip addr add 192.168.0.1/24 dev br0\n"
"/sbin/route add default gw 62.3.3.25"
msgstr ""
"# Erstellen der Schnittstelle br0\n"
"/usr/sbin/brctl addbr br0\n"
"\n"
"# Hinzufügen der Ethernet-Schnittstelle, welche die Bridge benutzen soll\n"
"/usr/sbin/brctl addif br0 eth0\n"
"/usr/sbin/brctl addif br0 eth1\n"
"\n"
"# Starten der Ethernet-Schnittstelle\n"
"/sbin/ifconfig eth0 0.0.0.0\n"
"/sbin/ifconfig eth1 0.0.0.0\n"
"\n"
"# Konfigurieren der Ethernet-Bridge\n"
"# Die Bridge wird korrekt und unsichtbar (transparente Firewall) sein.\n"
"# In einem traceroute ist sie versteckt, und Sie behalten Ihr echtes\n"
"# Gateway auf Ihren anderen Computern. Jetzt können Sie ein Gateway\n"
"# auf Ihrer Bridge konfigurieren und es auf Ihren anderen Computern als\n"
"# neues Gateway einsetzen\n"
"\n"
"/sbin/ifconfig br0 62.3.3.26 netmask 255.255.255.248 broadcast 62.3.3.31\n"
"\n"
"# Ich habe diese internen IPs für mein NAT benutzt \n"
"ip addr add 192.168.0.1/24 dev br0\n"
"/sbin/route add default gw 62.3.3.25"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:596
msgid "A bridge providing firewall capabilities"
msgstr "Eine Bridge mit Firewall-Fähigkeiten"
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:599
msgid "A second possible configuration is a system that is set up as a transparent firewall for a LAN with a public IP address space."
msgstr "Eine zweite denkbare Konfiguration ist ein System, das als transparente Firewall für ein LAN mit einer öffentlichen IP-Adresse aufgesetzt ist."
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:607
#, no-wrap
msgid ""
"Internet ---- router (62.3.3.25) ---- bridge (62.3.3.26)\n"
" |\n"
" |\n"
" |---- WWW Server (62.3.3.28 gw 62.3.3.25)\n"
" |\n"
" |\n"
" |---- Mail Server (62.3.3.27 gw 62.3.3.25)"
msgstr ""
"Internet ---- Router (62.3.3.25) ---- Bridge (62.3.3.26)\n"
" |\n"
" |\n"
" |---- WWW-Server (62.3.3.28 gw 62.3.3.25)\n"
" |\n"
" |\n"
" |---- Mail-Server (62.3.3.27 gw 62.3.3.25)"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:630
#, no-wrap
msgid ""
"# Create the interface br0\n"
"/usr/sbin/brctl addbr br0\n"
"\n"
"# Add the Ethernet interface to use with the bridge\n"
"/usr/sbin/brctl addif br0 eth0\n"
"/usr/sbin/brctl addif br0 eth1\n"
"\n"
"# Start up the Ethernet interface\n"
"/sbin/ifconfig eth0 0.0.0.0\n"
"/sbin/ifconfig eth1 0.0.0.0\n"
"\n"
"# Configure the bridge Ethernet\n"
"# The bridge will be correct and invisible ( transparent firewall ).\n"
"# It's hidden in a traceroute and you keep your real gateway on the \n"
"# other computers. Now if you want you can config a gateway on your\n"
"# bridge and choose it as your new gateway for the other computers.\n"
"\n"
"/sbin/ifconfig br0 62.3.3.26 netmask 255.255.255.248 broadcast 62.3.3.31"
msgstr ""
"# Erstellen der Schnittstelle br0\n"
"/usr/sbin/brctl addbr br0\n"
"\n"
"# Hinzufügen der Ethernet-Schnittstelle, welche die Bridge benutzen soll\n"
"/usr/sbin/brctl addif br0 eth0\n"
"/usr/sbin/brctl addif br0 eth1\n"
"\n"
"# Starten der Ethernet-Schnittstelle\n"
"/sbin/ifconfig eth0 0.0.0.0\n"
"/sbin/ifconfig eth1 0.0.0.0\n"
"\n"
"# Konfigurieren der Ethernet-Bridge\n"
"# Die Bridge wird korrekt und unsichtbar (transparente Firewall) sein.\n"
"# In einem traceroute ist sie versteckt, und Sie behalten Ihr echtes\n"
"# Gateway auf Ihren anderen Computern. Jetzt können Sie ein Gateway\n"
"# auf Ihrer Bridge konfigurieren und es auf Ihren anderen Computern als\n"
"# neues Gateway einsetzen\n"
"\n"
"/sbin/ifconfig br0 62.3.3.26 netmask 255.255.255.248 broadcast 62.3.3.31"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:636
msgid "If you traceroute the Linux Mail Server, you won't see the bridge. If you want access to the bridge with <prgn>ssh</prgn>, you must have a gateway or you must first connect to another server, such as the \"Mail Server\", and then connect to the bridge through the internal network card."
msgstr "Wenn Sie mit <prgn>traceroute</prgn> die Route des Linux-Mail-Servers verfolgen, sehen Sie die Bridge nicht. Wenn Sie mit <prgn>ssh</prgn> auf die Bridge zugreifen wollen, müssen Sie ein Gateway haben oder erst auf einen anderen Server wie den »Mail Server« zugreifen, um dann über die interne Netzwerkkarte auf die Bridge zuzugreifen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:640
msgid "Basic IPtables rules"
msgstr "Grundlegende Iptables-Regeln"
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:643
msgid "This is an example of the basic rules that could be used for either of these setups."
msgstr "Dies ist ein Beispiel für grundlegende Regeln, die für beide Einstellungen benutzt werden können:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:680
#, no-wrap
msgid ""
"iptables -F FORWARD\n"
"iptables -P FORWARD DROP\n"
"iptables -A FORWARD -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -m state --state INVALID -j DROP\n"
"iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT\n"
"\n"
"# Some funny rules but not in a classic Iptables sorry ...\n"
"# Limit ICMP \n"
"# iptables -A FORWARD -p icmp -m limit --limit 4/s -j ACCEPT\n"
"# Match string, a good simple method to block some VIRUS very quickly\n"
"# iptables -I FORWARD -j DROP -p tcp -s 0.0.0.0/0 -m string --string \"cmd.exe\"\n"
"\n"
"# Block all MySQL connection just to be sure\n"
"iptables -A FORWARD -p tcp -s 0/0 -d 62.3.3.0/24 --dport 3306 -j DROP\n"
"\n"
"# Linux Mail Server Rules\n"
"\n"
"# Allow FTP-DATA (20), FTP (21), SSH (22) \n"
"iptables -A FORWARD -p tcp -s 0.0.0.0/0 -d 62.3.3.27/32 --dport 20:22 -j ACCEPT\n"
"\n"
"# Allow the Mail Server to connect to the outside\n"
"# Note: This is *not* needed for the previous connections \n"
"# (remember: stateful filtering) and could be removed.\n"
"iptables -A FORWARD -p tcp -s 62.3.3.27/32 -d 0/0 -j ACCEPT\n"
"\n"
"# WWW Server Rules\n"
"\n"
"# Allow HTTP ( 80 ) connections with the WWW server\n"
"iptables -A FORWARD -p tcp -s 0.0.0.0/0 -d 62.3.3.28/32 --dport 80 -j ACCEPT\n"
"\n"
"# Allow HTTPS ( 443 ) connections with the WWW server\n"
"iptables -A FORWARD -p tcp -s 0.0.0.0/0 -d 62.3.3.28/32 --dport 443 -j ACCEPT\n"
"\n"
"# Allow the WWW server to go out\n"
"# Note: This is *not* needed for the previous connections \n"
"# (remember: stateful filtering) and could be removed.\n"
"iptables -A FORWARD -p tcp -s 62.3.3.28/32 -d 0/0 -j ACCEPT"
msgstr ""
"iptables -F FORWARD\n"
"iptables -P FORWARD DROP\n"
"iptables -A FORWARD -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -m state --state INVALID -j DROP\n"
"iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT\n"
"\n"
"# Zwei lustige Regeln, aber nicht bei klassischen Iptables. Sorry ...\n"
"# Limit ICMP \n"
"# iptables -A FORWARD -p icmp -m limit --limit 4/s -j ACCEPT\n"
"# Übereinstimmende Strings, eine gute, einfache Methode, um Viren sehr\n"
"# schnell abzublocken\n"
"# iptables -I FORWARD -j DROP -p tcp -s 0.0.0.0/0 -m string --string \"cmd.exe\"\n"
"\n"
"# Abblocken aller MySQL-Verbindungen, nur um sicher zu gehen\n"
"iptables -A FORWARD -p tcp -s 0/0 -d 62.3.3.0/24 --dport 3306 -j DROP\n"
"\n"
"# Regeln für den Linux Mail-Server\n"
"\n"
"# Erlaube FTP-DATA (20), FTP (21), SSH (22)\n"
"iptables -A FORWARD -p tcp -s 0.0.0.0/0 -d 62.3.3.27/32 --dport 20:22 -j ACCEPT\n"
"\n"
"#Dem Mail-Server erlauben, sich mit der Außenwelt zu verbinden\n"
"# Beachten Sie: Dies ist *nicht* für die vorherigen Verbindungen\n"
"# notwendig (erinnern Sie sich: stateful filtering) und könnte entfernt\n"
"# werden:\n"
"iptables -A FORWARD -p tcp -s 62.3.3.27/32 -d 0/0 -j ACCEPT\n"
"\n"
"# Regeln für den WWW-Server\n"
"\n"
"# AErlaube HTTP ( 80 ) Verbindungen mit dem WWW-Server\n"
"iptables -A FORWARD -p tcp -s 0.0.0.0/0 -d 62.3.3.28/32 --dport 80 -j ACCEPT\n"
"\n"
"# Erlaube HTTPS ( 443 ) Verbindungen mit dem WWW-Server\n"
"iptables -A FORWARD -p tcp -s 0.0.0.0/0 -d 62.3.3.28/32 --dport 443 -j ACCEPT\n"
"\n"
"# Dem WWW-Server erlauben, sich mit der Außenwelt zu verbinden\n"
"# Beachten Sie: Dies ist *nicht* für die vorherigen Verbindungen\n"
"# notwendig (erinnern Sie sich: stateful filtering) und könnte entfernt\n"
"# werden:\n"
"iptables -A FORWARD -p tcp -s 62.3.3.28/32 -d 0/0 -j ACCEPT"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:684
msgid "Sample script to change the default Bind installation."
msgstr "Beispielskript, um die Standard-Installation von Bind zu ändern"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:693
msgid "This script automates the procedure for changing the <prgn>bind</prgn> version 8 name server's default installation so that it does <em>not</em> run as the superuser. Notice that <prgn>bind</prgn> version 9 in Debian already does this by default <footnote><p>Since version 9.2.1-5. That is, since Debian release <em>sarge</em>.</p></footnote> , and you are much better using that version than <prgn>bind</prgn> version 8."
msgstr "Dieses Skript automatisiert den Vorgang, die Standardinstallation des Name-Servers <prgn>bind</prgn> in der Version 8 zu ändern, so dass er <em>nicht</em> als Root läuft. Hinweis: Bei <prgn>bind</prgn> in der Version 9 in Debian ist dies standardmäßig so.<footnote>Ab der Version 9.2.1-5, also seit der Veröffentlichung von <em>Sarge</em>.</footnote> Diese Version ist demnach der Version 8 von <prgn>bind</prgn> vorzuziehen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:700
msgid "This script is here for historical purposes and to show how you can automate this kind of changes system-wide. The script will create the user and groups defined for the name server and will modify both <file>/etc/default/bind</file> and <file>/etc/init.d/bind</file> so that the program will run with that user. Use with extreme care since it has not been tested thoroughly."
msgstr "Dieses Skript ist hier aus historischen Gründen aufgeführt und soll zeigen, wie man diese Art von Veränderungen systemweit automatisieren kann. Das Skript wird den Benutzer und die Gruppe für den Name-Server erstellen und <file>/etc/default/bind</file> und <file>/etc/init.d/bind</file> so ändern, dass das Programm unter diesem Benutzer läuft. Benutzen Sie es äußerst vorsichtig, da es nicht eingehend getestet wurde."
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:705
msgid "You can also create the users manually and use the patch available for the default init.d script attached to <url id=\"http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=157245\"; name=\"bug report #157245\">."
msgstr "Sie können die Benutzer auch von Hand erstellen und dann den Patch für das Standard-Init.d-Skript verwenden, der im <url id=\"http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=157245\"; name=\"Fehlerbericht #157245\"> enthalten ist."
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:850
#, no-wrap
msgid ""
" #!/bin/sh\n"
" # Change the default Debian bind v8 configuration to have it run\n"
" # with a non-root user and group.\n"
" # \n"
" # DO NOT USER this with version 9, use debconf for configure this instead\n"
" #\n"
" # WARN: This script has not been tested thoroughly, please\n"
" # verify the changes made to the INITD script\n"
"\n"
" # (c) 2002 Javier Fernández-Sanguino Peña\n"
" #\n"
" # This program is free software; you can redistribute it and/or modify\n"
" # it under the terms of the GNU General Public License as published by\n"
" # the Free Software Foundation; either version 1, or (at your option)\n"
" # any later version.\n"
" #\n"
" # This program is distributed in the hope that it will be useful,\n"
" # but WITHOUT ANY WARRANTY; without even the implied warranty of\n"
" # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the\n"
" # GNU General Public License for more details.\n"
" #\n"
" # Please see the file `COPYING' for the complete copyright notice.\n"
" #\n"
"\n"
" restore() {\n"
" # Just in case, restore the system if the changes fail\n"
" echo \"WARN: Restoring to the previous setup since I'm unable to properly change it.\"\n"
" echo \"WARN: Please check the $INITDERR script.\"\n"
" mv $INITD $INITDERR\n"
" cp $INITDBAK $INITD\n"
" }\n"
"\n"
"\n"
" USER=named\n"
" GROUP=named\n"
" INITD=/etc/init.d/bind\n"
" DEFAULT=/etc/default/bind\n"
" INITDBAK=$INITD.preuserchange\n"
" INITDERR=$INITD.changeerror\n"
" AWKS=\"awk ' /\\/usr\\/sbin\\/ndc reload/ { print \\\"stop; sleep 2; start;\\\"; noprint = 1; } /\\\\\\\\$/ { if ( noprint != 0 ) { noprint = noprint + 1;} } /^.*$/ { if ( noprint != 0 ) { noprint = noprint - 1; } else { print \\$0; } } '\"\n"
"\n"
" [ `id -u` -ne 0 ] && {\n"
" echo \"This program must be run by the root user\"\n"
" exit 1\n"
" }\n"
"\n"
" RUNUSER=`ps eo user,fname |grep named |cut -f 1 -d \" \"`\n"
"\n"
" if [ \"$RUNUSER\" = \"$USER\" ] \n"
" then\n"
" echo \"WARN: The name server running daemon is already running as $USER\"\n"
" echo \"ERR: This script will not do any changes to your setup.\"\n"
" exit 1\n"
" fi\n"
" if [ ! -f \"$INITD\" ]\n"
" then\n"
" echo \"ERR: This system does not have $INITD (which this script tries to change)\"\n"
" RUNNING=`ps eo fname |grep named`\n"
" [ -z \"$RUNNING\" ] && \\\n"
" echo \"ERR: In fact the name server daemon is not even running (is it installed?)\"\n"
" echo \"ERR: No changes will be made to your system\"\n"
" exit 1\n"
" fi\n"
"\n"
" # Check if there are options already setup \n"
" if [ -e \"$DEFAULT\" ]\n"
" then\n"
" if grep -q ^OPTIONS $DEFAULT; then\n"
" echo \"ERR: The $DEFAULT file already has options set.\"\n"
" echo \"ERR: No changes will be made to your system\"\n"
" fi\n"
" fi\n"
"\n"
" # Check if named group exists\n"
" if [ -z \"`grep $GROUP /etc/group`\" ] \n"
" then\n"
" echo \"Creating group $GROUP:\"\n"
" addgroup $GROUP\n"
" else\n"
" echo \"WARN: Group $GROUP already exists. Will not create it\"\n"
" fi\n"
" # Same for the user\n"
" if [ -z \"`grep $USER /etc/passwd`\" ] \n"
" then\n"
" echo \"Creating user $USER:\"\n"
" adduser --system --home /home/$USER \\\n"
" --no-create-home --ingroup $GROUP \\\n"
" --disabled-password --disabled-login $USER\n"
" else\n"
" echo \"WARN: The user $USER already exists. Will not create it\"\n"
" fi\n"
"\n"
" # Change the init.d script\n"
"\n"
" # First make a backup (check that there is not already\n"
" # one there first)\n"
" if [ ! -f $INITDBAK ] \n"
" then\n"
" cp $INITD $INITDBAK\n"
" fi\n"
"\n"
" # Then use it to change it\n"
" cat $INITDBAK |\n"
" eval $AWKS > $INITD\n"
"\n"
" # Now put the options in the /etc/default/bind file:\n"
" cat >>$DEFAULT <<EOF\n"
"# Make bind run with the user we defined\n"
"OPTIONS=\"-u $USER -g $GROUP\"\n"
"EOF\n"
"\n"
" echo \"WARN: The script $INITD has been changed, trying to test the changes.\"\n"
" echo \"Restarting the named daemon (check for errors here).\"\n"
"\n"
" $INITD restart\n"
" if [ $? -ne 0 ] \n"
" then\n"
" echo \"ERR: Failed to restart the daemon.\"\n"
" restore\n"
" exit 1\n"
" fi\n"
"\n"
" RUNNING=`ps eo fname |grep named`\n"
" if [ -z \"$RUNNING\" ] \n"
" then\n"
" echo \"ERR: Named is not running, probably due to a problem with the changes.\"\n"
" restore\n"
" exit 1\n"
" fi\n"
"\n"
" # Check if it's running as expected\n"
" RUNUSER=`ps eo user,fname |grep named |cut -f 1 -d \" \"`\n"
"\n"
" if [ \"$RUNUSER\" = \"$USER\" ] \n"
" then\n"
" echo \"All has gone well, named seems to be running now as $USER.\"\n"
" else\n"
" echo \"ERR: The script failed to automatically change the system.\"\n"
" echo \"ERR: Named is currently running as $RUNUSER.\"\n"
" restore\n"
" exit 1\n"
" fi\n"
"\n"
" exit 0"
msgstr ""
" #!/bin/sh\n"
" # Change the default Debian bind v8 configuration to have it run\n"
" # with a non-root user and group.\n"
" # \n"
" # DO NOT USER this with version 9, use debconf for configure this instead\n"
" #\n"
" # WARN: This script has not been tested thoroughly, please\n"
" # verify the changes made to the INITD script\n"
"\n"
" # (c) 2002 Javier Fernández-Sanguino Peña\n"
" #\n"
" # This program is free software; you can redistribute it and/or modify\n"
" # it under the terms of the GNU General Public License as published by\n"
" # the Free Software Foundation; either version 1, or (at your option)\n"
" # any later version.\n"
" #\n"
" # This program is distributed in the hope that it will be useful,\n"
" # but WITHOUT ANY WARRANTY; without even the implied warranty of\n"
" # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the\n"
" # GNU General Public License for more details.\n"
" #\n"
" # Please see the file `COPYING' for the complete copyright notice.\n"
" #\n"
"\n"
" restore() {\n"
" # Just in case, restore the system if the changes fail\n"
" echo \"WARN: Restoring to the previous setup since I'm unable to properly change it.\"\n"
" echo \"WARN: Please check the $INITDERR script.\"\n"
" mv $INITD $INITDERR\n"
" cp $INITDBAK $INITD\n"
" }\n"
"\n"
"\n"
" USER=named\n"
" GROUP=named\n"
" INITD=/etc/init.d/bind\n"
" DEFAULT=/etc/default/bind\n"
" INITDBAK=$INITD.preuserchange\n"
" INITDERR=$INITD.changeerror\n"
" AWKS=\"awk ' /\\/usr\\/sbin\\/ndc reload/ { print \\\"stop; sleep 2; start;\\\"; noprint = 1; } /\\\\\\\\$/ { if ( noprint != 0 ) { noprint = noprint + 1;} } /^.*$/ { if ( noprint != 0 ) { noprint = noprint - 1; } else { print \\$0; } } '\"\n"
"\n"
" [ `id -u` -ne 0 ] && {\n"
" echo \"This program must be run by the root user\"\n"
" exit 1\n"
" }\n"
"\n"
" RUNUSER=`ps eo user,fname |grep named |cut -f 1 -d \" \"`\n"
"\n"
" if [ \"$RUNUSER\" = \"$USER\" ] \n"
" then\n"
" echo \"WARN: The name server running daemon is already running as $USER\"\n"
" echo \"ERR: This script will not do any changes to your setup.\"\n"
" exit 1\n"
" fi\n"
" if [ ! -f \"$INITD\" ]\n"
" then\n"
" echo \"ERR: This system does not have $INITD (which this script tries to change)\"\n"
" RUNNING=`ps eo fname |grep named`\n"
" [ -z \"$RUNNING\" ] && \\\n"
" echo \"ERR: In fact the name server daemon is not even running (is it installed?)\"\n"
" echo \"ERR: No changes will be made to your system\"\n"
" exit 1\n"
" fi\n"
"\n"
" # Check if there are options already setup \n"
" if [ -e \"$DEFAULT\" ]\n"
" then\n"
" if grep -q ^OPTIONS $DEFAULT; then\n"
" echo \"ERR: The $DEFAULT file already has options set.\"\n"
" echo \"ERR: No changes will be made to your system\"\n"
" fi\n"
" fi\n"
"\n"
" # Check if named group exists\n"
" if [ -z \"`grep $GROUP /etc/group`\" ] \n"
" then\n"
" echo \"Creating group $GROUP:\"\n"
" addgroup $GROUP\n"
" else\n"
" echo \"WARN: Group $GROUP already exists. Will not create it\"\n"
" fi\n"
" # Same for the user\n"
" if [ -z \"`grep $USER /etc/passwd`\" ] \n"
" then\n"
" echo \"Creating user $USER:\"\n"
" adduser --system --home /home/$USER \\\n"
" --no-create-home --ingroup $GROUP \\\n"
" --disabled-password --disabled-login $USER\n"
" else\n"
" echo \"WARN: The user $USER already exists. Will not create it\"\n"
" fi\n"
"\n"
" # Change the init.d script\n"
"\n"
" # First make a backup (check that there is not already\n"
" # one there first)\n"
" if [ ! -f $INITDBAK ] \n"
" then\n"
" cp $INITD $INITDBAK\n"
" fi\n"
"\n"
" # Then use it to change it\n"
" cat $INITDBAK |\n"
" eval $AWKS > $INITD\n"
"\n"
" # Now put the options in the /etc/default/bind file:\n"
" cat >>$DEFAULT <<EOF\n"
"# Make bind run with the user we defined\n"
"OPTIONS=\"-u $USER -g $GROUP\"\n"
"EOF\n"
"\n"
" echo \"WARN: The script $INITD has been changed, trying to test the changes.\"\n"
" echo \"Restarting the named daemon (check for errors here).\"\n"
"\n"
" $INITD restart\n"
" if [ $? -ne 0 ] \n"
" then\n"
" echo \"ERR: Failed to restart the daemon.\"\n"
" restore\n"
" exit 1\n"
" fi\n"
"\n"
" RUNNING=`ps eo fname |grep named`\n"
" if [ -z \"$RUNNING\" ] \n"
" then\n"
" echo \"ERR: Named is not running, probably due to a problem with the changes.\"\n"
" restore\n"
" exit 1\n"
" fi\n"
"\n"
" # Check if it's running as expected\n"
" RUNUSER=`ps eo user,fname |grep named |cut -f 1 -d \" \"`\n"
"\n"
" if [ \"$RUNUSER\" = \"$USER\" ] \n"
" then\n"
" echo \"All has gone well, named seems to be running now as $USER.\"\n"
" else\n"
" echo \"ERR: The script failed to automatically change the system.\"\n"
" echo \"ERR: Named is currently running as $RUNUSER.\"\n"
" restore\n"
" exit 1\n"
" fi\n"
"\n"
" exit 0"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:856
msgid "The previous script, run on Woody's (Debian 3.0) custom <prgn>bind</prgn> (version 8), will modify the initd file after creating the 'named' user and group and will"
msgstr "Das obige Skript wird, wenn es auf Woodys (Debian 3.0) <prgn>bind</prgn> (Version 8) angewendet wird, die initd-Datei verändern, nachdem der Benutzer und die Gruppe »named« erstellt wurde."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:858
msgid "Security update protected by a firewall"
msgstr "Schutz der Sicherheitsaktualisierung durch eine Firewall"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:864
msgid "After a standard installation, a system may still have some security vulnerabilities. Unless you can download updates for the vulnerable packages on another system (or you have mirrored security.debian.org for local use), the system will have to be connected to the Internet for the downloads."
msgstr "Nach einer Standard-Installation könnten immer noch Sicherheitslücken auf dem System vorhanden sein. Falls Sie die Aktualisierungen für die verwundbaren Pakete nicht auf einem anderen System herunterladen können (oder security.debian.org zu lokalen Zwecken spiegeln können), müssen Sie sich mit dem Internet verbinden, um die Pakete herunterzuladen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:872
msgid "However, as soon as you connect to the Internet you are exposing this system. If one of your local services is vulnerable, you might be compromised even before the update is finished! This may seem paranoid but, in fact, analysis from the <url id=\"http://www.honeynet.org\"; name=\"Honeynet Project\"> has shown that systems can be compromised in less than three days, even if the system is not publicly known (i.e., not published in DNS records)."
msgstr "Wenn Sie sich jedoch mit dem Internet verbinden, setzen Sie Ihr System einer Gefahr aus. Wenn einer Ihrer lokalen Dienste angreifbar ist, könnten Sie kompromittiert sein, noch bevor die Aktualisierung beendet ist! Sie mögen dies paranoid finden, aber eine Analyse vom <url id=\"http://www.honeynet.org\"; name=\"Honeynet Project\"> zeigt tatsächlich, dass ein System in weniger als drei Tagen kompromittiert werden kann, sogar wenn das System gar nicht der Öffentlichkeit bekannt ist (d.h. nicht in DNS-Einträgen auftaucht)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:880
msgid "When doing an update on a system not protected by an external system like a firewall, it is possible to properly configure your local firewall to restrict connections involving only the security update itself. The example below shows how to set up such local firewall capabilities, which allow connections from security.debian.org only, logging all others."
msgstr "Wenn Sie eine Aktualisierung Ihres Systems durchführen, das nicht von einem externen System (z.B. einer Firewall) geschützt ist, können Sie trotzdem eine lokale Firewall so konfigurieren, dass Sie nur die Sicherheitsaktualisierung selbst erlaubt. Das Beispiel unten zeigt, wie die lokale Firewall aufgesetzt werden muss, damit nur Verbindungen zu security.debian.org erlaubt werden, während der Rest protokolliert wird."
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:884
msgid "The following example can be use to setup a restricted firewall ruleset. Run this commands from a local console (not a remote one) to reduce the chances of locking yourself out of the system."
msgstr "Im nachfolgenden Beispiel wird ein strenges Regelwerk für eine Firewall dargestellt. Führen Sie diese Befehle auf einer lokalen Konsole aus (und nicht auf einer entfernten), um das Risiko zu verringern, sich aus Ihrem System auszusperren."
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:917
#, no-wrap
msgid ""
" # iptables -F\n"
" # iptables -L\n"
" Chain INPUT (policy ACCEPT)\n"
" target prot opt source destination\n"
"\n"
" Chain FORWARD (policy ACCEPT)\n"
" target prot opt source destination\n"
"\n"
" Chain OUTPUT (policy ACCEPT)\n"
" target prot opt source destination\n"
" # iptables -A OUTPUT -d security.debian.org --dport 80 -j ACCEPT\n"
" # iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT\n"
" # iptables -A INPUT -p icmp -j ACCEPT\n"
" # iptables -A INPUT -j LOG\n"
" # iptables -A OUTPUT -j LOG\n"
" # iptables -P INPUT DROP\n"
" # iptables -P FORWARD DROP\n"
" # iptables -P OUTPUT DROP\n"
" # iptables -L\n"
" Chain INPUT (policy DROP)\n"
" target prot opt source destination\n"
" ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED\n"
" ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0\n"
" LOG all -- anywhere anywhere LOG level warning\n"
"\n"
" Chain FORWARD (policy DROP)\n"
" target prot opt source destination\n"
"\n"
" Chain OUTPUT (policy DROP)\n"
" target prot opt source destination\n"
" ACCEPT 80 -- anywhere security.debian.org\n"
" LOG all -- anywhere anywhere LOG level warning"
msgstr ""
" # iptables -F\n"
" # iptables -L\n"
" Chain INPUT (policy ACCEPT)\n"
" target prot opt source destination\n"
"\n"
" Chain FORWARD (policy ACCEPT)\n"
" target prot opt source destination\n"
"\n"
" Chain OUTPUT (policy ACCEPT)\n"
" target prot opt source destination\n"
" # iptables -A OUTPUT -d security.debian.org --dport 80 -j ACCEPT\n"
" # iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT\n"
" # iptables -A INPUT -p icmp -j ACCEPT\n"
" # iptables -A INPUT -j LOG\n"
" # iptables -A OUTPUT -j LOG\n"
" # iptables -P INPUT DROP\n"
" # iptables -P FORWARD DROP\n"
" # iptables -P OUTPUT DROP\n"
" # iptables -L\n"
" Chain INPUT (policy DROP)\n"
" target prot opt source destination\n"
" ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED\n"
" ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0\n"
" LOG all -- anywhere anywhere LOG level warning\n"
"\n"
" Chain FORWARD (policy DROP)\n"
" target prot opt source destination\n"
"\n"
" Chain OUTPUT (policy DROP)\n"
" target prot opt source destination\n"
" ACCEPT 80 -- anywhere security.debian.org\n"
" LOG all -- anywhere anywhere LOG level warning"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:955
msgid "Note: Using a <em>DROP</em> policy in the INPUT chain is the most correct thing to do, but be <em>very</em> careful when doing this after flushing the chain from a remote connection. When testing firewall rulesets from a remote location it is best if you run a script with the firewall ruleset (instead of introducing the ruleset line by line through the command line) and, as a precaution, keep a backdoor<footnote><p>Such as <em>knockd</em>. Alternatively, you can open a different console and have the system ask for confirmation that there is somebody on the other side, and reset the firewall chain if no confirmation is given. The following test script could be of use: <example>#!/bin/bash while true; do read -n 1 -p \"Are you there? \" -t 30 ayt if [ -z \"$ayt\" ] ; then break fi done # Reset the firewall chain, user is not available echo echo \"Resetting firewall chain!\" iptables -F iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT exit 1</example></p><p>Of course, you should disable any backdoors before getting the system into production.</p></footnote> configured so that you can re-enable access to the system if you make a mistake. That way there would be no need to go to a remote location to fix a firewall ruleset that blocks you."
msgstr ""
"Hinweis: Es ist die vorzugswürdige Verfahrensweise, die Policy-Regel <em>DROP</em> für die Input-Kette zu verwenden. Seien Sie aber <em>äußerst</em> vorsichtig, wenn Sie dies bei einer entfernten Verbindung unternehmen. Wenn Sie das Regelwerk Ihrer Firewall aus der Ferne testen, ist es am besten, wenn Sie ein Skript mit dem Regelwerk laufen lassen (anstatt jede Regel Zeile für Zeile von der Befehlszeile aus einzugeben) und sich vorsorglich eine Hintertür<footnote>Wie z.B. <em>knockd</em>. Alternativ dazu können Sie auch eine separate Konsole öffnen und das System nachfragen lassen, ob sich jemand auf der Gegenseite befindet. Wenn keine Eingabe erfolgt, werden die Firewall-Regeln zurückgesetzt. Ein Beispiel dafür ist: <example>#!/bin/bash\n"
"\n"
"while true; do\n"
" read -n 1 -p \"Are you there? \" -t 30 ayt\n"
" if [ -z \"$ayt\" ] ; then\n"
" break\n"
" fi\n"
"done\n"
"\n"
"# Reset the firewall chain, user is not available\n"
"echo\n"
"echo \"Resetting firewall chain!\"\n"
"iptables -F\n"
"iptables -P INPUT ACCEPT\n"
"iptables -P FORWARD ACCEPT\n"
"iptables -P OUTPUT ACCEPT\n"
"exit 1\n"
"</example> <p>Selbstverständlich müssen Sie alle Hintertüren abschalten, ehe Sie Ihr System in Betrieb nehmen.</footnote>offen halten, so dass Sie wieder Zugriff auf Ihr System bekommen, wenn Sie einen Fehler gemacht haben. Auf diese Weise müssen Sie sich nicht auf den Weg zum entfernten Rechner machen, um die Firewall-Regel, mit der Sie sich ausgeschlossen haben, zu korrigieren."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:960
msgid "FIXME: This needs DNS to be working properly since it is required for security.debian.org to work. You can add security.debian.org to /etc/hosts but now it is a CNAME to several hosts (there is more than one security mirror)"
msgstr "FIXME: This needs DNS to be working properly since it is required for security.debian.org to work. You can add security.debian.org to /etc/hosts but now it is a CNAME to several hosts (there is more than one security mirror)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:963
msgid "FIXME: this will only work with HTTP URLs since ftp might need the ip_conntrack_ftp module, or use passive mode."
msgstr "FIXME: this will only work with HTTP URLs since ftp might need the ip_conntrack_ftp module, or use passive mode."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:965
msgid "<prgn>Chroot</prgn> environment for <prgn>SSH</prgn>"
msgstr "<prgn>Chroot</prgn>-Umgebung für <prgn>SSH</prgn>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:968
msgid "Creating a restricted environment for <prgn>SSH</prgn> is a tough job due to its dependencies and the fact that, unlike other servers, <prgn>SSH</prgn> provides a remote shell to users. Thus, you will also have to consider the applications users will be allowed to use in the environment."
msgstr "Es ist eine schwere Aufgabe, eine eingeschränkte Umgebung für <prgn>SSH</prgn> zu erstellen. Das liegt zum einen an seinen Abhängigkeiten und zum anderen daran, dass <prgn>SSH</prgn> im Gegensatz zu anderen Servern den Benutzern eine entfernte Shell zur Verfügung stellt. Daher müssen Sie sich überlegen, welche Programme Benutzer in der Umgebung verwenden sollen."
#. type: <p><list>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:972
msgid "You have two options to setup a restricted remote shell:"
msgstr "Sie haben zwei Möglichkeiten, eine beschränkte entfernte Shell einzurichten:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:977
msgid "Chrooting the ssh users, by properly configuring the ssh daemon you can ask it to chroot a user after authentication just before it is provided a shell. Each user can have their own environment."
msgstr "die SSH-Benutzer in ein Chroot-Gefängnis einsperren: Dazu müssen Sie den SSH-Daemon so konfigurieren, dass er Benutzer nach der Authentifizierung in ein Chroot-Gefängnis einsperrt, bevor sie eine Shell bekommen. Jeder Benutzer kann seine eigene Umgebung haben."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:980
msgid "Chrooting the ssh server, since you chroot the ssh application itself all users are chrooted to the defined environment."
msgstr "den SSH-Server in ein Chroot-Gefängnis einsperren: Wenn die SSH-Anwendung sich selbst in einer Chroot-Umgebung befindet, sind auch alle Benutzer in diese Umgebung eingesperrt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:992
msgid "The first option has the advantage of making it possible to have both non-chrooted and chrooted users, if you don't introduce any setuid application in the user's chroots it is more difficult to break out of it. However, you might need to setup individual chroots for each user and it is more difficult to setup (as it requires cooperation from the SSH server). The second option is more easy to setup, and protects from an exploitation of the ssh server itself (since it's also in the chroot) but it will have the limitation that all users will share the same chroot environment (you cannot setup a per-user chroot environment)."
msgstr "Die erste Möglichkeit hat den Vorteil, dass es möglich ist, sowohl unbeschränkte als auch beschränkte Benutzer zu haben. Falls Sie keine Setuid-Anwendungen in der Chroot-Umgebung zur Verfügung stellen, wird es schwieriger, aus dem Gefängnis auszubrechen. Allerdings müssen Sie gegebenenfalls Chroot-Umgebungen für jeden Benutzer einzeln einrichten. Außerdem ist die Konfiguration schwieriger, da es Zusammenarbeit mit dem SSH-Server erfordert. Die zweite Möglichkeit ist leichter zu verwirklichen und schützt vor dem Ausnutzen eines Exploits des SSH-Servers, da auch dieser im Chroot-Gefängnis ist. Jedoch müssen alle Benutzer die gleiche Chroot-Umgebung verwenden. Verschiedene Umgebungen für verschiedene Benutzer sind nicht möglich."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:994
msgid "Chrooting the ssh users"
msgstr "SSH-Benutzer in ein Chroot-Gefängnis einsperren"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:997
msgid "You can setup the ssh server so that it will chroot a set of defined users into a shell with a limited set of applications available."
msgstr "Sie können den SSH-Server so einrichten, dass er bestimmte Benutzer in eine Chroot-Umgebung einsperrt, so dass sie eine Shell mit nur einer beschränkten Anzahl von Anwendungen zur Verfügung haben."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:999
msgid "Using <package>libpam-chroot</package>"
msgstr "Einsatz von <package>libpam-chroot</package>"
#. type: <p><list>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1002
msgid "Probably the easiest way is to use the <package>libpam-chroot</package> package provided in Debian. Once you install it you need to:"
msgstr "Der wahrscheinlich leichteste Weg ist, das Paket <package>libpam-chroot</package>, das in Debian vorhanden ist, zu verwenden. Wenn Sie es installiert haben, müssen Sie:"
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1007
msgid "Modify <file>/etc/pam.d/ssh</file> to use this PAM module, add as its last line<footnote><p>You can use the <em>debug</em> option to have it send the progress of the module to the <em>authpriv.notice</em> facility</p></footnote>:"
msgstr "<file>/etc/pam.d/ssh</file> verändern, um dieses PAM-Modul zu verwenden. Fügen Sie dazu als letzte Zeile Folgendes ein<footnote>Sie können die Option <em>debug</em> verwenden. Damit wird der Fortschritt des Moduls unter <em>authpriv.notice</em> protokolliert.</footnote>:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1009
#, no-wrap
msgid "session required pam_chroot.so"
msgstr "session required pam_chroot.so"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1043
msgid "set a proper chroot environment for the user. You can try using the scripts available at <file>/usr/share/doc/libpam-chroot/examples/</file>, use the <package>makejail</package> <footnote><p>You can create a very limited bash environment with the following python definition for makejail, just create the directory <file>/var/chroots/users/foo</file> and a file with the following contents and call it <file>bash.py</file>: <example>chroot=\"/var/chroots/users/foo\" cleanJailFirst=1 testCommandsInsideJail=[\"bash ls\"]</example></p><p>And then run <em>makejail bash.py</em> to create the user environment at <file>/var/chroots/users/foo</file>. To test the environment run: <example># chroot /var/chroots/users/foo/ ls bin dev etc lib proc sbin usr</example></p></footnote> program or setup a minimum Debian environment with <package>debootstrap</package>. Make sure the environment includes the needed devices <footnote><p>In some occasions you might need the <file>/dev/ptmx</file> and <file>/dev/pty*</file> devices and the <file>/dev/pts/</file> subdirectory. Running MAKEDEV in the <file>/dev</file> directory of the chrooted environment should be sufficient to create them if they do not exist. If you are using kernels (version 2.6) which dynamically create device files you will need to create the /dev/pts/ files yourself and grant them the proper privileges.</p></footnote>."
msgstr ""
"eine passende Chroot-Umgebung für die Benutzer einrichten. Sie können versuchen, die Skripte unter <file>/usr/share/doc/libpam-chroot/examples/</file> zu verwenden, das Programm <package>makejail</package> benutzen<footnote>Mit folgendem Python-Aufruf können Sie eine sehr eingeschränkte Bash-Umgebung für makejail erstellen. Erstellen Sie das Verzeichnis <file>/var/chroots/users/foo</file> und eine Datei mit dem Namen <file>bash.py</file> und folgendem Inhalt: <example> chroot=\"/var/chroots/users/foo\"\n"
" cleanJailFirst=1\n"
" testCommandsInsideJail=[\"bash ls\"]</example> Führen Sie dann <em>makejail bash.py</em> aus, um eine Benutzer-Umgebung unter <file>/var/chroots/users/foo</file> zu erstellen. So testen Sie die Umgebung: <example> # chroot /var/chroots/users/foo/ ls\n"
" bin dev etc lib proc sbin usr </example> </footnote> oder eine minimale Debian-Umgebung mit <package>debootstrap</package> aufsetzen. Stellen Sie sicher, dass die Umgebung die notwendigen Geräte enthält.<footnote> Unter Umständen benötigen Sie die Geräte <file>/dev/ptmx</file> und <file>/dev/pty*</file> und das Unterverzeichnis <file>/dev/pts/</file>. Es sollte ausreichen, MAKEDEV im <file>/dev</file>-Verzeichnis der Chroot-Umgebung auszuführen, um sie zu erstellen, falls sie nicht existieren. Wenn Sie einen Kernel einsetzen, der die Gerätedateien dynamisch erstellt (Version 2.6), müssen Sie die Dateien /dev/pts/ selbst erstellen und mit den passenden Rechten ausstatten.</footnote>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1049
msgid "Configure <file>/etc/security/chroot.conf</file> so that the users you determine are chrooted to the directory you setup previously. You might want to have independent directories for different users so that they will not be able to see neither the whole system nor each other's."
msgstr "<file>/etc/security/chroot.conf</file> bearbeiten, damit die ausgewählten Benutzer in das Verzeichnis eingesperrt werden, das Sie zuvor eingerichtet haben. Sie sollten getrennte Verzeichnisse für verschiedene Benutzer haben, damit sie weder das ganze System noch sich gegenseitig sehen können."
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1057
msgid "Configure SSH: Depending on your OpenSSH version the chroot environment might work straight of the box or not. Since 3.6.1p2 the <em>do_pam_session()</em> function is called after sshd has dropped privileges, since chroot() needs root priviledges it will not work with Privilege separation on. In newer OpenSSH versions, however, the PAM code has been modified and do_pam_session is called before dropping priviledges so it will work even with Privilege separation is on. If you have to disable it modify <file>/etc/ssh/sshd_config</file> like this:"
msgstr "SSH konfigurieren: Je nach der eingesetzten OpenSSH-Version funktioniert die Chroot-Umgebung sofort. Seit 3.6.1p2 wird die Funktion <em>do_pam_session()</em> aufgerufen, nachdem sshd seine Rechte abgelegt hat. Da chroot() Root-Rechte benötigt, wird es mit Rechtetrennung nicht funktionieren. Allerdings wurde in neueren OpenSSH-Versionen der PAM-Code verändert, so dass do_pam_session vor dem Ablegen der Rechte aufgerufen wird. Daher funktioniert es auch mit aktivierter Rechtetrennung. Falls Sie sie abschalten müssen, müssen Sie <file>/etc/ssh/sshd_config</file> so verändern:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1059
#, no-wrap
msgid "UsePrivilegeSeparation no"
msgstr "UsePrivilegeSeparation no"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1071
msgid "Notice that this will lower the security of your system since the OpenSSH server will then run as <em>root</em> user. This means that if a remote attack is found against OpenSSH an attacker will get <em>root</em> privileges instead of <em>sshd</em>, thus compromising the whole system. <footnote><p>If you are using a kernel that implements Mandatory Access Control (RSBAC/SElinux) you can avoid changing this configuration just by granting the <em>sshd</em> user privileges to make the chroot() system call.</p></footnote>"
msgstr "Beachten Sie, dass das die Sicherheit Ihres Systems verringern wird, da dann der OpenSSH-Server als <em>Root</em> läuft. Das bedeutet, dass wenn eine Angriffsmöglichkeit aus der Ferne gegen OpenSSH entdeckt wird, ein Angreifer <em>Root</em>-Rechte anstatt nur <em>Sshd</em>-Rechte erlangen wird und somit das gesamte System kompromittiert.<footnote> Wenn Sie einen Kernel verwenden, der Mandatory-Access-Control (RSBAC/SElinux) unterstützt, müssen Sie die Konfiguration nicht ändern, wenn Sie dem <em>Sshd</em>-Benutzer die notwendigen Rechte einräumen, um den Systemaufruf chroot() ausführen zu können.</footnote>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1077
msgid "If you don't disable <em>Privilege Separation</em> you will need an <file>/etc/passwd</file> which includes the user's UID inside the chroot for <em>Privilege Separation</em> to work properly."
msgstr "Wenn Sie die <em>Rechtetrennung</em> nicht deaktivieren, brauchen Sie im Chroot-Gefängnis <file>/etc/passwd</file>, welches die Benutzer-UID enthält, damit die <em>Rechtetrennung</em> funktioniert."
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1082
msgid "If you have <em>Privilege Separation</em> set to <strong>yes</strong> and your OpenSSH version does not behave properly you will need to disable it. If you don't, users that try to connect to your server and would be chrooted by this module will see this:"
msgstr "Wenn Sie die Option <em>Rechtetrennung</em> auf <strong>yes</strong> gesetzt haben und Ihre Version von OpenSSH nicht richtig läuft, müssen Sie sie abschalten. Wenn Sie das unterlassen, werden Benutzer, die sich mit Ihrem Server verbinden wollen und von diesem Modul in eine Chroot-Umgebung eingesperrt werden sollen, Folgendes zu sehen bekommen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1087
#, no-wrap
msgid ""
"$ ssh -l user server\n"
"user@server's password:\n"
"Connection to server closed by remote host.\n"
"Connection to server closed."
msgstr ""
"$ ssh -l user server\n"
"user@server's password:\n"
"Connection to server closed by remote host.\n"
"Connection to server closed."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1094
msgid "This is because the ssh daemon, which is running as 'sshd', is not be able to make the chroot() system call. To disable Privilege separation you have to modify the <file>/etc/ssh/sshd_config</file> configuration file as described above."
msgstr "Dies geschieht, weil der SSH-Daemon, der als »sshd« läuft, nicht den Systemaufruf chroot() ausführen kann. Um die Rechtetrennung abzuschalten, müssen Sie die Konfigurationsdatei <file>/etc/ssh/sshd_config</file> wie oben beschrieben verändern."
#. type: <p><list>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1097
msgid "Notice that if any of the following is missing the users will not be able to logon to the chroot:"
msgstr "Beachten Sie, dass, wenn Folgendes fehlt, sich die Benutzer nicht in der Chroot-Umgebung anmelden können:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1102
msgid "The <file>/proc</file> filesystem needs to be mounted in the users' chroot."
msgstr "Das Dateisystem <file>/proc</file> muss in der Chroot-Umgebung des Benutzers gemountet sein."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1106
msgid "The necessary <file>/dev/pts/</file> devices need to exist. If the files are generated by your running kernel automatically then you have to manually create them on the chroot's <file>/dev/</file>."
msgstr "Die notwendigen Geräte unter <file>/dev/pts/</file> müssen vorliegen. Falls diese Dateien automatisch vom Kernel erstellt werden, müssen Sie sie von Hand unter <file>/dev/</file> in der Chroot-Umgebung erstellen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1109
msgid "The user's home directory has to exist in the chroot, otherwise the ssh daemon will not continue."
msgstr "Das Home-Verzeichnis des Benutzers muss in der Chroot-Umgebung existieren. Ansonsten wird der SSH-Daemon nicht fortfahren."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1115
msgid "You can debug all these issues if you use the <em>debug</em> keyword in the <file>/etc/pam.d/ssh</file> PAM definition. If you encounter issues you might find it useful to enable the debugging mode on the ssh client too."
msgstr "Sie können diese Probleme mit dem Schlüsselwort <em>debug</em> in der PAM-Konfiguration <file>/etc/pam.d/ssh</file> debuggen. Falls Sie auf Probleme stoßen, kann es sich als nützlich erweisen, auch den Debugging-Modus des SSH-Clients zu aktivieren."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1119
msgid "Note: This information is also available (and maybe more up to date) in <file>/usr/share/doc/libpam-chroot/README.Debian.gz</file>, please review it for updated information before taking the above steps."
msgstr "Hinweis: Diese Informationen sind auch in <file>/usr/share/doc/libpam-chroot/README.Debian.gz</file> enthalten (und vielleicht aktueller). Bitte überprüfen Sie, ob dort aktualisierte Informationen vorhanden sind, bevor Sie die oben aufgezeigten Schritte ausführen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1123
msgid "Patching the <prgn>ssh</prgn> server"
msgstr "Patchen des <prgn>ssh</prgn>-Servers"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1144
msgid "Debian's <prgn>sshd</prgn> does not allow restriction of a user's movement through the server, since it lacks the <prgn>chroot</prgn> function that the commercial program <prgn>sshd2</prgn> includes (using 'ChrootGroups' or 'ChrootUsers', see <manref name=\"sshd2_config\" section=\"5\">). However, there is a patch available to add this functionality available from <url id=\"http://chrootssh.sourceforge.net\"; name=\"ChrootSSH project\"> (requested and available in <url id=\"http://bugs.debian.org/139047\"; name=\"Bug #139047\"> in Debian). The patch may be included in future releases of the OpenSSH package. Emmanuel Lacour has <prgn>ssh</prgn> deb packages for <em>sarge</em> with this feature. They are available at <url id=\"http://debian.home-dn.net/sarge/ssh/\";>. Notice that those might not be up to date so completing the compilation step is recommended."
msgstr "Debians <prgn>sshd</prgn> gestattet nicht, die Bewegungen eines Benutzer durch den Server zu beschränken, da er keine <prgn>Chroot</prgn>-Funktionalität besitzt. Diese ist im Gegensatz dazu Bestandteil des kommerziellen Programms <prgn>sshd2</prgn> (es verwendet »ChrootGroups« oder »ChrootUsers«, siehe <manref name=\"sshd2_config\" section=\"5\">). Allerdings gibt es einen Patch, der <prgn>sshd</prgn> um diese Funktion erweitert. Den Patch erhalten Sie unter <url id=\"http://chrootssh.sourceforge.net\"; name=\"ChrootSSH project\"> (wurde in <url id=\"http://bugs.debian.org/139047\"; name=\"Fehlerbericht #139047\"> nachgefragt). Der Patch könnte Bestandteil von zukünftigen Veröffentlichungen des OpenSSH-Pakets werden. Emmanuel Lacour bietet <prgn>ssh</prgn>-Pakete als Debs mit diesen Fähigkeiten für <em>Sarge</em> an. Sie sind unter <url id=\"http://debian.home-dn.net/sarge/ssh/\";> verfügbar. Beachten Sie aber, dass sie nicht aktuell sein müssen, daher wird empfohlen, den Weg der Kompilierung zu gehen."
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1148
msgid "After applying the patch, modify <file>/etc/passwd</file> by changing the home path of the users (with the special <tt>/./</tt> token):"
msgstr "Nachdem Sie den Patch angewendet haben, müssen Sie <file>/etc/passwd</file> anpassen und darin das Home-Verzeichnis der Benutzer ändern (mit dem speziellen <tt>/./</tt> Kürzel)."
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1150
#, no-wrap
msgid " joeuser:x:1099:1099:Joe Random User:/home/joe/./:/bin/bash"
msgstr " joebenutzer:x:1099:1099:Joe Zufaelliger Benutzer:/home/joe/./:/bin/bash"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1155
msgid "This will restrict <em>both</em> remote shell access, as well as remote copy through the <prgn>ssh</prgn> channel."
msgstr "Dies wird <em>sowohl</em> den Fernzugriff auf die Shell <em>als auch</em> Fernkopien über den <prgn>ssh</prgn>-Kanal einschränken."
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1160
msgid "Make sure to have all the needed binaries and libraries in the <prgn>chroot</prgn>'ed path for users. These files should be owned by root to avoid tampering by the user (so as to exit the <prgn>chroot</prgn>'ed jailed). A sample might include:"
msgstr "Gehen Sie sicher, dass Sie alle benötigten Programme und Bibliotheken in den <prgn>Chroot</prgn>-Pfaden der Benutzer haben. Diese Dateien sollten Root als Eigentümer haben, um Manipulationen durch den Benutzer zu verhindern (zum Beispiel um das <prgn>chroot</prgn>-Gefängnis zu verlassen). Ein Beispiel könnte so aussehen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1172
#, no-wrap
msgid ""
"./bin:\n"
"total 660\n"
"drwxr-xr-x 2 root root 4096 Mar 18 13:36 .\n"
"drwxr-xr-x 8 guest guest 4096 Mar 15 16:53 ..\n"
"-r-xr-xr-x 1 root root 531160 Feb 6 22:36 bash\n"
"-r-xr-xr-x 1 root root 43916 Nov 29 13:19 ls\n"
"-r-xr-xr-x 1 root root 16684 Nov 29 13:19 mkdir\n"
"-rwxr-xr-x 1 root root 23960 Mar 18 13:36 more\n"
"-r-xr-xr-x 1 root root 9916 Jul 26 2001 pwd\n"
"-r-xr-xr-x 1 root root 24780 Nov 29 13:19 rm\n"
"lrwxrwxrwx 1 root root 4 Mar 30 16:29 sh -> bash"
msgstr ""
"./bin:\n"
"total 660\n"
"drwxr-xr-x 2 root root 4096 Mar 18 13:36 .\n"
"drwxr-xr-x 8 guest guest 4096 Mar 15 16:53 ..\n"
"-r-xr-xr-x 1 root root 531160 Feb 6 22:36 bash\n"
"-r-xr-xr-x 1 root root 43916 Nov 29 13:19 ls\n"
"-r-xr-xr-x 1 root root 16684 Nov 29 13:19 mkdir\n"
"-rwxr-xr-x 1 root root 23960 Mar 18 13:36 more\n"
"-r-xr-xr-x 1 root root 9916 Jul 26 2001 pwd\n"
"-r-xr-xr-x 1 root root 24780 Nov 29 13:19 rm\n"
"lrwxrwxrwx 1 root root 4 Mar 30 16:29 sh -> bash"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1182
#, no-wrap
msgid ""
"./etc:\n"
"total 24\n"
"drwxr-xr-x 2 root root 4096 Mar 15 16:13 .\n"
"drwxr-xr-x 8 guest guest 4096 Mar 15 16:53 ..\n"
"-rw-r--r-- 1 root root 54 Mar 15 13:23 group\n"
"-rw-r--r-- 1 root root 428 Mar 15 15:56 hosts\n"
"-rw-r--r-- 1 root root 44 Mar 15 15:53 passwd\n"
"-rw-r--r-- 1 root root 52 Mar 15 13:23 shells"
msgstr ""
"./etc:\n"
"total 24\n"
"drwxr-xr-x 2 root root 4096 Mar 15 16:13 .\n"
"drwxr-xr-x 8 guest guest 4096 Mar 15 16:53 ..\n"
"-rw-r--r-- 1 root root 54 Mar 15 13:23 group\n"
"-rw-r--r-- 1 root root 428 Mar 15 15:56 hosts\n"
"-rw-r--r-- 1 root root 44 Mar 15 15:53 passwd\n"
"-rw-r--r-- 1 root root 52 Mar 15 13:23 shells"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1201
#, no-wrap
msgid ""
"./lib:\n"
"total 1848\n"
"drwxr-xr-x 2 root root 4096 Mar 18 13:37 .\n"
"drwxr-xr-x 8 guest guest 4096 Mar 15 16:53 ..\n"
"-rwxr-xr-x 1 root root 92511 Mar 15 12:49 ld-linux.so.2\n"
"-rwxr-xr-x 1 root root 1170812 Mar 15 12:49 libc.so.6\n"
"-rw-r--r-- 1 root root 20900 Mar 15 13:01 libcrypt.so.1\n"
"-rw-r--r-- 1 root root 9436 Mar 15 12:49 libdl.so.2\n"
"-rw-r--r-- 1 root root 248132 Mar 15 12:48 libncurses.so.5\n"
"-rw-r--r-- 1 root root 71332 Mar 15 13:00 libnsl.so.1\n"
"-rw-r--r-- 1 root root 34144 Mar 15 16:10\n"
"libnss_files.so.2\n"
"-rw-r--r-- 1 root root 29420 Mar 15 12:57 libpam.so.0\n"
"-rw-r--r-- 1 root root 105498 Mar 15 12:51 libpthread.so.0\n"
"-rw-r--r-- 1 root root 25596 Mar 15 12:51 librt.so.1\n"
"-rw-r--r-- 1 root root 7760 Mar 15 12:59 libutil.so.1\n"
"-rw-r--r-- 1 root root 24328 Mar 15 12:57 libwrap.so.0"
msgstr ""
"./lib:\n"
"total 1848\n"
"drwxr-xr-x 2 root root 4096 Mar 18 13:37 .\n"
"drwxr-xr-x 8 guest guest 4096 Mar 15 16:53 ..\n"
"-rwxr-xr-x 1 root root 92511 Mar 15 12:49 ld-linux.so.2\n"
"-rwxr-xr-x 1 root root 1170812 Mar 15 12:49 libc.so.6\n"
"-rw-r--r-- 1 root root 20900 Mar 15 13:01 libcrypt.so.1\n"
"-rw-r--r-- 1 root root 9436 Mar 15 12:49 libdl.so.2\n"
"-rw-r--r-- 1 root root 248132 Mar 15 12:48 libncurses.so.5\n"
"-rw-r--r-- 1 root root 71332 Mar 15 13:00 libnsl.so.1\n"
"-rw-r--r-- 1 root root 34144 Mar 15 16:10\n"
"libnss_files.so.2\n"
"-rw-r--r-- 1 root root 29420 Mar 15 12:57 libpam.so.0\n"
"-rw-r--r-- 1 root root 105498 Mar 15 12:51 libpthread.so.0\n"
"-rw-r--r-- 1 root root 25596 Mar 15 12:51 librt.so.1\n"
"-rw-r--r-- 1 root root 7760 Mar 15 12:59 libutil.so.1\n"
"-rw-r--r-- 1 root root 24328 Mar 15 12:57 libwrap.so.0"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1209
#, no-wrap
msgid ""
"./usr:\n"
"total 16\n"
"drwxr-xr-x 4 root root 4096 Mar 15 13:00 .\n"
"drwxr-xr-x 8 guest guest 4096 Mar 15 16:53 ..\n"
"drwxr-xr-x 2 root root 4096 Mar 15 15:55 bin\n"
"drwxr-xr-x 2 root root 4096 Mar 15 15:37 lib"
msgstr ""
"./usr:\n"
"total 16\n"
"drwxr-xr-x 4 root root 4096 Mar 15 13:00 .\n"
"drwxr-xr-x 8 guest guest 4096 Mar 15 16:53 ..\n"
"drwxr-xr-x 2 root root 4096 Mar 15 15:55 bin\n"
"drwxr-xr-x 2 root root 4096 Mar 15 15:37 lib"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1221
#, no-wrap
msgid ""
"./usr/bin:\n"
"total 340\n"
"drwxr-xr-x 2 root root 4096 Mar 15 15:55 .\n"
"drwxr-xr-x 4 root root 4096 Mar 15 13:00 ..\n"
"-rwxr-xr-x 1 root root 10332 Mar 15 15:55 env\n"
"-rwxr-xr-x 1 root root 13052 Mar 15 13:13 id\n"
"-r-xr-xr-x 1 root root 25432 Mar 15 12:40 scp\n"
"-rwxr-xr-x 1 root root 43768 Mar 15 15:15 sftp\n"
"-r-sr-xr-x 1 root root 218456 Mar 15 12:40 ssh\n"
"-rwxr-xr-x 1 root root 9692 Mar 15 13:17 tty"
msgstr ""
"./usr/bin:\n"
"total 340\n"
"drwxr-xr-x 2 root root 4096 Mar 15 15:55 .\n"
"drwxr-xr-x 4 root root 4096 Mar 15 13:00 ..\n"
"-rwxr-xr-x 1 root root 10332 Mar 15 15:55 env\n"
"-rwxr-xr-x 1 root root 13052 Mar 15 13:13 id\n"
"-r-xr-xr-x 1 root root 25432 Mar 15 12:40 scp\n"
"-rwxr-xr-x 1 root root 43768 Mar 15 15:15 sftp\n"
"-r-sr-xr-x 1 root root 218456 Mar 15 12:40 ssh\n"
"-rwxr-xr-x 1 root root 9692 Mar 15 13:17 tty"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1231
#, no-wrap
msgid ""
"./usr/lib:\n"
"total 852\n"
"drwxr-xr-x 2 root root 4096 Mar 15 15:37 .\n"
"drwxr-xr-x 4 root root 4096 Mar 15 13:00 ..\n"
"-rw-r--r-- 1 root root 771088 Mar 15 13:01\n"
"libcrypto.so.0.9.6\n"
"-rw-r--r-- 1 root root 54548 Mar 15 13:00 libz.so.1\n"
"-rwxr-xr-x 1 root root 23096 Mar 15 15:37 sftp-server"
msgstr ""
"./usr/lib:\n"
"total 852\n"
"drwxr-xr-x 2 root root 4096 Mar 15 15:37 .\n"
"drwxr-xr-x 4 root root 4096 Mar 15 13:00 ..\n"
"-rw-r--r-- 1 root root 771088 Mar 15 13:01\n"
"libcrypto.so.0.9.6\n"
"-rw-r--r-- 1 root root 54548 Mar 15 13:00 libz.so.1\n"
"-rwxr-xr-x 1 root root 23096 Mar 15 15:37 sftp-server"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1238
msgid "Chrooting the ssh server"
msgstr "Einsperren des SSH-Servers in einem Chroot-Gefängnis"
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1242
msgid "If you create a chroot which includes the SSH server files in, for example <file>/var/chroot/ssh</file>, you would start the <prgn>ssh</prgn> server <prgn>chroot</prgn>'ed with this command:"
msgstr "Wenn Sie eine Chroot-Umgebung erstellen, welche die Dateien des SSH-Servers enthält, z.B. unter <file>/var/chroot/ssh</file>, sollten Sie den im <prgn>chroot</prgn>-Gefängnis eingesperrten <prgn>ssh</prgn>-Server mit diesem Befehl starten:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1244
#, no-wrap
msgid " # chroot /var/chroot/ssh /sbin/sshd -f /etc/sshd_config"
msgstr " # chroot /var/chroot/ssh /sbin/sshd -f /etc/sshd_config"
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1255
msgid "That would make startup the <prgn>sshd</prgn> daemon inside the chroot. In order to do that you have to first prepare the contents of the <file>/var/chroot/ssh</file> directory so that it includes both the SSH server and all the utilities that the users connecting to that server might need. If you are doing this you should make certain that OpenSSH uses <em>Privilege Separation</em> (which is the default) having the following line in the configuration file <file>/etc/ssh/sshd_config</file>:"
msgstr "Das führt dazu, dass der <prgn>sshd</prgn>-Daemon innerhalb des Chroot-Gefängnisses gestartet wird. Dazu müssen Sie zunächst dafür sorgen, dass das Verzeichnis <file>/var/chroot/ssh</file> den SSH-Server und die Werkzeuge enthält, die Benutzer benötigen, die mit dem Server verbunden sind. Wenn Sie das vorhaben, sollten Sie sicherstellen, dass OpenSSH <em>Rechtetrennung (Privilege Separation)</em> einsetzt (was standardmäßig so ist). Dazu muss in der Konfigurationsdatei <file>/etc/ssh/sshd_config</file> folgende Zeile enthalten sein:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1257
#, no-wrap
msgid "UsePrivilegeSeparation yes"
msgstr "UsePrivilegeSeparation yes"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1265
msgid "That way the remote daemon will do as few things as possible as the root user so even if there is a bug in it it will not compromise the chroot. Notice that, unlike the case in which you setup a per-user chroot, the ssh daemon is running in the same chroot as the users so there is at least one potential process running as root which could break out of the chroot."
msgstr "Dadurch wird der entfernte Daemon so wenig Dinge wie möglich als Root ausführen. Wenn er also einen Fehler enthalten sollte, kann damit nicht aus dem Chroot-Gefängnis ausgebrochen werden. Beachten Sie, dass, anders als wenn Sie eine Chroot-Umgebung für jeden Benutzer einzeln einrichten, in diesem Fall der SSH-Daemon im selben Chroot-Gefängnis wie die Benutzer läuft. Es gibt also mindestens einen Prozess in der Chroot-Umgebung, der als Root läuft. Mit ihm ist es möglich, aus dem Chroot-Gefängnis auszubrechen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1271
msgid "Notice, also, that in order for SSH to work in that location, the partition where the chroot directory resides cannot be mounted with the <em>nodev</em> option. If you use that option, then you will get the following error: <em>PRNG is not seeded</em>, because <file>/dev/urandom</file> does not work in the chroot."
msgstr "Beachten Sie auch, dass SSH nur funktioniert, wenn die Partition, auf der die Chroot-Umgebung eingerichtet wurde, nicht mit der Option <em>nodev</em> gemountet wurde. Wenn Sie diese Option verwenden, bekommen Sie folgende Fehlermeldung: <em>PRNG is not seeded</em>, weil <file>/dev/urandom</file> nicht in der Chroot-Umgebung funktioniert."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1273
msgid "Setup a minimal system (the really easy way)"
msgstr "Einrichten eines minimalen Systems (der wirklich leichte Weg)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1284
msgid "You can use <package>debootstrap</package> to setup a minimal environment that just includes the ssh server. In order to do this you just have to create a chroot as described in the <url id=\"http://www.debian.org/doc/manuals/reference/ch09#_chroot_system\"; name=\"chroot section of the Debian Reference\"> document. This method is bound to work (you will get all the necessary componentes for the chroot) but at the cost of disk space (a minimal installation of Debian will amount to several hundred megabytes). This minimal system might also include setuid files that a user in the chroot could use to break out of the chroot if any of those could be use for a privilege escalation."
msgstr "Sie können mit <package>debootstrap</package> eine minimale Umgebung einrichten, die ausschließlich den SSH-Server enthält. Dafür müssen Sie nur eine Chroot-Umgebung einrichten, wie es im <url id=\"http://www.debian.org/doc/manuals/reference/ch09#_chroot_system\"; name=\"Chroot-Abschnitt der Debian-Referenz\"> beschrieben wird. Diese Vorgehensweise ist idiotensicher (Sie werden alle für die Chroot-Umgebung notwendigen Bestandteile erhalten), aber dies geht auf Kosten von Plattenspeicher. Eine minimale Installation von Debian benötigt einige hundert Megabyte. Dieses minimale System könnte auch Setuid-Dateien enthalten, mit denen ein Benutzer aus dem Chroot-Gefängnis ausbrechen könnte, wenn sie eine Rechteerweiterung zulassen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1288
msgid "Automatically making the environment (the easy way)"
msgstr "Automatisches Erstellen der Umgebung (der leichte Weg)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1293
msgid "You can easily create a restricted environment with the <package>makejail</package> package, since it automatically takes care of tracing the server daemon (with <prgn>strace</prgn>), and makes it run under the restricted environment."
msgstr "Mit dem Paket <package>makejail</package> können Sie leicht eine eingeschränkte Umgebung erstellen, da es automatisch den Trace des Server-Daemons verfolgt (mit <prgn>strace</prgn>) und dafür sorgt, dass er in der eingeschränkten Umgebung läuft."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1298
msgid "The advantage of programs that automatically generate <prgn>chroot</prgn> environments is that they are capable of copying any package to the <prgn>chroot</prgn> environment (even following the package's dependencies and making sure it's complete). Thus, providing user applications is easier."
msgstr "Der Vorteil von Programmen, die automatisch die <prgn>chroot</prgn>-Umgebung einrichten, liegt darin, dass sie im Stande sind, Pakete in die <prgn>chroot</prgn>-Umgebung zu kopieren (und verfolgen sogar die Abhängigkeiten der Pakete, um sicherzustellen, dass sie vollständig sind). Dadurch wird das Bereitstellen von Anwendungen für Benutzer leichter."
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1301
msgid "To set up the environment using <prgn>makejail</prgn>'s provided examples, just create <file>/var/chroot/sshd</file> and use the command:"
msgstr "Um ein Chroot-Gefängnis aus den von <prgn>makejail</prgn> zur Verfügung gestellten Beispielen einzurichten, müssen Sie <file>/var/chroot/sshd</file> erstellen und folgenden Befehl ausführen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1303
#, no-wrap
msgid " # makejail /usr/share/doc/makejail/examples/sshd.py"
msgstr " # makejail /usr/share/doc/makejail/examples/sshd.py"
#. type: <p><list>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1308
msgid "This will setup the chroot in the <file>/var/chroot/sshd</file> directory. Notice that this chroot will not fully work unless you:"
msgstr "Dies wird eine Chroot-Umgebung im Verzeichnis <file>/var/chroot/sshd</file> erstellen. Beachten Sie, dass diese Chroot-Umgebung nicht voll funktionstüchtig ist, bis Sie:"
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1312
msgid "Mount the <em>procfs</em> filesystem in <file>/var/chroot/sshd/proc</file>. <prgn>Makejail</prgn> will mount it for you but if the system reboots you need to remount it running:"
msgstr "Das Dateisystem <em>procfs</em> in <file>/var/chroot/sshd/proc</file> eingebunden haben. <prgn>Makejail</prgn> wird es für Sie einbinden. Aber nach einem Neustart werden Sie es erneut einbinden müssen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1314
#, no-wrap
msgid "# mount -t proc proc /var/chroot/sshd/proc"
msgstr "# mount -t proc proc /var/chroot/sshd/proc"
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1319
msgid "You can also have it be mounted automatically by editing <file>/etc/fstab</file> and including this line:"
msgstr "Es kann auch automatisch eingebunden werden. Dazu müssen Sie <file>/etc/fstab</file> bearbeiten und folgende Zeile eintragen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1321
#, no-wrap
msgid "proc-ssh /var/chroot/sshd/proc proc none 0 0"
msgstr "proc-ssh /var/chroot/sshd/proc proc none 0 0"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1328
msgid "Have syslog listen to the device <file>/dev/log</file> inside the chroot. In order to do this you have modify <file>/etc/default/syslogd</file> and add <em>-a /var/chroot/sshd/dev/log</em> to the <strong>SYSLOGD</strong> variable definition."
msgstr "Syslog auf das Geräte <file>/dev/log</file> in der Chroot-Umgebung horchen lassen. Dazu müssen Sie <file>/etc/default/syslogd</file> ändern und <em>-a /var/chroot/sshd/dev/log</em> zur Definition der Variablen <strong>SYSLOGD</strong> hinzufügen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1338
msgid "Read the sample file to see what other changes need to be made to the environment. Some of these changes, such as copying user's home directories, cannot be done automatically. Also, limit the exposure of sensitive information by only copying the data from a given number of users from the files <file>/etc/shadow</file> or <file>/etc/group</file>. Notice that if you are using Privilege Separation the <em>sshd</em> user needs to exist in those files."
msgstr "Sehen Sie sich die Beispielsdatei an, um herauszufinden, welche Änderungen an der Umgebung vorgenommen werden müssen. Einige diese Änderungen können nicht automatisch vorgenommen werden, wie z.B. das Kopieren des Home-Verzeichnisses eines Benutzers. Außerdem sollten Sie die Gefährdung von sensiblen Informationen begrenzen, indem Sie nur die Daten bestimmter Benutzer aus den Dateien <file>/etc/shadow</file> und <file>/etc/group</file> kopieren. Beachten Sie, dass, falls Sie Rechtetrennung verwenden, der Benutzer <em>sshd</em> in diesen Dateien vorhanden sein muss."
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1342
msgid "The following sample environment has been (slightly) tested in Debian 3.0 and is built with the configuration file provided in the package and includes the <package>fileutils</package> package:"
msgstr "Die folgende Beispielumgebung wurde (ein wenig) unter Debian 3.0 getestet. Sie basiert auf der Konfigurationsdatei, die mit dem Paket geliefert wird, und beinhaltet das Paket <package>fileutils</package>."
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1530
#, no-wrap
msgid ""
".\n"
"|-- bin\n"
"| |-- ash\n"
"| |-- bash\n"
"| |-- chgrp\n"
"| |-- chmod\n"
"| |-- chown\n"
"| |-- cp\n"
"| |-- csh -> /etc/alternatives/csh\n"
"| |-- dd\n"
"| |-- df\n"
"| |-- dir\n"
"| |-- fdflush\n"
"| |-- ksh\n"
"| |-- ln\n"
"| |-- ls\n"
"| |-- mkdir\n"
"| |-- mknod\n"
"| |-- mv\n"
"| |-- rbash -> bash\n"
"| |-- rm\n"
"| |-- rmdir\n"
"| |-- sh -> bash\n"
"| |-- sync\n"
"| |-- tcsh\n"
"| |-- touch\n"
"| |-- vdir\n"
"| |-- zsh -> /etc/alternatives/zsh\n"
"| `-- zsh4\n"
"|-- dev\n"
"| |-- null\n"
"| |-- ptmx\n"
"| |-- pts\n"
"| |-- ptya0\n"
"(...)\n"
"| |-- tty\n"
"| |-- tty0\n"
"(...)\n"
"| `-- urandom\n"
"|-- etc\n"
"| |-- alternatives\n"
"| | |-- csh -> /bin/tcsh\n"
"| | `-- zsh -> /bin/zsh4\n"
"| |-- environment\n"
"| |-- hosts\n"
"| |-- hosts.allow\n"
"| |-- hosts.deny\n"
"| |-- ld.so.conf\n"
"| |-- localtime -> /usr/share/zoneinfo/Europe/Madrid\n"
"| |-- motd\n"
"| |-- nsswitch.conf\n"
"| |-- pam.conf\n"
"| |-- pam.d\n"
"| | |-- other\n"
"| | `-- ssh\n"
"| |-- passwd\n"
"| |-- resolv.conf\n"
"| |-- security\n"
"| | |-- access.conf\n"
"| | |-- chroot.conf\n"
"| | |-- group.conf\n"
"| | |-- limits.conf\n"
"| | |-- pam_env.conf\n"
"| | `-- time.conf\n"
"| |-- shadow\n"
"| |-- shells\n"
"| `-- ssh\n"
"| |-- moduli\n"
"| |-- ssh_host_dsa_key\n"
"| |-- ssh_host_dsa_key.pub\n"
"| |-- ssh_host_rsa_key\n"
"| |-- ssh_host_rsa_key.pub\n"
"| `-- sshd_config\n"
"|-- home\n"
"| `-- userX\n"
"|-- lib\n"
"| |-- ld-2.2.5.so\n"
"| |-- ld-linux.so.2 -> ld-2.2.5.so\n"
"| |-- libc-2.2.5.so\n"
"| |-- libc.so.6 -> libc-2.2.5.so\n"
"| |-- libcap.so.1 -> libcap.so.1.10\n"
"| |-- libcap.so.1.10\n"
"| |-- libcrypt-2.2.5.so\n"
"| |-- libcrypt.so.1 -> libcrypt-2.2.5.so\n"
"| |-- libdl-2.2.5.so\n"
"| |-- libdl.so.2 -> libdl-2.2.5.so\n"
"| |-- libm-2.2.5.so\n"
"| |-- libm.so.6 -> libm-2.2.5.so\n"
"| |-- libncurses.so.5 -> libncurses.so.5.2\n"
"| |-- libncurses.so.5.2\n"
"| |-- libnsl-2.2.5.so\n"
"| |-- libnsl.so.1 -> libnsl-2.2.5.so\n"
"| |-- libnss_compat-2.2.5.so\n"
"| |-- libnss_compat.so.2 -> libnss_compat-2.2.5.so\n"
"| |-- libnss_db-2.2.so\n"
"| |-- libnss_db.so.2 -> libnss_db-2.2.so\n"
"| |-- libnss_dns-2.2.5.so\n"
"| |-- libnss_dns.so.2 -> libnss_dns-2.2.5.so\n"
"| |-- libnss_files-2.2.5.so\n"
"| |-- libnss_files.so.2 -> libnss_files-2.2.5.so\n"
"| |-- libnss_hesiod-2.2.5.so\n"
"| |-- libnss_hesiod.so.2 -> libnss_hesiod-2.2.5.so\n"
"| |-- libnss_nis-2.2.5.so\n"
"| |-- libnss_nis.so.2 -> libnss_nis-2.2.5.so\n"
"| |-- libnss_nisplus-2.2.5.so\n"
"| |-- libnss_nisplus.so.2 -> libnss_nisplus-2.2.5.so\n"
"| |-- libpam.so.0 -> libpam.so.0.72\n"
"| |-- libpam.so.0.72\n"
"| |-- libpthread-0.9.so\n"
"| |-- libpthread.so.0 -> libpthread-0.9.so\n"
"| |-- libresolv-2.2.5.so\n"
"| |-- libresolv.so.2 -> libresolv-2.2.5.so\n"
"| |-- librt-2.2.5.so\n"
"| |-- librt.so.1 -> librt-2.2.5.so\n"
"| |-- libutil-2.2.5.so\n"
"| |-- libutil.so.1 -> libutil-2.2.5.so\n"
"| |-- libwrap.so.0 -> libwrap.so.0.7.6\n"
"| |-- libwrap.so.0.7.6\n"
"| `-- security\n"
"| |-- pam_access.so\n"
"| |-- pam_chroot.so\n"
"| |-- pam_deny.so\n"
"| |-- pam_env.so\n"
"| |-- pam_filter.so\n"
"| |-- pam_ftp.so\n"
"| |-- pam_group.so\n"
"| |-- pam_issue.so\n"
"| |-- pam_lastlog.so\n"
"| |-- pam_limits.so\n"
"| |-- pam_listfile.so\n"
"| |-- pam_mail.so\n"
"| |-- pam_mkhomedir.so\n"
"| |-- pam_motd.so\n"
"| |-- pam_nologin.so\n"
"| |-- pam_permit.so\n"
"| |-- pam_rhosts_auth.so\n"
"| |-- pam_rootok.so\n"
"| |-- pam_securetty.so\n"
"| |-- pam_shells.so\n"
"| |-- pam_stress.so\n"
"| |-- pam_tally.so\n"
"| |-- pam_time.so\n"
"| |-- pam_unix.so\n"
"| |-- pam_unix_acct.so -> pam_unix.so\n"
"| |-- pam_unix_auth.so -> pam_unix.so\n"
"| |-- pam_unix_passwd.so -> pam_unix.so\n"
"| |-- pam_unix_session.so -> pam_unix.so\n"
"| |-- pam_userdb.so\n"
"| |-- pam_warn.so\n"
"| `-- pam_wheel.so\n"
"|-- sbin\n"
"| `-- start-stop-daemon\n"
"|-- usr\n"
"| |-- bin\n"
"| | |-- dircolors\n"
"| | |-- du\n"
"| | |-- install\n"
"| | |-- link\n"
"| | |-- mkfifo\n"
"| | |-- shred\n"
"| | |-- touch -> /bin/touch\n"
"| | `-- unlink\n"
"| |-- lib\n"
"| | |-- libcrypto.so.0.9.6\n"
"| | |-- libdb3.so.3 -> libdb3.so.3.0.2\n"
"| | |-- libdb3.so.3.0.2\n"
"| | |-- libz.so.1 -> libz.so.1.1.4\n"
"| | `-- libz.so.1.1.4\n"
"| |-- sbin\n"
"| | `-- sshd\n"
"| `-- share\n"
"| |-- locale\n"
"| | `-- es\n"
"| | |-- LC_MESSAGES\n"
"| | | |-- fileutils.mo\n"
"| | | |-- libc.mo\n"
"| | | `-- sh-utils.mo\n"
"| | `-- LC_TIME -> LC_MESSAGES\n"
"| `-- zoneinfo\n"
"| `-- Europe\n"
"| `-- Madrid\n"
"`-- var\n"
" `-- run\n"
" |-- sshd\n"
" `-- sshd.pid\n"
"\n"
"27 directories, 733 files"
msgstr ""
".\n"
"|-- bin\n"
"| |-- ash\n"
"| |-- bash\n"
"| |-- chgrp\n"
"| |-- chmod\n"
"| |-- chown\n"
"| |-- cp\n"
"| |-- csh -> /etc/alternatives/csh\n"
"| |-- dd\n"
"| |-- df\n"
"| |-- dir\n"
"| |-- fdflush\n"
"| |-- ksh\n"
"| |-- ln\n"
"| |-- ls\n"
"| |-- mkdir\n"
"| |-- mknod\n"
"| |-- mv\n"
"| |-- rbash -> bash\n"
"| |-- rm\n"
"| |-- rmdir\n"
"| |-- sh -> bash\n"
"| |-- sync\n"
"| |-- tcsh\n"
"| |-- touch\n"
"| |-- vdir\n"
"| |-- zsh -> /etc/alternatives/zsh\n"
"| `-- zsh4\n"
"|-- dev\n"
"| |-- null\n"
"| |-- ptmx\n"
"| |-- pts\n"
"| |-- ptya0\n"
"(...)\n"
"| |-- tty\n"
"| |-- tty0\n"
"(...)\n"
"| `-- urandom\n"
"|-- etc\n"
"| |-- alternatives\n"
"| | |-- csh -> /bin/tcsh\n"
"| | `-- zsh -> /bin/zsh4\n"
"| |-- environment\n"
"| |-- hosts\n"
"| |-- hosts.allow\n"
"| |-- hosts.deny\n"
"| |-- ld.so.conf\n"
"| |-- localtime -> /usr/share/zoneinfo/Europe/Madrid\n"
"| |-- motd\n"
"| |-- nsswitch.conf\n"
"| |-- pam.conf\n"
"| |-- pam.d\n"
"| | |-- other\n"
"| | `-- ssh\n"
"| |-- passwd\n"
"| |-- resolv.conf\n"
"| |-- security\n"
"| | |-- access.conf\n"
"| | |-- chroot.conf\n"
"| | |-- group.conf\n"
"| | |-- limits.conf\n"
"| | |-- pam_env.conf\n"
"| | `-- time.conf\n"
"| |-- shadow\n"
"| |-- shells\n"
"| `-- ssh\n"
"| |-- moduli\n"
"| |-- ssh_host_dsa_key\n"
"| |-- ssh_host_dsa_key.pub\n"
"| |-- ssh_host_rsa_key\n"
"| |-- ssh_host_rsa_key.pub\n"
"| `-- sshd_config\n"
"|-- home\n"
"| `-- userX\n"
"|-- lib\n"
"| |-- ld-2.2.5.so\n"
"| |-- ld-linux.so.2 -> ld-2.2.5.so\n"
"| |-- libc-2.2.5.so\n"
"| |-- libc.so.6 -> libc-2.2.5.so\n"
"| |-- libcap.so.1 -> libcap.so.1.10\n"
"| |-- libcap.so.1.10\n"
"| |-- libcrypt-2.2.5.so\n"
"| |-- libcrypt.so.1 -> libcrypt-2.2.5.so\n"
"| |-- libdl-2.2.5.so\n"
"| |-- libdl.so.2 -> libdl-2.2.5.so\n"
"| |-- libm-2.2.5.so\n"
"| |-- libm.so.6 -> libm-2.2.5.so\n"
"| |-- libncurses.so.5 -> libncurses.so.5.2\n"
"| |-- libncurses.so.5.2\n"
"| |-- libnsl-2.2.5.so\n"
"| |-- libnsl.so.1 -> libnsl-2.2.5.so\n"
"| |-- libnss_compat-2.2.5.so\n"
"| |-- libnss_compat.so.2 -> libnss_compat-2.2.5.so\n"
"| |-- libnss_db-2.2.so\n"
"| |-- libnss_db.so.2 -> libnss_db-2.2.so\n"
"| |-- libnss_dns-2.2.5.so\n"
"| |-- libnss_dns.so.2 -> libnss_dns-2.2.5.so\n"
"| |-- libnss_files-2.2.5.so\n"
"| |-- libnss_files.so.2 -> libnss_files-2.2.5.so\n"
"| |-- libnss_hesiod-2.2.5.so\n"
"| |-- libnss_hesiod.so.2 -> libnss_hesiod-2.2.5.so\n"
"| |-- libnss_nis-2.2.5.so\n"
"| |-- libnss_nis.so.2 -> libnss_nis-2.2.5.so\n"
"| |-- libnss_nisplus-2.2.5.so\n"
"| |-- libnss_nisplus.so.2 -> libnss_nisplus-2.2.5.so\n"
"| |-- libpam.so.0 -> libpam.so.0.72\n"
"| |-- libpam.so.0.72\n"
"| |-- libpthread-0.9.so\n"
"| |-- libpthread.so.0 -> libpthread-0.9.so\n"
"| |-- libresolv-2.2.5.so\n"
"| |-- libresolv.so.2 -> libresolv-2.2.5.so\n"
"| |-- librt-2.2.5.so\n"
"| |-- librt.so.1 -> librt-2.2.5.so\n"
"| |-- libutil-2.2.5.so\n"
"| |-- libutil.so.1 -> libutil-2.2.5.so\n"
"| |-- libwrap.so.0 -> libwrap.so.0.7.6\n"
"| |-- libwrap.so.0.7.6\n"
"| `-- security\n"
"| |-- pam_access.so\n"
"| |-- pam_chroot.so\n"
"| |-- pam_deny.so\n"
"| |-- pam_env.so\n"
"| |-- pam_filter.so\n"
"| |-- pam_ftp.so\n"
"| |-- pam_group.so\n"
"| |-- pam_issue.so\n"
"| |-- pam_lastlog.so\n"
"| |-- pam_limits.so\n"
"| |-- pam_listfile.so\n"
"| |-- pam_mail.so\n"
"| |-- pam_mkhomedir.so\n"
"| |-- pam_motd.so\n"
"| |-- pam_nologin.so\n"
"| |-- pam_permit.so\n"
"| |-- pam_rhosts_auth.so\n"
"| |-- pam_rootok.so\n"
"| |-- pam_securetty.so\n"
"| |-- pam_shells.so\n"
"| |-- pam_stress.so\n"
"| |-- pam_tally.so\n"
"| |-- pam_time.so\n"
"| |-- pam_unix.so\n"
"| |-- pam_unix_acct.so -> pam_unix.so\n"
"| |-- pam_unix_auth.so -> pam_unix.so\n"
"| |-- pam_unix_passwd.so -> pam_unix.so\n"
"| |-- pam_unix_session.so -> pam_unix.so\n"
"| |-- pam_userdb.so\n"
"| |-- pam_warn.so\n"
"| `-- pam_wheel.so\n"
"|-- sbin\n"
"| `-- start-stop-daemon\n"
"|-- usr\n"
"| |-- bin\n"
"| | |-- dircolors\n"
"| | |-- du\n"
"| | |-- install\n"
"| | |-- link\n"
"| | |-- mkfifo\n"
"| | |-- shred\n"
"| | |-- touch -> /bin/touch\n"
"| | `-- unlink\n"
"| |-- lib\n"
"| | |-- libcrypto.so.0.9.6\n"
"| | |-- libdb3.so.3 -> libdb3.so.3.0.2\n"
"| | |-- libdb3.so.3.0.2\n"
"| | |-- libz.so.1 -> libz.so.1.1.4\n"
"| | `-- libz.so.1.1.4\n"
"| |-- sbin\n"
"| | `-- sshd\n"
"| `-- share\n"
"| |-- locale\n"
"| | `-- es\n"
"| | |-- LC_MESSAGES\n"
"| | | |-- fileutils.mo\n"
"| | | |-- libc.mo\n"
"| | | `-- sh-utils.mo\n"
"| | `-- LC_TIME -> LC_MESSAGES\n"
"| `-- zoneinfo\n"
"| `-- Europe\n"
"| `-- Madrid\n"
"`-- var\n"
" `-- run\n"
" |-- sshd\n"
" `-- sshd.pid\n"
"\n"
"27 directories, 733 files"
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1536
msgid "For Debian release 3.1 you have to make sure that the environment includes also the common files for PAM. The following files need to be copied over to the chroot if <prgn>makejail</prgn> did not do it for you:"
msgstr "Bei Debian 3.1 müssen Sie sicherstellen, dass das Gefängnis auch die Dateien für PAM enthält. Falls es nicht schon <prgn>makejail</prgn> für Sie erledigt hat, müssen Sie folgende Dateien in die Chroot-Umgebung kopiert:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1540
#, no-wrap
msgid ""
"$ ls /etc/pam.d/common-*\n"
"/etc/pam.d/common-account /etc/pam.d/common-password\n"
"/etc/pam.d/common-auth /etc/pam.d/common-session"
msgstr ""
"$ ls /etc/pam.d/common-*\n"
"/etc/pam.d/common-account /etc/pam.d/common-password\n"
"/etc/pam.d/common-auth /etc/pam.d/common-session"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1549
msgid "Manually creating the environment (the hard way)"
msgstr "Die Chroot-Umgebung von Hand erstellen (der schwierige Weg)"
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1565
msgid "It is possible to create an environment, using a trial-and-error method, by monitoring the <prgn>sshd</prgn> server traces and log files in order to determine the necessary files. The following environment, contributed by José Luis Ledesma, is a sample listing of files in a <prgn>chroot</prgn> environment for <prgn>ssh</prgn> in Debian woody (3.0): <footnote><p>Notice that there are no SETUID files. This makes it more difficult for remote users to escape the <prgn>chroot</prgn> environment. However, it also prevents users from changing their passwords, since the <prgn>passwd</prgn> program cannot modify the files <file>/etc/passwd</file> or <file>/etc/shadow</file>.</p></footnote>"
msgstr "Es ist möglich, eine Umgebung mit der Trial-and-Error-Methode zu erstellen. Dazu müssen Sie die Traces und die Protokolldateien des <prgn>sshd</prgn>-Servers überwachen, um die notwendigen Dateien herauszufinden. Die folgende Umgebung, die von José Luis Ledesma zur Verfügung gestellt wurde, ist eine beispielhafte Auflistung der Dateien in einer <prgn>chroot</prgn>-Umgebung für <prgn>ssh</prgn> unter Debian 3.0:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1806
#, no-wrap
msgid ""
".:\n"
"total 36\n"
"drwxr-xr-x 9 root root 4096 Jun 5 10:05 ./\n"
"drwxr-xr-x 11 root root 4096 Jun 3 13:43 ../\n"
"drwxr-xr-x 2 root root 4096 Jun 4 12:13 bin/\n"
"drwxr-xr-x 2 root root 4096 Jun 4 12:16 dev/\n"
"drwxr-xr-x 4 root root 4096 Jun 4 12:35 etc/\n"
"drwxr-xr-x 3 root root 4096 Jun 4 12:13 lib/\n"
"drwxr-xr-x 2 root root 4096 Jun 4 12:35 sbin/\n"
"drwxr-xr-x 2 root root 4096 Jun 4 12:32 tmp/\n"
"drwxr-xr-x 2 root root 4096 Jun 4 12:16 usr/\n"
"./bin:\n"
"total 8368\n"
"drwxr-xr-x 2 root root 4096 Jun 4 12:13 ./\n"
"drwxr-xr-x 9 root root 4096 Jun 5 10:05 ../\n"
"-rwxr-xr-x 1 root root 109855 Jun 3 13:45 a2p*\n"
"-rwxr-xr-x 1 root root 387764 Jun 3 13:45 bash*\n"
"-rwxr-xr-x 1 root root 36365 Jun 3 13:45 c2ph*\n"
"-rwxr-xr-x 1 root root 20629 Jun 3 13:45 dprofpp*\n"
"-rwxr-xr-x 1 root root 6956 Jun 3 13:46 env*\n"
"-rwxr-xr-x 1 root root 158116 Jun 3 13:45 fax2ps*\n"
"-rwxr-xr-x 1 root root 104008 Jun 3 13:45 faxalter*\n"
"-rwxr-xr-x 1 root root 89340 Jun 3 13:45 faxcover*\n"
"-rwxr-xr-x 1 root root 441584 Jun 3 13:45 faxmail*\n"
"-rwxr-xr-x 1 root root 96036 Jun 3 13:45 faxrm*\n"
"-rwxr-xr-x 1 root root 107000 Jun 3 13:45 faxstat*\n"
"-rwxr-xr-x 1 root root 77832 Jun 4 11:46 grep*\n"
"-rwxr-xr-x 1 root root 19597 Jun 3 13:45 h2ph*\n"
"-rwxr-xr-x 1 root root 46979 Jun 3 13:45 h2xs*\n"
"-rwxr-xr-x 1 root root 10420 Jun 3 13:46 id*\n"
"-rwxr-xr-x 1 root root 4528 Jun 3 13:46 ldd*\n"
"-rwxr-xr-x 1 root root 111386 Jun 4 11:46 less*\n"
"-r-xr-xr-x 1 root root 26168 Jun 3 13:45 login*\n"
"-rwxr-xr-x 1 root root 49164 Jun 3 13:45 ls*\n"
"-rwxr-xr-x 1 root root 11600 Jun 3 13:45 mkdir*\n"
"-rwxr-xr-x 1 root root 24780 Jun 3 13:45 more*\n"
"-rwxr-xr-x 1 root root 154980 Jun 3 13:45 pal2rgb*\n"
"-rwxr-xr-x 1 root root 27920 Jun 3 13:46 passwd*\n"
"-rwxr-xr-x 1 root root 4241 Jun 3 13:45 pl2pm*\n"
"-rwxr-xr-x 1 root root 2350 Jun 3 13:45 pod2html*\n"
"-rwxr-xr-x 1 root root 7875 Jun 3 13:45 pod2latex*\n"
"-rwxr-xr-x 1 root root 17587 Jun 3 13:45 pod2man*\n"
"-rwxr-xr-x 1 root root 6877 Jun 3 13:45 pod2text*\n"
"-rwxr-xr-x 1 root root 3300 Jun 3 13:45 pod2usage*\n"
"-rwxr-xr-x 1 root root 3341 Jun 3 13:45 podchecker*\n"
"-rwxr-xr-x 1 root root 2483 Jun 3 13:45 podselect*\n"
"-r-xr-xr-x 1 root root 82412 Jun 4 11:46 ps*\n"
"-rwxr-xr-x 1 root root 36365 Jun 3 13:45 pstruct*\n"
"-rwxr-xr-x 1 root root 7120 Jun 3 13:45 pwd*\n"
"-rwxr-xr-x 1 root root 179884 Jun 3 13:45 rgb2ycbcr*\n"
"-rwxr-xr-x 1 root root 20532 Jun 3 13:45 rm*\n"
"-rwxr-xr-x 1 root root 6720 Jun 4 10:15 rmdir*\n"
"-rwxr-xr-x 1 root root 14705 Jun 3 13:45 s2p*\n"
"-rwxr-xr-x 1 root root 28764 Jun 3 13:46 scp*\n"
"-rwxr-xr-x 1 root root 385000 Jun 3 13:45 sendfax*\n"
"-rwxr-xr-x 1 root root 67548 Jun 3 13:45 sendpage*\n"
"-rwxr-xr-x 1 root root 88632 Jun 3 13:46 sftp*\n"
"-rwxr-xr-x 1 root root 387764 Jun 3 13:45 sh*\n"
"-rws--x--x 1 root root 744500 Jun 3 13:46 slogin*\n"
"-rwxr-xr-x 1 root root 14523 Jun 3 13:46 splain*\n"
"-rws--x--x 1 root root 744500 Jun 3 13:46 ssh*\n"
"-rwxr-xr-x 1 root root 570960 Jun 3 13:46 ssh-add*\n"
"-rwxr-xr-x 1 root root 502952 Jun 3 13:46 ssh-agent*\n"
"-rwxr-xr-x 1 root root 575740 Jun 3 13:46 ssh-keygen*\n"
"-rwxr-xr-x 1 root root 383480 Jun 3 13:46 ssh-keyscan*\n"
"-rwxr-xr-x 1 root root 39 Jun 3 13:46 ssh_europa*\n"
"-rwxr-xr-x 1 root root 107252 Jun 4 10:14 strace*\n"
"-rwxr-xr-x 1 root root 8323 Jun 4 10:14 strace-graph*\n"
"-rwxr-xr-x 1 root root 158088 Jun 3 13:46 thumbnail*\n"
"-rwxr-xr-x 1 root root 6312 Jun 3 13:46 tty*\n"
"-rwxr-xr-x 1 root root 55904 Jun 4 11:46 useradd*\n"
"-rwxr-xr-x 1 root root 585656 Jun 4 11:47 vi*\n"
"-rwxr-xr-x 1 root root 6444 Jun 4 11:45 whoami*\n"
"./dev:\n"
"total 8\n"
"drwxr-xr-x 2 root root 4096 Jun 4 12:16 ./\n"
"drwxr-xr-x 9 root root 4096 Jun 5 10:05 ../\n"
"crw-r--r-- 1 root root 1, 9 Jun 3 13:43 urandom\n"
"./etc:\n"
"total 208\n"
"drwxr-xr-x 4 root root 4096 Jun 4 12:35 ./\n"
"drwxr-xr-x 9 root root 4096 Jun 5 10:05 ../\n"
"-rw------- 1 root root 0 Jun 4 11:46 .pwd.lock\n"
"-rw-r--r-- 1 root root 653 Jun 3 13:46 group\n"
"-rw-r--r-- 1 root root 242 Jun 4 11:33 host.conf\n"
"-rw-r--r-- 1 root root 857 Jun 4 12:04 hosts\n"
"-rw-r--r-- 1 root root 1050 Jun 4 11:29 ld.so.cache\n"
"-rw-r--r-- 1 root root 304 Jun 4 11:28 ld.so.conf\n"
"-rw-r--r-- 1 root root 235 Jun 4 11:27 ld.so.conf~\n"
"-rw-r--r-- 1 root root 88039 Jun 3 13:46 moduli\n"
"-rw-r--r-- 1 root root 1342 Jun 4 11:34 nsswitch.conf\n"
"drwxr-xr-x 2 root root 4096 Jun 4 12:02 pam.d/\n"
"-rw-r--r-- 1 root root 28 Jun 4 12:00 pam_smb.conf\n"
"-rw-r--r-- 1 root root 2520 Jun 4 11:57 passwd\n"
"-rw-r--r-- 1 root root 7228 Jun 3 13:48 profile\n"
"-rw-r--r-- 1 root root 1339 Jun 4 11:33 protocols\n"
"-rw-r--r-- 1 root root 274 Jun 4 11:44 resolv.conf\n"
"drwxr-xr-x 2 root root 4096 Jun 3 13:43 security/\n"
"-rw-r----- 1 root root 1178 Jun 4 11:51 shadow\n"
"-rw------- 1 root root 80 Jun 4 11:45 shadow-\n"
"-rw-r----- 1 root root 1178 Jun 4 11:48 shadow.old\n"
"-rw-r--r-- 1 root root 161 Jun 3 13:46 shells\n"
"-rw-r--r-- 1 root root 1144 Jun 3 13:46 ssh_config\n"
"-rw------- 1 root root 668 Jun 3 13:46 ssh_host_dsa_key\n"
"-rw-r--r-- 1 root root 602 Jun 3 13:46 ssh_host_dsa_key.pub\n"
"-rw------- 1 root root 527 Jun 3 13:46 ssh_host_key\n"
"-rw-r--r-- 1 root root 331 Jun 3 13:46 ssh_host_key.pub\n"
"-rw------- 1 root root 883 Jun 3 13:46 ssh_host_rsa_key\n"
"-rw-r--r-- 1 root root 222 Jun 3 13:46 ssh_host_rsa_key.pub\n"
"-rw-r--r-- 1 root root 2471 Jun 4 12:15 sshd_config\n"
"./etc/pam.d:\n"
"total 24\n"
"drwxr-xr-x 2 root root 4096 Jun 4 12:02 ./\n"
"drwxr-xr-x 4 root root 4096 Jun 4 12:35 ../\n"
"lrwxrwxrwx 1 root root 4 Jun 4 12:02 other -> sshd\n"
"-rw-r--r-- 1 root root 318 Jun 3 13:46 passwd\n"
"-rw-r--r-- 1 root root 546 Jun 4 11:36 ssh\n"
"-rw-r--r-- 1 root root 479 Jun 4 12:02 sshd\n"
"-rw-r--r-- 1 root root 370 Jun 3 13:46 su\n"
"./etc/security:\n"
"total 32\n"
"drwxr-xr-x 2 root root 4096 Jun 3 13:43 ./\n"
"drwxr-xr-x 4 root root 4096 Jun 4 12:35 ../\n"
"-rw-r--r-- 1 root root 1971 Jun 3 13:46 access.conf\n"
"-rw-r--r-- 1 root root 184 Jun 3 13:46 chroot.conf\n"
"-rw-r--r-- 1 root root 2145 Jun 3 13:46 group.conf\n"
"-rw-r--r-- 1 root root 1356 Jun 3 13:46 limits.conf\n"
"-rw-r--r-- 1 root root 2858 Jun 3 13:46 pam_env.conf\n"
"-rw-r--r-- 1 root root 2154 Jun 3 13:46 time.conf\n"
"./lib:\n"
"total 8316\n"
"drwxr-xr-x 3 root root 4096 Jun 4 12:13 ./\n"
"drwxr-xr-x 9 root root 4096 Jun 5 10:05 ../\n"
"-rw-r--r-- 1 root root 1024 Jun 4 11:51 cracklib_dict.hwm\n"
"-rw-r--r-- 1 root root 214324 Jun 4 11:51 cracklib_dict.pwd\n"
"-rw-r--r-- 1 root root 11360 Jun 4 11:51 cracklib_dict.pwi\n"
"-rwxr-xr-x 1 root root 342427 Jun 3 13:46 ld-linux.so.2*\n"
"-rwxr-xr-x 1 root root 4061504 Jun 3 13:46 libc.so.6*\n"
"lrwxrwxrwx 1 root root 15 Jun 4 12:11 libcrack.so -> libcrack.so.2.7*\n"
"lrwxrwxrwx 1 root root 15 Jun 4 12:11 libcrack.so.2 -> libcrack.so.2.7*\n"
"-rwxr-xr-x 1 root root 33291 Jun 4 11:39 libcrack.so.2.7*\n"
"-rwxr-xr-x 1 root root 60988 Jun 3 13:46 libcrypt.so.1*\n"
"-rwxr-xr-x 1 root root 71846 Jun 3 13:46 libdl.so.2*\n"
"-rwxr-xr-x 1 root root 27762 Jun 3 13:46 libhistory.so.4.0*\n"
"lrwxrwxrwx 1 root root 17 Jun 4 12:12 libncurses.so.4 -> libncurses.so.4.2*\n"
"-rwxr-xr-x 1 root root 503903 Jun 3 13:46 libncurses.so.4.2*\n"
"lrwxrwxrwx 1 root root 17 Jun 4 12:12 libncurses.so.5 -> libncurses.so.5.0*\n"
"-rwxr-xr-x 1 root root 549429 Jun 3 13:46 libncurses.so.5.0*\n"
"-rwxr-xr-x 1 root root 369801 Jun 3 13:46 libnsl.so.1*\n"
"-rwxr-xr-x 1 root root 142563 Jun 4 11:49 libnss_compat.so.1*\n"
"-rwxr-xr-x 1 root root 215569 Jun 4 11:49 libnss_compat.so.2*\n"
"-rwxr-xr-x 1 root root 61648 Jun 4 11:34 libnss_dns.so.1*\n"
"-rwxr-xr-x 1 root root 63453 Jun 4 11:34 libnss_dns.so.2*\n"
"-rwxr-xr-x 1 root root 63782 Jun 4 11:34 libnss_dns6.so.2*\n"
"-rwxr-xr-x 1 root root 205715 Jun 3 13:46 libnss_files.so.1*\n"
"-rwxr-xr-x 1 root root 235932 Jun 3 13:49 libnss_files.so.2*\n"
"-rwxr-xr-x 1 root root 204383 Jun 4 11:33 libnss_nis.so.1*\n"
"-rwxr-xr-x 1 root root 254023 Jun 4 11:33 libnss_nis.so.2*\n"
"-rwxr-xr-x 1 root root 256465 Jun 4 11:33 libnss_nisplus.so.2*\n"
"lrwxrwxrwx 1 root root 14 Jun 4 12:12 libpam.so.0 -> libpam.so.0.72*\n"
"-rwxr-xr-x 1 root root 31449 Jun 3 13:46 libpam.so.0.72*\n"
"lrwxrwxrwx 1 root root 19 Jun 4 12:12 libpam_misc.so.0 ->\n"
"libpam_misc.so.0.72*\n"
"-rwxr-xr-x 1 root root 8125 Jun 3 13:46 libpam_misc.so.0.72*\n"
"lrwxrwxrwx 1 root root 15 Jun 4 12:12 libpamc.so.0 -> libpamc.so.0.72*\n"
"-rwxr-xr-x 1 root root 10499 Jun 3 13:46 libpamc.so.0.72*\n"
"-rwxr-xr-x 1 root root 176427 Jun 3 13:46 libreadline.so.4.0*\n"
"-rwxr-xr-x 1 root root 44729 Jun 3 13:46 libutil.so.1*\n"
"-rwxr-xr-x 1 root root 70254 Jun 3 13:46 libz.a*\n"
"lrwxrwxrwx 1 root root 13 Jun 4 12:13 libz.so -> libz.so.1.1.3*\n"
"lrwxrwxrwx 1 root root 13 Jun 4 12:13 libz.so.1 -> libz.so.1.1.3*\n"
"-rwxr-xr-x 1 root root 63312 Jun 3 13:46 libz.so.1.1.3*\n"
"drwxr-xr-x 2 root root 4096 Jun 4 12:00 security/\n"
"./lib/security:\n"
"total 668\n"
"drwxr-xr-x 2 root root 4096 Jun 4 12:00 ./\n"
"drwxr-xr-x 3 root root 4096 Jun 4 12:13 ../\n"
"-rwxr-xr-x 1 root root 10067 Jun 3 13:46 pam_access.so*\n"
"-rwxr-xr-x 1 root root 8300 Jun 3 13:46 pam_chroot.so*\n"
"-rwxr-xr-x 1 root root 14397 Jun 3 13:46 pam_cracklib.so*\n"
"-rwxr-xr-x 1 root root 5082 Jun 3 13:46 pam_deny.so*\n"
"-rwxr-xr-x 1 root root 13153 Jun 3 13:46 pam_env.so*\n"
"-rwxr-xr-x 1 root root 13371 Jun 3 13:46 pam_filter.so*\n"
"-rwxr-xr-x 1 root root 7957 Jun 3 13:46 pam_ftp.so*\n"
"-rwxr-xr-x 1 root root 12771 Jun 3 13:46 pam_group.so*\n"
"-rwxr-xr-x 1 root root 10174 Jun 3 13:46 pam_issue.so*\n"
"-rwxr-xr-x 1 root root 9774 Jun 3 13:46 pam_lastlog.so*\n"
"-rwxr-xr-x 1 root root 13591 Jun 3 13:46 pam_limits.so*\n"
"-rwxr-xr-x 1 root root 11268 Jun 3 13:46 pam_listfile.so*\n"
"-rwxr-xr-x 1 root root 11182 Jun 3 13:46 pam_mail.so*\n"
"-rwxr-xr-x 1 root root 5923 Jun 3 13:46 pam_nologin.so*\n"
"-rwxr-xr-x 1 root root 5460 Jun 3 13:46 pam_permit.so*\n"
"-rwxr-xr-x 1 root root 18226 Jun 3 13:46 pam_pwcheck.so*\n"
"-rwxr-xr-x 1 root root 12590 Jun 3 13:46 pam_rhosts_auth.so*\n"
"-rwxr-xr-x 1 root root 5551 Jun 3 13:46 pam_rootok.so*\n"
"-rwxr-xr-x 1 root root 7239 Jun 3 13:46 pam_securetty.so*\n"
"-rwxr-xr-x 1 root root 6551 Jun 3 13:46 pam_shells.so*\n"
"-rwxr-xr-x 1 root root 55925 Jun 4 12:00 pam_smb_auth.so*\n"
"-rwxr-xr-x 1 root root 12678 Jun 3 13:46 pam_stress.so*\n"
"-rwxr-xr-x 1 root root 11170 Jun 3 13:46 pam_tally.so*\n"
"-rwxr-xr-x 1 root root 11124 Jun 3 13:46 pam_time.so*\n"
"-rwxr-xr-x 1 root root 45703 Jun 3 13:46 pam_unix.so*\n"
"-rwxr-xr-x 1 root root 45703 Jun 3 13:46 pam_unix2.so*\n"
"-rwxr-xr-x 1 root root 45386 Jun 3 13:46 pam_unix_acct.so*\n"
"-rwxr-xr-x 1 root root 45386 Jun 3 13:46 pam_unix_auth.so*\n"
"-rwxr-xr-x 1 root root 45386 Jun 3 13:46 pam_unix_passwd.so*\n"
"-rwxr-xr-x 1 root root 45386 Jun 3 13:46 pam_unix_session.so*\n"
"-rwxr-xr-x 1 root root 9726 Jun 3 13:46 pam_userdb.so*\n"
"-rwxr-xr-x 1 root root 6424 Jun 3 13:46 pam_warn.so*\n"
"-rwxr-xr-x 1 root root 7460 Jun 3 13:46 pam_wheel.so*\n"
"./sbin:\n"
"total 3132\n"
"drwxr-xr-x 2 root root 4096 Jun 4 12:35 ./\n"
"drwxr-xr-x 9 root root 4096 Jun 5 10:05 ../\n"
"-rwxr-xr-x 1 root root 178256 Jun 3 13:46 choptest*\n"
"-rwxr-xr-x 1 root root 184032 Jun 3 13:46 cqtest*\n"
"-rwxr-xr-x 1 root root 81096 Jun 3 13:46 dialtest*\n"
"-rwxr-xr-x 1 root root 1142128 Jun 4 11:28 ldconfig*\n"
"-rwxr-xr-x 1 root root 2868 Jun 3 13:46 lockname*\n"
"-rwxr-xr-x 1 root root 3340 Jun 3 13:46 ondelay*\n"
"-rwxr-xr-x 1 root root 376796 Jun 3 13:46 pagesend*\n"
"-rwxr-xr-x 1 root root 13950 Jun 3 13:46 probemodem*\n"
"-rwxr-xr-x 1 root root 9234 Jun 3 13:46 recvstats*\n"
"-rwxr-xr-x 1 root root 64480 Jun 3 13:46 sftp-server*\n"
"-rwxr-xr-x 1 root root 744412 Jun 3 13:46 sshd*\n"
"-rwxr-xr-x 1 root root 30750 Jun 4 11:46 su*\n"
"-rwxr-xr-x 1 root root 194632 Jun 3 13:46 tagtest*\n"
"-rwxr-xr-x 1 root root 69892 Jun 3 13:46 tsitest*\n"
"-rwxr-xr-x 1 root root 43792 Jun 3 13:46 typetest*\n"
"./tmp:\n"
"total 8\n"
"drwxr-xr-x 2 root root 4096 Jun 4 12:32 ./\n"
"drwxr-xr-x 9 root root 4096 Jun 5 10:05 ../\n"
"./usr:\n"
"total 8\n"
"drwxr-xr-x 2 root root 4096 Jun 4 12:16 ./\n"
"drwxr-xr-x 9 root root 4096 Jun 5 10:05 ../\n"
"lrwxrwxrwx 1 root root 7 Jun 4 12:14 bin -> ../bin//\n"
"lrwxrwxrwx 1 root root 7 Jun 4 11:33 lib -> ../lib//\n"
"lrwxrwxrwx 1 root root 8 Jun 4 12:13 sbin -> ../sbin//"
msgstr ""
".:\n"
"total 36\n"
"drwxr-xr-x 9 root root 4096 Jun 5 10:05 ./\n"
"drwxr-xr-x 11 root root 4096 Jun 3 13:43 ../\n"
"drwxr-xr-x 2 root root 4096 Jun 4 12:13 bin/\n"
"drwxr-xr-x 2 root root 4096 Jun 4 12:16 dev/\n"
"drwxr-xr-x 4 root root 4096 Jun 4 12:35 etc/\n"
"drwxr-xr-x 3 root root 4096 Jun 4 12:13 lib/\n"
"drwxr-xr-x 2 root root 4096 Jun 4 12:35 sbin/\n"
"drwxr-xr-x 2 root root 4096 Jun 4 12:32 tmp/\n"
"drwxr-xr-x 2 root root 4096 Jun 4 12:16 usr/\n"
"./bin:\n"
"total 8368\n"
"drwxr-xr-x 2 root root 4096 Jun 4 12:13 ./\n"
"drwxr-xr-x 9 root root 4096 Jun 5 10:05 ../\n"
"-rwxr-xr-x 1 root root 109855 Jun 3 13:45 a2p*\n"
"-rwxr-xr-x 1 root root 387764 Jun 3 13:45 bash*\n"
"-rwxr-xr-x 1 root root 36365 Jun 3 13:45 c2ph*\n"
"-rwxr-xr-x 1 root root 20629 Jun 3 13:45 dprofpp*\n"
"-rwxr-xr-x 1 root root 6956 Jun 3 13:46 env*\n"
"-rwxr-xr-x 1 root root 158116 Jun 3 13:45 fax2ps*\n"
"-rwxr-xr-x 1 root root 104008 Jun 3 13:45 faxalter*\n"
"-rwxr-xr-x 1 root root 89340 Jun 3 13:45 faxcover*\n"
"-rwxr-xr-x 1 root root 441584 Jun 3 13:45 faxmail*\n"
"-rwxr-xr-x 1 root root 96036 Jun 3 13:45 faxrm*\n"
"-rwxr-xr-x 1 root root 107000 Jun 3 13:45 faxstat*\n"
"-rwxr-xr-x 1 root root 77832 Jun 4 11:46 grep*\n"
"-rwxr-xr-x 1 root root 19597 Jun 3 13:45 h2ph*\n"
"-rwxr-xr-x 1 root root 46979 Jun 3 13:45 h2xs*\n"
"-rwxr-xr-x 1 root root 10420 Jun 3 13:46 id*\n"
"-rwxr-xr-x 1 root root 4528 Jun 3 13:46 ldd*\n"
"-rwxr-xr-x 1 root root 111386 Jun 4 11:46 less*\n"
"-r-xr-xr-x 1 root root 26168 Jun 3 13:45 login*\n"
"-rwxr-xr-x 1 root root 49164 Jun 3 13:45 ls*\n"
"-rwxr-xr-x 1 root root 11600 Jun 3 13:45 mkdir*\n"
"-rwxr-xr-x 1 root root 24780 Jun 3 13:45 more*\n"
"-rwxr-xr-x 1 root root 154980 Jun 3 13:45 pal2rgb*\n"
"-rwxr-xr-x 1 root root 27920 Jun 3 13:46 passwd*\n"
"-rwxr-xr-x 1 root root 4241 Jun 3 13:45 pl2pm*\n"
"-rwxr-xr-x 1 root root 2350 Jun 3 13:45 pod2html*\n"
"-rwxr-xr-x 1 root root 7875 Jun 3 13:45 pod2latex*\n"
"-rwxr-xr-x 1 root root 17587 Jun 3 13:45 pod2man*\n"
"-rwxr-xr-x 1 root root 6877 Jun 3 13:45 pod2text*\n"
"-rwxr-xr-x 1 root root 3300 Jun 3 13:45 pod2usage*\n"
"-rwxr-xr-x 1 root root 3341 Jun 3 13:45 podchecker*\n"
"-rwxr-xr-x 1 root root 2483 Jun 3 13:45 podselect*\n"
"-r-xr-xr-x 1 root root 82412 Jun 4 11:46 ps*\n"
"-rwxr-xr-x 1 root root 36365 Jun 3 13:45 pstruct*\n"
"-rwxr-xr-x 1 root root 7120 Jun 3 13:45 pwd*\n"
"-rwxr-xr-x 1 root root 179884 Jun 3 13:45 rgb2ycbcr*\n"
"-rwxr-xr-x 1 root root 20532 Jun 3 13:45 rm*\n"
"-rwxr-xr-x 1 root root 6720 Jun 4 10:15 rmdir*\n"
"-rwxr-xr-x 1 root root 14705 Jun 3 13:45 s2p*\n"
"-rwxr-xr-x 1 root root 28764 Jun 3 13:46 scp*\n"
"-rwxr-xr-x 1 root root 385000 Jun 3 13:45 sendfax*\n"
"-rwxr-xr-x 1 root root 67548 Jun 3 13:45 sendpage*\n"
"-rwxr-xr-x 1 root root 88632 Jun 3 13:46 sftp*\n"
"-rwxr-xr-x 1 root root 387764 Jun 3 13:45 sh*\n"
"-rws--x--x 1 root root 744500 Jun 3 13:46 slogin*\n"
"-rwxr-xr-x 1 root root 14523 Jun 3 13:46 splain*\n"
"-rws--x--x 1 root root 744500 Jun 3 13:46 ssh*\n"
"-rwxr-xr-x 1 root root 570960 Jun 3 13:46 ssh-add*\n"
"-rwxr-xr-x 1 root root 502952 Jun 3 13:46 ssh-agent*\n"
"-rwxr-xr-x 1 root root 575740 Jun 3 13:46 ssh-keygen*\n"
"-rwxr-xr-x 1 root root 383480 Jun 3 13:46 ssh-keyscan*\n"
"-rwxr-xr-x 1 root root 39 Jun 3 13:46 ssh_europa*\n"
"-rwxr-xr-x 1 root root 107252 Jun 4 10:14 strace*\n"
"-rwxr-xr-x 1 root root 8323 Jun 4 10:14 strace-graph*\n"
"-rwxr-xr-x 1 root root 158088 Jun 3 13:46 thumbnail*\n"
"-rwxr-xr-x 1 root root 6312 Jun 3 13:46 tty*\n"
"-rwxr-xr-x 1 root root 55904 Jun 4 11:46 useradd*\n"
"-rwxr-xr-x 1 root root 585656 Jun 4 11:47 vi*\n"
"-rwxr-xr-x 1 root root 6444 Jun 4 11:45 whoami*\n"
"./dev:\n"
"total 8\n"
"drwxr-xr-x 2 root root 4096 Jun 4 12:16 ./\n"
"drwxr-xr-x 9 root root 4096 Jun 5 10:05 ../\n"
"crw-r--r-- 1 root root 1, 9 Jun 3 13:43 urandom\n"
"./etc:\n"
"total 208\n"
"drwxr-xr-x 4 root root 4096 Jun 4 12:35 ./\n"
"drwxr-xr-x 9 root root 4096 Jun 5 10:05 ../\n"
"-rw------- 1 root root 0 Jun 4 11:46 .pwd.lock\n"
"-rw-r--r-- 1 root root 653 Jun 3 13:46 group\n"
"-rw-r--r-- 1 root root 242 Jun 4 11:33 host.conf\n"
"-rw-r--r-- 1 root root 857 Jun 4 12:04 hosts\n"
"-rw-r--r-- 1 root root 1050 Jun 4 11:29 ld.so.cache\n"
"-rw-r--r-- 1 root root 304 Jun 4 11:28 ld.so.conf\n"
"-rw-r--r-- 1 root root 235 Jun 4 11:27 ld.so.conf~\n"
"-rw-r--r-- 1 root root 88039 Jun 3 13:46 moduli\n"
"-rw-r--r-- 1 root root 1342 Jun 4 11:34 nsswitch.conf\n"
"drwxr-xr-x 2 root root 4096 Jun 4 12:02 pam.d/\n"
"-rw-r--r-- 1 root root 28 Jun 4 12:00 pam_smb.conf\n"
"-rw-r--r-- 1 root root 2520 Jun 4 11:57 passwd\n"
"-rw-r--r-- 1 root root 7228 Jun 3 13:48 profile\n"
"-rw-r--r-- 1 root root 1339 Jun 4 11:33 protocols\n"
"-rw-r--r-- 1 root root 274 Jun 4 11:44 resolv.conf\n"
"drwxr-xr-x 2 root root 4096 Jun 3 13:43 security/\n"
"-rw-r----- 1 root root 1178 Jun 4 11:51 shadow\n"
"-rw------- 1 root root 80 Jun 4 11:45 shadow-\n"
"-rw-r----- 1 root root 1178 Jun 4 11:48 shadow.old\n"
"-rw-r--r-- 1 root root 161 Jun 3 13:46 shells\n"
"-rw-r--r-- 1 root root 1144 Jun 3 13:46 ssh_config\n"
"-rw------- 1 root root 668 Jun 3 13:46 ssh_host_dsa_key\n"
"-rw-r--r-- 1 root root 602 Jun 3 13:46 ssh_host_dsa_key.pub\n"
"-rw------- 1 root root 527 Jun 3 13:46 ssh_host_key\n"
"-rw-r--r-- 1 root root 331 Jun 3 13:46 ssh_host_key.pub\n"
"-rw------- 1 root root 883 Jun 3 13:46 ssh_host_rsa_key\n"
"-rw-r--r-- 1 root root 222 Jun 3 13:46 ssh_host_rsa_key.pub\n"
"-rw-r--r-- 1 root root 2471 Jun 4 12:15 sshd_config\n"
"./etc/pam.d:\n"
"total 24\n"
"drwxr-xr-x 2 root root 4096 Jun 4 12:02 ./\n"
"drwxr-xr-x 4 root root 4096 Jun 4 12:35 ../\n"
"lrwxrwxrwx 1 root root 4 Jun 4 12:02 other -> sshd\n"
"-rw-r--r-- 1 root root 318 Jun 3 13:46 passwd\n"
"-rw-r--r-- 1 root root 546 Jun 4 11:36 ssh\n"
"-rw-r--r-- 1 root root 479 Jun 4 12:02 sshd\n"
"-rw-r--r-- 1 root root 370 Jun 3 13:46 su\n"
"./etc/security:\n"
"total 32\n"
"drwxr-xr-x 2 root root 4096 Jun 3 13:43 ./\n"
"drwxr-xr-x 4 root root 4096 Jun 4 12:35 ../\n"
"-rw-r--r-- 1 root root 1971 Jun 3 13:46 access.conf\n"
"-rw-r--r-- 1 root root 184 Jun 3 13:46 chroot.conf\n"
"-rw-r--r-- 1 root root 2145 Jun 3 13:46 group.conf\n"
"-rw-r--r-- 1 root root 1356 Jun 3 13:46 limits.conf\n"
"-rw-r--r-- 1 root root 2858 Jun 3 13:46 pam_env.conf\n"
"-rw-r--r-- 1 root root 2154 Jun 3 13:46 time.conf\n"
"./lib:\n"
"total 8316\n"
"drwxr-xr-x 3 root root 4096 Jun 4 12:13 ./\n"
"drwxr-xr-x 9 root root 4096 Jun 5 10:05 ../\n"
"-rw-r--r-- 1 root root 1024 Jun 4 11:51 cracklib_dict.hwm\n"
"-rw-r--r-- 1 root root 214324 Jun 4 11:51 cracklib_dict.pwd\n"
"-rw-r--r-- 1 root root 11360 Jun 4 11:51 cracklib_dict.pwi\n"
"-rwxr-xr-x 1 root root 342427 Jun 3 13:46 ld-linux.so.2*\n"
"-rwxr-xr-x 1 root root 4061504 Jun 3 13:46 libc.so.6*\n"
"lrwxrwxrwx 1 root root 15 Jun 4 12:11 libcrack.so -> libcrack.so.2.7*\n"
"lrwxrwxrwx 1 root root 15 Jun 4 12:11 libcrack.so.2 -> libcrack.so.2.7*\n"
"-rwxr-xr-x 1 root root 33291 Jun 4 11:39 libcrack.so.2.7*\n"
"-rwxr-xr-x 1 root root 60988 Jun 3 13:46 libcrypt.so.1*\n"
"-rwxr-xr-x 1 root root 71846 Jun 3 13:46 libdl.so.2*\n"
"-rwxr-xr-x 1 root root 27762 Jun 3 13:46 libhistory.so.4.0*\n"
"lrwxrwxrwx 1 root root 17 Jun 4 12:12 libncurses.so.4 -> libncurses.so.4.2*\n"
"-rwxr-xr-x 1 root root 503903 Jun 3 13:46 libncurses.so.4.2*\n"
"lrwxrwxrwx 1 root root 17 Jun 4 12:12 libncurses.so.5 -> libncurses.so.5.0*\n"
"-rwxr-xr-x 1 root root 549429 Jun 3 13:46 libncurses.so.5.0*\n"
"-rwxr-xr-x 1 root root 369801 Jun 3 13:46 libnsl.so.1*\n"
"-rwxr-xr-x 1 root root 142563 Jun 4 11:49 libnss_compat.so.1*\n"
"-rwxr-xr-x 1 root root 215569 Jun 4 11:49 libnss_compat.so.2*\n"
"-rwxr-xr-x 1 root root 61648 Jun 4 11:34 libnss_dns.so.1*\n"
"-rwxr-xr-x 1 root root 63453 Jun 4 11:34 libnss_dns.so.2*\n"
"-rwxr-xr-x 1 root root 63782 Jun 4 11:34 libnss_dns6.so.2*\n"
"-rwxr-xr-x 1 root root 205715 Jun 3 13:46 libnss_files.so.1*\n"
"-rwxr-xr-x 1 root root 235932 Jun 3 13:49 libnss_files.so.2*\n"
"-rwxr-xr-x 1 root root 204383 Jun 4 11:33 libnss_nis.so.1*\n"
"-rwxr-xr-x 1 root root 254023 Jun 4 11:33 libnss_nis.so.2*\n"
"-rwxr-xr-x 1 root root 256465 Jun 4 11:33 libnss_nisplus.so.2*\n"
"lrwxrwxrwx 1 root root 14 Jun 4 12:12 libpam.so.0 -> libpam.so.0.72*\n"
"-rwxr-xr-x 1 root root 31449 Jun 3 13:46 libpam.so.0.72*\n"
"lrwxrwxrwx 1 root root 19 Jun 4 12:12 libpam_misc.so.0 ->\n"
"libpam_misc.so.0.72*\n"
"-rwxr-xr-x 1 root root 8125 Jun 3 13:46 libpam_misc.so.0.72*\n"
"lrwxrwxrwx 1 root root 15 Jun 4 12:12 libpamc.so.0 -> libpamc.so.0.72*\n"
"-rwxr-xr-x 1 root root 10499 Jun 3 13:46 libpamc.so.0.72*\n"
"-rwxr-xr-x 1 root root 176427 Jun 3 13:46 libreadline.so.4.0*\n"
"-rwxr-xr-x 1 root root 44729 Jun 3 13:46 libutil.so.1*\n"
"-rwxr-xr-x 1 root root 70254 Jun 3 13:46 libz.a*\n"
"lrwxrwxrwx 1 root root 13 Jun 4 12:13 libz.so -> libz.so.1.1.3*\n"
"lrwxrwxrwx 1 root root 13 Jun 4 12:13 libz.so.1 -> libz.so.1.1.3*\n"
"-rwxr-xr-x 1 root root 63312 Jun 3 13:46 libz.so.1.1.3*\n"
"drwxr-xr-x 2 root root 4096 Jun 4 12:00 security/\n"
"./lib/security:\n"
"total 668\n"
"drwxr-xr-x 2 root root 4096 Jun 4 12:00 ./\n"
"drwxr-xr-x 3 root root 4096 Jun 4 12:13 ../\n"
"-rwxr-xr-x 1 root root 10067 Jun 3 13:46 pam_access.so*\n"
"-rwxr-xr-x 1 root root 8300 Jun 3 13:46 pam_chroot.so*\n"
"-rwxr-xr-x 1 root root 14397 Jun 3 13:46 pam_cracklib.so*\n"
"-rwxr-xr-x 1 root root 5082 Jun 3 13:46 pam_deny.so*\n"
"-rwxr-xr-x 1 root root 13153 Jun 3 13:46 pam_env.so*\n"
"-rwxr-xr-x 1 root root 13371 Jun 3 13:46 pam_filter.so*\n"
"-rwxr-xr-x 1 root root 7957 Jun 3 13:46 pam_ftp.so*\n"
"-rwxr-xr-x 1 root root 12771 Jun 3 13:46 pam_group.so*\n"
"-rwxr-xr-x 1 root root 10174 Jun 3 13:46 pam_issue.so*\n"
"-rwxr-xr-x 1 root root 9774 Jun 3 13:46 pam_lastlog.so*\n"
"-rwxr-xr-x 1 root root 13591 Jun 3 13:46 pam_limits.so*\n"
"-rwxr-xr-x 1 root root 11268 Jun 3 13:46 pam_listfile.so*\n"
"-rwxr-xr-x 1 root root 11182 Jun 3 13:46 pam_mail.so*\n"
"-rwxr-xr-x 1 root root 5923 Jun 3 13:46 pam_nologin.so*\n"
"-rwxr-xr-x 1 root root 5460 Jun 3 13:46 pam_permit.so*\n"
"-rwxr-xr-x 1 root root 18226 Jun 3 13:46 pam_pwcheck.so*\n"
"-rwxr-xr-x 1 root root 12590 Jun 3 13:46 pam_rhosts_auth.so*\n"
"-rwxr-xr-x 1 root root 5551 Jun 3 13:46 pam_rootok.so*\n"
"-rwxr-xr-x 1 root root 7239 Jun 3 13:46 pam_securetty.so*\n"
"-rwxr-xr-x 1 root root 6551 Jun 3 13:46 pam_shells.so*\n"
"-rwxr-xr-x 1 root root 55925 Jun 4 12:00 pam_smb_auth.so*\n"
"-rwxr-xr-x 1 root root 12678 Jun 3 13:46 pam_stress.so*\n"
"-rwxr-xr-x 1 root root 11170 Jun 3 13:46 pam_tally.so*\n"
"-rwxr-xr-x 1 root root 11124 Jun 3 13:46 pam_time.so*\n"
"-rwxr-xr-x 1 root root 45703 Jun 3 13:46 pam_unix.so*\n"
"-rwxr-xr-x 1 root root 45703 Jun 3 13:46 pam_unix2.so*\n"
"-rwxr-xr-x 1 root root 45386 Jun 3 13:46 pam_unix_acct.so*\n"
"-rwxr-xr-x 1 root root 45386 Jun 3 13:46 pam_unix_auth.so*\n"
"-rwxr-xr-x 1 root root 45386 Jun 3 13:46 pam_unix_passwd.so*\n"
"-rwxr-xr-x 1 root root 45386 Jun 3 13:46 pam_unix_session.so*\n"
"-rwxr-xr-x 1 root root 9726 Jun 3 13:46 pam_userdb.so*\n"
"-rwxr-xr-x 1 root root 6424 Jun 3 13:46 pam_warn.so*\n"
"-rwxr-xr-x 1 root root 7460 Jun 3 13:46 pam_wheel.so*\n"
"./sbin:\n"
"total 3132\n"
"drwxr-xr-x 2 root root 4096 Jun 4 12:35 ./\n"
"drwxr-xr-x 9 root root 4096 Jun 5 10:05 ../\n"
"-rwxr-xr-x 1 root root 178256 Jun 3 13:46 choptest*\n"
"-rwxr-xr-x 1 root root 184032 Jun 3 13:46 cqtest*\n"
"-rwxr-xr-x 1 root root 81096 Jun 3 13:46 dialtest*\n"
"-rwxr-xr-x 1 root root 1142128 Jun 4 11:28 ldconfig*\n"
"-rwxr-xr-x 1 root root 2868 Jun 3 13:46 lockname*\n"
"-rwxr-xr-x 1 root root 3340 Jun 3 13:46 ondelay*\n"
"-rwxr-xr-x 1 root root 376796 Jun 3 13:46 pagesend*\n"
"-rwxr-xr-x 1 root root 13950 Jun 3 13:46 probemodem*\n"
"-rwxr-xr-x 1 root root 9234 Jun 3 13:46 recvstats*\n"
"-rwxr-xr-x 1 root root 64480 Jun 3 13:46 sftp-server*\n"
"-rwxr-xr-x 1 root root 744412 Jun 3 13:46 sshd*\n"
"-rwxr-xr-x 1 root root 30750 Jun 4 11:46 su*\n"
"-rwxr-xr-x 1 root root 194632 Jun 3 13:46 tagtest*\n"
"-rwxr-xr-x 1 root root 69892 Jun 3 13:46 tsitest*\n"
"-rwxr-xr-x 1 root root 43792 Jun 3 13:46 typetest*\n"
"./tmp:\n"
"total 8\n"
"drwxr-xr-x 2 root root 4096 Jun 4 12:32 ./\n"
"drwxr-xr-x 9 root root 4096 Jun 5 10:05 ../\n"
"./usr:\n"
"total 8\n"
"drwxr-xr-x 2 root root 4096 Jun 4 12:16 ./\n"
"drwxr-xr-x 9 root root 4096 Jun 5 10:05 ../\n"
"lrwxrwxrwx 1 root root 7 Jun 4 12:14 bin -> ../bin//\n"
"lrwxrwxrwx 1 root root 7 Jun 4 11:33 lib -> ../lib//\n"
"lrwxrwxrwx 1 root root 8 Jun 4 12:13 sbin -> ../sbin//"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1810
msgid "<prgn>Chroot</prgn> environment for <prgn>Apache</prgn>"
msgstr "<prgn>Chroot</prgn>-Umgebung für <prgn>Apache</prgn>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1816
msgid "The <prgn>chroot</prgn> utility is often used to jail a daemon in a restricted tree. You can use it to insulate services from one another, so that security issues in a software package do not jeopardize the whole server. When using the <prgn>makejail</prgn> script, setting up and updating the chrooted tree is much easier."
msgstr "Das Programm <prgn>chroot</prgn> wird häufig dazu benutzt, einen Daemon in einen beschränkten Verzeichnisbaum einzusperren. Sie können es dazu verwenden, um Dienste von anderen abzuschirmen, so dass Sicherheitsprobleme mit einem Softwarepaket nicht den ganzen Server gefährden können. Durch die Verwendung des Skripts <prgn>makejail</prgn> wird es viel leichter, einen Verzeichnisbaum in einer <prgn>chroot</prgn>-Umgebung einzurichten und zu aktualisieren."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1823
msgid "FIXME: Apache can also be chrooted using <url id=\"http://www.modsecurity.org\";> which is available in <package>libapache-mod-security</package> (for Apache 1.x) and <package>libapache2-mod-security</package> (for Apache 2.x)."
msgstr "FIXME: Apache can also be chrooted using <url id=\"http://www.modsecurity.org\";> which is available in <package>libapache-mod-security</package> (for Apache 1.x) and <package>libapache2-mod-security</package> (for Apache 2.x)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1825
msgid "Licensing"
msgstr "Lizenz"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1832
msgid "This document is copyright 2002 Alexandre Ratti. It has been dual-licensed and released under the GPL version 2 (GNU General Public License) the GNU-FDL 1.2 (GNU Free Documentation Licence) and is included in this manual with his explicit permission. (from the <url id=\"http://www.gabuzomeu.net/alex/doc/apache/index-en.html\"; name=\"original document\">)"
msgstr "Dieses Dokument ist urheberrechtlich von Alexandre Ratti (2002) geschützt. Es steht unter einer doppelten Lizenz, nämlich der GPL Version 2 (GNU General Public License) und der GNU-FDL 1.2 (GNU Free Documentation Licence). Es wurde in dieses Handbuch mit seiner ausdrücklichen Genehmigung aufgenommen. (Siehe auch das <url id=\"http://www.gabuzomeu.net/alex/doc/apache/index-en.html\"; name=\"Originaldokument\">)"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1837
msgid "Installing the server"
msgstr "Installation des Servers"
#. type: <p><list>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1840
msgid "This procedure was tested on Debian GNU/Linux 3.0 (Woody) with <prgn>makejail</prgn> 0.0.4-1 (in Debian/testing)."
msgstr "Diese Vorgehensweise wurde auf Debian GNU/Linux 3.0 (Woody) mit <prgn>makejail</prgn> 0.0.4-1 (in Debian/Testing) getestet."
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1845
msgid "Log in as <prgn>root</prgn> and create a new jail directory:"
msgstr "Melden Sie sich als <prgn>Root</prgn> an und erstellen Sie ein neues Verzeichnis für das Gefängnis:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1847
#, no-wrap
msgid "$ mkdir -p /var/chroot/apache"
msgstr "$ mkdir -p /var/chroot/apache"
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1855
msgid "Create a new user and a new group. The chrooted Apache server will run as this user/group, which isn't used for anything else on the system. In this example, both user and group are called <prgn>chrapach</prgn>."
msgstr "Erstellen Sie einen neuen Benutzer und eine neue Gruppe. Der Apache in der <prgn>chroot</prgn>-Umgebung wird als diese Benutzer und Gruppe laufen, die für nichts anderes auf dem System verwendet werden. In dem Beispiel heißen sowohl Benutzer als auch Gruppe <prgn>chrapach</prgn>."
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1851
#, no-wrap
msgid ""
" $ adduser --home /var/chroot/apache --shell /bin/false \\\n"
" --no-create-home --system --group chrapach"
msgstr ""
" $ adduser --home /var/chroot/apache --shell /bin/false \\\n"
" --no-create-home --system --group chrapach"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1861
msgid "FIXME: is a new user needed? (Apache already runs as the apache user)"
msgstr "FIXME: is a new user needed? (Apache already runs as the apache user)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1866
msgid "Install Apache as usual on Debian: <tt>apt-get install apache</tt>"
msgstr "Installieren Sie ganz normal Apache auf Debian: <tt>apt-get install apache</tt>."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1872
msgid "Set up Apache (e.g. define your subdomains, etc.). In the <file>/etc/apache/httpd.conf</file> configuration file, set the <em>Group</em> and <em>User</em> options to <tt>chrapach</tt>. Restart Apache and make sure the server is working correctly. Now, stop the Apache daemon."
msgstr "Richten Sie Apache ein (z.B. definieren Sie Ihrer Subdomains usw.). Weisen Sie in der Konfigurationsdatei <file>/etc/apache/httpd.conf</file> den Optionen <em>Group</em> und <em>User</em> <tt>chrapach</tt> zu. Starten Sie Apache neu und stellen Sie sicher, dass der Server korrekt funktioniert. Danach halten Sie den Server wieder an."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1877
msgid "Install <prgn>makejail</prgn> (available in Debian/testing for now). You should also install <prgn>wget</prgn> and <prgn>lynx</prgn> as they will be used by <prgn>makejail</prgn> to test the chrooted server: <tt>apt-get install makejail wget lynx</tt>"
msgstr "Installieren Sie <prgn>makejail</prgn> (ist derzeit in Debian/Testing vorhanden). Sie sollten auch <prgn>wget</prgn> und <prgn>lynx</prgn> installieren, da sie von <prgn>makejail</prgn> benutzt werden, um den Server in der <prgn>chroot</prgn>-Umgebung zu testen: <tt>apt-get install makejail wget lynx</tt>."
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1880
msgid "Copy the sample configuration file for Apache to the <file>/etc/makejail</file> directory:"
msgstr "Kopieren Sie die Beispielkonfigurationsdatei für Apache ins Verzeichnis <file>/etc/makejail</file>:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1879
#, no-wrap
msgid " # cp /usr/share/doc/makejail/examples/apache.py /etc/makejail/"
msgstr " # cp /usr/share/doc/makejail/examples/apache.py /etc/makejail/"
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1894
msgid "Edit <file>/etc/makejail/apache.py</file>. You need to change the <em>chroot</em>, <em>users</em> and <em>groups</em> options. To run this version of <prgn>makejail</prgn>, you can also add a <prgn>packages</prgn> option. See the <url id=\"http://www.floc.net/makejail/current/doc/\"; name=\"makejail documentation\">. A sample is shown here:"
msgstr "Bearbeiten Sie <file>/etc/makejail/apache.py</file>. Sie müssen die Optionen <em>chroot</em>, <em>users</em> und <em>groups</em> verändern. Um diese Version von <prgn>makejail</prgn> laufen zu lassen, können Sie auch die Option <prgn>packages</prgn> hinzufügen. Vergleichen Sie die <url id=\"http://www.floc.net/makejail/current/doc/\"; name=\"Makejail-DoKumentation\">. Die Konfigurationsdatei könnte beispielsweise so aussehen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1912
#, no-wrap
msgid ""
"chroot="/var/chroot/apache"\n"
"testCommandsInsideJail=["/usr/sbin/apachectl start"]\n"
"processNames=["apache"]\n"
"testCommandsOutsideJail=["wget -r --spider http://localhost/",\n";
" "lynx --source https://localhost/"]\n";
"preserve=["/var/www",\n"
" "/var/log/apache",\n"
" "/dev/log"]\n"
"users=["chrapach"]\n"
"groups=["chrapach"]\n"
"packages=["apache", "apache-common"]\n"
"userFiles=["/etc/password",\n"
" "/etc/shadow"]\n"
"groupFiles=["/etc/group",\n"
" "/etc/gshadow"]\n"
"forceCopy=["/etc/hosts",\n"
" "/etc/mime.types"]"
msgstr ""
"chroot="/var/chroot/apache"\n"
"testCommandsInsideJail=["/usr/sbin/apachectl start"]\n"
"processNames=["apache"]\n"
"testCommandsOutsideJail=["wget -r --spider http://localhost/",\n";
" "lynx --source https://localhost/"]\n";
"preserve=["/var/www",\n"
" "/var/log/apache",\n"
" "/dev/log"]\n"
"users=["chrapach"]\n"
"groups=["chrapach"]\n"
"packages=["apache", "apache-common"]\n"
"userFiles=["/etc/password",\n"
" "/etc/shadow"]\n"
"groupFiles=["/etc/group",\n"
" "/etc/gshadow"]\n"
"forceCopy=["/etc/hosts",\n"
" "/etc/mime.types"]"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1918
msgid "<em>FIXME:</em> some options do not seem to work properly. For instance, <file>/etc/shadow</file> and <file>/etc/gshadow</file> are not copied, whereas <file>/etc/password</file> and <file>/etc/group</file> are fully copied instead of being filtered."
msgstr "<em>FIXME:</em> some options do not seem to work properly. For instance, <file>/etc/shadow</file> and <file>/etc/gshadow</file> are not copied, whereas <file>/etc/password</file> and <file>/etc/group</file> are fully copied instead of being filtered."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1921
msgid "Create the chroot tree: <tt>makejail /etc/makejail/apache.py</tt>"
msgstr "Erstellen Sie den Verzeichnisbaum für chroot: <tt>makejail /etc/makejail/apache.py</tt>."
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1925
msgid "If <file>/etc/password</file> and <file>/etc/group</file> were fully copied, type:"
msgstr "Falls <file>/etc/password</file> und <file>/etc/group</file> vollständig kopiert wurden, geben Sie Folgendes ein:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1927
#, no-wrap
msgid ""
" $ grep chrapach /etc/passwd > /var/chroot/apache/etc/passwd\n"
" $ grep chrapach /etc/group > /var/chroot/apache/etc/group"
msgstr ""
" $ grep chrapach /etc/passwd > /var/chroot/apache/etc/passwd\n"
" $ grep chrapach /etc/group > /var/chroot/apache/etc/group"
#. type: </example></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1930
msgid "to replace them with filtered copies."
msgstr "Damit werden <file>/etc/password</file> und <file>/etc/group</file> mit gefilterten Fassungen ersetzt."
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1934
msgid "Copy the Web site pages and the logs into the jail. These files are not copied automatically (see the <em>preserve</em> option in <prgn>makejail</prgn>'s configuration file)."
msgstr "Kopieren Sie die Webseiten und die Protokolle ins Gefängnis. Diese Dateien werden nicht automatisch mitkopiert (sehen Sie sich dazu die Option <em>preserve</em> in der Konfigurationsdatei von <prgn>makejail</prgn> an)."
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1936
#, no-wrap
msgid ""
" # cp -Rp /var/www /var/chroot/apache/var\n"
" # cp -Rp /var/log/apache/*.log /var/chroot/apache/var/log/apache"
msgstr ""
" # cp -Rp /var/www /var/chroot/apache/var\n"
" # cp -Rp /var/log/apache/*.log /var/chroot/apache/var/log/apache"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1946
msgid "Edit the startup script for the system logging daemon so that it also listen to the <file>/var/chroot/apache/dev/log</file> socket. In <file>/etc/default/syslogd</file>, replace: <tt>SYSLOGD=""</tt> with <tt>SYSLOGD=" -a /var/chroot/apache/dev/log"</tt> and restart the daemon (<tt>/etc/init.d/sysklogd restart</tt>)."
msgstr "Editieren Sie das Startskript für den Protokoll-Daemon des Systems so, dass er auch den Socket <file>/var/chroot/apache/dev/log</file> beobachtet. Ersetzen Sie in <file>/etc/default/syslogd</file> <tt>SYSLOGD=""</tt> mit <tt>SYSLOGD=" -a /var/chroot/apache/dev/log"</tt> und starten Sie den Daemon neu (<tt>/etc/init.d/sysklogd restart</tt>)."
#. type: <p><list>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1950
msgid "Edit the Apache startup script (<file>/etc/init.d/apache</file>). You might need to make some changes to the default startup script for it to run properly with a chrooted tree. Such as:"
msgstr "Editieren Sie das Startskript von Apache (<file>/etc/init.d/apache</file>). Sie müssen ein paar Änderung am Standardstartskript vornehmen, damit es richtig in einem Verzeichnisbaum in einer <prgn>chroot</prgn>-Umgebung läuft. Da wäre:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1952
msgid "set a new <em>CHRDIR</em> variable at the top of the file;"
msgstr "Legen Sie die Variable <em>CHRDIR</em> am Anfang der Datei neu fest."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1954
msgid "edit the <em>start</em>, <em>stop</em>, <em>reload</em>, etc. sections;"
msgstr "Bearbeiten Sie die Abschnitte <em>start</em>, <em>stop</em>, <em>reload</em> etc."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:1956
msgid "add a line to mount and unmount the <file>/proc</file> filesystem within the jail."
msgstr "Fügen Sie eine Zeile hinzu, um das <file>/proc</file>-Dateisystem innerhalb des Gefängnisses ein- und auszuhängen."
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:2040
#, no-wrap
msgid ""
"#! /bin/bash\n"
"#\n"
"# apache Start the apache HTTP server.\n"
"#\n"
"\n"
"CHRDIR=/var/chroot/apache\n"
"\n"
"NAME=apache\n"
"PATH=/bin:/usr/bin:/sbin:/usr/sbin\n"
"DAEMON=/usr/sbin/apache\n"
"SUEXEC=/usr/lib/apache/suexec\n"
"PIDFILE=/var/run/$NAME.pid\n"
"CONF=/etc/apache/httpd.conf\n"
"APACHECTL=/usr/sbin/apachectl \n"
"\n"
"trap \"\" 1\n"
"export LANG=C\n"
"export PATH\n"
"\n"
"test -f $DAEMON || exit 0\n"
"test -f $APACHECTL || exit 0\n"
"\n"
"# ensure we don't leak environment vars into apachectl\n"
"APACHECTL=\"env -i LANG=${LANG} PATH=${PATH} chroot $CHRDIR $APACHECTL\"\n"
"\n"
"if egrep -q -i \"^[[:space:]]*ServerType[[:space:]]+inet\" $CONF\n"
"then\n"
" exit 0\n"
"fi\n"
"\n"
"case \"$1\" in\n"
" start)\n"
" echo -n \"Starting web server: $NAME\"\n"
" mount -t proc proc /var/chroot/apache/proc\n"
" start-stop-daemon --start --pidfile $PIDFILE --exec $DAEMON \\\n"
" --chroot $CHRDIR\n"
" ;;\n"
"\n"
" stop)\n"
" echo -n \"Stopping web server: $NAME\"\n"
" start-stop-daemon --stop --pidfile \"$CHRDIR/$PIDFILE\" --oknodo\n"
" umount /var/chroot/apache/proc\n"
" ;;\n"
"\n"
" reload)\n"
" echo -n \"Reloading $NAME configuration\"\n"
" start-stop-daemon --stop --pidfile \"$CHRDIR/$PIDFILE\" \\\n"
" --signal USR1 --startas $DAEMON --chroot $CHRDIR\n"
" ;;\n"
"\n"
" reload-modules)\n"
" echo -n \"Reloading $NAME modules\"\n"
" start-stop-daemon --stop --pidfile \"$CHRDIR/$PIDFILE\" --oknodo \\\n"
" --retry 30\n"
" start-stop-daemon --start --pidfile $PIDFILE \\\n"
" --exec $DAEMON --chroot $CHRDIR\n"
" ;;\n"
"\n"
" restart)\n"
" $0 reload-modules\n"
" exit $?\n"
" ;;\n"
"\n"
" force-reload)\n"
" $0 reload-modules\n"
" exit $?\n"
" ;;\n"
"\n"
" *)\n"
" echo \"Usage: /etc/init.d/$NAME {start|stop|reload|reload-modules|force-reload|restart}\"\n"
" exit 1\n"
" ;;\n"
"esac\n"
"\n"
"if [ $? == 0 ]; then\n"
" echo .\n"
" exit 0\n"
"else\n"
" echo failed\n"
" exit 1\n"
"fi"
msgstr ""
"#! /bin/bash\n"
"#\n"
"# apache Start the apache HTTP server.\n"
"#\n"
"\n"
"CHRDIR=/var/chroot/apache\n"
"\n"
"NAME=apache\n"
"PATH=/bin:/usr/bin:/sbin:/usr/sbin\n"
"DAEMON=/usr/sbin/apache\n"
"SUEXEC=/usr/lib/apache/suexec\n"
"PIDFILE=/var/run/$NAME.pid\n"
"CONF=/etc/apache/httpd.conf\n"
"APACHECTL=/usr/sbin/apachectl \n"
"\n"
"trap \"\" 1\n"
"export LANG=C\n"
"export PATH\n"
"\n"
"test -f $DAEMON || exit 0\n"
"test -f $APACHECTL || exit 0\n"
"\n"
"# ensure we don't leak environment vars into apachectl\n"
"APACHECTL=\"env -i LANG=${LANG} PATH=${PATH} chroot $CHRDIR $APACHECTL\"\n"
"\n"
"if egrep -q -i \"^[[:space:]]*ServerType[[:space:]]+inet\" $CONF\n"
"then\n"
" exit 0\n"
"fi\n"
"\n"
"case \"$1\" in\n"
" start)\n"
" echo -n \"Starting web server: $NAME\"\n"
" mount -t proc proc /var/chroot/apache/proc\n"
" start-stop-daemon --start --pidfile $PIDFILE --exec $DAEMON \\\n"
" --chroot $CHRDIR\n"
" ;;\n"
"\n"
" stop)\n"
" echo -n \"Stopping web server: $NAME\"\n"
" start-stop-daemon --stop --pidfile \"$CHRDIR/$PIDFILE\" --oknodo\n"
" umount /var/chroot/apache/proc\n"
" ;;\n"
"\n"
" reload)\n"
" echo -n \"Reloading $NAME configuration\"\n"
" start-stop-daemon --stop --pidfile \"$CHRDIR/$PIDFILE\" \\\n"
" --signal USR1 --startas $DAEMON --chroot $CHRDIR\n"
" ;;\n"
"\n"
" reload-modules)\n"
" echo -n \"Reloading $NAME modules\"\n"
" start-stop-daemon --stop --pidfile \"$CHRDIR/$PIDFILE\" --oknodo \\\n"
" --retry 30\n"
" start-stop-daemon --start --pidfile $PIDFILE \\\n"
" --exec $DAEMON --chroot $CHRDIR\n"
" ;;\n"
"\n"
" restart)\n"
" $0 reload-modules\n"
" exit $?\n"
" ;;\n"
"\n"
" force-reload)\n"
" $0 reload-modules\n"
" exit $?\n"
" ;;\n"
"\n"
" *)\n"
" echo \"Usage: /etc/init.d/$NAME {start|stop|reload|reload-modules|force-reload|restart}\"\n"
" exit 1\n"
" ;;\n"
"esac\n"
"\n"
"if [ $? == 0 ]; then\n"
" echo .\n"
" exit 0\n"
"else\n"
" echo failed\n"
" exit 1\n"
"fi"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:2044
msgid "<em>FIXME</em>: should the first Apache process be run as another user than root (i.e. add --chuid chrapach:chrapach)? Cons: chrapach will need write access to the logs, which is awkward."
msgstr "<em>FIXME</em>: should the first Apache process be run as another user than root (i.e. add --chuid chrapach:chrapach)? Cons: chrapach will need write access to the logs, which is awkward."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:2048
msgid "Replace in <file>/etc/logrotate.d/apache</file> <tt>/var/log/apache/*.log</tt> with <tt>/var/chroot/apache/var/log/apache/*.log</tt>"
msgstr "Ersetzen Sie in <file>/etc/logrotate.d/apache</file> <tt>/var/log/apache/*.log</tt> durch <tt>/var/chroot/apache/var/log/apache/*.log</tt>."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:2059
msgid "Start Apache (<prgn>/etc/init.d/apache start</prgn>) and check what is it reported in the jail log (<file>/var/chroot/apache/var/log/apache/error.log</file>). If your setup is more complex, (e.g. if you also use PHP and MySQL), files will probably be missing. if some files are not copied automatically by <prgn>makejail</prgn>, you can list them in the <em>forceCopy</em> (to copy files directly) or <em>packages</em> (to copy full packages and their dependencies) option the <file>/etc/makejail/apache.py</file> configuration file."
msgstr "Starten Sie Apache (<prgn>/etc/init.d/apache start</prgn>) und überprüfen Sie, was im Protokoll des Gefängnisses gemeldet wird (<file>/var/chroot/apache/var/log/apache/error.log</file>). Wenn Ihre Konfiguration komplexer sein sollte (z.B. wenn Sie auch PHP und MySQL einsetzen), werden wahrscheinlich Dateien fehlen. Wenn einige Dateien nicht automatisch von <prgn>makejail</prgn> kopiert werden, können Sie diese in den Optionen <em>forceCopy</em> (um Dateien direkt zu kopieren) oder <em>packages</em> (um ganze Pakete mit ihren Abhängigkeiten zu kopieren) in der Konfigurationsdatei <file>/etc/makejail/apache.py</file> aufführen."
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:2063
msgid "Type <tt>ps aux | grep apache</tt> to make sure Apache is running. You should see something like:"
msgstr "Geben Sie <tt>ps aux | grep apache</tt> ein, um sicherzustellen, dass Apache läuft. Sie sollten etwas in dieser Art sehen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:2065
#, no-wrap
msgid ""
" root 180 0.0 1.1 2936 1436 ? S 04:03 0:00 /usr/sbin/apache\n"
" chrapach 189 0.0 1.1 2960 1456 ? S 04:03 0:00 /usr/sbin/apache\n"
" chrapach 190 0.0 1.1 2960 1456 ? S 04:03 0:00 /usr/sbin/apache\n"
" chrapach 191 0.0 1.1 2960 1456 ? S 04:03 0:00 /usr/sbin/apache\n"
" chrapach 192 0.0 1.1 2960 1456 ? S 04:03 0:00 /usr/sbin/apache\n"
" chrapach 193 0.0 1.1 2960 1456 ? S 04:03 0:00 /usr/sbin/apache"
msgstr ""
" root 180 0.0 1.1 2936 1436 ? S 04:03 0:00 /usr/sbin/apache\n"
" chrapach 189 0.0 1.1 2960 1456 ? S 04:03 0:00 /usr/sbin/apache\n"
" chrapach 190 0.0 1.1 2960 1456 ? S 04:03 0:00 /usr/sbin/apache\n"
" chrapach 191 0.0 1.1 2960 1456 ? S 04:03 0:00 /usr/sbin/apache\n"
" chrapach 192 0.0 1.1 2960 1456 ? S 04:03 0:00 /usr/sbin/apache\n"
" chrapach 193 0.0 1.1 2960 1456 ? S 04:03 0:00 /usr/sbin/apache"
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:2078
msgid "Make sure the Apache processes are running chrooted by looking in the <file>/proc</file> filesystem: <tt>ls -la /proc/<var>process_number</var>/root/.</tt> where <var>process_number</var> is one of the PID numbers listed above (2nd column; 189 for instance). The entries for a restricted tree should be listed:"
msgstr "Stellen Sie sicher, dass die Apache-Prozesse in einer <prgn>chroot</prgn>-Umgebung laufen. Betrachten Sie dazu das <file>/proc</file>-Dateisystem: <tt>ls -la /proc/<var>process_number</var>/root/.</tt>, wobei <var>process_number</var> einer der PID-Nummern ist, die oben aufgeführt wurden (z.B. 189 in der zweiten Reihe). Die Einträge des eingeschränkten Verzeichnisbaums sollten Sie sich auflisten lassen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:2080
#, no-wrap
msgid ""
" drwxr-sr-x 10 root staff 240 Dec 2 16:06 .\n"
" drwxrwsr-x 4 root staff 72 Dec 2 08:07 ..\n"
" drwxr-xr-x 2 root root 144 Dec 2 16:05 bin\n"
" drwxr-xr-x 2 root root 120 Dec 3 04:03 dev\n"
" drwxr-xr-x 5 root root 408 Dec 3 04:03 etc\n"
" drwxr-xr-x 2 root root 800 Dec 2 16:06 lib\n"
" dr-xr-xr-x 43 root root 0 Dec 3 05:03 proc\n"
" drwxr-xr-x 2 root root 48 Dec 2 16:06 sbin\n"
" drwxr-xr-x 6 root root 144 Dec 2 16:04 usr\n"
" drwxr-xr-x 7 root root 168 Dec 2 16:06 var"
msgstr ""
" drwxr-sr-x 10 root staff 240 Dec 2 16:06 .\n"
" drwxrwsr-x 4 root staff 72 Dec 2 08:07 ..\n"
" drwxr-xr-x 2 root root 144 Dec 2 16:05 bin\n"
" drwxr-xr-x 2 root root 120 Dec 3 04:03 dev\n"
" drwxr-xr-x 5 root root 408 Dec 3 04:03 etc\n"
" drwxr-xr-x 2 root root 800 Dec 2 16:06 lib\n"
" dr-xr-xr-x 43 root root 0 Dec 3 05:03 proc\n"
" drwxr-xr-x 2 root root 48 Dec 2 16:06 sbin\n"
" drwxr-xr-x 6 root root 144 Dec 2 16:04 usr\n"
" drwxr-xr-x 7 root root 168 Dec 2 16:06 var"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:2092
msgid "To automate this test, you can type:<tt>ls -la /proc/`cat /var/chroot/apache/var/run/apache.pid`/root/.</tt>"
msgstr "Um diesen Test zu automatisieren, geben Sie <tt>ls -la /proc/`cat /var/chroot/apache/var/run/apache.pid`/root/.</tt> ein."
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:2095
msgid "<em>FIXME</em>: Add other tests that can be run to make sure the jail is closed?"
msgstr "<em>FIXME</em>: Add other tests that can be run to make sure the jail is closed?"
#. type: <p><example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:2102
msgid "The reason I like this is because setting up the jail is not very difficult and the server can be updated in just two lines:"
msgstr "Ich mag das, da es so nicht sehr schwierig ist, das Gefängnis einzurichten, und der Server mit nur zwei Zeilen aktualisiert werden kann:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:2105
#, no-wrap
msgid ""
"apt-get update && apt-get install apache\n"
"makejail /etc/makejail/apache.py"
msgstr ""
"apt-get update && apt-get install apache\n"
"makejail /etc/makejail/apache.py"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:2110
msgid "See also"
msgstr "Weiterführende Informationen"
#. type: <p><list>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:2112
msgid "If you are looking for more information you can consider these sources of information in which the information presented is based:"
msgstr "Wenn Sie nach weiteren Informationen suchen, sehen Sie sich die Quellen an, auf denen diese Anleitung beruht:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:61
#: en/appendix.sgml:2115
msgid "<url id=\"http://www.floc.net/makejail/\"; name=\"makejail homepage\">, this program was written by Alain Tesio"
msgstr "Die <url id=\"http://www.floc.net/makejail/\"; name=\"Makejail-Homepage\">. Diese Programm wurde von Alain Tesio geschrieben."
#~ msgid "Fri, 06 Dec 2013 17:47:42 +0100"
#~ msgstr "Fri, 06 Dec 2013 17:47:42 +0100"
Reply to: