Re: [RFR] Securing Debian Manual de.po (Teil 2a)
Securing Debian Manual: Teil 2a
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:564
msgid "However, many script kiddies have exploits which try to create and execute files in <file>/tmp</file>. If they do not have a clue, they will fall into this pit. In other words, a user cannot be tricked into executing a trojanized binary in <file>/tmp</file> e.g. when he incidentally adds <file>/tmp</file> into his PATH."
msgstr "Wie auch immer, viele Skript-Kiddies haben Exploits, die versuchen, eine Datei in <file>/tmp</file> zu erstellen und auszuführen. Falls sie keine Ahnung haben, werden sie in dieser Grube hängen bleiben. Mit anderen Worten: Ein Benutzer kann nicht hereingelegt werden, einen ausführbaren Trojaner in <file>/tmp</file> laufen zu lassen, zum Beispiel, indem er zufällig <file>/tmp</file> in seinen Suchpfad aufnimmt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:569
msgid "Also be forewarned, some script might depend on <file>/tmp</file> being executable. Most notably, Debconf has (had?) some issues regarding this, for more information see Bug <url id=\"http://bugs.debian.org/116448\"; name=\"116448\">."
msgstr "Seien Sie sich auch bewusst, dass manche Skripte darauf aufbauen, dass <file>/tmp</file> ausführbare Rechte hat. Bemerkenswerterweise hatte (oder hat?) Debconf Probleme bei dieser Sache, weitere Informationen enthält Fehler <url id=\"http://bugs.debian.org/116448\"; name=\"116448\">."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:578
msgid "The following is a more thorough example. A note, though: <file>/var</file> could be set noexec, but some software <footnote><p>Some of this includes the package manager <package>dpkg</package> since the installation (post,pre) and removal (post,pre) scripts are at <file>/var/lib/dpkg/</file> and Smartlist</p></footnote> keeps its programs under in <file>/var</file>. The same applies to the nosuid option."
msgstr "Nachfolgend ein gründlicheres Beispiel. Eine Anmerkung dazu: <file>/var</file> könnte auch noexec enthalten, aber manche Software <footnote>Einiges davon trifft auf den Paketverwalter <package>dpkg</package> zu, da die Installations- oder Deinstallationsanweisungen (post, pre) unter <file>/var/lib/dpkg/</file> liegen, und auch auf Smartlist. </footnote> verwahrt ihre Programme unterhalb von <file>/var</file>. Dasselbe gilt für die Option nosuid."
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:590
#, no-wrap
msgid ""
"/dev/sda6 /usr ext3 defaults,ro,nodev 0 2\n"
"/dev/sda12 /usr/share ext3 defaults,ro,nodev,nosuid 0 2\n"
"/dev/sda7 /var ext3 defaults,nodev,usrquota,grpquota 0 2\n"
"/dev/sda8 /tmp ext3 defaults,nodev,nosuid,noexec,usrquota,grpquota 0 2\n"
"/dev/sda9 /var/tmp ext3 defaults,nodev,nosuid,noexec,usrquota,grpquota 0 2\n"
"/dev/sda10 /var/log ext3 defaults,nodev,nosuid,noexec 0 2\n"
"/dev/sda11 /var/account ext3 defaults,nodev,nosuid,noexec 0 2\n"
"/dev/sda13 /home ext3 rw,nosuid,nodev,exec,auto,nouser,async,usrquota,grpquota 0 2\n"
"/dev/fd0 /mnt/fd0 ext3 defaults,users,nodev,nosuid,noexec 0 0\n"
"/dev/fd0 /mnt/floppy vfat defaults,users,nodev,nosuid,noexec 0 0\n"
"/dev/hda /mnt/cdrom iso9660 ro,users,nodev,nosuid,noexec 0 0"
msgstr ""
"/dev/sda6 /usr ext3 defaults,ro,nodev 0 2\n"
"/dev/sda12 /usr/share ext3 defaults,ro,nodev,nosuid 0 2\n"
"/dev/sda7 /var ext3 defaults,nodev,usrquota,grpquota 0 2\n"
"/dev/sda8 /tmp ext3 defaults,nodev,nosuid,noexec,usrquota,grpquota 0 2\n"
"/dev/sda9 /var/tmp ext3 defaults,nodev,nosuid,noexec,usrquota,grpquota 0 2\n"
"/dev/sda10 /var/log ext3 defaults,nodev,nosuid,noexec 0 2\n"
"/dev/sda11 /var/account ext3 defaults,nodev,nosuid,noexec 0 2\n"
"/dev/sda13 /home ext3 rw,nosuid,nodev,exec,auto,nouser,async,usrquota,grpquota 0 2\n"
"/dev/fd0 /mnt/fd0 ext3 defaults,users,nodev,nosuid,noexec 0 0\n"
"/dev/fd0 /mnt/floppy vfat defaults,users,nodev,nosuid,noexec 0 0\n"
"/dev/hda /mnt/cdrom iso9660 ro,users,nodev,nosuid,noexec 0 0"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:593
msgid "Setting <file>/tmp</file> noexec"
msgstr "<file>/tmp</file> noexec setzen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:616
msgid "Be careful if setting <file>/tmp</file> noexec when you want to install new software, since some programs might use it for installation. <package>apt</package> is one such program (see <url id=\"http://bugs.debian.org/116448\";>) if not configured properly <tt>APT::ExtractTemplates::TempDir</tt> (see <manref name=\"apt-extracttemplates\" section=\"1\">). You can set this variable in <file>/etc/apt/apt.conf</file> to another directory with exec privileges other than <file>/tmp</file>."
msgstr "Seien Sie vorsichtig, wenn Sie <file>/tmp</file> noexec setzen und neue Software installieren wollen, da manche Software es während der Installation benutzt. <package>apt</package> ist ein solches Programm (siehe <url id=\"http://bugs.debian.org/116448\";>), wenn nicht <tt>APT::ExtractTemplates::TempDir</tt> (siehe <manref name=\"apt-extracttemplates\" section=\"1\">) passend konfiguriert wurde. Sie können diese Variable in <file>/etc/apt/apt.conf</file> auf ein anderes Verzeichnis als <file>/tmp</file> mit exec-Privilegien setzen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:617
msgid "Setting /usr read-only"
msgstr "/usr auf nur-lesend setzen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:624
msgid "If you set <file>/usr</file> read-only you will not be able to install new packages on your Debian GNU/Linux system. You will have to first remount it read-write, install the packages and then remount it read-only. <package>apt</package> can be configured to run commands before and after installing packages, so you might want to configure it properly."
msgstr "Wenn Sie auf <file>/usr</file> nur lesenden Zugriff erlauben, werden Sie nicht in der Lage sein, neue Pakete auf Ihrem Debian GNU/Linux System zu installieren. Sie werden es erst mit Schreibzugriff erneut mounten müssen, die Pakete installieren und dann wieder nur mit lesendem Zugriff mounten. <package>apt</package> kann so konfiguriert werden, dass Befehle vor und nach dem Installieren von Paketen ausgeführt werden. Daher müssen Sie es passend konfigurieren."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:625
msgid "To do this modify <file>/etc/apt/apt.conf</file> and add:"
msgstr "Dafür müssen Sie <file>/etc/apt/apt.conf</file> bearbeiten und Folgendes einfügen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:631
#, no-wrap
msgid ""
" DPkg\n"
" {\n"
" Pre-Invoke { \"mount /usr -o remount,rw\" };\n"
" Post-Invoke { \"mount /usr -o remount,ro\" };\n"
" };"
msgstr ""
" DPkg\n"
" {\n"
" Pre-Invoke { \"mount /usr -o remount,rw\" };\n"
" Post-Invoke { \"mount /usr -o remount,ro\" };\n"
" };"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:636
msgid "Note that the Post-Invoke may fail with a \"/usr busy\" error message. This happens mainly when you are using files during the update that got updated. You can find these programs by running"
msgstr "Beachten Sie, dass das Post-Invoke mit der Fehlermeldung »usr busy« scheitern kann. Dies passiert vorwiegend, wenn Sie eine Datei benutzen, die aktualisiert wurde. Sie können diese Programme finden, indem Sie Folgendes ausführen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:638
#, no-wrap
msgid "# lsof +L1"
msgstr "# lsof +L1"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:648
msgid "Stop or restart these programs and run the Post-Invoke manually. <em>Beware!</em> This means you'll likely need to restart your X session (if you're running one) every time you do a major upgrade of your system. You might want to reconsider whether a read-only <file>/usr</file> is suitable for your system. See also this <url id=\"http://lists.debian.org/debian-devel/2001/11/threads.html#00212\"; name=\"discussion on debian-devel about read-only /usr\">."
msgstr "Halten Sie diese Programme an oder starten Sie sie erneut und rufen dann Post-Invoke manuell auf. <em>Achtung!</em> Das bedeutet, dass Sie wahrscheinlich jedes Mal Ihre Sitzung von X (falls Sie eine laufen haben) neu starten müssen, wenn Sie ein größeres Upgrade Ihres Systems durchführen. Sie müssen entscheiden, ob ein nur lesbares <file>/usr</file> zu Ihrem System passt. Vergleichen Sie auch diese <url id=\"http://lists.debian.org/debian-devel/2001/11/threads.html#00212\"; name=\"discussion on debian-devel about read-only /usr\">."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:650
msgid "Providing secure user access"
msgstr "Den Benutzerzugang absichern"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:652
msgid "User authentication: PAM"
msgstr "Benutzerauthentifizierung: PAM"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:662
msgid "PAM (Pluggable Authentication Modules) allows system administrators to choose how applications authenticate users. Note that PAM can do nothing unless an application is compiled with support for PAM. Most of the applications that are shipped with Debian have this support built in (Debian did not have PAM support before 2.2). The current default configuration for any PAM-enabled service is to emulate UNIX authentication (read <file>/usr/share/doc/libpam0g/Debian-PAM-MiniPolicy.gz</file> for more information on how PAM services <em>should</em> work in Debian)."
msgstr "PAM (Pluggable Authentication Modules) erlaubt Systemadministratoren auszuwählen, wie Anwendungen Benutzer authentifizieren. Beachten Sie, dass PAM nichts machen kann, solange die Anwendung nicht mit Unterstützung für PAM kompiliert wurde. Die meisten Anwendungen, die mit Debian geliefert werden, haben diese Unterstützung eingebaut. Vor Version 2.2 hatte Debian keine Unterstützung für PAM. Die derzeitige Standardkonfiguration für jeden Dienst, der PAM benutzt, ist es, UNIX-Authentifizierung zu emulieren (lesen Sie <file>/usr/share/doc/libpam0g/Debian-PAM-MiniPolicy.gz</file>, um mehr darüber zu erfahren, wie PAM-Dienste unter Debian arbeiten <em>sollten</em>)."
#. type: <p><list>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:665
msgid "Each application with PAM support provides a configuration file in <file>/etc/pam.d/</file> which can be used to modify its behavior:"
msgstr "Jede Anwendung mit PAM-Unterstützung stellt eine Konfigurationsdatei unter <file>/etc/pam.d/</file> zur Verfügung, in welcher Sie ihr Verhalten einstellen können:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:667
msgid "what backend is used for authentication."
msgstr "welches Verfahren zur Authentifizierung benutzt wird"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:668
msgid "what backend is used for sessions."
msgstr "welches Verfahren innerhalb einer Sitzung benutzt wird"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:669
msgid "how do password checks behave."
msgstr "wie Passwörter überprüft werden"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:677
msgid "The following description is far from complete, for more information you might want to read the <url id=\"http://www.linux-pam.org/Linux-PAM-html/\"; name=\"Linux-PAM Guides\"> as a reference. This documentation is available in the system if you install the <package>libpam-doc</package> at <file>/usr/share/doc/libpam-doc/html/</file>."
msgstr "Die folgende Beschreibung ist weit davon entfernt, vollständig zu sein. Für weitere Informationen können Sie die <url id=\"http://www.linux-pam.org/Linux-PAM-html/\"; name=\"Linux-PAM Guides\"> lesen. Diese Dokumentation ist auf Ihrem System unter <file>/usr/share/doc/libpam-doc/html/</file> verfügbar, wenn Sie <package>libpam-doc</package> installieren."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:688
msgid "PAM offers you the possibility to go through several authentication steps at once, without the user's knowledge. You could authenticate against a Berkeley database and against the normal <file>passwd</file> file, and the user only logs in if he authenticates correct in both. You can restrict a lot with PAM, just as you can open your system doors very wide. So be careful. A typical configuration line has a control field as its second element. Generally it should be set to <tt>requisite</tt>, which returns a login failure if one module fails."
msgstr "PAM bieten Ihnen die Möglichkeit, durch mehrere Authentifizierungsschritte auf einmal zu gehen, ohne dass der Benutzer es weiß. Sie können gegen eine Berkeley-Datenbank und gegen die normale <file>passwd</file>-Datei authentifizieren, und der Benutzer kann sich nur anmelden, wenn er beide Male korrekt authentifiziert wurde. Sie können viel einschränken mit PAM, genauso wie Sie Ihr System weit öffnen können. Seien Sie also vorsichtig. Eine typische Konfigurationszeile hat ein Kontrollfeld als zweites Element. Generell sollte es auf <tt>requisite</tt> gesetzt werden, so wird ein Anmeldefehler erzeugt, wenn eines der Module versagt."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:690
msgid "Password security in PAM"
msgstr "Passwortsicherheit in PAM"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:700
msgid "Review the <file>/etc/pam.d/common-password</file>, included by <file>/etc/pam.d/passwd</file> <footnote><p>In old Debian releases the configuration of the modules was defined directly in <file>/etc/pam.d/passwd</file>.</p></footnote> . This file is included by other files in <file>/etc/pam.d/</file> to define the behaviour of password use in subsystems that grant access to services in the machine, like the console login (<tt>login</tt>), graphical login managers (such as <tt>gdm</tt> or <tt>lightdm</tt>), and remote login (such as <tt>sshd</tt>). This definition is"
msgstr "Sehen Sie sich <file>/etc/pam.d/common-password</file> an, die von <file>/etc/pam.d/passwd</file> eingebunden wird. <footnote>In früheren Debian-Veröffentlichungen befand sich die Konfiguration der Module direkt in <file>/etc/pam.d/passwd</file>.</footnote> Andere Dateien in <file>/etc/pam.d/</file> lesen diese Datei ein, um die Verwendung eines Passworts durch Programme, die einen Zugriff auf das System erlauben, wie etwa das Konsolen-Login (<tt>login</tt>), grafische Login-Manager (z.B. <tt>gdm</tt> oder <tt>lightdm</tt>) und Login aus der Ferne (etwa mit <tt>sshd</tt>), zu definieren."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:703
msgid "You have to make sure that the pam_unix.so module uses the \"sha512\" option to use encrypted passwords. This is the default in Debian Squeeze."
msgstr "Sie müssen sicherstellen, dass das Modul pam_unix.so die Option »sha512« verwendet, damit die Passwörter verschlüsselt werden. In Debian Squeeze ist dies standardmäßig eingerichtet."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:705
msgid "The line with the definition of the pam_unix module will look something like:"
msgstr "Die Zeile mit der Konfiguration des Moduls pam_unix sollte etwa so aussehen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:707
#, no-wrap
msgid " password [success=1 default=ignore] pam_unix.so nullok obscure minlen=8 sha512"
msgstr " password [success=1 default=ignore] pam_unix.so nullok obscure minlen=8 sha512"
#. type: <p><list>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:711
msgid "This definition:"
msgstr "Dieser Ausdruck"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:716
msgid "Enforces password encryption when storing passwords, using the SHA-512 hash function (option <em>sha512</em>),"
msgstr "erzwingt die Verschlüsselung von Passwörtern mit der Hashfunktion SHA-512, wenn sie gespeichert werden (Option <em>sha512</em>),"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:719
msgid "Enables password complexity checks (option <em>obscure</em>) as defined in the <manref name=\"pam_unix\" section=\"8\"> manpage,"
msgstr "aktiviert die Überprüfung der Komplexität eines Passworts, wie sie in der Handbuchseite <manref name=\"pam_unix\" section=\"8\"> beschrieben wird (Option <em>obscure</em>),"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:721
msgid "Imposes a minimum password length (option <em>min</em>) of 8."
msgstr "erfordert, dass das Passwort mindestens acht Zeichen lang ist (Option <em>min</em>)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:727
msgid "You have to ensure that encrypted passwords are used in PAM applications, since this helps protect against dictionary cracks. Using encryption also makes it possible to use passwords longer than 8 characters."
msgstr "Sie müssen sicherstellen, dass in PAM-Anwendungen verschlüsselte Passwörter verwendet werden, weil dies Wörterbuchangriffe erschwert. Zugleich wird es dadurch möglich, Passwörter mit mehr als acht Zeichen einzusetzen."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:733
msgid "Since this module is also used to define how passwords are changed (it is included by <tt>chpasswd</tt>) you can strengthen the password security in the system by installing <package>libpam-cracklib</package> and introducing this definition in the <file>/etc/pam.d/common-password</file> configuration file:"
msgstr "Da mit diesem Modul auch definiert wird, wie Passwörter geändert werden, weil es von <tt>chpasswd</tt> eingebunden wird, können Sie die Passwortsicherheit Ihres Systems erhöhen, indem sie <package>libpam-cracklib</package> installieren und folgenden Ausdruck in die Konfigurationsdatei <file>/etc/pam.d/common-password</file> eintragen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:737
#, no-wrap
msgid ""
" # Be sure to install libpam-cracklib first or you will not be able to log in\n"
" password required pam_cracklib.so retry=3 minlen=12 difok=3\n"
" password [success=1 default=ignore] pam_unix.so obscure minlen=8 sha512 use_authok"
msgstr ""
" # Gehen Sie sicher, dass Sie libpam-cracklib zuerst installiert haben,\n"
" # sonst werden Sie sich nicht einloggen können\n"
" password required pam_cracklib.so retry=3 minlen=12 difok=3\n"
" password [success=1 default=ignore] pam_unix.so obscure minlen=8 sha512 use_authok"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:754
msgid "So, what does this incantation do? The first line loads the cracklib PAM module, which provides password strength-checking, prompts for a new password with a minimum size <footnote><p>The <em>minlen</em> option is not entirely straightforward and is not exactly the number of characters in the password. A tradeoff can be defined between complexity and length by adjusting the \"credit\" parameters of different character classes. For more information read the <manref name=\"pam_cracklib\" section=\"8\"> manpage.</p></footnote> of 12 characters, and difference of at least 3 characters from the old password, and allows 3 retries. Cracklib depends on a wordlist package (such as <package>wenglish</package>, <package>wspanish</package>, <package>wbritish</package>, ...), so make sure you install one that is appropriate for your language or cracklib might not be useful to you at all."
msgstr "Also, was macht diese Beschwörungsformel nun genau? Die erste Zeile lädt das PAM-Modul cracklib, welches einen Passwort-Sicherheitscheck bereitstellt. Es fragt nach einem neuen Passwort mit mindestens zwölf Zeichen <footnote> Die Option <em>minlen</em> ist nicht auf Anhieb völlig verständlich, weil sie nicht die genaue Anzahl der Zeichen eines Passworts ist. Ein Kompromiss zwischen Komplexität und Länge eines Passworts kann mit dem Parameter »credit« für verschiedene Arten von Zeichen erreicht werden. Weitere Informationen finden Sie in der Handbuchseite <manref name=\"pam_cracklib\" section=\"8\">. </footnote>, einer Differenz von mindestens drei Zeichen zum alten Passwort und erlaubt drei Versuche. Cracklib benötigt ein Paket mit Wörterlisten (wie <package>wngerman</package>, <package>wenglish</package>, <package>wspanish</package>, ...). Stellen Sie also sicher, dass Sie ein passendes Paket für Ihre Sprache installiert haben. Ansonsten ist cracklib nicht verwendbar."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:760
msgid "The second line (using the pam_unix.so module) is the default configuration in Debian, as described above, save for the <em>use_authok</em> option. The <em>use_authok</em> option is required if pam_unix.so is stacked after pam_cracklib.so, and is used to hand over the password from the previous module. Otherwise, the user would be prompted for the password twice."
msgstr "Die zweite Zeile (mit dem Module pam_unix.so) ist – wie oben beschrieben – der Standard in Debian mit Ausnahme der Option <em>use_authok</em>. Diese Option ist notwendig, wenn pam_unix.so nach pam_cracklib.so aufgerufen wird, damit das Passwort vom zuerst aufgerufenen Modul weitergereicht wird. Anderenfalls muss der Benutzer sein Passwort zweimal eingegeben."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:765
msgid "For more information about setting up Cracklib, read the <manref name=\"pam_cracklib\" section=\"8\"> manpage and the article <url id=\"http://www.deer-run.com/~hal/sysadmin/pam_cracklib.html\"; name=\"Linux Password Security with pam_cracklib\"> by Hal Pomeranz."
msgstr "Weitere Informationen über die Konfiguration von Crackllib finden Sie in der Handbuchseite <manref name=\"pam_cracklib\" section=\"8\"> und dem Artikel <url id=\"http://www.deer-run.com/~hal/sysadmin/pam_cracklib.html\"; name=\"Linux Password Security with pam_cracklib\"> von Hal Pomeranz."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:768
msgid "By enabling the cracklib PAM module you setup a policy that forces uses to use strong passwords."
msgstr "Mit dem PAM-Modul cracklib richten Sie eine Richtlinie ein, welche die Verwendung guter Passwörter erzwingt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:780
msgid "Alternatively, you can setup and configure PAM modules to use double factor authentication such as: <package>libpam-barada</package>, <package>libpam-google-authenticator</package>, <package>libpam-oath</package>, <package>libpam-otpw</package>, <package>libpam-poldi</package>, <package>libpam-usb</package> or <package>libpam-yubico</package>. The configuration of these modules would make it possible to access the system using external authentication mechanisms such as smartcards, external USB keys, or One-Time-Passwords generated by external applications running, for example, in the user's mobile phone."
msgstr "Als Alternative können Sie auch PAM-Module einsetzen, die eine Zwei-Faktor-Authentifizierung verwenden, wie z.B. <package>libpam-barada</package>, <package>libpam-google-authenticator</package>, <package>libpam-oath</package>, <package>libpam-otpw</package>, <package>libpam-poldi</package>, <package>libpam-usb</package> oder <package>libpam-yubico</package>. Diese Module ermöglichen es, sich mit einer externen Authentifizierungsmethode am System anzumelden, etwa mit einer Chipkarte, einem USB-Stick oder Einmal-Passwörtern, die mit einer externen Anwendung, z.B. auf einem Mobiltelefon, erzeugt wurden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:785
msgid "Please note that these restrictions apply to all users but <em>not</em> to the password changes done by the root user. The root user will be able to set up any password (any length or complexity) for himself or others regardless of the restrictions defined here."
msgstr "Denken Sie daran, dass diese Einschränkungen alle Benutzer betreffen <em>außer</em> Änderungen von Passwörtern, die der Benutzer Root vornimmt. Dieser kann unabhängig von den eingerichteten Beschränkungen jedes Passwort (in Hinblick auf Länge oder Komplexität) für sich oder andere Benutzer vergeben."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:787
msgid "User access control in PAM"
msgstr "Kontrolle des Benutzerzugangs in PAM"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:791
msgid "To make sure that the user root can only log into the system from local terminals, the following line should be enabled in <file>/etc/pam.d/login</file>:"
msgstr "Um sicher zu stellen, dass sich der Benutzer Root nur an lokalen Terminals anmelden kann, sollten Sie die folgende Zeile in <file>/etc/pam.d/login</file> eingefügt werden:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:793
#, no-wrap
msgid " auth requisite pam_securetty.so"
msgstr " auth requisite pam_securetty.so"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:805
msgid "Then you should modify the list of terminals on which direct root login is allowed in <file>/etc/securetty</file> (as described in <ref id=\"restrict-console-login\">). Alternatively, you could enable the <tt>pam_access</tt> module and modify <file>/etc/security/access.conf</file> which allows for a more general and fine-tuned access control, but (unfortunately) lacks decent log messages (logging within PAM is not standardized and is particularly unrewarding problem to deal with). We'll return to <file>access.conf</file> a little later."
msgstr "Danach sollten Sie die Liste der Terminals in <file>/etc/securetty</file> ändern, auf denen sich Root unmittelbar anmelden darf. Alternativ dazu können Sie auch das <tt>pam_access</tt>-Modul aktivieren und <file>/etc/security/access.conf</file> bearbeiten. Dieses Vorgehen erlaubt eine allgemeinere und feiner abgestimmte Zugangskontrolle, leider fehlen aber vernünftige Protokollmeldungen (diese sind in PAM nicht standardisiert und sind ein besonders unbefriedigendes Problem). Wir werden zu <file>access.conf</file> in Kürze zurückkehren."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:807
msgid "User limits in PAM"
msgstr "Höchstgrenzen für Benutzer in PAM"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:810
msgid "he following line should be enabled in <file>/etc/pam.d/login</file> to set up user resource limits."
msgstr "Die folgende Zeile sollte in <file>/etc/pam.d/login</file> aktiviert werden, um den Benutzern Grenzen ihrer Systemressourcen zu setzen. <!--SB: fix English version -->"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:812
#, no-wrap
msgid " session required pam_limits.so"
msgstr " session required pam_limits.so"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:820
msgid "This restricts the system resources that users are allowed (see below in <ref id=\"user-limits\">). For example, you could restrict the number of concurrent logins (of a given group of users, or system-wide), number of processes, memory size etc."
msgstr "Dies schränkt die Systemressourcen ein, die ein Benutzer nutzen darf (siehe <ref id=\"user-limits\">). Sie können zum Beispiel die Anzahl der Logins, die man haben kann, einschränken (für eine Gruppe von Benutzern oder systemweit), die Anzahl der Prozesse, den belegten Speicher etc."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:822
msgid "Control of su in PAM"
msgstr "Kontrolle von su in PAM"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:829
msgid "If you want to protect <prgn>su</prgn>, so that only some people can use it to become root on your system, you need to add a new group \"wheel\" to your system (that is the cleanest way, since no file has such a group permission yet). Add root and the other users that should be able to <prgn>su</prgn> to the root user to this group. Then add the following line to <file>/etc/pam.d/su</file>:"
msgstr "Wenn Sie <prgn>su</prgn> schützen möchten, so dass nur manche Leute es benutzen können, um Root auf Ihrem System zu werden, müssen Sie eine neue Gruppe »wheel« zu Ihrem System hinzufügen (das ist der sauberste Weg, da keine Datei solche Gruppenrechte bisher benutzt). Fügen Sie Root und die anderen Benutzer, die zu Root <prgn>su</prgn>en können sollen, zu dieser Gruppe. Fügen Sie anschließend die folgende Zeile zu <file>/etc/pam.d/su/</file> hinzu:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:831
#, no-wrap
msgid " auth requisite pam_wheel.so group=wheel debug"
msgstr " auth requisite pam_wheel.so group=wheel debug"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:838
msgid "This makes sure that only people from the group \"wheel\" can use <prgn>su</prgn> to become root. Other users will not be able to become root. In fact they will get a denied message if they try to become root."
msgstr "Dies stellt sicher, dass nur Personen aus der Gruppe »wheel« <prgn>su</prgn> benutzen können, um Root zu werden. Andere Benutzer wird es nicht möglich sein, Root zu werden. Tatsächlich werden sie eine ablehnende Nachricht bekommen, wenn sie versuchen, Root zu werden."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:845
msgid "If you want only certain users to authenticate at a PAM service, this is quite easy to achieve by using files where the users who are allowed to login (or not) are stored. Imagine you only want to allow user 'ref' to log in via <prgn>ssh</prgn>. So you put him into <file>/etc/sshusers-allowed</file> and write the following into <file>/etc/pam.d/ssh</file>:"
msgstr "Wenn Sie es nur bestimmten Benutzern erlauben wollen, sich bei einem PAM-Dienst zu authentifizieren, ist dies sehr leicht zu erreichen, indem Sie Dateien benutzen, in denen die Nutzer, denen es erlaubt ist, sich einzuloggen (oder nicht), gespeichert sind. Stellen Sie sich vor, Sie möchten lediglich dem Nutzer »ref« erlauben, sich mittels <prgn>ssh</prgn> einzuloggen. Sie schreiben ihn also in eine Datei <file>/etc/ssh-users-allowed</file> und schreiben das Folgende in <file>/etc/pam.d/ssh</file>:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:847
#, no-wrap
msgid " auth required pam_listfile.so item=user sense=allow file=/etc/sshusers-allowed onerr=fail"
msgstr " auth required pam_listfile.so item=user sense=allow file=/etc/sshusers-allowed onerr=fail"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:851
msgid "Temporary directories in PAM"
msgstr "Temporäre Verzeichnisse in PAM"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:858
msgid "Since there have been a number of so called insecure tempfile vulnerabilities, thttpd is one example (see <url id=\"http://www.debian.org/security/2005/dsa-883\"; name=\"DSA-883-1\">), the <package>libpam-tmpdir</package> is a good package to install. All you have to do is add the following to <file>/etc/pam.d/common-session</file>:"
msgstr "Da es eine Reihe von Sicherheitslücken mit so genannten unsicheren temporären Dateien zum Beispiel in thttpd (vgl. <url id=\"http://www.debian.org/security/2005/dsa-883\"; name=\"DSA-883-1\">) gab, lohnt es sich, das Paket <package>libpam-tmpdir</package> zu installieren. Alles, was Sie machen müssen, ist, Folgendes zu <file>/etc/pam.d/common-session</file> hinzuzufügen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:860
#, no-wrap
msgid " session optional pam_tmpdir.so"
msgstr " session optional pam_tmpdir.so"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:867
msgid "There has also been a discussion about adding this by default in Debian configuration, but it s. See <url id=\"http://lists.debian.org/debian-devel/2005/11/msg00297.html\";> for more information."
msgstr "Es gab auch eine Diskussion, dies standardmäßig in Debian einzufügen. Sehen Sie sich <url id=\"http://lists.debian.org/debian-devel/2005/11/msg00297.html\";> für weitere Informationen an."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:869
msgid "Configuration for undefined PAM applications"
msgstr "Konfiguration für sonstige PAM-Anwendungen"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:872
msgid "Finally, but not least, create <file>/etc/pam.d/other</file> and enter the following lines:"
msgstr "Zuletzt, aber nicht am unwichtigsten, erstellen Sie <file>/etc/pam.d/other</file> mit den folgenden Zeilen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:886
#, no-wrap
msgid ""
" auth required pam_securetty.so\n"
" auth required pam_unix_auth.so\n"
" auth required pam_warn.so\n"
" auth required pam_deny.so\n"
" account required pam_unix_acct.so\n"
" account required pam_warn.so\n"
" account required pam_deny.so\n"
" password required pam_unix_passwd.so\n"
" password required pam_warn.so\n"
" password required pam_deny.so\n"
" session required pam_unix_session.so\n"
" session required pam_warn.so\n"
" session required pam_deny.so"
msgstr ""
" auth required pam_securetty.so\n"
" auth required pam_unix_auth.so\n"
" auth required pam_warn.so\n"
" auth required pam_deny.so\n"
" account required pam_unix_acct.so\n"
" account required pam_warn.so\n"
" account required pam_deny.so\n"
" password required pam_unix_passwd.so\n"
" password required pam_warn.so\n"
" password required pam_deny.so\n"
" session required pam_unix_session.so\n"
" session required pam_warn.so\n"
" session required pam_deny.so"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:892
msgid "These lines will provide a good default configuration for all applications that support PAM (access is denied by default)."
msgstr "Diese Zeilen stellen für alle Anwendungen, die PAM unterstützen, eine gute Standard-Konfiguration dar (Zugriff wird standardmäßig verweigert)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:894
msgid "Limiting resource usage: the <file>limits.conf</file> file"
msgstr "Ressourcen-Nutzung begrenzen: Die Datei <file>limits.conf</file>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:900
msgid "You should really take a serious look into this file. Here you can define user resource limits. In old releases this configuration file was <file>/etc/limits.conf</file>, but in newer releases (with PAM) the <file>/etc/security/limits.conf</file> configuration file should be used instead."
msgstr "Sie sollten sich wirklich ernsthaft mit dieser Datei beschäftigen. Hier können Sie Ihren Benutzern Ressourcengrenzen vorgeben. In alten Veröffentlichungen war die Konfigurationsdatei <file>/etc/limits.conf</file>. Aber in neueren Versionen (mit PAM) sollte stattdessen die Konfigurationsdatei <file>/etc/security/limits.conf</file> benutzt werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:906
msgid "If you do not restrict resource usage, <em>any</em> user with a valid shell in your system (or even an intruder who compromised the system through a service or a daemon going awry) can use up as much CPU, memory, stack, etc. as the system can provide. This <em>resource exhaustion</em> problem can be fixed by the use of PAM."
msgstr "Wenn Sie die Ressourcennutzung nicht einschränken, kann <em>jeder</em> Benutzer mit einer gültigen Shell auf Ihrem System (oder sogar ein Einbrecher, der das System durch einen Dienst kompromittierte, oder ein außer Kontrolle geratener Daemon) so viel CPU, Speicher, Stack etc. benutzen, wie das System zur Verfügung stellen kann. Dieses Problem der <em>Überbeanspruchung von Ressourcen</em> kann mit der Nutzung von PAM gelöst werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:914
msgid "There is a way to add resource limits to some shells (for example, <prgn>bash</prgn> has <prgn>ulimit</prgn>, see <manref name=\"bash\" section=\"1\">), but since not all of them provide the same limits and since the user can change shells (see <manref name=\"chsh\" section=\"1\">) it is better to place the limits on the PAM modules as they will apply regardless of the shell used and will also apply to PAM modules that are not shell-oriented."
msgstr "Es gibt einen Weg, Ressourcengrenzen zu manchen Shells hinzuzufügen (zum Beispiel hat <prgn>bash</prgn> <prgn>ulimit</prgn>, siehe <manref section=\"1\" name=\"bash\">). Aber da nicht alle die gleichen Höchstgrenzen zur Verfügung stellen und der Benutzer seine Shell ändern kann (siehe <manref section=\"1\" name=\"chsh\">), ist es besser, die Höchstgrenzen in den PAM-Modulen zu platzieren, da diese unabhängig von der verwendeten Shell Anwendung finden und auch PAM-Module betreffen, die nicht shellorientiert sind."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:919
msgid "Resource limits are imposed by the kernel, but they need to be configured through the <file>limits.conf</file> and the PAM configuration of the different services need to load the appropriate PAM. You can check which services are enforcing limits by running:"
msgstr "Ressourcengrenzen werden vom Kernel verhängt, aber sie müssen durch <file>limits.conf</file> konfiguriert werden und die PAM-Konfiguration der verschiedenen Dienste muss das passende PAM laden. Sie können herausfinden, welche Dienste Höchstgrenzen durchsetzen, indem Sie Folgendes ausführen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:921
#, no-wrap
msgid "$ find /etc/pam.d/ \\! -name \"*.dpkg*\" | xargs -- grep limits |grep -v \":#\""
msgstr "$ find /etc/pam.d/ \\! -name \"*.dpkg*\" | xargs -- grep limits |grep -v \":#\""
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:929
msgid "Commonly, <file>login</file>, <file>ssh</file> and the graphic session managers (<file>gdm</file>, <file>kdm</file> or <file>xdm</file>) should enforce user limits but you might want to do this in other PAM configuration files, such as <file>cron</file>, to prevent system daemons from taking over all system resources."
msgstr "Für gewöhnlich setzen <file>login</file>, <file>ssh</file> und die grafischen Sitzungsmanager (<file>gdm</file>, <file>kdm</file> und <file>xdm</file>) Benutzerhöchstgrenzen durch, aber Sie sollte dies auch in anderen Konfigurationsdateien für PAM wie für <file>cron</file> vornehmen, um zu verhindern, dass Systemdaemonen alle Systemressourcen aufbrauchen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:931
msgid "The specific limits settings you might want to enforce depend on your system's resources, that's one of the main reasons why no limits are enforced in the default installation."
msgstr "Die konkreten Begrenzungen, die Sie festlegen wollen, hängt von den Ressourcen Ihres Systems ab. Das ist einer der Hauptgründe, warum keine Höchstgrenzen in der Standardinstallation enthalten sind."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:940
msgid "For example, the configuration example below enforces a 100 process limit for all users (to prevent <em>fork bombs</em>) as well as a limit of 10MB of memory per process and a limit of 10 simultaneous logins. Users in the <tt>adm</tt> group have higher limits and can produce core files if they want to (there is only a <em>soft</em> limit)."
msgstr "So setzt die Konfiguration im Beispiel unten eine Begrenzung von 100 Prozessen für alle Benutzer (um <em>Fork-Bomben</em> <footnote>Programme, die immer mehr Prozesse erzeugen, um so das System zum Absturz zu bringen, d.Ü.</footnote> zu vermeiden), eine Begrenzung auf 10MB Speicher pro Prozess und ein Höchstgrenze von 10 gleichzeitigen Logins durch. Benutzer in der Gruppe <tt>adm</tt> haben höhere Begrenzungen und können Dateien mit einem Speicherabbild schreiben, wenn sie das <!-- SB (20050421): \"can produce core files if they want to\" --> wollen (es gibt also nur eine <em>weiche</em> Begrenzung)."
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:956
#, no-wrap
msgid ""
"* soft core 0\n"
"* hard core 0\n"
"* hard rss 1000\n"
"* hard memlock 1000\n"
"* hard nproc 100\n"
"* - maxlogins 1\n"
"* hard data 102400\n"
"* hard fsize 2048\n"
"@adm hard core 100000\n"
"@adm hard rss 100000\n"
"@adm soft nproc 2000\n"
"@adm hard nproc 3000\n"
"@adm hard fsize 100000\n"
"@adm - maxlogins 10"
msgstr ""
"* soft core 0\n"
"* hard core 0\n"
"* hard rss 1000\n"
"* hard memlock 1000\n"
"* hard nproc 100\n"
"* - maxlogins 1\n"
"* hard data 102400\n"
"* hard fsize 2048\n"
"@adm hard core 100000\n"
"@adm hard rss 100000\n"
"@adm soft nproc 2000\n"
"@adm hard nproc 3000\n"
"@adm hard fsize 100000\n"
"@adm - maxlogins 10"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:961
msgid "These would be the limits a default user (including system daemons) would have:"
msgstr "Dies könnten die Höchstgrenzen eines Standardbenutzers (einschließlich der Systemdaemonen) sein:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:974
#, no-wrap
msgid ""
"$ ulimit -a\n"
"core file size (blocks, -c) 0\n"
"data seg size (kbytes, -d) 102400\n"
"file size (blocks, -f) 2048\n"
"max locked memory (kbytes, -l) 10000\n"
"max memory size (kbytes, -m) 10000\n"
"open files (-n) 1024\n"
"pipe size (512 bytes, -p) 8\n"
"stack size (kbytes, -s) 8192\n"
"cpu time (seconds, -t) unlimited\n"
"max user processes (-u) 100\n"
"virtual memory (kbytes, -v) unlimited"
msgstr ""
"$ ulimit -a\n"
"core file size (blocks, -c) 0\n"
"data seg size (kbytes, -d) 102400\n"
"file size (blocks, -f) 2048\n"
"max locked memory (kbytes, -l) 10000\n"
"max memory size (kbytes, -m) 10000\n"
"open files (-n) 1024\n"
"pipe size (512 bytes, -p) 8\n"
"stack size (kbytes, -s) 8192\n"
"cpu time (seconds, -t) unlimited\n"
"max user processes (-u) 100\n"
"virtual memory (kbytes, -v) unlimited"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:978
msgid "And these are the limits for an administrative user:"
msgstr "Und dies die Höchstgrenzen für einen Administrator:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:991
#, no-wrap
msgid ""
"$ ulimit -a\n"
"core file size (blocks, -c) 0\n"
"data seg size (kbytes, -d) 102400\n"
"file size (blocks, -f) 100000\n"
"max locked memory (kbytes, -l) 100000\n"
"max memory size (kbytes, -m) 100000\n"
"open files (-n) 1024\n"
"pipe size (512 bytes, -p) 8\n"
"stack size (kbytes, -s) 8192\n"
"cpu time (seconds, -t) unlimited\n"
"max user processes (-u) 2000\n"
"virtual memory (kbytes, -v) unlimited"
msgstr ""
"$ ulimit -a\n"
"core file size (blocks, -c) 0\n"
"data seg size (kbytes, -d) 102400\n"
"file size (blocks, -f) 100000\n"
"max locked memory (kbytes, -l) 100000\n"
"max memory size (kbytes, -m) 100000\n"
"open files (-n) 1024\n"
"pipe size (512 bytes, -p) 8\n"
"stack size (kbytes, -s) 8192\n"
"cpu time (seconds, -t) unlimited\n"
"max user processes (-u) 2000\n"
"virtual memory (kbytes, -v) unlimited"
#. type: <p><list>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:995
msgid "For more information read:"
msgstr "Für mehr Informationen hierzu lesen Sie:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1005
msgid "<url id=\"http://www.samag.com/documents/s=1161/sam0009a/0009a.htm\"; name=\"PAM configuration article\">."
msgstr "<url id=\"http://www.samag.com/documents/s=1161/sam0009a/0009a.htm\"; name=\"PAM configuration article\">"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1010
msgid "<url id=\"http://seifried.org/security/os/linux/20020324-securing-linux-step-by-step.html\"; name=\"Seifried's Securing Linux Step by Step\"> on the <em>Limiting users overview</em> section."
msgstr "<url id=\"http://seifried.org/security/os/linux/20020324-securing-linux-step-by-step.html\"; name=\"Seifried's Securing Linux Step by Step\"> in dem Abschnitt <em>Limiting users overview</em>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1013
msgid "<url id=\"http://seifried.org/lasg/users/\"; name=\"LASG\"> in the <em>Limiting and monitoring users</em> section."
msgstr "<url id=\"http://seifried.org/lasg/users/\"; name=\"LASG\"> in dem Abschnitt <em>Limiting and monitoring users</em>"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1016
msgid "User login actions: edit <file>/etc/login.defs</file>"
msgstr "Aktionen bei der Benutzeranmeldung: Editieren von <file>/etc/login.defs</file>"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1025
msgid "The next step is to edit the basic configuration and action upon user login. Note that this file is not part of the PAM configuration, it's a configuration file honored by <tt>login</tt> and <tt>su</tt> programs, so it doesn't make sense tuning it for cases where neither of the two programs are at least indirectly called (the <prgn>getty</prgn> program which sits on the consoles and offers the initial login prompt <em>does</em> invoke <prgn>login</prgn>)."
msgstr "Der nächste Schritt ist es, die grundlegende Konfiguration und die Aktionen bei der Benutzeranmeldung zu editieren. Beachten Sie, dass diese Datei kein Bestandteil der PAM-Konfiguration ist. Sie ist eine Konfigurationsdatei, die von den Programmen <tt>login</tt>- und <tt>su</tt> berücksichtigt wird. Es ist also wenig sinnvoll, sie auf Fälle abzustimmen, in denen keines der beiden Programme wenigstens indirekt aufgerufen wird (Das Programm <prgn>getty</prgn>, welches auf der Konsole läuft und die anfängliche Anmeldeaufforderung zu Verfügung stellt, <em>ruft</em> <prgn>login</prgn> auf)."
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1027
#, no-wrap
msgid " FAILLOG_ENAB yes"
msgstr " FAILLOG_ENAB yes"
#. type: </example><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1032
msgid "If you enable this variable, failed logins will be logged. It is important to keep track of them to catch someone who tries a brute force attack."
msgstr "Wenn Sie diese Variable einschalten, werden fehlgeschlagene Anmeldeversuche protokolliert. Es ist wichtig, hier auf dem Laufendem zu bleiben, um jemanden zu fassen, der eine Brute-Force-Attacke versucht."
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1034
#, no-wrap
msgid " LOG_UNKFAIL_ENAB no"
msgstr " LOG_UNKFAIL_ENAB no"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1044
msgid "If you set this variable to 'yes' it will record unknown usernames if the login failed. It is best if you use 'no' (the default) since, otherwise, user passwords might be inadvertenly logged here (if a user mistypes and they enter their password as the username). If you set it to 'yes', make sure the logs have the proper permissions (640 for example, with an appropriate group setting such as adm)."
msgstr "Wenn Sie diese Variable auf »yes« setzen, werden auch unbekannte Benutzernamen protokolliert, wenn eine Anmeldung scheitert. Es ist zu empfehlen, sie auf »no« (den Standard) zu belassen, da anderenfalls das Passwort eines Benutzers aufgezeichnet werden könnte (falls er nämlich versehentlich anstatt seines Benutzernames sein Passwort eingibt). Falls Sie sie dennoch auf »yes« setzen, müssen Sie sicher gehen, dass die Protokolldateien angemessene Zugriffsrechte haben (zum Beispiel 640, mit einer passenden Gruppen-Zugehörigkeit wie adm)."
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1046
#, no-wrap
msgid " SYSLOG_SU_ENAB yes"
msgstr " SYSLOG_SU_ENAB yes"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1052
msgid "This one enables logging of <prgn>su</prgn> attempts to <file>syslog</file>. Quite important on serious machines but note that this can create privacy issues as well."
msgstr "Dies schaltet das Mitprotokollieren von <prgn>su</prgn>-Versuchen im <file>syslog</file> ein. Sehr wichtig auf ernsthaften Maschinen, aber beachten Sie, dass dies auch die Privatsphäre verletzen kann."
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1054
#, no-wrap
msgid " SYSLOG_SG_ENAB yes"
msgstr " SYSLOG_SG_ENAB yes"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1059
msgid "The same as <var>SYSLOG_SU_ENAB</var> but applies to the <prgn>sg</prgn> program."
msgstr "Das gleiche wie bei <var>SYSLOG_SU_ENAB</var>, jedoch für das Programm <prgn>sg</prgn>."
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1061
#, no-wrap
msgid " ENCRYPT_METHOD SHA512"
msgstr " ENCRYPT_METHOD SHA512"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1068
msgid "As stated above, encrypted passwords greatly reduce the problem of dictionary attacks, since you can use longer passwords. This definition has to be consistent with the value defined in <file>/etc/pam.d/common-password</file>."
msgstr "Wie bereits erklärt, reduziert eine Verschlüsselung von Passwörtern die Gefahr von Wörterbuchangriffen erheblich, da Sie längere Passwörter benutzen können. Diese Definition muss mit dem Wert in <file>/etc/pam.d/common-password</file> übereinstimmen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1070
msgid "User login actions: edit <file>/etc/pam.d/login</file>"
msgstr "Aktionen bei der Benutzeranmeldung: <file>/etc/pam.d/login</file> editieren"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1074
msgid "You can adjust the login configuration file to implement an stricter policy. For example, you can change the default configuration and increase the delay time between login prompts. The default configuration sets a 3 seconds delay:"
msgstr "Sie können die Datei zur Konfiguration des Anmeldevorgangs anpassen, um eine strengere Richtlinie festzuschreiben. Zum Beispiel können Sie die Wartezeit zwischen zwei Anmeldeversuchen im Vergleich zur Standardkonfiguration erhöhen. Diese Standardvorgabe setzt eine Wartezeit von drei Sekunden:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1076
#, no-wrap
msgid "auth optional pam_faildelay.so delay=3000000"
msgstr "auth optional pam_faildelay.so delay=3000000"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1085
msgid "Increasing the <em>delay</em> value to a higher value to make it harder to use the terminal to log in using brute force. If a wrong password is typed in, the possible attacker (or normal user!) has to wait longer seconds to get a new login prompt, which is quite time consuming when you test passwords. For example, if you set <em>delay=10000000</em>, users will have to wait 10 seconds if they type a wrong password."
msgstr "Wenn Sie den Wert von <em>delay</em> erhöhen, wird es schwieriger, sich durch bloßes Ausprobieren von Passwörtern (brute force) erfolgreich am Terminal anzumelden. Wenn ein falsches Passwort eingegeben wird, muss ein möglicher Angreifer (oder ein normaler Benutzer!) viele Sekunden warten, bis er wieder eine Eingabeaufforderung erhält, wodurch das Durchprobieren von Passwörtern sehr zeitaufwendig werden kann. So müssen etwa Benutzer bei <em>delay=10000000</em> zehn Sekunden warten, wenn sie das falsche Passwort eingeben."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1088
msgid "In this file you can also set the system to present a message to users before a user logs in. The default is disabled, as shown below:"
msgstr "In dieser Datei können Sie auch einrichten, dass das System dem Benutzer vor einer Anmeldung eine Nachricht anzeigt. Standardmäßig ist dies deaktiviert, wie Sie hier sehen können:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1090
#, no-wrap
msgid "# auth required pam_issue.so issue=/etc/issue"
msgstr "# auth required pam_issue.so issue=/etc/issue"
#. type: <p><list>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1106
msgid "If required by your security policy, this file can be used to show a standard message indicating that access to the system is restricted and user acess is logged. This kind of disclaimer might be required in some environments and jurisdictions. To enable it, just include the relevant information in the <file>/etc/issue</file> <footnote><p>The default content of this file provides information about the operating system and version run by the system, which you might not want to provide to anonymous users.</p></footnote> file and uncomment the line enabling the pam_issue.so module in <file>/etc/pam.d/login</file>. In this file you can also enable additional features which might be relevant to apply local security policies such as:"
msgstr "Falls es Ihre Sicherheitsrichtlinie erfordert, können Sie mit dieser Datei eine Standardnachricht, dass der Zugang zum System beschränkt und der Benutzerzugang protokolliert wird, anzeigen lassen. Ein solcher Hinweis kann in bestimmten Umgebungen und nach der jeweiligen Rechtsprechung notwendig sein. Um dies zu aktivieren, müssen Sie nur die entsprechende Mitteilung in die Datei <file>/etc/issue</file> <footnote>Der Standardinhalt dieser Datei enthält Informationen über das Betriebssystem und dessen Version, die Sie möglicherweise unbekannten Benutzern nicht mitteilen möchten.</footnote> eintragen und das Kommentarzeichen in der Zeile in <file>/etc/pam.d/login</file> entfernen, um das Modul pam_issue.so zu aktivieren. In dieser Datei können Sie weitere Einstellungen vornehmen, die für Ihre Sicherheit relevant sein könnten, wie zum Beispiel:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1112
msgid "setting rules for which users can access at which times, by enabling the <em>pam_time.so</em> module and configuring <file>/etc/security/time.conf</file> accordingly (disabled by default),"
msgstr "Regeln erstellen, welcher Benutzer zu welchen Zeiten auf das System zugreifen kann, indem Sie das Modul <em>pam_time.so</em> aktivieren und <file>/etc/security/time.conf</file> entsprechend konfigurieren (standardmäßig deaktiviert),"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1115
msgid "setup login sessions to use user limits as defined in <file>/etc/security/limits.conf</file> (enabled by default),"
msgstr "den Anmeldevorgang so einrichten, dass Benutzerbegrenzungen, die in <file>/etc/security/limits.conf</file> definiert sind, verwendet werden (standardmäßig aktiviert),"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1118
msgid "present the user with the information of previous login information (enabled by default),"
msgstr "dem Benutzer Informationen über die vorangegangene Anmeldung anzeigen (standardmäßig aktiviert),"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1121
msgid "print a message (<file>/etc/motd</file> and <file>/run/motd.dynamic</file>) to users after login in (enabled by default),"
msgstr "nach erfolgter Anmeldung den Benutzern eine Nachricht (<file>/etc/motd</file> und <file>/run/motd.dynamic</file>) anzeigen (standardmäßig aktiviert)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1124
msgid "Restricting ftp: editing <file>/etc/ftpusers</file>"
msgstr "ftp einschränken: bearbeiten von <file>/etc/ftpusers</file>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1131
msgid "The <file>/etc/ftpusers</file> file contains a list of users who are not allowed to log into the host using ftp. Only use this file if you really want to allow ftp (which is not recommended in general, because it uses clear-text passwords). If your daemon supports PAM, you can also use that to allow and deny users for certain services."
msgstr "Die Datei <file>/etc/ftpusers</file> enthält eine Liste von allen Benutzern, denen es <em>nicht</em> erlaubt ist, sich auf dem Rechner mit ftp einzuloggen. Benutzen Sie diese Datei nur, wenn Sie wirklich ftp erlauben wollen (wozu im Allgemeinen nicht geraten wird, da es Klartext-Passwörter benutzt). Wenn Ihr ftp-Daemon PAM unterstützt, können Sie dies ebenfalls benutzen, um Benutzern bestimmte Dienste zu erlauben oder zu verbieten."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1135
msgid "FIXME (BUG): Is it a bug that the default <file>ftpusers</file> in Debian does <em>not</em> include all the administrative users (in <package>base-passwd</package>)."
msgstr "FIXME (FEHLER): Ist es ein Fehler, dass <file>ftpusers</file> in Debian standardmäßig <em>nicht</em> die Benutzer mit Administratorenrecht (in <package>base-passwd</package>) beinhaltet?"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1139
msgid "A convenient way to add all system accounts to the <file>/etc/ftpusers</file> is to run"
msgstr "Folgender Befehl ist ein einfacher Weg, alle Systemkonten zu <file>/etc/ftpusers</file> hinzuzufügen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1141
#, no-wrap
msgid "$ awk -F : '{if ($3<1000) print $1}' /etc/passwd > /etc/ftpusers"
msgstr "$ awk -F : '{if ($3<1000) print $1}' /etc/passwd > /etc/ftpusers"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1145
msgid "Using su"
msgstr "Verwendung von su"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1156
msgid "If you really need users to become the super user on your system, e.g. for installing packages or adding users, you can use the command <prgn>su</prgn> to change your identity. You should try to avoid any login as user root and instead use <prgn>su</prgn>. Actually, the best solution is to remove <prgn>su</prgn> and switch to the <prgn>sudo</prgn> mechanism which has a broader logic and more features than <prgn>su</prgn>. However, <prgn>su</prgn> is more common as it is used on many other Unices."
msgstr "Wenn es wirklich benötigt wird, dass Benutzer der Super-User (also Root, d.Ü.) auf Ihrem System werden, zum Beispiel um Pakete zu installieren oder neue Benutzer anzulegen, können Sie das Programm <prgn>su</prgn> benutzen, um Ihre Identität zu wechseln. Sie sollten jeden Login als Benutzer Root vermeiden und stattdessen das Programm <prgn>su</prgn> benutzen. Eigentlich ist die beste Lösung, <prgn>su</prgn> zu entfernen und zu <prgn>sudo</prgn> zu wechseln, da es eine feinere Steuerung und mehr Möglichkeiten bietet als <prgn>su</prgn>. Wie auch immer, <prgn>su</prgn> ist verbreiteter und wird auf vielen Unices eingesetzt."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1158
msgid "Using sudo"
msgstr "Verwendung von sudo"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1167
msgid "<prgn>sudo</prgn> allows the user to execute defined commands under another user's identity, even as root. If the user is added to <file>/etc/sudoers</file> and authenticates himself correctly, he is able to run commands which have been defined in <file>/etc/sudoers</file>. Violations, such as incorrect passwords or trying to run a program you don't have permission for, are logged and mailed to root."
msgstr "<prgn>sudo</prgn> erlaubt es dem Benutzer, ein definiertes Kommando unter einer anderen Benutzeridentität auszuführen, sogar als Root. Wenn der Benutzer zu <file>/etc/sudoers</file> hinzugefügt ist und sich korrekt authentifiziert, ist er in der Lage, Kommandos, die in <file>/etc/sudoers</file> definiert wurden, auszuführen. Sicherheitsverletzungen, wie ein inkorrektes Passwort oder der Versuch ein Programm auszuführen, für das die Rechte nicht ausreichen, werden protokolliert und an Root gemailt."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1168
msgid "Disallow remote administrative access"
msgstr "Administrativen Fernzugriff verweigern"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1174
msgid "You should also modify <file>/etc/security/access.conf</file> to disallow remote logins to administrative accounts. This way users need to invoke <prgn>su</prgn> (or <prgn>sudo</prgn>) to use any administrative powers and the appropriate audit trace will always be generated."
msgstr "Sie sollten <file>/etc/security/access.conf</file> ebenfalls so verändern, dass ein Login aus der Ferne in ein administratives Konto nicht erlaubt wird. Auf diese Weise müssen Benutzer das Programm <prgn>su</prgn> (oder <prgn>sudo</prgn>) aufrufen, um Administratorenrechte zu bekommen, so dass es immer eine nachprüfbare Spur gibt."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1177
msgid "You need to add the following line to <file>/etc/security/access.conf</file>, the default Debian configuration file has a sample line commented out:"
msgstr "Sie müssen die folgende Zeile zu Ihrer <file>/etc/security/access.conf</file> hinzufügen, die Debians Standardkonfigurationsdatei hat ein Beispiel auskommentiert:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1179
#, no-wrap
msgid " -:wheel:ALL EXCEPT LOCAL"
msgstr " -:wheel:ALL EXCEPT LOCAL"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1186
msgid "Remember to enable the <tt>pam_access</tt> module for every service (or default configuration) in <file>/etc/pam.d/</file> if you want your changes to <file>/etc/security/access.conf</file> honored."
msgstr "Vergessen Sie nicht, in <file>/etc/pam.d/</file> das <tt>pam_access</tt>-Module für jeden Dienst (oder jede Standardkonfiguration) anzuschalten, wenn Sie wollen, dass Ihre Änderungen an <file>/etc/security/access.conf</file> berücksichtigt werden."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1188
msgid "Restricting users's access"
msgstr "Den Benutzerzugang einschränken"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1195
msgid "Sometimes you might think you need to have users created in your local system in order to provide a given service (pop3 mail service or ftp). Before doing so, first remember that the PAM implementation in Debian GNU/Linux allows you to validate users with a wide variety of external directory services (radius, ldap, etc.) provided by the libpam packages."
msgstr "Manchmal werden Sie denken, dass Sie einen Benutzer auf Ihrem System erstellen müssen, um einen bestimmten Dienst (pop3 E-Mail Server oder ftp) anzubieten. Bevor Sie dies tun, denken Sie zuerst daran, dass die PAM-Implementierung in Debian GNU/Linux Ihnen erlaubt, Benutzer mit einer breiten Auswahl von externen Verzeichnisdiensten (radius, ldap, etc.) zu bestätigen. Dies wird vom libpam-Paket bewerkstelligt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1206
msgid "If users need to be created and the system can be accessed remotely take into account that users will be able to log in to the system. You can fix this by giving users a null (<file>/dev/null</file>) shell (it would need to be listed in <file>/etc/shells</file>). If you want to allow users to access the system but limit their movements, you can use the <file>/bin/rbash</file>, equivalent to adding the <tt>-r</tt> option in <prgn>bash</prgn> (<em>RESTRICTED SHELL</em> see <manref name=\"bash\" section=\"1\">). Please note that even with restricted shell, a user that access an interactive program (that might allow execution of a subshell) could be able to bypass the limits of the shell."
msgstr "Wenn Sie einen Benutzer anlegen müssen und auf Ihr System aus der Ferne zugegriffen werden kann, beachten Sie, dass es Benutzern möglich sein wird, sich einzuloggen. Sie können dies beheben, indem Sie diesen Benutzern eine Null (<file>/dev/null</file>) als Shell (sie muss in <file>/etc/shells</file> aufgelistet sein) zuweisen. Wenn Sie den Benutzern erlauben wollen, auf das System zuzugreifen, aber ihre Bewegungen einschränken wollen, können Sie <file>/bin/rbash</file> benutzen. Dies hat das gleiche Ergebnis, wie wenn Sie die <tt>-r</tt> Option der <prgn>Bash</prgn> (<em>RESTRICTED SHELL</em>, siehe <manref name=\"bash\" section=\"1\">) verwendet hätten. Beachten Sie bitte, dass sogar mit einer beschränkten Shell ein Benutzer, der auf ein interaktives Programm zugreifen kann (das ihm erlaubt, eine Subshell auszuführen), diese Limitierung der Shell umgehen kann."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1214
msgid "Debian currently provides in the unstable release (and might be included in the next stable releases) the <file>pam_chroot</file> module (in the <package>libpam-chroot</package>). An alternative to it is to <prgn>chroot</prgn> the service that provides remote logging (<prgn>ssh</prgn>, <prgn>telnet</prgn>). <footnote><p><package>libpam-chroot</package> has not been yet thoroughly tested, it does work for <prgn>login</prgn> but it might not be easy to set up the environment for other programs</p></footnote>"
msgstr "Debian bietet zurzeit in seiner Unstable-Veröffentlichung (und wird es vielleicht der nächsten Stable-Veröffentlichung hinzufügen) das <file>pam_chroot</file>-Modul (in <package>libpam-chroot</package>) an. Eine Alternative hierzu ist es, die Dienste, die eine Fernanmeldung ermöglichen (<prgn>ssh</prgn> und <prgn>telnet</prgn>), in einer <prgn>chroot</prgn>-Umgebung laufen zu lassen. <footnote><package>libpam-chroot</package> wurden noch nicht vollständig getestet. Es funktioniert mit <prgn>login</prgn>, aber es dürfte nicht leicht sein, diese Umgebung für andere Programme einzurichten.</footnote>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1218
msgid "If you wish to restrict <em>when</em> users can access the system you will have to customize <file>/etc/security/access.conf</file> for your needs."
msgstr "Wenn Sie einschränken wollen, <em>wann</em> ein Benutzer auf das System zugreifen kann, müssen Sie <file>/etc/security/access.conf</file> an Ihre Bedürfnisse anpassen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1222
msgid "Information on how to <prgn>chroot</prgn> users accessing the system through the <prgn>ssh</prgn> service is described in <ref id=\"chroot-ssh-env\">."
msgstr "Informationen, wie man Benutzer, die auf das System mittels dem <prgn>ssh</prgn>-Dienst zugreifen, in eine <prgn>chroot</prgn>-Umgebung einsperrt, wird in <ref id=\"chroot-ssh-env\"> beschrieben."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1224
msgid "User auditing"
msgstr "Überprüfen der Benutzer"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1228
msgid "If you are really paranoid you might want to add a system-wide configuration to audit what the users are doing in your system. This sections presents some tips using diverse utilities you can use."
msgstr "Wenn Sie wirklich paranoid sind, sollten Sie eine systemweite Einrichtung verwenden, um zu überwachen, was die Benutzer auf Ihrem System tun. In diesem Abschnitt werden einige Tipps vorgestellt, wie Sie verschiedene Werkzeuge verwenden."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1230
msgid "Input and output audit with script"
msgstr "Überwachung von Ein- und Ausgabe mittels eines Skripts"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1236
msgid "You can use the <prgn>script</prgn> command to audit both what the users run and what are the results of those commands. You cannot setup <prgn>script</prgn> as a shell (even if you add it to <file>/etc/shells</file>). But you can have the shell initialization file run the following:"
msgstr "Um sowohl die von den Benutzern ausführten Programme als auch deren Ergebnisse zu überwachen, können Sie den Befehl <prgn>script</prgn> verwenden. Sie können <prgn>script</prgn> nicht als eine Shell einsetzen (auch dann nicht, wenn Sie es zu <file>/etc/shells</file> hinzufügen). Aber Sie können in die Datei, welche den Startvorgang der Shell steuert, folgendes eintragen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1239
#, no-wrap
msgid ""
"umask 077\n"
"exec script -q -a \"/var/log/sessions/$USER\""
msgstr ""
"umask 077\n"
"exec script -q -a \"/var/log/sessions/$USER\""
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1246
msgid "Of course, if you do this system wide it means that the shell would not continue reading personal initialization files (since the shell gets overwritten by <prgn>script</prgn>). An alternative is to do this in the user's initialization files (but then the user could remove this, see the comments about this below)"
msgstr "Wenn Sie systemweit vornehmen, bedeutet dies natürlich, dass die Shell die weiteren persönlichen Startdateien nicht abarbeitet (weil die Shell von <prgn>script</prgn> überschrieben wird). Eine Alternative ist, die in den Startdateien des Benutzers vorzunehmen (dann kann der Benutzer aber dies entfernen, vgl. dazu die Anmerkungen unten)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1253
msgid "You also need to setup the files in the audit directory (in the example <file>/var/log/sessions/</file>) so that users can write to it but cannot remove the file. This could be done, for example, by creating the user session files in advance and setting them with the <em>append-only</em> flag using <prgn>chattr</prgn>."
msgstr "Sie müssen auch die Dateien im Audit-Verzeichnis (im Beispiel <file>/var/log/sessions/</file>) so einrichten, dass die Benutzer in sie schreiben können, sie aber nicht löschen können. Dies kann zum Beispiel bewerkstelligt werden, indem die Sitzungsdateien der Benutzer vorab erstellt werden und mit <prgn>chattr</prgn> auf <em>append-only</em> (nur anfügen) gesetzt werden."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1258
msgid "A useful alternative for sysadmins, which includes date information would be:"
msgstr "Eine sinnvolle Alternative für Systemadministratoren, die auch Zeitinformationen enthält, ist:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1261
#, no-wrap
msgid ""
"umask 077\n"
"exec script -q -a \"/var/log/sessions/$USER-`date +%Y%m%d`\""
msgstr ""
"umask 077\n"
"exec script -q -a \"/var/log/sessions/$USER-`date +%Y%m%d`\""
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1265
msgid "Using the shell history file"
msgstr "Die History-Datei der Shell benutzen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1272
msgid "If you want to review what does the user type in the shell (but not what the result of that is) you can setup a system-wide <file>/etc/profile</file> that configures the environment so that all commands are saved into a history file. The system-wide configuration needs to be setup in such a way that users cannot remove audit capabilities from their shell. This is somewhat shell specific so make sure that all users are using a shell that supports this."
msgstr "Wenn Sie auswerten wollen, was die Benutzer in die Shell eingeben (aber nicht was das Ergebnis ist), können Sie eine systemweite <file>/etc/profile</file> so einrichten, dass alle Befehle in der <tt>History</tt>-Datei (Verlaufsdatei) gespeichert werden. Die systemweite Einstellung muss so eingerichtet werden, dass Benutzer die Auditmöglichkeit nicht aus ihrer Shell entfernen können. Ob dies möglich ist, hängt von der Art der Shell ab. Sie müssen also sicherstellen, dass alle Benutzer eine Shell verwenden, die das unterstützt."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1285
msgid "For example, for bash, the <file>/etc/profile</file> could be set as follows <footnote><p>Setting HISTSIZE to a very large number can cause issues under some shells since the history is kept in memory for every user session. You might be safer if you set this to a high-enough value and backup user's history files (if you need all of the user's history for some reason)</p></footnote> :"
msgstr "Für die Bash zum Beispiel könnte <file>/etc/profile</file> folgendermaßen aufgebaut werden <footnote> Wenn HISTSIZE eine sehr große Zahl zugewiesen wird, kann dies bei einigen Shells zu Problemen führen, da der Verlauf für jede Sitzung eines Benutzers im Speicher abgelegt wird. Sie sind auf der sichereren Seite, wenn Sie HISTSIZE auf einen ausreichend großen Wert setzen und eine Kopie der History-Datei des Benutzers anlegen (falls Sie aus irgendwelchen Gründen den ganzen Verlauf von einem Benutzer benötigen). </footnote>:<"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1299
#, no-wrap
msgid ""
" HISTFILE=~/.bash_history\n"
" HISTSIZE=10000\n"
" HISTFILESIZE=999999\n"
" # Don't let the users enter commands that are ignored\n"
" # in the history file\n"
" HISTIGNORE=\"\"\n"
" HISTCONTROL=\"\"\n"
" readonly HISTFILE\n"
" readonly HISTSIZE\n"
" readonly HISTFILESIZE\n"
" readonly HISTIGNORE\n"
" readonly HISTCONTROL\n"
" export HISTFILE HISTSIZE HISTFILESIZE HISTIGNORE HISTCONTROL"
msgstr ""
" HISTFILE=~/.bash_history\n"
" HISTSIZE=10000\n"
" HISTFILESIZE=999999\n"
" # Don't let the users enter commands that are ignored\n"
" # in the history file\n"
" HISTIGNORE=\"\"\n"
" HISTCONTROL=\"\"\n"
" readonly HISTFILE\n"
" readonly HISTSIZE\n"
" readonly HISTFILESIZE\n"
" readonly HISTIGNORE\n"
" readonly HISTCONTROL\n"
" export HISTFILE HISTSIZE HISTFILESIZE HISTIGNORE HISTCONTROL"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1310
msgid "For this to work, the user can only append information to <file>.bash_history</file> file. You need <em>also</em> to set the <em>append-only</em> option using <prgn>chattr</prgn> program for <file>.bash_history</file> for all users. <footnote><p>Without the append-only flag users would be able to empty the contents of the history file running <tt> > .bash_history</tt></p></footnote>."
msgstr "Damit dies funktioniert, dürfen die Benutzer nur Informationen zur <file>.bash_history</file>-Datei hinzufügen. Sie müssen daher <em>zusätzlich</em> die <em>append-only</em>-Option (nur anfügen) mittels des Programms <prgn>chattr</prgn> für die <file>.bash_history</file> aller Benutzer setzen <footnote> Ohne das Append-Only-Flag wäre es den Benutzern möglich, den Inhalt des Verlaufs zu löschen, indem sie <tt>> .bash_history</tt> ausführen. </footnote>."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1321
msgid "Note that you could introduce the configuration above in the user's <file>.profile</file>. But then you would need to setup permissions properly in such a way that prevents the user from modifying this file. This includes: having the user's home directories <em>not</em> belong to the user (since he would be able to remove the file otherwise) but at the same time enable them to read the <file>.profile</file> configuration file and write on the <file>.bash_history</file>. It would be good to set the <em>immutable</em> flag (also using <prgn>chattr</prgn>) for <file>.profile</file> too if you do it this way."
msgstr "Beachten Sie, dass Sie obige Konfiguration auch in <file>.profile</file> des Benutzers eintragen können. Dann müssten Sie aber die Rechte korrekt vergeben, so dass der Benutzer daran gehindert ist, diese Datei zu verändern. Dies schließt ein, dass das Home-Verzeichnis des Benutzers diesem <em>nicht</em> gehört (sonst könnte er die Datei einfach löschen). Gleichzeitig müsste ihm ermöglicht werden, die Konfigurationsdatei <file>.profile</file> zu lesen und in <file>.bash_history</file> zu schreiben. Falls Sie diesen Weg gehen wollen, wäre es auch gut, das Flag <em>immutable</em> (unveränderbar) für <file>.profile</file> zu setzen (auch dazu verwenden Sie <prgn>chattr</prgn>)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1323
msgid "Complete user audit with accounting utilities"
msgstr "Vervollständigung der Benutzerüberwachung durch Accounting-Werkzeuge"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1330
msgid "The previous example is a simple way to configure user auditing but might be not useful for complex systems or for those in which users do not run shells at all (or exclusively). If this is your case, you need to look at <package>acct</package>, the accounting utilities. These utilities will log all the commands run by users or processes in the system, at the expense of disk space."
msgstr "Die vorherigen Beispiele sind ein einfacher Weg, um die Überwachung von Benutzern einzurichten. Sie eignen sich aber nicht unbedingt für komplexe Systeme oder für solche, auf denen die Benutzer überhaupt keine (oder ausschließlich) Shells am Laufen haben. Sollte dies der Fall sein, schauen Sie sich das Paket <package>acct</package> an, das Werkzeuge zur Auswertung (accounting utilities) enthält. Diese werden alle Kommandos, die ein Benutzer oder ein Prozess auf dem System ausführt, – auf die Kosten von Plattenplatz – aufzeichnen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1336
msgid "When activating accounting, all the information on processes and users is kept under <file>/var/account/</file>, more specifically in the <file>pacct</file>. The accounting package includes some tools (<prgn>sa</prgn>, <prgn>ac</prgn> and <prgn>lastcomm</prgn>) to analyse this data."
msgstr "Wenn Sie diese Auswertung aktivieren, werden alle Informationen über Prozesse und Benutzer unter <file>/var/account/</file> gespeichert, genauer gesagt in <file>pacct</file>. Das Accounting-Paket schließt einige Werkzeuge (<prgn>sa</prgn>, <prgn>ac</prgn> und <prgn>lastcomm</prgn>) zur Analyse dieser Daten ein."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1337
msgid "Other user auditing methods"
msgstr "Andere Methoden zur Benutzerüberwachung"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1350
msgid "If you are completely paranoid and want to audit every user's command, you could take <prgn>bash</prgn> source code, edit it and have it send all that the user typed into another file. Or have <package>ttysnoop</package> constantly monitor any new ttys <footnote><p>Ttys are spawned for local logins and remote logins through ssh and telnet</p></footnote> and dump the output into a file. Other useful program is <package>snoopy</package> (see also <url id=\"http://sourceforge.net/projects/snoopylogger/\"; name=\"the project page\">) which is a user-transparent program that hooks in as a library providing a wrapper around <var>execve()</var> calls, any command executed is logged to <prgn>syslogd</prgn> using the <tt>authpriv</tt> facility (usually stored at <file>/var/log/auth.log</file>)."
msgstr "Wenn Sie wirklich paranoid sind und jedes Kommando des Benutzers protokollieren wollen, können Sie den Quellcode der <prgn>Bash</prgn> so ändern, dass sie alles, was der Benutzer eingibt, in einer anderen Datei ablegt. Oder Sie lassen <package>ttysnoop</package> ununterbrochen jedes neue tty <footnote> Ttys werden für lokale und entfernte Anmeldungen mit ssh und telnet erzeugt. </footnote> überwachen und die Ausgaben in einer Datei speichern. Ein anderes nützliches Programm ist <package>snoopy</package> (vergleichen Sie auch <url id=\"http://sourceforge.net/projects/snoopylogger/\"; name=\"the project page\">). Dies ist ein für den Benutzer transparentes Programm, das sich als eine Bibliothek einhängt und eine Hülle um <var>execve()</var>-Aufrufe bildet. Jedes ausgeführte Kommando wird im <prgn>syslogd</prgn> aufgezeichnet, indem die <tt>authpriv</tt>-Möglichkeit benutzt wird (üblicherweise wird dies unter <file>/var/log/auth.log</file> gespeichert)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1352
msgid "Reviewing user profiles"
msgstr "Nachprüfung der Benutzerprofile"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1359
msgid "If you want to <em>see</em> what users are actually doing when they logon to the system you can use the <file>wtmp</file> database that includes all login information. This file can be processed with several utilities, amongst them <prgn>sac</prgn> which can output a profile on each user showing in which timeframe they usually log on to the system."
msgstr "Wenn Sie <em>sehen</em> wollen, was Benutzer tatsächlich tun, wenn sie sich am System anmelden, können Sie die <file>wtmp</file>-Datenbank benutzen, die alle Anmeldeinformationen enthält. Diese Datei kann mit verschiedenen Werkzeugen weiterverarbeitet werden, unter ihnen <prgn>sac</prgn>, das ein Profil für jeden Benutzer ausgeben kann und zeigt, in welchem Zeitfenster sie sich für gewöhnlich auf dem System anmelden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1363
msgid "In case you have accounting activated, you can also use the tools provided by it in order to determine when the users access the system and what do they execute."
msgstr "Für den Fall, dass Sie Accounting aktiviert haben, können Sie auch die mitgelieferten Werkzeuge verwenden, um festzustellen, wann Benutzer auf das System zugreifen und was sie ausführen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1365
msgid "Setting users umasks"
msgstr "umasks der Benutzer einstellen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1369
msgid "Depending on your user policy you might want to change how information is shared between users, that is, what the default permissions of new files created by users are."
msgstr "Abhängig von Ihren Richtlinien möchten Sie ändern, wie Benutzer Informationen untereinander teilen können. Dabei geht es um die Standardrechte von neu erstellten Dateien."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1375
msgid "Debian's default <tt>umask</tt> setting is <em>022</em> this means that files (and directories) can be read and accessed by the user's group and by any other users in the system. This definition is set in the standard configuration file <file>/etc/profile</file> which is used by all shells."
msgstr "Das Standardwert von <tt>umask</tt> ist in Debian <em>022</em>. Das bedeutet, dass die Gruppe des Benutzers und alle anderen Benutzers auf dem System die Dateien (und Verzeichnisse) lesen und darauf zugreifen kann. Dieser Wert wird in der Standardkonfigurationsdatei <file>/etc/profile</file> gesetzt, die von allen Shells verwendet wird."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1386
msgid "If Debian's default value is too permissive for your system you will have to change the umask setting for all the shells. More restrictive umask settings include 027 (no access is allowed to new files for the <em>other</em> group, i.e. to other users in the system) or 077 (no access is allowed to new files to the members the user's group). Debian (by default<footnote><p>As defined in <file>/etc/adduser.conf</file> (USERGROUPS=yes). You can change this behaviour if you set this value to no, although it is not recommended</p></footnote>) creates one group per user so that only the user is included in its group. Consequently 027 and 077 are equivalent as the user's group contains only the user himself."
msgstr "Wenn die Standardwerte von Debian für Ihr System zu großzügig sind, müssen Sie die umask-Einstellungen für alle Shells ändern. Strengere Umask-Einstellungen sind 027 (kein Zugriff der Gruppe <em>other</em> auf neue Dateien, dazu zählen andere Benutzer auf dem System) oder 077 (kein Zugriff der Mitglieder der Gruppe des Benutzers). Debian erzeugt (standardmäßig<footnote>Wird in <file>/etc/adduser.conf</file> festgelegt (USERGROUPS=yes). Sie ändern dieses Verhalten, wenn Sie den Wert auf no setzen. Dies wird aber nicht empfohlen.</footnote>) für jeden Benutzer eine eigene Gruppe, so dass das einzige Gruppenmitglied der Benutzer selbst ist. Daher ergibt sich zwischen 027 und 077 kein Unterschied, da die Benutzergruppe nur den Benutzer selbst enthält."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1401
msgid "This change is set by defining a proper <tt>umask</tt> setting for all users. You can change this by introducing an <prgn>umask</prgn> call in the shell configuration files: <file>/etc/profile</file> (source by all Bourne-compatible shells), <file>/etc/csh.cshrc</file>, <file>/etc/csh.login</file>, <file>/etc/zshrc</file> and probably some others (depending on the shells you have installed on your system). You can also change the <var>UMASK</var> setting in <file>/etc/login.defs</file>, Of all of these the last one that gets loaded by the shell takes precedence. The order is: the default system configuration for the user's shell (i.e. <file>/etc/profile</file> and other system-wide configuration files) and then the user's shell (his <file>~/.profile</file>, <file>~/.bash_profile</file>, etc...). Some shells, however, can be executed with a <em>nologin</em> value which might skip sourcing some of those files. See your shell's manpage for additional information."
msgstr "Dies ändern Sie, indem Sie eine passende <tt>umask</tt> für alle Benutzer einstellen. Dazu müssen Sie einen <prgn>umask</prgn>-Aufruf in den Konfigurationsdateien aller Shells einfügen: <file>/etc/profile</file> (wird von allen Shells beachtet, die kompatibel mit Bourne sind), <file>/etc/csh.cshrc</file>, <file>/etc/csh.login</file>, <file>/etc/zshrc</file> und wahrscheinlich noch ein paar andere (je nachdem, welche Shells Sie auf Ihrem System installiert haben). Sie können auch die <var>UMASK</var>-Einstellung in <file>/etc/login.defs</file> verändern. Von all diesen Dateien erlangt die letzte, die von der Shell geladen wird, Vorrang. Die Reihenfolge lautet: die Standard-System-Konfiguration für die Shell des Benutzers (d.h. <file>/etc/profile</file> und andere systemweite Konfigurationsdateien) und dann die Shell des Benutzers (seine <file>~/.profile</file>) und <file>~/.bash_profile</file> etc.). Allerdings können einige Shells mit dem <em>nologin</em>-Wert ausgeführt werden, was verhindern kann, dass einige dieser Dateien ausgewertet werden. Sehen Sie in der Handbuchseite Ihrer Shell für weitere Informationen nach."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1407
msgid "For connections that make use of <prgn>login</prgn> the UMASK definition in <file>/etc/login.defs</file> is used before any of the others. However, that value does not apply to user executed programs that do not use <prgn>login</prgn> such as those run through <prgn>su</prgn>, <prgn>cron</prgn> or <prgn>ssh</prgn>."
msgstr "Bei Anmeldungen, die von <prgn>login</prgn> Gebrauch machen, erhält die UMASK-Festlegung in <file>/etc/login.defs</file> Vorrang vor allen anderen Einstellungen. Dieser Wert wird aber nicht von Anwendungen des Benutzers beachtet, die nicht <prgn>login</prgn> verwenden, wie z.B. solche, die durch <prgn>su</prgn>, <prgn>cron</prgn> oder <prgn>ssh</prgn> ausgeführt werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1413
msgid "Don't forget to review and maybe modify the dotfiles under <file>/etc/skel/</file> since these will be new user's defaults when created with the <prgn>adduser</prgn> command. Debian default dotfiles do not include any <prgn>umask</prgn> call but if there is any in the dotfiles newly created users might a different value."
msgstr "Vergessen Sie nicht, die Dateien unter <file>/etc/skel/</file> zu überprüfen und gegebenenfalls anzupassen, da dort die Standards für Benutzer festgelegt werden, die mit dem Befehl <prgn>adduser</prgn> erstellt werden. Standardmäßig enthalten die Dateien in Debian keinen Aufruf von <prgn>umask</prgn>. Wenn sich aber ein solcher in Konfigurationsdateien befindet, sind neue Benutzer eher geneigt, ihn ihren Bedürfnissen anzupassen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1417
msgid "Note, however that users can modify their own <tt>umask</tt> setting if they want to, making it more permissive or more restricted, by changing their own dotfiles."
msgstr "Beachten Sie allerdings, dass ein Benutzer seine <tt>umask</tt>-Einstellung ändern kann, wenn er es möchte, um sie großzügiger oder einschränkender zu machen, indem er seine Konfigurationsdateien verändert."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1421
msgid "The <package>libpam-umask</package> package adjusts the users' default <tt>umask</tt> using PAM. Add the following, after installing the package, to <file>/etc/pam.d/common-session</file>:"
msgstr "Das Paket <package>libpam-umask</package> passt die Standard-<tt>umask</tt> eines Benutzers mit Hilfe von PAM an. Nachdem Sie das Paket installiert haben, tragen Sie Folgendes in <file>/etc/pam.d/common-session</file> ein:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1423
#, no-wrap
msgid "session optional pam_umask.so umask=077"
msgstr "session optional pam_umask.so umask=077"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1431
msgid "Finally, you should consider changing root's default 022 umask (as defined in <file>/root/.bashrc</file>) to a more strict umask. That will prevent the system administrator from inadvertenly dropping sensitive files when working as root to world-readable directories (such as <file>/tmp</file>) and having them available for your average user."
msgstr "Zu guter Letzt sollte Sie in Betracht ziehen, die Standard-Umask von Root (022, wird in <file>/root/.bashrc</file> festgelegt) auf einen strengeren Wert zu verändern. Damit kann verhindert werden, dass der Systemadministrator als Root sensible Dateien in von allen lesbaren Verzeichnissen (wie z.B. <file>/tmp</file>) ablegt und sie so dem Durchschnittsbenutzer zugänglich macht."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1433
msgid "Limiting what users can see/access"
msgstr "Beschränken, was Benutzer sehen und worauf sie zugreifen können"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1437
msgid "FIXME: Content needed. Describe the consequences of changing packages permissions when upgrading (an admin this paranoid should <prgn>chroot</prgn> his users BTW) if not using <prgn>dpkg-statoverride</prgn>."
msgstr "FIXME: Inhalt benötigt. Aufzeigen der Folgen beim Upgraden, wenn die Paketrechte verändert werden, falls nicht <prgn>dpkg-statoverride</prgn> verwendet wird (übrigens sollte ein derartig paranoider Administrator seine Benutzer in eine <prgn>chroot</prgn>-Umgebung einsperren)."
#. type: <p><list>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1442
msgid "If you need to grant users access to the system with a shell think about it very carefully. A user can, by default unless in a severely restricted environment (like a <tt>chroot</tt> jail), retrieve quite a lot of information from your system including:"
msgstr "Wenn Sie einem Benutzer Zugriff auf das System mit einer Shell gewähren müssen, sollten Sie vorsichtig sein. Ein Benutzer kann normalerweise, wenn er sich nicht in einer streng abgeschirmten Umgebung befindet (z.B. in einem <tt>chroot</tt>-Gefängnis), ziemlich viel Informationen über Ihr System sammeln. Darunter fallen:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1451
msgid "some configuration files in <file>/etc</file>. However, Debian's default permissions for some sensitive files (which might, for example, contain passwords), will prevent access to critical information. To see which files are only accessible by the root user for example <tt>find /etc -type f -a -perm 600 -a -uid 0</tt> as superuser."
msgstr "Einige Konfigurationsdateien unter <file>/etc</file>. Jedoch werden Debians Standardrechte für sensible Dateien (die zum Beispiel Passwörter enthalten könnten) den Zugriff auf kritische Informationen verhindern. Um zu sehen, auf welche Dateien nur der Root-Benutzer zugreifen kann, führen Sie zum Beispiel <tt>find /etc -type f -a -perm 600 -a -uid 0</tt> als Superuser aus."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1455
msgid "your installed packages, either by looking at the package database, at the <file>/usr/share/doc</file> directory or by guessing by looking at the binaries and libraries installed in your system."
msgstr "Ihre installierten Pakete. Indem man die Paket-Datenbank und das <file>/usr/share/doc</file>-Verzeichnis ansieht, oder indem man mit Hilfe der auf Ihrem System installierten Binaries und Bibliotheken versucht zu raten."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1461
msgid "some log files at <file>/var/log</file>. Note also that some log files are only accessible to root and the <tt>adm</tt> group (try <tt>find /var/log -type f -a -perm 640</tt>) and some are even only available to the root user (try <tt>find /var/log -type f -a -perm 600 -a -uid 0</tt>)."
msgstr "einige Protokolle unter <file>/var/log</file>. Beachten Sie, dass auf einige Protokolle nur Root und die <tt>adm</tt>-Gruppe zugreifen kann (versuchen Sie <tt>find /var/log -type f -a -perm 640</tt>). Manche sind sogar ausschließlich für Root verfügbar (sehen Sie sich <tt>find /var/log -type f -a -perm 600 -a -uid 0</tt> an)."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1466
msgid "What can a user see in your system? Probably quite a lot of things, try this (take a deep breath):"
msgstr "Was kann ein Benutzer von Ihrem System sehen? Wahrscheinlich ziemlich viele Sachen, versuchen Sie mal Folgendes (und jetzt tief durchatmen):"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1469
#, no-wrap
msgid ""
" find / -type f -a -perm +006 2>/dev/null \n"
" find / -type d -a -perm +007 2>/dev/null"
msgstr ""
" find / -type f -a -perm +006 2>/dev/null \n"
" find / -type d -a -perm +007 2>/dev/null"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1474
msgid "The output is the list of files that a user can <em>see</em> and the directories to which he has access."
msgstr "Was Sie sehen, ist eine Liste von allen Dateien, die ein Benutzer <em>einsehen</em> kann, und von den Verzeichnissen, auf die er Zugriff hat."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1476
msgid "Limiting access to other user's information"
msgstr "Begrenzung des Zugangs zu Informationen anderer Benutzer"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1482
msgid "If you still grant shell access to users you might want to limit what information they can view from other users. Users with shell access have a tendency to create quite a number of files under their $HOMEs: mailboxes, personal documents, configuration of X/GNOME/KDE applications..."
msgstr "Wenn Sie immer noch Benutzern einen Shellzugang zur Verfügung stellen wollen, sollten Sie die Informationen begrenzen, die man über anderen Benutzern einholen kann. Benutzer mit einer Shell haben die Neigung, eine ziemlich große Anzahl von Dateien in ihrem $HOME zu erstellen: Mailboxen, persönliche Daten, Konfigurationen für X/GNOME/KDE-Anwendungen ..."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1490
msgid "In Debian each user is created with one associated group, and no two users belong to the same group. This is the default behavior: when an user account is created, a group of the same name is created too, and the user is assigned to it. This avoids the concept of a common <em>users</em> group which might make it more difficult for users to hide information from other users."
msgstr "n Debian wird jeder Benutzer mit einer zugehörigen Gruppe erstellt. Verschiedene Benutzer gehören dabei nie zur selben Gruppe. Folgendes ist das Standardverhalten: Wenn ein Benutzerkonto angelegt wird, wird auch eine Gruppe mit dem gleichen Namen erstellt. Dieser Gruppe wird der Benutzer zugewiesen. Damit wird die Idee einer allgemeinen <em>users</em>-Gruppe überflüssig, die es Benutzern erschweren könnte, Informationen vor anderen Benutzern zu verstecken."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1495
msgid "However, users' <var>$HOME</var> directories are created with 0755 permissions (group-readable and world-readable). The group permissions is not an issue since only the user belongs to the group, however the world permissions might (or might not) be an issue depending on your local policy."
msgstr "Allerdings wird das <var>$HOME</var>-Verzeichnis der Benutzer mit 0755-Rechten (lesbar von der Gruppe, lesbar von der Welt) erstellt. Die Rechte für die Gruppe sind kein Thema, da nur der Benutzer zu dieser Gruppe gehört. Allerdings könnten die Rechte für die Welt ein Problem darstellen, wobei dies von Ihren lokalen Richtlinien abhängt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1500
msgid "You can change this behavior so that user creation provides different <var>$HOME</var> permissions. To change the behavior for <em>new</em> users when they get created, change <em>DIR_MODE</em> in the configuration file <file>/etc/adduser.conf</file> to 0750 (no world-readable access)."
msgstr "Sie können dieses Verhalten so abändern, dass das Erstellen eines Benutzers andere Rechte für <var>$HOME</var> liefert. Um dieses Verhalten für <em>neue</em> Benutzer zu ändern, wenn sie erstellt werden, ändern Sie in der Konfigurationsdatei <file>/etc/adduser.conf</file> <em>DIR_MODE</em> auf 0750 (nicht lesbar für die Welt) ab."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1503
msgid "Users can still share information, but not directly in their <var>$HOME</var> directories unless they change its permissions."
msgstr "Benutzer können immer noch Informationen austauschen, aber nicht mehr unmittelbar in ihrem <var>$HOME</var>-Verzeichnis, es sei denn, dass sie dessen Recht verändert haben."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1517
msgid "Note that disabling world-readable home directories will prevent users from creating their personal web pages in the <file>~/public_html</file> directory, since the web server will not be able to read one component in the path - namely their <var>$HOME</var> directory. If you want to permit users to publish HTML pages in their <file>~/public_html</file>, then change <em>DIR_MODE</em> to 0751. This will allow the web server to access the final <file>public_html</file> directory (which itself should have a mode of 0755) and provide the content published by users. Of course, we are only talking about a default configuration here; users can generally tune modes of their own files completely to their liking, or you could keep content intended for the web in a separate location which is not a subdirectory of user's <var>$HOME</var> directory."
msgstr "Wenn Sie den Lesezugriff auf die Home-Verzeichnisse für die Welt verhindert, sollten Sie beachten, dass dann Benutzer ihre persönlichen Webseiten nicht unter <file>~/public_html</file> erstellen können, da der Webserver einen Teil des Pfads nicht lesen kann – und zwar das <var>$HOME</var>-Verzeichnis. Wenn Sie es Benutzern erlauben wollen, ihre HTML-Seiten in ihrem <file>~/public_html</file> zu veröffentlichen, sollten Sie <em>DIR_MODE</em> auf 0751 setzen. Das ermöglicht dem Webserver Zugang zum <file>public_html</file>-Verzeichnis <!--SB (20050304): Übersetzung von \"the final <file>public_html</file> directory\"? Final=endgültig? --> (welches selber die Rechte 0755 haben sollte). So kann er den von den Benutzern veröffentlichten Inhalt anbieten. Natürlich sprechen wir hier nur über die Standardeinstellung. Benutzer können grundsätzlich die Rechte für ihre eigenen Dateien nach ihrem Gutdünken vergeben. Oder Sie können die Dinge, die für das Web bestimmt sind, in einem getrennten Ort ablegen, der kein Unterverzeichnis vom <var>$HOME</var>-Verzeichnis des Benutzers ist."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1519
msgid "Generating user passwords"
msgstr "Erstellen von Benutzerpasswörtern"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1535
msgid "There are many cases when an administrator needs to create many user accounts and provide passwords for all of them. Of course, the administrator could easily just set the password to be the same as the user's account name, but that would not be very sensitive security-wise. A better approach is to use a password generating program. Debian provides <package>makepasswd</package>, <package>apg</package> and <package>pwgen</package> packages which provide programs (the name is the same as the package) that can be used for this purpose. <prgn>Makepasswd</prgn> will generate true random passwords with an emphasis on security over pronounceability while <prgn>pwgen</prgn> will try to make meaningless but pronounceable passwords (of course this might depend on your mother language). <prgn>Apg</prgn> has algorithms to provide for both (there is a client/server version for this program but it is not included in the Debian package)."
msgstr "In vielen Fällen muss ein Administrator viele Benutzerkonten erstellen und alle mit Passwörtern ausstatten. Der Administrator könnte natürlich einfach als Passwort den Namen des Benutzerkontos vergeben. Dies wäre aber unter Sicherheitsgesichtspunkten nicht sehr klug. Ein besseres Vorgehen ist es, ein Programm zur Erzeugung von Passwörtern zu verwenden. Debian stellt die Pakete <package>makepasswd</package>, <package>apg</package> und <package>pwgen</package> zur Verfügung, die Programme liefern (deren Name ist der gleiche wie der des Pakets), die zu diesem Zweck verwendet werden können. <prgn>Makepasswd</prgn> erzeugt wirklich zufällige Passwörter, gibt also der Sicherheit gegenüber der Aussprechbarkeit den Vorzug. Dagegen versucht <prgn>pwgen</prgn>, bedeutungslose, aber aussprechbare Passwörter herzustellen (dies hängt natürlich auch von Ihrer Muttersprache ab). <prgn>Apg</prgn> liefert Algorithmen für beide Möglichkeiten (Es gibt auch eine Client/Server-Version dieses Programms. Diese befindet sich aber nicht im Debian-Paket)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1550
msgid "<prgn>Passwd</prgn> does not allow non-interactive assignation of passwords (since it uses direct tty access). If you want to change passwords when creating a large number of users you can create them using <prgn>adduser</prgn> with the <tt>--disabled-login</tt> option and then use <prgn>usermod</prgn> or <prgn>chpasswd</prgn> <footnote><p><prgn>Chpasswd</prgn> cannot handle MD5 password generation so it needs to be given the password in encrypted form before using it, with the <tt>-e</tt> option.</p></footnote> (both from the <package>passwd</package> package so you already have them installed). If you want to use a file with all the information to make users as a batch process you might be better off using <prgn>newusers</prgn>."
msgstr "<prgn>Passwd</prgn> erlaubt nur die interaktive Zuweisung von Passwörtern (da es direkt den tty-Zugang benutzt). Wenn Sie Passwörter ändern wollen, wenn Sie eine große Anzahl von Benutzern erstellen, können Sie diese unter der Verwendung von <prgn>adduser</prgn> mit der <tt>--disabled-login</tt>-Option erstellen, und danach <prgn>usermod</prgn> oder <prgn>chpasswd</prgn> <footnote> <prgn>Chpasswd</prgn> kann keine MD5-Passwörter erzeugen. Daher muss ihm das Passwort in verschlüsselter Form übergeben werden, bevor es mit der <tt>-e</tt>-Option verwendet werden kann. </footnote> benutzen (beide Programme stammen aus dem <package>passwd</package>-Paket. Sie haben sie also schon installiert). Wenn Sie lieber eine Datei verwenden, die alle Informationen zur Erstellung von Benutzern als Batch-Prozess enthält, sind Sie vielleicht mit <prgn>newusers</prgn> besser dran."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1552
msgid "Checking user passwords"
msgstr "Kontrolle der Benutzerpasswörter"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1564
msgid "User passwords can sometimes become the <em>weakest link</em> in the security of a given system. This is due to some users choosing weak passwords for their accounts (and the more of them that have access to it the greater the chances of this happening). Even if you established checks with the cracklib PAM module and password limits as described in <ref id=\"auth-pam\"> users will still be able to use weak passwords. Since user access might include remote shell access (over <prgn>ssh</prgn>, hopefully) it's important to make password guessing as hard as possible for the remote attackers, especially if they were somehow able to collect important information such as usernames or even the <file>passwd</file> and <file>shadow</file> files themselves."
msgstr "Die Passwörter der Benutzer sind manchmal die <em>schwächste Stelle</em> der Sicherheit eines Systems. Das liegt daran, dass manche Benutzer schwache Passwörter für ihr Konto wählen (und je mehr Benutzer Zugang zum System haben, umso größer die Chance, dass das passiert). Selbst wenn Sie Überprüfungen mit dem PAM-Module cracklib und Grenzen für Passwörter einsetzen, wie in <ref id=\"auth-pam\"> beschrieben wird, ist es Benutzern immer noch möglich, schwache Passwörter zu verwenden. Da der Zugang der Benutzer auch den Zugang aus der Ferne (hoffentlich über <prgn>ssh</prgn>) umfassen kann, ist es wichtig, dass das Erraten von Passwörtern für entfernte Angreifer so schwierig wie möglich ist. Dies gilt insbesondere dann, wenn es ihnen gelungen sein sollte, Zugang zu wichtigen Informationen wie den Benutzernamen oder sogar den Dateien <file>passwd</file> und <file>shadow</file> selbst zu bekommen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1569
msgid "A system administrator must, given a big number of users, check if the passwords they have are consistent with the local security policy. How to check? Try to crack them as an attacker would if he had access to the hashed passwords (the <file>/etc/shadow</file> file)."
msgstr "Ein Systemadministrator muss bei einer großen Anzahl von Benutzern überprüfen, ob deren Passwörter mit den lokalen Sicherheitsrichtlinien in Einklang stehen. Und wie überprüft man das? Indem man versucht, sie wie ein Angreifer zu knacken, der Zugriff auf die gehashten Passwörter hat (also auf die Datei <file>/etc/shadow</file>)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1579
msgid "An administrator can use <package>john</package> or <package>crack</package> (both are brute force password crackers) together with an appropriate wordlist to check users' passwords and take appropriate action when a weak password is detected. You can search for Debian GNU packages that contain word lists using <prgn>apt-cache search wordlist</prgn>, or visit the classic Internet wordlist sites such as <url id=\"ftp://ftp.ox.ac.uk/pub/wordlists\";> or <url id=\"ftp://ftp.cerias.purdue.edu/pub/dict\";>."
msgstr "Ein Administrator kann <package>john</package> oder <package>crack</package> (beide benutzen Brute-Force (rohe Gewalt) zum Knacken von Passwörtern) zusammen mit einer passenden Wörterliste verwenden, um die Passwörter der Benutzer zu überprüfen, und falls ein schlechtes Passwort entdeckt wird, geeignete Schritte unternehmen. Sie können mit <prgn>apt-cache search wordlist</prgn> nach Debian/GNU-Paketen suchen, die Wörterlisten enthalten, oder Sie besuchen die klassischen Internetseiten mit Wörterlisten wie <url id=\"ftp://ftp.ox.ac.uk/pub/wordlists\";> oder <url id=\"ftp://ftp.cerias.purdue.edu/pub/dict\";>."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1581
msgid "Logging off idle users"
msgstr "Abmelden von untätigen Benutzern"
#. type: <p><list>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1586
msgid "Idle users are usually a security problem, a user might be idle maybe because he's out to lunch or because a remote connection hung and was not re-established. For whatever the reason, idle users might lead to a compromise:"
msgstr "Untätige (idle) Benutzer stellen für gewöhnlich ein Sicherheitsproblem dar. Ein Benutzer kann untätig sein, da er Mittagessen ist, oder weil eine entfernte Verbindung hängen blieb und nicht wieder hergestellt wurde. Unabhängig von den Gründen können untätige Benutzer zu einer Kompromittierung führen:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1590
msgid "because the user's console might be unlocked and can be accessed by an intruder."
msgstr "weil die Konsole des Benutzers vielleicht nicht verriegelt ist und damit ein Eindringling darauf zugreifen kann."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1594
msgid "because an attacker might be able to re-attach himself to a closed network connection and send commands to the remote shell (this is fairly easy if the remote shell is not encrypted as in the case of <prgn>telnet</prgn>)."
msgstr "weil ein Angreifer an eine schon beendete Netzwerkverbindung anknüpfen und Befehle an die entfernte Shell schicken kann (das ist ziemlich einfach, wenn die entfernte Shell, wie bei <prgn>telnet</prgn>, nicht verschlüsselt ist)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1599
msgid "Some remote systems have even been compromised through an idle (and detached) <prgn>screen</prgn>."
msgstr "In einige entfernte System wurde sogar schon durch ein untätiges (und abgelöstes) <prgn>screen</prgn> eingedrungen."
#. type: <p><list>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1602
msgid "Automatic disconnection of idle users is usually a part of the local security policy that must be enforced. There are several ways to do this:"
msgstr "Die automatische Trennung von untätigen Benutzern ist gewöhnlich ein Teil der lokalen Sicherheitsrichtlinie, die durchgesetzt werden muss. Es gibt mehrere Wege, dies zu tun:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1609
msgid "If <prgn>bash</prgn> is the user shell, a system administrator can set a default <tt>TMOUT</tt> value (see <manref name=\"bash\" section=\"1\">) which will make the shell automatically log off remote idle users. Note that it must be set with the <tt>-o</tt> option or users will be able to change (or unset) it."
msgstr "Wenn die Shell des Benutzers die <prgn>Bash</prgn> ist, kann ein Systemadministrator <tt>TMOUT</tt> einen Standardwert zuweisen (vergleich <manref section=\"1\" name=\"bash\">). Das hat zur Folge, dass die Shell automatisch entferne, untätige Benutzer ausloggt. Beachten Sie, dass der Wert mit der <tt>-o</tt>-Option gesetzt werden muss. Ansonsten wäre es den Benutzern möglich, ihn zu verändern (oder zu löschen)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1616
msgid "Install <package>timeoutd</package> and configure <file>/etc/timeouts</file> according to your local security policy. The daemon will watch for idle users and time out their shells accordingly."
msgstr "Installieren Sie <package>timeoutd</package> und konfigurieren Sie <file>/etc/timeouts</file> passend zu Ihren lokalen Sicherheitsrichtlinien. Der Daemon achtet auf untätige Benutzer und beendet gegebenenfalls ihre Shells."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1618
msgid "Install <package>autolog</package> and configure it to remove idle users."
msgstr "Installieren Sie <package>autolog</package> und richten Sie es so ein, dass es untätige Benutzer entfernt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1626
msgid "The <prgn>timeoutd</prgn> or <prgn>autolog</prgn> daemons are the preferred method since, after all, users can change their default shell or can, after running their default shell, switch to another (uncontrolled) shell."
msgstr "Vorzugswürdige Methoden sind die Daemonen <prgn>timeoutd</prgn> und <prgn>autolog</prgn>, da letzten Endes die Benutzer ihre Standardshell ändern können oder zu einer anderen (unbeschränkten) Shell wechseln können, nachdem sie ihre Standardshell gestartet haben."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1628
msgid "Using tcpwrappers"
msgstr "Die Nutzung von tcpwrappers"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1637
msgid "TCP wrappers were developed when there were no real packet filters available and access control was needed. Nevertheless, they're still very interesting and useful. The TCP wrappers allow you to allow or deny a service for a host or a domain and define a default allow or deny rule (all performed on the application level). If you want more information take a look at <manref name=\"hosts_access\" section=\"5\">."
msgstr "TCP-Wrapper (Schutzumschläge für TCP) wurden entwickelt, als es noch keine echten Paketfilter gab, aber Zugangskontrollen notwendig waren. Trotzdem sind sie immer noch hoch interessant und nützlich. Ein TCP-Wrapper erlaubt Ihnen, einem Host oder einer Domain einen Dienst anzubieten oder zu verweigern, und standardmäßig Zugriff zu erlauben oder zu verweigern (das alles wird auf der Anwendungsebene durchgeführt). Wenn Sie mehr Informationen haben möchten, sehen Sie sich <manref name=\"hosts_access\" section=\"5\"> an."
#. type: <p><list>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1639
msgid "Many services installed in Debian are either:"
msgstr "Viele der unter Debian installierten Dienste"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1641
msgid "launched through the tcpwrapper service (<file>tcpd</file>)"
msgstr "werden entweder durch den TCP-Wrapper Service (<file>tcpd</file>) aufgerufen,"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1642
msgid "compiled with libwrapper support built-in."
msgstr "oder wurden mit Unterstützung für libwrapper (Bibliothek für TCP-Wrapper) kompiliert."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1657
msgid "On the one hand, for services configured in <file>/etc/inetd.conf</file> (this includes <prgn>telnet</prgn>, <prgn>ftp</prgn>, <prgn>netbios</prgn>, <prgn>swat</prgn> and <prgn>finger</prgn>) you will see that the configuration file executes <prgn>/usr/sbin/tcpd</prgn> first. On the other hand, even if a service is not launched by the <prgn>inetd</prgn> superdaemon, support for the tcp wrappers rules can be compiled into it. Services compiled with tcp wrappers in Debian include <prgn>ssh</prgn>, <prgn>portmap</prgn>, <prgn>in.talk</prgn>, <prgn>rpc.statd</prgn>, <prgn>rpc.mountd</prgn>, <prgn>gdm</prgn>, <prgn>oaf</prgn> (the GNOME activator daemon), <prgn>nessus</prgn> and many others."
msgstr "Einerseits werden Sie bei manchen Diensten (einschließlich <prgn>telnet</prgn>, <prgn>ftp</prgn>, <prgn>netbios</prgn>, <prgn>swat</prgn> und <prgn>finger</prgn>), die in <file>/etc/inetd.conf</file> konfiguriert werden, sehen, dass die Konfigurationsdatei zuerst <prgn>/usr/sbin/tcpd</prgn> aufruft. Andererseits, selbst wenn ein Dienst nicht über den <prgn>inetd</prgn>-Superdaemon ausgeführt wird, kann die Unterstützung von TCP-Wrapper einkompiliert werden. Dienste, die unter Debian mit TCP-Wrappern kompiliert wurden, sind <prgn>ssh</prgn>, <prgn>portmap</prgn>, <prgn>in.talk</prgn>, <prgn>rpc.statd</prgn>, <prgn>rpc.mountd</prgn>, <prgn>gdm</prgn>, <prgn>oaf</prgn> (der GNOME-Aktivierungs-Daemon), <prgn>nessus</prgn> und viele andere."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1667
msgid "To see which packages use tcpwrappers <footnote><p>On older Debian releases you might need to do this: <example> $ apt-cache showpkg libwrap0 | egrep '^[[:space:]]' | sort -u | \\ sed 's/,libwrap0$//;s/^[[:space:]]\\+//'</example></p></footnote> try:"
msgstr "Um herauszufinden, welche Pakete TCP-Wrapper benutzen<footnote>Bei älteren Veröffentlichungen von Debian sollte Sie Folgendes ausführen: <example> $ apt-cache showpkg libwrap0 | egrep '^[[:space:]]' | sort -u | \\ sed 's/,libwrap0$//;s/^[[:space:]]\\+//'</example></p></footnote>, geben Sie Folgendes ein:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1669
#, no-wrap
msgid " $ apt-cache rdepends libwrap0"
msgstr " $ apt-cache rdepends libwrap0"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1680
msgid "Take this into account when running <prgn>tcpdchk</prgn> (a very useful TCP wrappers config file rule and syntax checker). When you add stand-alone services (that are directly linked with the wrapper library) into the <file>hosts.deny</file> and <file>hosts.allow</file> files, <prgn>tcpdchk</prgn> will warn you that it is not able to find the mentioned services since it only looks for them in <file>/etc/inetd.conf</file> (the manpage is not totally accurate here)."
msgstr "Beachten Sie bitte Folgendes, wenn Sie <prgn>tcpchk</prgn> (ein sehr nützliches Programm zur Überprüfung der TCP-Wrapper-Konfiguration und -Syntax) laufen lassen. Wenn Sie Stand-Alone-Dienste (alleinstehende Dienste, also solche, die direkt mit der Wrapper-Bibliothek verbunden sind) der <file>host.deny</file>- oder <file>host.allow</file>-Datei hinzufügen, wird <prgn>tcpchk</prgn> Sie warnen, dass er sie nicht finden kann, da er sie nur in <file>/etc/inetd.conf</file> sucht (die Handbuchseite ist an dieser Stelle nicht sehr genau)."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1688
msgid "Now, here comes a small trick, and probably the smallest intrusion detection system available. In general, you should have a decent firewall policy as a first line, and tcp wrappers as the second line of defense. One little trick is to set up a <var>SPAWN</var> <footnote><p>be sure to use uppercase here since <em>spawn</em> will not work</p></footnote> command in <file>/etc/hosts.deny</file> that sends mail to root whenever a denied service triggers wrappers:"
msgstr "Jetzt kommt ein kleiner Trick und vielleicht die kleinste Alarmanlage zur Erkennung von Eindringlingen: Im Allgemeinen sollten Sie eine anständige Firewall als erste und TCP-Wrapper als zweite Verteidigungslinie haben. Der Trick besteht nun darin, ein <var>SPAWN</var>-Kommando <footnote>Beachten Sie hier die Schreibweise, da <em>spawn</em> nicht funktionieren wird.</footnote> in <file>/etc/hosts.deny</file> einzutragen, das immer dann eine Mail an Root schickt, wenn ein Dienst abgewiesen wurde:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1698
#, no-wrap
msgid ""
" ALL: ALL: SPAWN ( \\\n"
" echo -e \"\\n"
"\\\n"
" TCP Wrappers\\: Connection refused\\n"
"\\\n"
" By\\: $(uname -n)\\n"
"\\\n"
" Process\\: %d (pid %p)\\n"
"\\\n"
" User\\: %u\\n"
"\\\n"
" Host\\: %c\\n"
"\\\n"
" Date\\: $(date)\\n"
"\\\n"
" \" | /usr/bin/mail -s \"Connection to %d blocked\" root) &"
msgstr ""
" ALL: ALL: SPAWN ( \\\n"
" echo -e \"\\n"
"\\\n"
" TCP Wrappers\\: Verbindungsaufbau abgelehnt\\n"
"\\\n"
" Von\\: $(uname -n)\\n"
"\\\n"
" Prozess\\: %d (pid %p)\\n"
"\\\n"
" Benutzer\\: %u\\n"
"\\\n"
" Host\\: %c\\n"
"\\\n"
" Datum\\: $(date)\\n"
"\\\n"
" \" | /usr/bin/mail -s \"Verbindung zu %d blockiert\" root) &"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1732
msgid "<em>Beware</em>: The above printed example is open to a DoS attack by making many connections in a short period of time. Many emails mean a lot of file I/O by sending only a few packets."
msgstr "<em>Achtung</em>: Das obige Beispiel kann sehr leicht zu DoS (Denial of Service, Verbindungsaufbau abgelehnt) führen, indem man versucht, sehr viele Verbindungen in kurzer Zeit aufzubauen. Viele E-Mails bedeuten viel Dateiaktivität, die lediglich durch das Senden von ein paar Paketen erreicht wird."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1734
msgid "The importance of logs and alerts"
msgstr "Die Wichtigkeit von Protokollen und Alarmen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1740
msgid "It is easy to see that the treatment of logs and alerts is an important issue in a secure system. Suppose a system is perfectly configured and 99% secure. If the 1% attack occurs, and there are no security measures in place to, first, detect this and, second, raise alarms, the system is not secure at all."
msgstr "Es ist leicht einzusehen, dass die Behandlung von Protokollen und Alarmen eine wichtige Angelegenheit in einem sicheren System ist. Stellen Sie sich vor, ein System ist perfekt konfiguriert und zu 99% sicher. Wenn ein Angriff unter dieses 1% fällt, und es keine Sicherheitsmaßnahmen gibt, dies erstens zu erkennen und zweitens einen Alarm auszulösen, so ist das System überhaupt nicht sicher."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1752
msgid "Debian GNU/Linux provides some tools to perform log analysis, most notably <package>swatch</package>, <footnote><p>there's a very good article on it written by <url id=\"http://www.spitzner.net/swatch.html\"; name=\"Lance Spitzner\"></p></footnote> <package>logcheck</package> or <package>log-analysis</package> (all will need some customisation to remove unnecessary things from the report). It might also be useful, if the system is nearby, to have the system logs printed on a virtual console. This is useful since you can (from a distance) see if the system is behaving properly. Debian's <file>/etc/syslog.conf</file> comes with a commented default configuration; to enable it uncomment the lines and restart <prgn>syslogd</prgn> (<tt>/etc/init.d/syslogd restart</tt>):"
msgstr "Debian GNU/Linux stellt Werkzeuge zur Verfügung, die die Analyse von Protokolldateien übernehmen. Am beachtenswertesten sind <package>swatch</package> <footnote>Es gibt darüber einen ziemlich guten Artikel von <url id=\"http://www.spitzner.net/swatch.html\"; name=\"Lance Spitzner\">. </footnote>, <package>logcheck</package> oder <package>loganalysis</package> (alle Pakete werden ein wenig Anpassung benötigen, um unnötige Dinge aus den Berichten zu entfernen). Wenn sich das System in Ihrer Nähe befindet, könnte es nützlich sein, das System-Protokoll auf einer virtuellen Konsole auszugeben. Die ist nützlich, da Sie so (auch von weiter weg oder im Vorbeigehen) sehen können, ob sich das System richtig verhält. Debians <file>/etc/syslog.conf</file> wird mit einer auskommentierten Standardkonfiguration ausgeliefert. Um diese Ausgabe einzuschalten, entfernen Sie die Kommentarzeichen vor den entsprechenden Zeilen und starten <prgn>syslog</prgn> neu (<tt>/etc/init.d/syslogd restart</tt>):"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1757
#, no-wrap
msgid ""
" daemon,mail.*;\\\n"
" news.=crit;news.=err;news.=notice;\\\n"
" *.=debug;*.=info;\\\n"
" *.=notice;*.=warn /dev/tty8"
msgstr ""
" daemon,mail.*;\\\n"
" news.=crit;news.=err;news.=notice;\\\n"
" *.=debug;*.=info;\\\n"
" *.=notice;*.=warn /dev/tty8"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1795
msgid "To colorize the logs, you could take a look at <package>colorize</package>, <package>ccze</package> or <package>glark</package>. There is a lot to log analysis that cannot be fully covered here, so a good information resource would be books should as <url id=\"http://books.google.com/books?id=UyktqN6GnWEC\"; name=\"Security log management: identifying patterns in the chaos\">. In any case, even automated tools are no match for the best analysis tool: your brain."
msgstr "Um die Protokolle farbig zu gestalten, sollten Sie einen Blick auf <package>colorize</package>, <package>ccze</package> oder <package>glark</package> werfen. Es gibt noch eine Menge über die Analyse von Protokollen zu sagen, das hier nicht behandelt werden kann. Eine gute Quelle für weitere Informationen sind Bücher wie <url name=\"Security log management: identifying patterns in the chaos\" id=\"http://books.google.com/books?id=UyktqN6GnWEC\";>. In jedem Fall sind selbst automatische Werkzeuge dem besten Analysewerkzeug nicht gewachsen: Ihrem Gehirn."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1797
msgid "Using and customizing <prgn>logcheck</prgn>"
msgstr "Nutzung und Anpassung von <prgn>logcheck</prgn>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1805
msgid "The <prgn>logcheck</prgn> package in Debian is divided into the three packages <package>logcheck</package> (the main program), <package>logcheck-database</package> (a database of regular expressions for the program) and <package>logtail</package> (prints loglines that have not yet been read). The Debian default (in <file>/etc/cron.d/logcheck</file>) is that <prgn>logcheck</prgn> is run every hour and after reboots."
msgstr "Das Paket <prgn>logcheck</prgn> ist in Debian auf drei Pakete verteilt: <package>logcheck</package> (das Hauptprogramm), <package>logcheck-database</package> (eine Datenbank regulärer Ausdrücke für das Programm) und <package>logtail</package> (gibt Protokollzeilen aus, die noch nicht gelesen wurden). Der Standard unter Debian (in <file>/etc/cron.d/logcheck</file>) ist, dass <prgn>logcheck</prgn> jede Stunde und nach jedem Neustart ausgeführt wird."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1826
msgid "This tool can be quite useful if properly customized to alert the administrator of unusual system events. <prgn>Logcheck</prgn> can be fully customized so that it sends mails based on events found in the logs and worthy of attention. The default installation includes profiles for ignored events and policy violations for three different setups (workstation, server and paranoid). The Debian package includes a configuration file <file>/etc/logcheck/logcheck.conf</file>, sourced by the program, that defines which user the checks are sent to. It also provides a way for packages that provide services to implement new policies in the directories: <file>/etc/logcheck/cracking.d/_packagename_</file>, <file>/etc/logcheck/violations.d/_packagename_</file>, <file>/etc/logcheck/violations.ignore.d/_packagename_</file>, <file>/etc/logcheck/ignore.d.paranoid/_packagename_</file>, <file>/etc/logcheck/ignore.d.server/_packagename_</file>, and <file>/etc/logcheck/ignore.d.workstation/_packagename_</file>. However, not many packages currently do so. If you have a policy that can be useful for other users, please send it as a bug report for the appropriate package (as a <em>wishlist</em> bug). For more information read <file>/usr/share/doc/logcheck/README.Debian</file>."
msgstr "Wenn dieses Werkzeug in geeigneter Weise angepasst wurde, kann es sehr nützlich sein, um den Administrator zu alarmieren, wenn etwas ungewöhnliches auf dem System passiert. <prgn>Logcheck</prgn> kann vollständig angepasst werden, so dass es Mails über Ereignisse aus den Protokollen sendet, die Ihrer Aufmerksamkeit bedürfen. Die Standard-Installation umfasst Profile zum Ignorieren von Ereignissen und Verstößen gegen die Sicherheitsrichtlinie für drei unterschiedliche Einsatzbereiche (Workstation, Server und paranoid). Das Debian-Paket umfasst die Konfigurationsdatei <file>/etc/logcheck/logcheck.conf</file>, die vom Programm eingelesen wird, und die definiert, an welchen Benutzer die Testergebnisse geschickt werden sollen. Es stellt außerdem einen Weg für Pakete zur Verfügung, um neue Regeln in folgenden Verzeichnisses zu erstellen: <file>/etc/logcheck/cracking.d/_packagename_</file> <file>/etc/logcheck/violations.d/_packagename_</file>, <file>/etc/logcheck/violations.ignore.d/_packagename_</file>, <file>/etc/logcheck/ignore.d.paranoid/_packagename_</file>, <file>/etc/logcheck/ignore.d.server/_packagename_</file>, und <file>/etc/logcheck/ignore.d.workstation/_packagename_</file>. Leider benutzen das noch nicht viele Pakete. Wenn Sie ein Regelwerk entwickelt haben, dass für andere Benutzer nützlich sein könnte, schicken Sie bitte einen Fehlerbericht für das entsprechende Paket (als ein <em>wishlist</em>-Fehler). Mehr Informationen finden Sie unter <file>/usr/share/doc/logcheck/README.Debian</file>."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1839
msgid "The best way to configure <prgn>logcheck</prgn> is to edit its main configuration file <file>/etc/logcheck/logcheck.conf</file> after installation. Change the default user (root) to whom reports should be mailed. You should set the reportlevel in there, too. <package>logcheck-database</package> has three report levels of increasing verbosity: workstation, server, paranoid. \"server\" being the default level, paranoid is only recommended for high-security machines running as few services as possible and workstation for relatively sheltered, non-critical machines. If you wish to add new log files just add them to <file>/etc/logcheck/logcheck.logfiles</file>. It is tuned for default syslog install."
msgstr "<prgn>logcheck</prgn> konfiguriert man am besten, indem man nach der Installation die Hauptkonfigurationsdatei <file>/etc/logcheck/logcheck.conf</file> bearbeitet. Verändern Sie den Benutzer, an den die Berichte geschickt werden (standardmäßig ist das Root). Außerdem sollten Sie auch den Schwellenwert für Berichte festlegen. <package>logcheck-database</package> hat drei Schwellenwerte mit steigender Ausführlichkeit: Workstation (Arbeitsplatz), Server und paranoid. »server« ist der Standardwert, »paranoid« wird nur für Hochsicherheitsmaschinen empfohlen, auf denen so wenig Dienste wie möglich laufen. »workstation« eignet sich für relativ geschützte, nicht kritische Maschinen. Wenn Sie neue Protokoll-Dateien hinzufügen wollen, müssen Sie diese nur zu <file>/etc/logcheck/logcheck.logfiles</file> hinzufügen. Es ist für die standardmäßige Syslog-Installation eingerichtet."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1854
msgid "Once this is done you might want to check the mails that are sent, for the first few days/weeks/months. If you find you are sent messages you do not wish to receive, just add the regular expressions (see <manref name=\"regex\" section=\"7\"> and <manref name=\"egrep\" section=\"1\">) that correspond to these messages to the <file>/etc/logcheck/ignore.d.<var>reportlevel</var>/local</file>. Try to match the whole logline. Details on howto write rules are explained in <file>/usr/share/doc/logcheck-database/README.logcheck-database.gz</file>. It's an ongoing tuning process; once the messages that are sent are always relevant you can consider the tuning finished. Note that if <prgn>logcheck</prgn> does not find anything relevant in your system it will not mail you even if it does run (so you might get a mail only once a week, if you are lucky)."
msgstr "Wenn Sie dies geschafft haben, sollten Sie die nächsten Tage/Wochen/Monate die verschickten Mails überprüfen. Falls Sie Nachrichten finden, die Sie nicht erhalten wollen, fügen Sie die regulären Ausdrücke (regular expressions, vergleiche <manref name=\"regex\" section=\"7\"> und <manref name=\"egrep\" section=\"1\">), die zu diesen Nachrichten passen, in <file>/etc/logcheck/ignore.d.<var>reportlevel</var>/local</file> ein. Versuchen Sie, dass der reguläre Ausdruck mit der gesamten Protokollzeile übereinstimmt. Details, wie man Regeln schreibt, finden Sie in <file>/usr/share/doc/logcheck-database/README.logcheck-database.gz</file>. Das ist ein andauernder Prozess der Abstimmung. Wenn nur noch relevante Meldungen verschickt werden, können Sie davon ausgehen, dass dieser Prozess beendet ist. Beachten Sie, dass <prgn>logcheck</prgn>, selbst wenn er läuft, Ihnen keine Mail schickt, wenn er nichts Relevantes auf Ihrem System findet (so bekommen Sie höchstens eine Mail pro Woche, wenn Sie Glück haben)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1856
msgid "Configuring where alerts are sent"
msgstr "Konfiguration, wohin Alarmmeldungen geschickt werden"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1863
msgid "Debian comes with a standard <tt>syslog</tt> configuration (in <file>/etc/syslog.conf</file>) that logs messages to the appropriate files depending on the system facility. You should be familiar with this; have a look at the <file>syslog.conf</file> file and the documentation if not. If you intend to maintain a secure system you should be aware of where log messages are sent so they do not go unnoticed."
msgstr "Debian wird mit einer Standardkonfiguration für <tt>Syslog</tt> (in <file>/etc/syslog.conf</file>) ausgeliefert, so dass Meldungen je nach System in die passenden Dateien geschrieben werden. Das sollte Ihnen bereits bekannt sein. Falls nicht, werfen Sie einen Blick auf die Datei <file>syslog.conf</file> und deren Dokumentation. Wenn Sie ein sicheres System betreuen wollen, sollte Ihnen bekannt sein, wohin Protokoll-Meldungen geschickt werden, so dass sie nicht unbeachtet bleiben."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1868
msgid "For example, sending messages to the console also is an interesting setup useful for many production-level systems. But for many such systems it is also important to add a new machine that will serve as loghost (i.e. it receives logs from all other systems)."
msgstr "Zum Beispiel ist es für viele Produktiv-Systeme sinnvoll, Meldungen auch auf der Konsole auszugeben. Aber bei vielen solcher Systeme ist es wichtig, eine neue Maschine zu haben, die für die anderen als ein Loghost fungiert (d.h. sie empfängt die Protokolle aller anderen Systeme)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1875
msgid "Root's mail should be considered also, many security controls (like <package>snort</package>) send alerts to root's mailbox. This mailbox usually points to the first user created in the system (check <file>/etc/aliases</file>). Take care to send root's mail to some place where it will be read (either locally or remotely)."
msgstr "Sie sollten auch an Mails für Root denken, da viele Programme zur Sicherheitskontrolle (wie <package>snort</package>) ihre Alarme an die Mailbox von Root senden. Diese Mailbox zeigt normalerweise auf den ersten Benutzer, der auf dem System erstellt wurde (prüfen Sie dazu <file>/etc/aliases</file>). Sorgen Sie dafür, dass Roots Mails irgendwo hin geschickt werden, wo sie auch gelesen werden (lokal oder in der Ferne)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1880
msgid "There are other role accounts and aliases on your system. On a small system, it's probably simplest to make sure that all such aliases point to the root account, and that mail to root is forwarded to the system administrator's personal mailbox."
msgstr "Es gibt noch andere Konten mit besonderen Funktionen und andere Aliase auf Ihrem System. Auf einem kleinen System ist es wohl am einfachsten, sicherzustellen, dass alle Aliase auf das Root-Konto verweisen, und dass Mails an Root in das persönliche Postfach des Systemadministrators weiter geleitet werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1886
msgid "FIXME: It would be interesting to tell how a Debian system can send/receive SNMP traps related to security problems (jfs). Check: <package>snmptrapfmt</package>, <package>snmp</package> and <package>snmpd</package>."
msgstr "FIXME: It would be interesting to tell how a Debian system can send/receive SNMP traps related to security problems (jfs). Check: <package>snmptrapfmt</package>, <package>snmp</package> and <package>snmpd</package>."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1888
msgid "Using a loghost"
msgstr "Nutzen eines Loghosts"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1903
msgid "A loghost is a host which collects syslog data remotely over the network. If one of your machines is cracked, the intruder is not able to cover his tracks, unless he hacks the loghost as well. So, the loghost should be especially secure. Making a machine a loghost is simple. Just start the <prgn>syslogd</prgn> with <tt>syslogd -r</tt> and a new loghost is born. In order to do this permanently in Debian, edit <file>/etc/default/syslogd</file> and change the line"
msgstr "Ein Loghost ist ein Server, der die syslog-Daten über ein Netzwerk sammelt. Wenn eine Ihrer Maschinen geknackt wird, kann der Eindringling seine Spuren nicht verwischen, solange er den Loghost nicht ebenfalls geknackt hat. Demzufolge muss der Loghost besonders sicher sein. Aus einer Maschine einen Loghost zu machen, ist relativ einfach: Starten Sie den <prgn>syslogd</prgn> einfach mit <tt>syslogd -r</tt> und ein neuer Loghost ist geboren. Um dies unter Debian dauerhaft zu machen, editieren Sie <file>/etc/default/syslogd</file> und ändern Sie die Zeile"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1905
#, no-wrap
msgid "SYSLOGD=\"\""
msgstr "SYSLOGD=\"\""
#. type: </example><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1907
msgid "to"
msgstr "in"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1909
#, no-wrap
msgid "SYSLOGD=\"-r\""
msgstr "SYSLOGD=\"-r\""
#. type: </example><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1914
msgid "Next, configure the other machines to send data to the loghost. Add an entry like the following to <file>/etc/syslog.conf</file>:"
msgstr "Als nächstes konfigurieren Sie die anderen Maschinen, so dass sie ihre Daten an den Loghost zu senden. Fügen Sie einen Eintrag, ähnlich dem Folgenden, zu der <file>/etc/syslog.conf</file> hinzu:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1916
#, no-wrap
msgid " facility.level @your_loghost"
msgstr " facility.level @Ihr_Loghost"
#. type: </example><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1922
msgid "See the documentation for what to use in place of <em>facility</em> and <em>level</em> (they should not be entered verbatim like this). If you want to log everything remotely, just write:"
msgstr "Schauen Sie in die Dokumentation, um zu erfahren, wodurch Sie <em>facility</em> und <em>level</em> ersetzen können; sie sollten nicht wörtlich übernommen werden. Wenn Sie alles in der Ferne mitprotokollieren wollen, schreiben Sie einfach:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1924
#, no-wrap
msgid " *.* @your_loghost"
msgstr " *.* @Ihr_Loghost"
#. type: </example></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1933
msgid "into your <file>syslog.conf</file>. Logging remotely as well as locally is the best solution (the attacker might presume to have covered his tracks after deleting the local log files). See the <manref name=\"syslog\" section=\"3\">, <manref name=\"syslogd\" section=\"8\"> and <manref name=\"syslog.conf\" section=\"5\"> manpages for additional information."
msgstr "in Ihre <file>syslog.conf</file>. Sowohl lokal als auch aus der Ferne mitzuprotokollieren, ist die beste Lösung (ein Angreifer könnte davon ausgehen, dass er seine Spuren verwischt hat, nachdem er die lokale Log-Datei gelöscht hat). Für weitere Informationen sehen Sie sich die Handbuchseiten <manref name=\"syslog\" section=\"3\">, <manref name=\"syslogd\" section=\"8\"> und <manref name=\"syslog.conf\" section=\"5\"> an."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1935
msgid "Log file permissions"
msgstr "Zugriffsrechte auf Protokolldateien"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1946
msgid "It is not only important to decide how alerts are used, but also who has read/modify access to the log files (if not using a remote loghost). Security alerts which the attacker can change or disable are not worth much in the event of an intrusion. Also, you have to take into account that log files might reveal quite a lot of information about your system to an intruder if he has access to them."
msgstr "Es ist nicht nur wichtig zu entscheiden, wie Warnungen genutzt werden, sondern auch, wer hierauf Zugriff hat, d.h. wer Protokolldateien (falls Sie nicht einen Loghost verwenden) lesen oder verändern kann. Sicherheitsalarme, die ein Angreifer verändern oder abschalten kann, sind im Falle eines Eindringens nicht viel wert. Außerdem sollten Sie berücksichtigen, dass Protokolldateien einem Eindringling ziemlich viel Informationen über Ihr System verraten, wenn er auf sie Zugriff hat."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1956
msgid "Some log file permissions are not perfect after the installation (but of course this really depends on your local security policy). First <file>/var/log/lastlog</file> and <file>/var/log/faillog</file> do not need to be readable by normal users. In the <file>lastlog</file> file you can see who logged in recently, and in the <file>faillog</file> you see a summary of failed logins. The author recommends <prgn>chmod 660</prgn> for both. Take a brief look at your log files and decide very carefully which log files to make readable/writable for a user with a UID other than 0 and a group other than 'adm' or 'root'. You can easily check this in your system with:"
msgstr "Einige Zugriffsrechte auf Protokolldateien sind nach der Installation nicht gerade perfekt (aber das hängt natürlich von Ihrer lokalen Sicherheitsrichtlinie ab). Zuerst einmal müssen <file>/var/log/lastlog</file> und <file>/var/log/faillog</file> nicht für normale Benutzer lesbar sein. In der Datei <file>lastlog</file> können Sie sehen, wer sich zuletzt angemeldet hat. In <file>faillog</file> befindet sich eine Zusammenfassung fehlgeschlagener Anmeldeversuche. Der Autor empfiehlt, die Rechte von beiden auf 660 zu setzen (mit <prgn>chmod 660</prgn>). Werfen Sie einen kurzen Blick auf Ihre Protokolldateien und entscheiden Sie sehr vorsichtig, welche Protokolldateien Sie les- oder schreibbar für einen Benutzer mit einer anderen UID als 0 und einer anderen Gruppe als »adm« oder »root« machen. Sie können dies sehr leicht auf Ihrem System überprüfen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1965
#, no-wrap
msgid ""
" # find /var/log -type f -exec ls -l {} \\; | cut -c 17-35 |sort -u\n"
" (see to what users do files in /var/log belong)\n"
" # find /var/log -type f -exec ls -l {} \\; | cut -c 26-34 |sort -u\n"
" (see to what groups do files in /var/log belong)\n"
" # find /var/log -perm +004\n"
" (files which are readable by any user)\n"
" # find /var/log \\! -group root \\! -group adm -exec ls -ld {} \\;\n"
" (files which belong to groups not root or adm)"
msgstr ""
" # find /var/log -type f -exec ls -l {} \\; | cut -c 17-35 |sort -u\n"
" (überprüfen, welchen Benutzern die Dateien unter /var/log gehören)\n"
" # find /var/log -type f -exec ls -l {} \\; | cut -c 26-34 |sort -u\n"
" (überprüfen, welchen Gruppen die Dateien unter /var/log gehören)\n"
" # find /var/log -perm +004\n"
" (Dateien, die von jedem Benutzer gelesen werden können)\n"
" # find /var/log \\! -group root \\! -group adm -exec ls -ld {} \\;\n"
" (Dateien, die nicht der Gruppe root oder adm gehören)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1979
msgid "To customize how log files are created you will probably have to customize the program that generates them. If the log file gets rotated, however, you can customize the behavior of creation and rotation."
msgstr "Um anzupassen, wie neue Protokolldateien erstellt werden, müssen Sie wahrscheinlich das Programm anpassen, das sie erstellt. Wenn die Protokolldateien ausgewechselt werden, können Sie das Verhalten der Erstellung und Auswechslung anpassen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1981
msgid "Adding kernel patches"
msgstr "Den Kernel patchen"
#. type: <p><list>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1984
msgid "Debian GNU/Linux provides some of the patches for the Linux kernel that enhance its security. These include:"
msgstr "Debian GNU/Linux stellt verschiedene Patches für den Linux-Kernel zur Verfügung, welche die Sicherheit erhöhen:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1995
msgid "<url id=\"http://www.lids.org\"; name=\"Linux Intrusion Detection\"> provided in the <package>kernel-patch-2.4-lids</package> package. This kernel patch makes the process of hardening your Linux system easier by allowing you to restrict, hide and protect processes, even from root. It implements mandatory access control capabilities."
msgstr "Erkennung von Eindringlingen für Linux (<url id=\"http://www.lids.org\"; name=\"Linux Intrusion Detection\">, enthalten im Paket <package>lids-2.2.19</package>). Dieser Kernelpatch erleichtert Ihnen, Ihr Linuxsystem abzuhärten, indem er Ihnen ermöglicht, Prozesse einzuschränken, zu verstecken und zu schützten, sogar vor Root. Er führt Fähigkeiten für eine zwingende Zugangskontrolle ein."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2001
msgid "<url id=\"http://trustees.sourceforge.net/\"; name=\"Linux Trustees\">, provided in package <package>trustees</package>. This patch adds a decent advanced permissions management system to your Linux kernel. Special objects (called trustees) are bound to every file or directory, and are stored in kernel memory, which allows fast lookup of all permissions."
msgstr "<url id=\"http://trustees.sourceforge.net/\"; name=\"Linux Trustees\"> (im Paket <package>trustees</package>). Dieser Patch fügt ein ordentliches, fortgeschrittenes Rechtemanagement Ihrem Linux-Kernel hinzu. Besondere Objekte, die »trustees« (Treuhänder) genannt werden, sind mit jeder Datei oder Verzeichnis verbunden. Sie werden im Speicher des Kernels abgelegt und erlauben so eine schnelle Abfrage aller Rechte."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2013
msgid "NSA Enhanced Linux (in package <package>selinux</package>). Backports of the SElinux-enabled packages are available at <url id=\"http://selinux.alioth.debian.org/\";>. More information available at <url id=\"http://wiki.debian.org/SELinux\"; name=\"SElinux in Debian Wiki page\">, at <url id=\"http://www.golden-gryphon.com/software/security/selinux.xhtml\"; name=\"Manoj Srivastava's\"> and <url id=\"http://www.coker.com.au/selinux/\"; name=\"Russell Cookers's\"> SElinux websites."
msgstr "NSA Enhanced Linux (im Paket <package>selinux</package>. Backports von Paketen, die SELinux unterstützen, sind unter <url id=\"http://selinux.alioth.debian.org/\";> erhältlich. Weiterführende Informationen können Sie auf der <url id=\"http://wiki.debian.org/SELinux\"; name=\"SELinux in Debian Wiki Seite\"> und auf <url id=\"http://www.golden-gryphon.com/software/security/selinux.xhtml\"; name=\"Manoj Srivastavas\"> und <url id=\"http://www.coker.com.au/selinux/\"; name=\"Russell Cookers'\"> SELinux-Webseiten finden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2018
msgid "The <url id=\"http://people.redhat.com/mingo/exec-shield/\"; name=\"exec-shield patch\"> provided in the <package>kernel-patch-exec-shield</package> package. This patch provides protection against some buffer overflows (stack smashing attacks)."
msgstr "Der <url id=\"http://people.redhat.com/mingo/exec-shield/\"; name=\"Exec-Shield-Patch\"> aus dem Paket <package>kernel-patch-exec-shield</package>. Dieser Patch schützt vor einigen Pufferüberläufen (stack smashing attacks)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2049
msgid "The <url id=\"http://www.grsecurity.net/\"; name=\"Grsecurity patch\">, provided by the <package>kernel-patch-2.4-grsecurity</package> and <package>kernel-patch-grsecurity2</package> packages <footnote><p>Notice that this patch conflicts with patches already included in Debian's 2.4 kernel source package. You will need to use the stock vanilla kernel. You can do this with the following steps: <example># apt-get install kernel-source-2.4.22 kernel-patch-debian-2.4.22 # tar xjf /usr/src/kernel-source-2.4.22.tar.bz2 # cd kernel-source-2.4.22 # /usr/src/kernel-patches/all/2.4.22/unpatch/debian</example></p><p>For more information see <url id=\"http://bugs.debian.org/194225\"; name=\"#194225\">, <url id=\"http://bugs.debian.org/199519\"; name=\"#199519\">, <url id=\"http://bugs.debian.org/206458\"; name=\"#206458\">, <url id=\"http://bugs.debian.org/203759\"; name=\"#203759\">, <url id=\"http://bugs.debian.org/204424\"; name=\"#204424\">, <url id=\"http://bugs.debian.org/210762\"; name=\"#210762\">, <url id=\"http://bugs.debian.org/211213\"; name=\"#211213\">, and the <url id=\"http://lists.debian.org/debian-devel/2003/debian-devel-200309/msg01133.html\"; name=\"discussion at debian-devel\"></p></footnote> implements Mandatory Access Control through RBAC, provides buffer overflow protection through PaX, ACLs, network randomness (to make OS fingerprinting more difficult) and <url id=\"http://www.grsecurity.net/features.php\"; name=\"many more features\">."
msgstr "Der <url id=\"http://www.grsecurity.net/\"; name=\"Grsecurity-Patch\"> aus den Paketen <package>kernel-patch-2.4-grsecurity</package> und <package>kernel-patch-grsecurity2</package> <footnote> Beachten Sie, dass ein Konflikt zwischen diesem Patch und den Patches besteht, die schon im Quellpaket des Kernels 2.4 von Debian enthalten sind. Sie werden den Vanilla-Kernel verwenden müssen. Dazu führen Sie folgende Schritte durch: <example># apt-get install kernel-source-2.4.22 kernel-patch-debian-2.4.22 # tar xjf /usr/src/kernel-source-2.4.22.tar.bz2 # cd kernel-source-2.4.22 # /usr/src/kernel-patches/all/2.4.22/unpatch/debian </example> <p>Für weitere Informationen siehe <url id=\"http://bugs.debian.org/194225\"; name=\"#194225\">, <url id=\"http://bugs.debian.org/199519\"; name=\"#199519\">, <url id=\"http://bugs.debian.org/206458\"; name=\"#206458\">, <url id=\"http://bugs.debian.org/203759\"; name=\"#203759\">, <url id=\"http://bugs.debian.org/204424\"; name=\"#204424\">, <url id=\"http://bugs.debian.org/210762\"; name=\"#210762\">, <url id=\"http://bugs.debian.org/211213\"; name=\"#211213\"> und die <url id=\"http://lists.debian.org/debian-devel/2003/debian-devel-200309/msg01133.html\"; name=\"Diskussion auf debian-devel\">. </footnote> verwirklicht Mandatory Access Control durch RBAC und stellt Schutz vor Pufferüberläufen durch PaX, ACLs, Zufälligkeit im Netzwerk (um die Erkennung von Spuren des OS zu erschweren) und <url id=\"http://www.grsecurity.net/features.php\"; name=\"noch viele Features mehr\"> zur Verfügung."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2061
msgid "The <package>kernel-patch-adamantix</package> provides the patches developed for <url id=\"http://www.adamantix.org/\"; name=\"Adamantix\">, a Debian-based distribution. This kernel patch for the 2.4.x kernel releases introduces some security features such as a non-executable stack through the use of <url id=\"http://pageexec.virtualave.net/\"; name=\"PaX\"> and mandatory access control based on <url id=\"http://www.rsbac.org/\"; name=\"RSBAC\">. Other features include: <url id=\"http://www.vanheusden.com/Linux/sp/\"; name=\"the Random PID patch\">, AES encrypted loop device, MPPE support and an IPSEC v2.6 backport."
msgstr "<package>kernel-patch-adamantix</package> bietet die Patches an, die für die Debian-Distribution <url id=\"http://www.adamantix.org/\"; name=\"Adamantix\"> entwickelt wurden. Dieser Patch für den Kernel 2.4.x führt einige Sicherheitsfähigkeiten wie nichtausführbaren Speicher durch den Einsatz von <url id=\"http://pageexec.virtualave.net/\"; name=\"PaX\"> und Mandatory Access Control auf Grundlage von <url id=\"http://www.rsbac.org/\"; name=\"RSBAC\" > ein. Andere Features sind <url name=\"der Random-PID-Patch\" id=\"http://www.vanheusden.com/Linux/sp/\";>, ein mit AES verschlüsseltes Loop-Gerät, Unterstützung von MPPE und eine Zurückportierung von IPSEC v2.6."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2065
msgid "<package>cryptoloop-source</package>. This patches allows you to use the functions of the kernel crypto API to create encrypted filesystems using the loopback device."
msgstr "<package>cryptoloop-source</package>: Dieser Patch erlaubt Ihnen, die Fähigkeiten der Crypto-API des Kernels zu verwenden, um verschlüsselte Dateisysteme mit dem Loopback-Gerät zu erstellen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2076
msgid "IPSEC kernel support (in package <package>linux-patch-openswan</package>). If you want to use the IPsec protocol with Linux, you need this patch. You can create VPNs with this quite easily, even to Windows machines, as IPsec is a common standard. IPsec capabilities have been added to the 2.5 development kernel, so this feature will be present by default in the future Linux Kernel 2.6. Homepage: <url id=\"http://www.openswan.org\";>. <em>FIXME</em>: The latest 2.4 kernels provided in Debian include a backport of the IPSEC code from 2.5. Comment on this."
msgstr "Kernel-Unterstützung von IPSEC (im Paket <package>kernel-patch-openswan</package>). Wenn Sie das IPsec-Protokoll mit Linux verwenden wollen, benötigen Sie diesen Patch. Damit können Sie ziemlich leicht VPNs erstellen, sogar mit Windows-Rechnern, da IPsec ein verbreiteter Standard ist. IPsec-Fähigkeiten wurden in den Entwicklungskernel 2.5 eingefügt, so dass dieses Feature standardmäßig im zukünftigen Kernel 2.6 enthalten sein wird. Homepage: <url id=\"http://www.openswan.org\";>. <em>FIXME</em>: Der neuste Kernel 2.4 in Debian enthält eine Rückeinbindung des IPSEC-Codes aus 2.5. Kommentar dazu."
#. type: <p><list>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2081
msgid "The following security kernel patches are only available for old kernel versions in woody and are deprecated:"
msgstr "Die folgenden Sicherheitspatches für den Kernel sind nur noch für alte Kernelversionen in Woody verfügbar und werden nicht mehr weiterentwickelt:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2088
msgid "<url id=\"http://acl.bestbits.at/\"; name=\"POSIX Access Control Lists\"> (ACLs) for Linux provided in the package <package>kernel-patch-acl</package>. This kernel patch adds access control lists, an advanced method for restricting access to files. It allows you to control fine-grain access to files and directory."
msgstr "<url id=\"http://acl.bestbits.at/\"; name=\"POSIX Access Control Lists\"> (ACLs, Listen zur Zugangskontrolle) für Linux im Paket <package>kernel-patch-acl</package>. Dieser Kernelpatch stellt Listen zur Zugangskontrolle zur Verfügung. Das ist eine fortgeschrittene Methode, um den Zugang zu Dateien einzuschränken. Es ermöglicht Ihnen, den Zugang zu Dateien und Verzeichnisses fein abzustimmen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2098
msgid "The <url id=\"http://www.openwall.com/linux/\"; name=\"Openwall\"> linux kernel patch by Solar Designer, provided in the <package>kernel-patch-2.2.18-openwall</package> package. This is a useful set of kernel restrictions, like restricted links, FIFOs in <file>/tmp</file>, a restricted <file>/proc</file> file system, special file descriptor handling, non-executable user stack area and other features. Note: This package applies to the 2.2 release, no packages are available for the 2.4 release patches provided by Solar."
msgstr "Der Patch für den Linux-Kernel <url name=\"Openwall\" id=\"http://www.openwall.com/linux/\";> von Solar Designer, der im Paket <package>kernel-patch-2.2.18-openwall</package> enthalten ist. Er enthält eine nützliche Anzahl von Beschränkungen des Kernels wie eingeschränkte Verweise, FIFOs in <file>/tmp</file>, ein begrenztes <file>/proc</file>-Dateisystem, besondere Handhabung von Dateideskriptoren, einen nichtausführbaren Bereich des Stapelspeichers des Benutzers und andere Fähigkeiten. Hinweis: Dieser Patch ist nur auf die Kernelversion 2.2 anwendbar, für 2.4 werden von Solar keine Pakete angeboten."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2104
msgid "<package>kernel-patch-int</package>. This patch also adds cryptographic capabilities to the Linux kernel, and was useful with Debian releases up to Potato. It doesn't work with Woody, and if you are using Sarge or a newer version, you should use a more recent kernel which includes these features already."
msgstr "<package>kernel-patch-int</package>. Auch dieser Patch fügt kryptografische Fähigkeiten zum Linux-Kernel hinzu. Er war bis zu den Debian-Releases bis Potato nützlich. Er funktioniert nicht mehr mit Woody. Falls Sie Sarge oder eine neuere Version verwenden, sollten Sie einen aktuelleren Kernel einsetzen, in dem diese Features bereits enthalten sind."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2114
msgid "However, some patches have not been provided in Debian yet. If you feel that some of these should be included please ask for it at the <url id=\"http://www.debian.org/devel/wnpp/\"; name=\"Work Needing and Prospective Packages\">."
msgstr "Wie auch immer, einige Patches werden von Debian noch nicht zur Verfügung gestellt. Wenn Sie denken, dass manche von ihnen hinzugefügt werden sollten, fragen Sie danach auf <url name=\"Arbeit-bedürfende und voraussichtliche Pakete\" id=\"http://www.de.debian.org/devel/wnpp/\";>."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2116
msgid "Protecting against buffer overflows"
msgstr "Schutz vor Pufferüberläufen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2129
msgid "<em>Buffer overflow</em> is the name of a common attack to software <footnote><p>So common, in fact, that they have been the basis of 20% of the reported security vulnerabilities every year, as determined by <url id=\"http://icat.nist.gov/icat.cfm?function=statistics\"; name=\"statistics from ICAT's vulnerability database\"></p></footnote> which makes use of insufficient boundary checking (a programming error, most commonly in the C language) in order to execute machine code through program inputs. These attacks, against server software which listen to connections remotely and against local software which grant higher privileges to users (<tt>setuid</tt> or <tt>setgid</tt>) can result in the compromise of any given system."
msgstr "<em>Pufferüberlauf</em> (buffer overflow) wird eine verbreitete Art von Angriffen auf Software <footnote> Sie sind in der Tat so verbreitet, dass sie die Grundlage für 20% aller gemeldeten Sicherheitsmängel pro Jahr darstellen, wie von <url id=\"http://icat.nist.gov/icat.cfm?function=statistics\"; name=\"statistics from ICAT's vulnerability database\"> herausgefunden wurde. </footnote> genannt, welche die unzureichende Überprüfung von Eingabegrenzen ausnutzen (ein Programmierfehler, der häufig bei der Programmiersprache C auftritt), um durch Programmeingaben Befehle auf der Maschine auszuführen. Diese Attacken über Server, die auf Verbindungen warten, oder über lokal installierte Software, die einem Benutzer größere Privilegien gewährt (<tt>setuid</tt> oder <tt>setgid</tt>) kann zu einem kompromittierten System führen."
#. type: <p><list>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2131
msgid "There are mainly four methods to protect against buffer overflows:"
msgstr "Es gibt hauptsächlich vier Methoden, um sich gegen Pufferüberläufe zu schützen:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2137
msgid "patch the kernel to prevent stack execution. You can use either: Exec-shield, OpenWall or PaX (included in the Grsecurity and Adamantix patches)."
msgstr "Patchen Sie den Kernel, um das Ausführen des Stapelspeichers zu verhindern. Sie können entweder Exec-Shield, OpenWall oder PaX (ist in den Grsecurity- und Adamantixpatches enthalten) verwenden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2140
msgid "fix the source code by using tools to find fragments of it that might introduce this vulnerability."
msgstr "Verbessern Sie den Quellcode, indem Sie Werkzeuge einsetzen, die Teile finden, die zu dieser Verwundbarkeit führen könnten."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2146
msgid "recompile the source code to introduce proper checks that prevent overflows, using the <url id=\"http://www.research.ibm.com/trl/projects/security/ssp/\"; name=\"Stack Smashing Protector (SSP)\"> patch for GCC (which is used by <url id=\"http://www.adamantix.org\"; name=\"Adamantix\">)"
msgstr "Übersetzen Sie den Quellcode neu, um vernünftige Prüfungen einzuführen, um Überläufe zu verhindern. Benutzen Sie dazu den <url id=\"http://www.research.ibm.com/trl/projects/security/ssp/\"; name=\"Stack Smashing Protector (SSP)\"> Patch für GCC (der von <url id=\"http://www.adamantix.org\"; name=\"Adamantix\"> verwendet wird)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2153
msgid "Debian GNU/Linux, as of the 3.0 release, provides software to introduce all of these methods except for the protection on source code compilation (but this has been requested in <url id=\"http://bugs.debian.org/213994\"; name=\"Bug #213994\">)."
msgstr "Debian GNU/Linux liefert bis einschließlich der Veröffentlichung 3.0 Software, um alle diese Methoden bis auf den Schutz bei der Übersetzung des Quellcodes (das wurde aber schon in <url id=\"http://bugs.debian.org/213994\"; name=\"Fehler #213994\"> nachgefragt) zu implementieren."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2160
msgid "Notice that even if Debian provided a compiler which featured stack/buffer overflow protection all packages would need to be recompiled in order to introduce this feature. This is, in fact, what the Adamantix distribution does (among other features). The effect of this new feature on the stability of software is yet to be determined (some programs or some processor architectures might break due to it)."
msgstr "Beachten Sie, dass selbst wenn Debian einen Compiler zur Verfügung stellen würde, der Schutz vor Stapel- und Pufferüberläufen bieten würde, so doch alle Pakete neu übersetzt werden müssten, um diese Eigenschaft einzuführen. Tatsächlich ist das die Aufgabe der Distribution Adamantix (unter anderen Fähigkeiten). Die Auswirkungen dieses neuen Features auf die Stabilität der Software muss aber noch ermittelt werden (einige Programme und einige Prozessoren werden vielleicht deswegen nicht mehr funktionieren)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2168
msgid "In any case, be aware that even these workarounds might not prevent buffer overflows since there are ways to circumvent these, as described in phrack's magazine <url id=\"http://packetstorm.linuxsecurity.com/mag/phrack/phrack58.tar.gz\"; name=\"issue 58\"> or in CORE's Advisory <url id=\"http://online.securityfocus.com/archive/1/269246\"; name=\"Multiple vulnerabilities in stack smashing protection technologies\">."
msgstr "Seien Sie auf jeden Fall gewarnt, dass selbst diese Umgehungen des Problems nicht vor Pufferüberläufen schützen können, da es Möglichkeiten gibt, diese zu überlisten, wie in <url name=\"Ausgabe 58\" id=\"http://packetstorm.linuxsecurity.com/mag/phrack/phrack58.tar.gz\";> des phrack-Magazins oder in COREs Advisory <url id=\"http://online.securityfocus.com/archive/1/269246\"; name=\"Multiple vulnerabilities in stack smashing protection technologies\"> beschrieben."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2172
msgid "If you want to test out your buffer overflow protection once you have implemented it (regardless of the method) you might want to install the <package>paxtest</package> and run the tests it provides."
msgstr "Wenn Sie Ihren Schutz gegen Pufferüberläufe (unabhängig von der gewählten Methode) testen wollen, können Sie <package>paxtest</package> installieren und die angebotenen Tests laufen lassen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2174
msgid "Kernel patch protection for buffer overflows"
msgstr "Kernelpatch zum Schutz vor Pufferüberläufen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2183
msgid "Kernel patches related to buffer overflows include the Openwall patch provides protection against buffer overflows in 2.2 linux kernels. For 2.4 or newer kernels, you need to use the Exec-shield implementation, or the PaX implementation (provided in the grsecurity patch, <package>kernel-patch-2.4-grsecurity</package>, and in the Adamantix patch, <package>kernel-patch-adamantix</package>). For more information on using these patches read the the section <ref id=\"kernel-patches\">."
msgstr "Ein Kernelpatch, der Schutz vor Pufferüberläufen bietet, ist der Openwall-Patch, der diese im Linux-Kernel 2.2 verhindern soll. Für 2.4 oder neuere Kernel müssen Sie die Umsetzung von Exec-Shield oder die von PaX (ist im Grsecurity-Patch <package>kernel-patch-2.4-grsecurity</package> und im Adamantix-Patch <package>kernel-patch-adamantix</package> enthalten) benutzen. Für weitere Informationen zum Einsatz dieser Patches lesen Sie den <ref id=\"kernel-patches\">."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2185
msgid "Testing programs for overflows"
msgstr "Prüfprogramme für Pufferüberläufe"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2194
msgid "The use of tools to detect buffer overflows requires, in any case, of programming experience in order to fix (and recompile) the code. Debian provides, for example: <package>bfbtester</package> (a buffer overflow tester that brute-forces binaries through command line and environment overflows). Other packages of interest would also be <package>rats</package>, <package>pscan</package>, <package>flawfinder</package> and <package>splint</package>."
msgstr "Zur Nutzung von Werkzeugen zum Aufspüren von Pufferüberläufen benötigen Sie in jedem Fall Programmiererfahrung, um den Quellcode zu reparieren (und neu zu kompilieren). Debian stellt beispielsweise <package>bfbtester</package> (einen Überlauftester, der Programme per Brute-Force (durch Testen aller Möglichkeiten) nach Überläufen der Kommandozeile und von Umgebungsvariablen durchtestet) <!-- FIXME: Where is it? und <package>njamd</package> --> bereit. Andere interessante Pakete sind auch <package>rats</package>, <package>pscan</package>, <package>flawfinder</package> und <package>splint</package>."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2196
msgid "Secure file transfers"
msgstr "Sichere Übertragung von Dateien"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2203
msgid "During normal system administration one usually needs to transfer files in and out from the installed system. Copying files in a secure manner from a host to another can be achieved by using the <package>ssh</package> server package. Another possibility is the use of <package>ftpd-ssl</package>, a ftp server which uses the <em>Secure Socket Layer</em> to encrypt the transmissions."
msgstr "Während der normalen Systemadministration müssen Sie immer mal wieder Dateien auf Ihr System spielen oder von diesem holen. Auf sichere Art und Weise Dateien von einem Host zu einem anderen zu kopieren, wird durch die Benutzung des Paketes <package>ssh</package> erreicht. Eine andere Möglichkeit ist die Nutzung von <package>ftpd-ssl</package>, einem ftp-Server der <em>Secure Socket Layer</em> benutzt, um Übertragungen zu verschlüsseln."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2213
msgid "Any of these methods need special clients. Debian does provide client software, such as <prgn>scp</prgn> from the <package>ssh</package> package, which works like <prgn>rcp</prgn> but is encrypted completely, so the <em>bad guys</em> cannot even find out WHAT you copy. There is also a <package>ftp-ssl</package> package for the equivalent server. You can find clients for these software even for other operating systems (non-UNIX), <prgn>putty</prgn> and <prgn>winscp</prgn> provide secure copy implementations for any version of Microsoft's operating system."
msgstr "Jede dieser Methoden benötigt natürlich einen speziellen Client. Debian stellt Ihnen solche zur Verfügung, zum Beispiel enthält das Paket <package>ssh</package> das Programm <prgn>scp</prgn>. Es arbeitet wie <prgn>rcp</prgn>, aber ist komplett verschlüsselt, so dass die <em>bösen Jungs</em> noch nicht einmal herausbekommen können, WAS Sie kopieren. Passend zu dem Server gibt es auch ein <package>ftp-ssl</package> Client-Paket. Sie können Clients für diese Software sogar für andere (nicht-UNIXoide) Betriebssysteme finden. <prgn>putty</prgn> und <prgn>winscp</prgn> stellen eine secure-copy-Implementierung für jede Version von Microsoft-Betriebssystemen zur Verfügung."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2222
msgid "Note that using <prgn>scp</prgn> provides access to the users to all the file system unless <prgn>chroot</prgn>'ed as described in <ref id=\"ssh-chroot\">. FTP access can be <prgn>chroot</prgn>'ed, probably easier depending on you chosen daemon, as described in <ref id=\"ftp-secure\">. If you are worried about users browsing your local files and want to have encrypted communication you can either use an ftp daemon with SSL support or combine clear-text ftp and a VPN setup (see <ref id=\"vpn\">)."
msgstr "Beachten Sie, dass die Verwendung von <prgn>scp</prgn> den Benutzern Zugang zum gesamten Dateisystem ermöglicht, es sei denn, dass es in eine <prgn>chroot</prgn>-Umgebung eingesperrt ist, wie es in <ref id=\"ssh-chroot\"> beschrieben wird. Wahrscheinlich sogar leichter (abhängig vom verwendeten Daemon) kann auch der FTP in eine <prgn>chroot</prgn>-Umgebung eingesperrt werden. Das wird in <ref id=\"ftp-secure\"> beschrieben. Falls Sie sich sorgen, dass Benutzer Ihre lokalen Dateien durchsehen, und Sie verschlüsselte Kommunikation wünschen, können Sie einen FTP-Daemon mit Unterstützung für SSL einrichten oder FTP mit Klartext und VPN verbinden (siehe <ref id=\"vpn\">."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2224
msgid "File system limits and control"
msgstr "Einschränkung und Kontrolle des Dateisystems"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2226
msgid "Using quotas"
msgstr "Benutzung von Quotas"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2229
msgid "Having a good quota policy is important, as it keeps users from filling up the hard disk(s)."
msgstr "Es ist wichtig, eine gute Quota-Regelung zu haben, da es die Benutzer daran hindert, die Festplatten zu füllen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2235
msgid "You can use two different quota systems: user quota and group quota. As you probably figured out, user quota limits the amount of space a user can take up, group quota does the equivalent for groups. Keep this in mind when you're working out quota sizes."
msgstr "Sie können zwei Arten von Quota-Systemen benutzen: Benutzer-Quota und Gruppen-Quota. Wie Sie sich sicher denken können, begrenzt ein User-Quota den Plattenplatz, den ein Benutzer belegen kann, und ein Gruppen-Quota macht dasselbe für Gruppen. Beachten Sie dies, wenn Sie die Größe der Quotas festlegen."
#. type: <p><list>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2238
msgid "There are a few important points to think about in setting up a quota system:"
msgstr "Es gibt ein paar wichtige Punkte, die Sie erwägen sollten, wenn Sie ein Quota-System aufsetzen:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2242
msgid "Keep the quotas small enough, so users do not eat up your disk space."
msgstr "Halten Sie die Quotas klein genug, so dass die Benutzer Ihren Festplattenplatz nicht aufzehren können."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2245
msgid "Keep the quotas big enough, so users do not complain or their mail quota keeps them from accepting mail over a longer period."
msgstr "Halten Sie die Quotas groß genug, so dass Benutzer sich nicht beschweren oder dass Ihr Mail-Quota Sie daran hindert, nach einer Weile Mails anzunehmen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2247
msgid "Use quotas on all user-writable areas, on <file>/home</file> as well as on <file>/tmp</file>."
msgstr "Nutzen Sie Quotas auf allen Bereichen, die Benutzer beschreiben können, auf <file>/home</file> ebenso wie auf <file>/tmp</file>."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2253
msgid "Every partition or directory to which users have full write access should be quota enabled. Calculate and assign a workable quota size for those partitions and directories which combines usability and security."
msgstr "Für jede Partition und jedes Verzeichnis, auf das Benutzer Schreibzugriff haben, sollte ein Quota eingerichtet werden. Berechnen Sie eine sinnvolle Quota-Größe, die Benutzerfreundlichkeit und Sicherheit kombiniert, und weisen Sie diese zu."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2260
msgid "So, now you want to use quotas. First of all you need to check whether you enabled quota support in your kernel. If not, you will need to recompile it. After this, control whether the package <package>quota</package> is installed. If not you will need this one as well."
msgstr "Sie wollen also Quotas benutzen. Zuerst müssen Sie prüfen, ob Ihr Kernel Quota unterstützt. Wenn nicht, müssen Sie ihn neu kompilieren. Prüfen Sie anschließend, ob das Paket <package>quota</package> installiert ist. Wenn nicht, installieren Sie es."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2269
msgid "Enabling quota for the respective file systems is as easy as modifying the <tt>defaults</tt> setting to <tt>defaults,usrquota</tt> in your <file>/etc/fstab</file> file. If you need group quota, substitute <tt>usrquota</tt> to <tt>grpquota</tt>. You can also use them both. Then create empty quota.user and quota.group files in the roots of the file systems you want to use quotas on (e.g. <tt>touch /home/quota.user /home/quota.group</tt> for a <file>/home</file> file system)."
msgstr "Um Quota für die entsprechenden Dateisysteme einzuschalten, müssen Sie nur die Einstellung <tt>defaults</tt> in Ihrer <file>/etc/fstab</file> zu <tt>defaults,usrquota</tt> ändern. Wenn Sie Gruppen-Quotas benötigen, ersetzen Sie <tt>usrquota</tt> durch <tt>grpquota</tt>. Sie können auch beides verwenden. Erstellen Sie dann leere <file>quota.user</file> und <file>quota.group</file> in den Hauptverzeichnissen der Dateisysteme, auf denen Sie Quotas einführen möchten (d.h. <tt>touch /home/quota.user /home/quota.group</tt> für das Dateisystem <file>/home</file>)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2273
msgid "Restart <prgn>quota</prgn> by doing <tt>/etc/init.d/quota stop;/etc/init.d/quota start</tt>. Now quota should be running, and quota sizes can be set."
msgstr "Starten Sie <prgn>quota</prgn> neu, indem Sie <tt>/etc/init.d/quota stop;/etc/init.d/quota start</tt> ausführen. Nun sollte quota laufen und die Größen können festgelegt werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2280
msgid "Editing quotas for a specific user can be done by <tt>edquota -u <user></tt>. Group quotas can be modified with <tt>edquota -g <group></tt>. Then set the soft and hard quota and/or inode quotas as needed."
msgstr "Bearbeiten der Quotas eines bestimmten Benutzer wird mit <tt>edquota -u <user></tt> gemacht. Gruppen-Quotas können mit <tt>edquota -g <group></tt> geändert werden. Setzen Sie dann die weiche und die harte Grenze und inode-Quotas, falls Sie es benötigen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2285
msgid "For more information about quotas, read the quota man page, and the quota mini-howto (<file>/usr/share/doc/HOWTO/en-html/mini/Quota.html</file>). You may also want to look at <file>pam_limits.so</file>."
msgstr "Mehr Informationen über Quotas finden Sie im Handbuch von quot und im Mini-Howto von quota (<file>/usr/share/doc/HOWTO/de-html/mini/DE-Quota-HOWTO.html</file>). Sie sollten auch einen Blick auf <file>pam_limits.so</file> werfen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2288
msgid "The ext2 filesystem specific attributes (chattr/lsattr)"
msgstr "Die für das ext2-Dateisystem spezifischen Attribute (chattr/lsattr)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2301
msgid "In addition to the usual Unix permissions, the ext2 and ext3 filesystems offer a set of specific attributes that give you more control over the files on your system. Unlike the basic permissions, these attributes are not displayed by the usual <prgn>ls -l</prgn> command or changed using <prgn>chmod</prgn>, and you need two other utilities, <prgn>lsattr</prgn> and <prgn>chattr</prgn> (in package <package>e2fsprogs</package>) to manage them. Note that this means that these attributes will usually not be saved when you backup your system, so if you change any of them, it may be worth saving the successive <prgn>chattr</prgn> commands in a script so that you can set them again later if you have to restore a backup."
msgstr "Zusätzlich zu den normalen Unix-Rechten bieten die ext2- und ext3-Dateisysteme eine Anzahl von besonderen Attributen, die Ihnen mehr Kontrolle über die Dateien auf Ihrem System erlauben. Im Gegensatz zu den gewöhnlichen Rechten werden diese Attribute nicht vom gebräuchlichen Befehl <prgn>ls -l</prgn> angezeigt und können auch nicht mit <prgn>chmod</prgn> geändert werden. Um sie zu verwalten, brauchen Sie zwei weitere Programme, nämlich <prgn>lsattr</prgn> und <prgn>chattr</prgn> (im Paket <package>e2fsprogs</package>). Beachten Sie, dass das bedeutet, dass diese Attribute normalerweise bei einem Backup des Systems nicht gespeichert werden. Wenn Sie also eines verändern, könnte es sich lohnen, die aufeinander folgenden <prgn>chattr</prgn>-Befehle in einem Skript zu speichern, damit Sie sie später wieder zuweisen können, falls Sie ein Backup zurückspielen müssen."
#. type: <p><list>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2306
msgid "Among all available attributes, the two that are most important for increasing security are referenced by the letters 'i' and 'a', and they can only be set (or removed) by the superuser:"
msgstr "Unter allen Attributen werden die zwei, die für die Erhöhung der Sicherheit am bedeutendsten sind, mit den Buchstaben »i« und »a« bezeichnet. Sie können nur vom Superuser vergeben (oder entfernt) werden:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2311
msgid "The 'i' attribute ('immutable'): a file with this attribute can neither be modified nor deleted or renamed and no link can be created to it, even by the superuser."
msgstr "Das Attribut »i« (»immutable«, unveränderlich): Eine Datei mit diesem Attribut kann weder verändert noch gelöscht oder umbenannt werden, nicht einmal vom Superuser. Auch ein Link auf sie kann nicht angelegt werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2318
msgid "The 'a' attribute ('append'): this attribute has the same effect that the immutable attribute, except that you can still open the file in append mode. This means that you can still add more content to it but it is impossible to modify previous content. This attribute is especially useful for the log files stored in <file>/var/log/</file>, though you should consider that they get moved sometimes due to the log rotation scripts."
msgstr "Das Attribut »a« (»append«, anfügen): Dieses Attribut hat den gleichen Effekt wie das Attribut immutable, allerdings mit der Ausnahme, dass Sie immer noch die Datei im Anfügen-Modus öffnen können. Das bedeutet, dass Sie ihr immer noch Inhalt hinzufügen, aber den vorhanden Inhalt nicht verändern können. Dieses Attribut ist besonders für die Protokolldateien nützlich, die unter <file>/var/log/</file> gespeichert werden. Beachten Sie aber, dass sie durch Log-Rotations-Skripte manchmal verschoben werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2326
msgid "These attributes can also be set for directories, in which case everyone is denied the right to modify the contents of a directory list (e.g. rename or remove a file, ...). When applied to a directory, the append attribute only allows file creation."
msgstr "Diese Attribute können auch für Verzeichnisse vergeben werden. In diesem Fall ist es jedem unmöglich, den Inhalt des Verzeichnisses zu verändern, also beispielsweise eine Datei umzubenennen oder zu löschen. Wenn das append-Attribut einem Verzeichnis zugewiesen wird, können nur noch Dateien erstellt werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2343
msgid "It is easy to see how the 'a' attribute improves security, by giving to programs that are not running as the superuser the ability to add data to a file without modifying its previous content. On the other hand, the 'i' attribute seems less interesting: after all, the superuser can already use the basic Unix permissions to restrict access to a file, and an intruder that would get access to the superuser account could always use the <prgn>chattr</prgn> program to remove the attribute. Such an intruder may first be confused when he sees that he is not able to remove a file, but you should not assume that he is blind - after all, he got into your system! Some manuals (including a previous version of this document) suggest to simply remove the <prgn>chattr</prgn> and <prgn>lsattr</prgn> programs from the system to increase security, but this kind of strategy, also known as \"security by obscurity\", is to be absolutely avoided, since it provides a false sense of security."
msgstr "Es ist leicht einzusehen, wie das Attribut »a« die Sicherheit verbessert, indem es Programmen, die nicht vom Superuser ausgeführt werden, die Fähigkeit einräumt, Daten hinzuzufügen, aber verhindert, dass älterer Inhalt verändert wird. Dem gegenüber erscheint das Attribut »i« uninteressanter. Schließlich kann der Superuser ja schon die normalen Unix-Rechte verwenden, um den Zugang zu Dateien einzuschränken. Und ein Angreifer, der Zugang zum Konto des Superusers hat, kann immer das Programm <prgn>chattr</prgn> benutzen, um die Attribute zu entfernen. Ein solcher Eindringlich ist vielleicht zunächst verwirrt, wenn er feststellt, dass er eine Datei nicht löschen kann. Aber Sie sollten nicht davon ausgehen, dass er blind ist – immerhin hat er es geschafft, in Ihr System einzudringen! Einige Handbücher (einschließlich früherer Versionen dieses Dokuments) empfehlen, einfach die Programme <prgn>chattr</prgn> und <prgn>lsattr</prgn> vom System zu entfernen, um die Sicherheit zu erhöhen. Aber diese Strategie, die auch als »security by obscurity« (Sicherheit durch Verschleierung) bekannt ist, sollte unter allen Umständen vermieden werden, da sie ein falsches Gefühl von Sicherheit vermittelt."
#. type: <p><enumlist numeration="arabic">
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2352
msgid "A secure way to solve this problem is to use the capabilities of the Linux kernel, as described in <ref id=\"proactive\">. The capability of interest here is called <tt>CAP_LINUX_IMMUTABLE</tt>: if you remove it from the capabilities bounding set (using for example the command <tt>lcap CAP_LINUX_IMMUTABLE</tt>) it won't be possible to change any 'a' or 'i' attribute on your system anymore, even by the superuser ! A complete strategy could be as follows:"
msgstr "Dieses Problem lösen Sie auf sichere Art und Weise, indem Sie die Fähigkeiten des Linux-Kernel verwenden, wie es in <ref id=\"proactive\"> beschrieben wird. Die hier interessante Fähigkeit heißt <tt>CAP_LINUX_IMMUTABLE</tt>: Wenn Sie es vom Satz der Fähigkeiten entfernen (indem Sie zum Beispiel den Befehl <tt>lcap CAP_LINUX_IMMUTABLE</tt> verwenden, ist es nicht mehr möglich, irgendwelche »a« oder »i« Attribute auf Ihrem System zu verändern, auch nicht durch den Superuser! Ein umfassende Strategie könnte also folgendermaßen aussehen:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2353
msgid "Set the attributes 'a' and 'i' on any file you want;"
msgstr "Vergeben Sie die Attribute »a« und »i« an von Ihnen gewünschte Dateien."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2358
msgid "Add the command <tt>lcap CAP_LINUX_IMMUTABLE</tt> (as well as <tt>lcap CAP_SYS_MODULE</tt>, as suggested in <ref id=\"proactive\">) to one of the startup scripts;"
msgstr "Fügen Sie den Befehl <tt>lcap CAP_LINUX_IMMUTABLE</tt> einem der Skripten, die den Start des Systems steuern (startup scripts), hinzu."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2360
msgid "Set the 'i' attribute on this script and other startup files, as well as on the <prgn>lcap</prgn> binary itself;"
msgstr "Setzen Sie das Attribut »i« für dieses Skript, andere Startdateien und auch das Programm <prgn>lcap</prgn> selbst."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2363
msgid "Execute the above command manually (or reboot your system to make sure everything works as planned)."
msgstr "Führen Sie den oben genannten Befehl per Hand aus (oder starten Sie Ihr System neu, um sicherzustellen, dass alles wie gewünscht funktioniert)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2377
msgid "Now that the capability has been removed from the system, an intruder cannot change any attribute on the protected files, and thus cannot change or remove the files. If he forces the machine to reboot (which is the only way to restore the capabilities bounding set), it will easily be detected, and the capability will be removed again as soon as the system restarts anyway. The only way to change a protected file would be to boot the system in single-user mode or using another bootdisk, two operations that require physical access to the machine !"
msgstr "Da nun die Fähigkeit von dem System entfernt wurde, kann ein Eindringling keine Attribute der geschützten Dateien ändern und daher diese nicht verändern oder löschen. Wenn er einen Neustart der Maschine erzwingt (was der einzige Weg ist, die Fähigkeiten wieder herzustellen), wird dies leicht zu bemerken sein. Außerdem werden die Fähigkeiten bei einem Neustart sofort wieder entfernt werden. Die einzige Möglichkeit, eine geschützte Datei zu ändern, ist, das System im Single-User-Modus zu starten oder ein anderes Bootmedium zu verwenden. Beides erfordert physischen Zugang zur Maschine!"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2379
msgid "Checking file system integrity"
msgstr "Prüfung der Integrität des Dateisystems"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2384
msgid "Are you sure <file>/bin/login</file> on your hard drive is still the binary you installed there some months ago? What if it is a hacked version, which stores the entered password in a hidden file or mails it in clear-text version all over the Internet?"
msgstr "Sind Sie sich sicher, dass <file>/bin/login</file> auf Ihrer Festplatte immer noch dasselbe Programm ist, das Sie vor ein paar Monaten installiert haben? Was wäre, wenn es sich um eine gehackte Version handelt, die eingegebene Passwörter in einer versteckten Datei ablegt oder sie als Klartext im ganzen Internet herummailt?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2396
msgid "The only method to have some kind of protection is to check your files every hour/day/month (I prefer daily) by comparing the actual and the old md5sum of this file. Two files cannot have the same md5sum (the MD5 digest is 128 bits, so the chance that two different files will have the same md5sum is roughly one in 3.4e3803), so you're on the safe site here, unless someone has also hacked the algorithm that creates md5sums on that machine. This is, well, extremely difficult and very unlikely. You really should consider this auditing of your binaries as very important, since it is an easy way to recognize changes at your binaries."
msgstr "Die einzige Methode, um einen gewissen Schutz dafür zu haben, ist es, die Dateien jede(n) Stunde/Tag/Monat (ich ziehe täglich vor) zu prüfen, indem man deren aktuelle und alte MD5-Summe vergleicht. Zwei unterschiedliche Dateien können keine gleichen MD5-Summen haben (die MD5-Summe umfasst 128 Bits, so ist die Wahrscheinlichkeit, dass zwei unterschiedliche Dateien eine gleiche MD5-Summe haben etwa 1 zu 3,4e3803). So sind Sie sicher, solange niemand den Algorithmus gehackt hat, der die MD5-Summen auf Ihrer Maschine erstellt. Dies ist, nun ja, extrem schwer und sehr unwahrscheinlich. Sie sollten diese Überprüfung Ihrer Programme als sehr wichtig ansehen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2407
msgid "Common tools used for this are <package>sxid</package>, <package>aide</package> (Advanced Intrusion Detection Environment), <package>tripwire</package>, <package>integrit</package> and <package>samhain</package>. Installing <prgn>debsums</prgn> will also help you to check the file system integrity, by comparing the md5sums of every file against the md5sums used in the Debian package archive. But beware: those files can easily be changed by an attacker and not all packages provide md5sums listings for the binaries they provided. For more information please read <ref id=\"periodic-integrity\"> and <ref id=\"snapshot\">."
msgstr "Weit verbreitete Werkzeuge hierfür sind <package>sxid</package>, <package>aide</package> (Advanced Intrusion Detection Environment, fortgeschrittene Umgebung zur Erkennung von Eindringlingen), <package>tripwire</package>, <package>integrit</package> und <package>samhain</package>. Das Installieren von <prgn>debsums</prgn> wird Ihnen helfen, die Integrität des Dateisystems zu überprüfen, indem Sie die MD5-Summen jeder Datei gegen die MD5-Summe aus dem Debian-Archiv-Paket vergleichen. Seien Sie aber gewarnt, dass diese Dateien sehr leicht von einem Angreifer geändert werden können. Außerdem stellen nicht alle Pakete MD5-Summen für die in ihnen enthaltenen Programme zur Verfügung. Weitere Informationen finden Sie unter <ref id=\"periodic-integrity\"> und <ref id=\"snapshot\">."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2426
msgid "You might want to use <prgn>locate</prgn> to index the whole filesystem, if so, consider the implications of that. The Debian <package>findutils</package> package contains <prgn>locate</prgn> which runs as user nobody, and so it only indexes files which are visible to everybody. However, if you change it's behaviour you will make all file locations visible to all users. If you want to index all the filesystem (not the bits that the user nobody can see) you can replace <prgn>locate</prgn> with the package <package>slocate</package>. slocate is labeled as a security enhanced version of GNU locate, but it actually provides additional file-locating functionality. When using <prgn>slocate</prgn>, the user only sees the files he really has access to and you can exclude any files or directories on the system. The <package>slocate</package> package runs its update process with higher privledges than locate, and indexes every file. Users are then able to quickly search for every file which they are able to see. <prgn>slocate</prgn> doesn't let them see new files; it filters the output based on your UID."
msgstr "Sie benutzen vielleicht <prgn>locate</prgn>, um das gesamte Dateisystem zu indizieren. Wenn das so ist, sollten Sie die Auswirkungen davon berücksichtigen. Das Debianpaket <package>findutils</package> enthält <prgn>locate</prgn>, das als Benutzer nobody läuft. Daher indiziert es nur Dateien, die von jedermann eingesehen werden können. Wenn Sie dieses Verhalten verändern, werden allerdings alle Orte von Dateien für alle Benutzer sichtbar. Wenn Sie das gesamte Dateisystem indizieren wollen (und nicht nur die Stückchen, die der Benutzer nobody sehen kann), können Sie <prgn>locate</prgn> durch das Paket <package>slocate</package> ersetzen. slocate wird als eine um Sicherheit erweiterte Version von GNU locate bezeichnet, hat aber tatsächlich weitere Funktionen zum Auffinden von Dateien. Wenn Sie <prgn>slocate</prgn> benutzen, sieht ein Benutzer nur Dateien, auf die er auch Zugriff hat, während Sie Dateien und Verzeichnisse des gesamten Systems ausschließen können. Das Paket <package>slocate</package> führt seinen Aktualisierungsprozess mit höheren Rechten aus als locate. Außerdem indiziert es jede Datei. Benutzern wird es dadurch ermöglicht, schnell nach jeder Datei zu suchen, die sie sehen können. <prgn>slocate</prgn> zeigt ihnen keine neuen Dateien an; es filtert die Ausgabe auf Grundlage der UID."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2434
msgid "You might want to use <package>bsign</package> or <package>elfsign</package>. <package>elfsign</package> provides an utility to add a digital signature to an ELF binary and a second utility to verify that signature. The current implementation uses PKI to sign the checksum of the binary. The benefits of doing this are that it enables one to determine if a binary has been modified and who created it. <package>bsign</package> uses GPG, <package>elfsign</package> uses PKI (X.509) certificates (OpenSSL)."
msgstr "Sie sollten auch <package>bsign</package> oder <package>elfsign</package> einsetzen. <package>elfsign</package> bietet die Möglichkeit, digitale Signaturen an ELF-Binaries anzufügen und diese Signaturen zu überprüfen. Die aktuelle Fassung verwendet PKI, um die Checksummen der Binaries zu signieren. Dies hat den Vorteil, dass festgestellt werden kann, ob das Binary verändert wurde und wer es erstellt hat. <package>bsign</package> verwendet GPG, <package>elfsign</package> benutzt PKI-(X.509)-Zertifikate (OpenSSL)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2436
msgid "Setting up setuid check"
msgstr "Aufsetzen einer Überprüfung von setuid"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2446
msgid "The Debian <package>checksecurity</package> package provides a <prgn>cron</prgn> job that runs daily in <file>/etc/cron.daily/checksecurity</file> <footnote><p>In previous releases, checksecurity was integrated into cron and the file was <file>/etc/cron.daily/standard</file></p></footnote>. This <prgn>cron</prgn> job will run the <prgn>/usr/sbin/checksecurity</prgn> script that will store information of this changes."
msgstr "Das Debian-Paket <package>checksecurity</package> enthält einen <prgn>Cron</prgn>-Job, der täglich in <file>/etc/cron.daily/checksecurity</file> ausgeführt wird. <footnote> In älteren Veröffentlichungen war checksecurity in cron integriert und die Datei hieß <file>/etc/cron.daily/standard</file>. </footnote>. Dieser <prgn>Cron</prgn>-Job führt das Skript <prgn>/usr/sbin/checksecurity</prgn> aus, das Informationen über Änderungen sichert."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2453
msgid "The default behavior does not send this information to the superuser but, instead keeps daily copies of the changes in <file>/var/log/setuid.changes</file>. You should set the MAILTO variable (in <file>/etc/checksecurity.conf</file>) to 'root' to have this information mailed to him. See <manref name=\"checksecurity\" section=\"8\"> for more configuration info."
msgstr "Das Standardverhalten sendet diese Informationen nicht an den Superuser. Stattdessen erstellt es eine tägliche Kopie dieser Änderungen unter <file>/var/log/setuid.changes</file>. Sie sollten die Variable MAILTO (in <file>/etc/checksecurity.conf</file>) auf »root« setzen, damit diese Informationen an ihn gemailt werden. Sehen Sie sich auch <manref name=\"checksecurity\" section=\"8\"> für weitere Konfigurations-Informationen an."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2455
msgid "Securing network access"
msgstr "Absicherung des Netzwerkzugangs"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2457
msgid "FIXME: More (Debian-specific) content needed."
msgstr "FIXME: mehr (für Debian spezifischer) Inhalt benötigt"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2459
msgid "Configuring kernel network features"
msgstr "Konfiguration der Netzwerkfähigkeiten des Kernels"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2470
msgid "Many features of the kernel can be modified while running by echoing something into the <file>/proc</file> file system or by using <prgn>sysctl</prgn>. By entering <tt>/sbin/sysctl -A</tt> you can see what you can configure and what the options are, and it can be modified running <tt>/sbin/sysctl -w variable=value</tt> (see <manref name=\"sysctl\" section=\"8\">). Only in rare cases do you need to edit something here, but you can increase security that way as well. For example:"
msgstr "Viele Fähigkeiten des Kernels können während des Betriebs verändert werden, indem etwas an das <file>/proc</file>-Dateisystem geschickt wird, oder indem <prgn>sysctl</prgn> benutzt wird. Wenn Sie <tt>/sbin/sysctl -A</tt> eingeben, können Sie sehen, was Sie einstellen können und welches die Optionen sind. Veränderungen werden vorgenommen, indem <tt>/sbin/sysctl -w variable=value</tt> ausgeführt wird (vergleiche <manref section=\"8\" name=\"sysctl\">). Nur in seltenen Fällen müssen Sie hier etwas bearbeiten. Aber auch hier können Sie die Sicherheit erhöhen. Zum Beispiel:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2472
#, no-wrap
msgid "net/ipv4/icmp_echo_ignore_broadcasts = 1"
msgstr "net/ipv4/icmp_echo_ignore_broadcasts = 1"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2479
msgid "This is a <em>Windows emulator</em> because it acts like Windows on broadcast ping if this option is set to 1. That is, ICMP echo requests sent to the broadcast address will be ignored. Otherwise, it does nothing."
msgstr "Dies ist ein <em>Windows-Emulator</em>, weil es sich wie Windows bei Rundrufen (Broadcast-Ping) verhält, wenn es auf 1 gesetzt wird. Das bedeutet, dass ICMP-Echo-Anfragen, die an die Rundrufadresse geschickt werden, ignoriert werden. Anderenfalls macht es gar nichts."
Reply to: