Re: [RFR] Securing Debian Manual de.po (Teil 7)
Hallo zusammen
hier der siebte Teil zum Korrekturlesen ("Nach der Installation 1").
Ciao,
Simon
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:5
msgid "After installation"
msgstr "Nach der Installation"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:12
msgid "Once the system is installed you can still do more to secure the
system; some of the steps described in this chapter can be taken. Of
course this really depends on your setup but for physical access
prevention you should read <ref id=\"bios-boot\">,<ref
id=\"lilo-passwd\">,<ref id=\"kernel-root-prompt\">, <ref
id=\"restrict-console-login\">, and <ref id=\"restrict-reboots\">."
msgstr "Wenn das System installiert ist, können Sie es noch weiter
absichern, indem Sie einige der in diesem Kapitel beschriebenen Schritte
ausführen. Natürlich hängt dies vor allem von Ihrem Setup ab, aber um
physischen Zugriff zu verhindern, sollten Sie <ref id=\"bios-boot\">,
<ref id=\"lilo-passwd\">, <ref id=\"kernel-root-prompt\">, <ref
id=\"restrict-console-login\"> und <ref id=\"restrict-reboots\"> lesen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:17
msgid "Before connecting to any network, especially if it's a public one
you should, at the very least, execute a security update (see <ref
id=\"security-update\">). Optionally, you could take a snapshot of your
system (see <ref id=\"snapshot\">)."
msgstr "Bevor Sie sich mit einem Netzwerk verbinden, insbesondere wenn
es sich um ein öffentliches Netzwerk handelt, sollten Sie wenigstens
eine Sicherheitsaktualisierung (siehe <ref id=\"security-update\">)
durchführen. Daneben können Sie auch einen Schnappschuss Ihres Systems
machen (siehe <ref id=\"snapshot\">)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:19
msgid "Subscribe to the Debian Security Announce mailing list"
msgstr "Abonnement der Security-Announce-Mailingliste von Debian"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:26
msgid "In order to receive information on available security updates you
should subscribe yourself to the debian-security-announce mailing list
in order to receive the Debian Security Advisories (DSAs). See <ref
id=\"debian-sec-team\"> for more information on how the Debian security
team works. For information on how to subscribe to the Debian mailing
lists read <url id=\"http://lists.debian.org\";>."
msgstr "Um Informationen zu verfügbaren Sicherheitsaktualisierungen und
die Debian-Sicherheits-Ankündigungen (DSA) zu erhalten, sollten Sie
Debians Security-Announce-Mailingliste abonnieren. Lesen Sie <ref
id=\"debian-sec-team\"> für weitere Informationen, wie das
Sicherheitsteam von Debian arbeitet. Hinweise, wie man die Mailinglisten
von Debian abonniert, finden Sie unter <url
id=\"http://lists.debian.org\";>."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:29
msgid "DSAs are signed with the Debian Security Team's signature which
can be retrieved from <url id=\"http://security.debian.org\";>."
msgstr "DSAs werden mit der Signatur des Sicherheitsteams von Debian
unterschrieben, die unter <url id=\"http://security.debian.org\";>
erhältlich ist."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:37
msgid "You should consider, also, subscribing to the <url
id=\"http://lists.debian.org/debian-security\"; name=\"debian-security
mailing list\"> for general discussion on security issues in the Debian
operating system. You will be able to contact other fellow system
administrators in the list as well as Debian developers and upstream
developers of security tools who can answer your questions and offer
advice."
msgstr "Sie sollten in Betracht ziehen, auch die <url
id=\"http://lists.debian.org/debian-security\"; name=\"Mailingliste
debian-security\"> zu abonnieren. Dort finden allgemeine Diskussionen zu
Sicherheitsthemen im Betriebssystem Debian statt. Sie können auf der
Liste sowohl mit gleichgesinnten Systemadministratoren als auch mit
Entwicklern von Debian und Programmautoren in Kontakt treten. Diese
werden Ihre Fragen beantworten und Ihnen Ratschläge geben."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:39
msgid "FIXME: Add the key here too?"
msgstr "FIXME: Add the key here too?"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:41
msgid "Execute a security update"
msgstr "Ausführen von Sicherheitsaktualisierungen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:46
msgid "As soon as new security bugs are detected in packages, Debian
maintainers and upstream authors generally patch them within days or
even hours. After the bug is fixed, a new package is provided on <url
id=\"http://security.debian.org\"; name=\"http://security.debian.org\";>."
msgstr "Sobald neue Sicherheitslöcher in einem Paket entdeckt wurden,
reparieren sie Debians Paketbetreuer und Originalautoren im Allgemeinen
innerhalb von Tagen oder sogar Stunden. Nachdem das Loch gestopft wurde,
werden neue Pakete unter <url name=\"http://security.debian.org\";
id=\"http://security.debian.org\";> bereit gestellt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:52
msgid "If you are installing a Debian release you must take into account
that since the release was made there might have been security updates
after it has been determined that a given package is vulnerable. Also,
there might have been minor releases (there have been four for the
Debian 3.0 <em>sarge</em> release) which include these package updates."
msgstr "Wenn Sie eine Debian-Veröffentlichung installieren, müssen Sie
berücksichtigen, dass es seit der Veröffentlichung
Sicherheitsaktualisierungen gegeben haben könnte, nachdem entdeckt
wurde, dass ein bestimmtes Paket verwundbar ist. Ebenso könnte es
kleinere Veröffentlichungen gegeben haben. Es gab vier kleinere
Veröffentlichungen von Debian 3.1 <em>Sarge</em>, die diese
Paketaktualisierungen enthalten."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:58
msgid "During installation security updates are configured for your
system and pending updates downloaded and applied, unless you
specifically opt out of this or the system was not connected to the
Internet. The updates are applied even before the first boot, so the new
system starts its life as up to date as possible."
msgstr "Während der Installation werden Sicherheitsaktualisierungen für
Ihr System eingerichtet, offene Sicherheitsaktualisierungen
heruntergeladen und Ihrem System hinzugefügt, sofern Sie sich nicht
explizit dagegen entscheiden oder keine Internetverbindung besteht. Die
Aktualisierungen werden noch vor dem ersten Systemstart eingespielt,
damit das neue System sein Leben so aktuell wie möglich beginnt."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:63
msgid "To manually update the system, put the following line in your
<file>sources.list</file> and you will get security updates
automatically, whenever you update your system. Replace
<em>[CODENAME]</em> with the release codename, e.g. <em>squeeze</em>."
msgstr "Um Ihr System manuell zu aktualisieren, fügen Sie die folgende
Zeile in Ihre <file>/etc/apt/sources.list</file> ein. So werden Sie
Sicherheitsaktualisierungen automatisch erhalten, wann immer Sie Ihr
System aktualisieren. Ersetzen Sie <em>[CODENAME]</em> mit dem Namen der
Veröffentlichung, z.B. mit <em>squeeze</em>."
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:65
#, no-wrap
msgid " deb http://security.debian.org/ [CODENAME]/updates main contrib
non-free"
msgstr " deb http://security.debian.org/ [CODENAME]/updates main
contrib non-free"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:70
msgid "<em>Note</em>: If you are using the <em>testing</em> branch use
the security testing mirror sources as described in <ref
id=\"security-support-testing\">."
msgstr "<em>Hinweis:</em> Falls Sie den <em>Testing</em>-Zweig
einsetzen, sollten Sie die Sicherheitsspiegel für Testing verwenden. Das
wird unter <ref id=\"security-support-testing\"> beschrieben."
#. type: <p><list>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:83
msgid "Once you've done this you can use multiple tools to upgrade your
system. If you are running a desktop system you will have<footnote><p>In
<em>Etch</em> and later releases</p></footnote> an application called
<prgn>update-notifier</prgn> that will make it easy to check if new
updates are available, by selecting it you can make a system upgrade
from the desktop (using <prgn>update-manager</prgn>). For more
information see <ref id=\"update-desktop\">. In desktop environments you
can also use <package>synaptic</package> (GNOME),
<package>kpackage</package> or <package>adept</package> (KDE) for more
advanced interfaces. If you are running a text-only terminal you can use
<package>aptitude</package>, <package>apt</package> or
<package>dselect</package> (deprecated) to upgrade:"
msgstr "Wenn Sie dies erledigt haben, stehen Ihnen zahlreiche Werkzeuge
zur Verfügung, mit denen Sie Ihr System aktualisieren können. Wenn Sie
ein Desktop-System einsetzen, können Sie eine Anwendung mit dem Namen
<prgn>Update-notifier</prgn> verwenden<footnote>Ab <em>Etch</em> und den
folgenden Veröffentlichungen.</footnote>, mit der Sie leicht prüfen
können, ob neue Aktualisierungen verfügbar sind. Damit können Sie Ihr
System auch über den Desktop auf den neusten Stand bringen (mit
<prgn>update-manager</prgn>). Weitere Informationen finden Sie unter
<ref id=\"update-desktop\">. Für den Desktop können Sie auch
<package>Synaptic</package> (GNOME), <package>Kpackage</package> oder
<package>Adept</package> (KDE) einsetzen, die einen größeren
Funktionsumfang aufweisen. Wenn Sie auf einem textbasierten Terminal
arbeiten, stehen Ihnen <package>Aptitude</package>,
<package>Apt</package> und <package>Dselect</package>, wobei letzteres
veraltet ist, zur Verfügung:"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:87
msgid "If you want to use <package>aptitude</package>'s text interface
you just have to press <em>u</em> (update) followed by <em>g</em> (to
upgrade). Or just do the following from the command line (as root):"
msgstr "Falls Sie die textbasierte Oberfläche von
<package>Aptitude</package> verwenden wollen, müssen Sie zunächst
<em>u</em> (für Update) und dann <em>g</em> (für Upgrade) eingeben. Oder
Sie führen auf der Befehlszeile Folgendes als Root aus:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:90
#, no-wrap
msgid ""
"# aptitude update\n"
"# aptitude upgrade"
msgstr ""
"# aptitude update\n"
"# aptitude upgrade"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:95
msgid "If you want to use <package>apt</package> do just like with
aptitude but substitute the <prgn>aptitude</prgn> lines above with
<prgn>apt-get</prgn>."
msgstr "Falls Sie <package>Apt</package> einsetzen möchten, müssen Sie
obige Zeilen von <prgn>Aptitude</prgn> nur mit <prgn>apt-get</prgn>
ersetzen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:97
msgid "If you want to use <package>dselect</package> then first
[U]pdate, then [I]nstall and finally, [C]onfigure the installed/upgraded
packages."
msgstr "Falls Sie <package>dselect</package> verwenden wollen, müssen
Sie zuerst aktualisieren ([U] für Update), dann installieren ([I] für
Install) und schließlich die installieren/aktualisierten Pakete
konfigurieren ([C] für Configure)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:103
msgid "If you like, you can add the deb-src lines to
<file>/etc/apt/sources.list</file> as well. See <manref name=\"apt\"
section=\"8\"> for further details."
msgstr "Wenn Sie möchten, können Sie der Datei
<file>/etc/apt/sources.list</file> die Zeilen mit deb-src hinzufügen.
Weitere Details finden Sie unter <manref name=\"apt\" section=\"8\">."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:105
msgid "Security update of libraries"
msgstr "Sicherheitsaktualisierungen für Bibliotheken"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:115
msgid "Once you have executed a security update you might need to
restart some of the system services. If you do not do this, some
services might still be vulnerable after a security upgrade. The reason
for this is that daemons that are running before an upgrade might still
be using the old libraries before the upgrade <footnote><p>Even though
the libraries have been removed from the filesystem the inodes will not
be cleared up until no program has an open file descriptor pointing to
them.</p></footnote>. In order to detect which daemons might need to be
restarted you can use the <prgn>checkrestart</prgn> program (available
in the <package>debian-goodies</package> package) or use this one
liner<footnote><p>Depending on your lsof version you might need to use
$8 instead of $9</p></footnote> (as root):"
msgstr "Wenn Sie eine Sicherheitsaktualisierung durchgeführt haben,
müssen Sie gegebenenfalls einige Dienste des Systems neu starten. Wenn
Sie das nicht tun, könnten Dienste auch nach der
Sicherheitsaktualisierung immer noch verwundbar sein. Das liegt daran,
dass Daemonen, die schon vor einem Upgrade liefen, immer noch die alten
Bibliotheken vor dem Upgrade verwenden könnten.<footnote> Selbst wenn
die Bibliotheken aus dem Dateisystem entfernt wurden, werden die Inodes
nicht beseitigt, bis kein Programm mehr einen offenen Dateideskriptor
mit Verweis auf sie hat.</footnote> Um herauszufinden, welche Daemonen
neu gestartet werden müssen, können Sie das Programm
<prgn>Checkrestart</prgn> (ist im Paket
<package>debian-goodies</package> enthalten) oder diesen Einzeiler (als
Root) verwenden:<footnote>Je nach der Version von lsof müssen Sie $8
statt $9 verwenden.</footnote>"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:117
#, no-wrap
msgid "# lsof | grep <the_upgraded_library> | awk '{print $1, $9}'
| uniq | sort -k 1"
msgstr "# lsof | grep <the_upgraded_library> | awk '{print $1,
$9}' | uniq | sort -k 1"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:125
msgid "Some packages (like <package>libc6</package>) will do this check
in the postinst phase for a limited set of services specially since an
upgrade of essential libraries might break some applications (until
restarted)<footnote><p>This happened, for example, in the upgrade from
libc6 2.2.x to 2.3.x due to NSS authentication issues, see <url
id=\"http://lists.debian.org/debian-glibc/2003/debian-glibc-200303/msg00276.html\";>.</p></footnote>."
msgstr "Einige Pakete (wie <package>libc6</package>) werden diesen Test
in der Postinst-Phase für eine begrenzte Anzahl von Diensten
durchführen, da ein Upgrade von notwendigen Bibliotheken einige
Anwendungen unbrauchbar machen kann, wenn sie nicht neu gestartet werden
<footnote>Das passierte z.B. beim Upgrade von libc6 2.2.x zu 2.3.x wegen
Problemen mit der NSS-Authentifizierung, siehe <url
id=\"http://lists.debian.org/debian-glibc/2003/debian-glibc-200303/msg00276.html\";>.
</footnote>."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:130
msgid "Bringing the system to run level 1 (single user) and then back to
run level 3 (multi user) should take care of the restart of most (if not
all) system services. But this is not an option if you are executing the
security upgrade from a remote connection (like ssh) since it will be
severed."
msgstr "Indem das System auf Runlevel 1 (Single User) und dann zurück
auf Runlevel 3 (Multi User) gebracht wird, sollten die meisten (wenn
nicht alle) Systemdienste neu gestartet werden. Dies ist aber keine
Möglichkeit, wenn Sie die Sicherheitsaktualisierung über eine entfernte
Verbindung (z.B. mit Ssh) vornehmen, da diese getrennt werden würde."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:136
msgid "Excercise caution when dealing with security upgrades if you are
doing them over a remote connection like ssh. A suggested procedure for
a security upgrade that involves a service restart is to restart the SSH
daemon and then, inmediately, attempt a new ssh connection without
breaking the previous one. If the connection fails, revert the upgrade
and investigate the issue."
msgstr "Lassen Sie Vorsicht walten, wenn Sie es mit
Sicherheitsaktualisierungen über eine entfernte Verbindung wie mit ssh
zu tun haben. Die empfohlene Vorgehensweise für
Sicherheitsaktualisierungen, die Dienste betreffen, ist, den SSH-Daemon
neu zu starten und sofort zu versuchen, eine neue SSH-Verbindung
herzustellen, ohne die alten zu beenden. Falls der Verbindungsversuch
scheitern sollte, machen Sie die Aktualisierung rückgängig und
untersuchen Sie das Problem."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:139
msgid "Security update of the kernel"
msgstr "Sicherheitsaktualisierung des Kernels"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:145
msgid "First, make sure your kernel is being managed through the
packaging system. If you have installed using the installation system
from Debian 3.0 or previous releases, your kernel is <em>not</em>
integrated into the packaging system and might be out of date. You can
easily confirm this by running:"
msgstr "Stellen Sie zunächst sicher, dass Ihr Kernel durch das
Paketsystem verwaltet wird. Wenn Sie die Installation mit dem
Installationssystem von Debian 3.0 oder früher durchgeführt haben, ist
Ihr Kernel <em>nicht</em> in das Paketsystem integriert und könnte
veraltet sein. Sie können das leicht überprüfen, indem Sie Folgendes
ausführen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:148
#, no-wrap
msgid ""
"$ dpkg -S `readlink -f /vmlinuz`\n"
"linux-image-2.6.18-4-686: /boot/vmlinuz-2.6.18-4-686"
msgstr ""
"$ dpkg -S `readlink -f /vmlinuz`\n"
"linux-image-2.6.18-4-686: /boot/vmlinuz-2.6.18-4-686"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:168
msgid "If your kernel is not being managed you will see a message saying
that the package manager did not find the file associated to any package
instead of the message above, which says that the file associated to the
current running kernel is being provided by the
<package>linux-image-2.6.18-4-686</package>. So first, you will need to
manually install a kernel image package. The exact kernel image you need
to install depends on your architecture and your prefered kernel
version. Once this is done, you will be able to manage the security
updates of the kernel just like those of any other package. In any case,
notice that the kernel updates will <em>only</em> be done for kernel
updates of the same kernel version you are using, that is,
<prgn>apt</prgn> will not automatically upgrade your kernel from the 2.4
release to the 2.6 release (or from the 2.4.26 release to the 2.4.27
release<footnote><p>Unless you have installed a kernel metapackage like
<package>linux-image-2.6-686</package> which will always pull in the
latest kernel minor revision for a kernel release and a given
architecture.</p></footnote>)."
msgstr "Wenn Ihr Kernel nicht vom Paketsystem verwaltet wird, werden Sie
anstatt der obigen Nachricht die Rückmeldung bekommen, dass das
Paketverwaltungsprogramm kein Paket finden konnte, das mit der Datei
verbunden ist. Die obige Meldung besagt, dass die Datei, die mit dem
laufenden Kernel verbunden ist, vom Paket
<package>linux-image-2.6.18-4-686</package> zur Verfügung gestellt wird.
Sie müssen also zuerst ein Paket mit einem Kernel-Image von Hand
installieren. Das genaue Kernel-Image, das Sie installieren sollten,
hängt von Ihrer Architektur und Ihrer bevorzugten Kernelversion ab. Wenn
Sie das einmal erledigt haben, können Sie die
Sicherheitsaktualisierungen des Kernels wie die jedes anderen Pakets
durchführen. Beachten Sie allerdings, dass Kernelaktualisierungen
<em>nur</em> für Aktualisierungen der gleichen Kernelversion wie der
Ihrigen durchgeführt werden. D.h. <prgn>apt</prgn> wird nicht
automatisch Ihren Kernel von 2.4 auf 2.6 aktualisieren (oder von 2.4.26
auf 2.4.27 <footnote>Es sei denn, Sie haben ein Kernel-Metapaket wie
<package>linux-image-2.6-686</package> installiert, welches immer die
neueste Minor-Version des Kernels einer Architektur installieren wird.
</footnote>)."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:172
msgid "The installation system of recent Debian releases will handle the
selected kernel as part of the package system. You can review which
kernels you have installed by running:"
msgstr "Das Installationssystem von aktuellen Debian-Veröffentlichungen
wird den gewählten Kernel als Teil des Paketsystems behandeln. So können
Sie überprüfen, welche Kernel Sie installiert haben:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:174
#, no-wrap
msgid "$ COLUMNS=150 dpkg -l 'linux-image*' | awk '$1 ~ /ii/ { print $0 }'"
msgstr "$ COLUMNS=150 dpkg -l 'linux-image*' | awk '$1 ~ /ii/ { print $0 }'"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:178
msgid "To see if your kernel needs to be updated run:"
msgstr "Um festzustellen, ob Ihr Kernel aktualisiert werden muss, führen
Sie Folgendes aus:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:188
#, no-wrap
msgid ""
"$ kernfile=`readlink -f /vmlinuz`\n"
"$ kernel=`dpkg -S $kernfile | awk -F : '{print $1}'`\n"
"$ apt-cache policy $kernel\n"
"linux-image-2.6.18-4-686:\n"
" Installed: 2.6.18.dfsg.1-12\n"
" Candidate: 2.6.18.dfsg.1-12\n"
" Version table:\n"
" *** 2.6.18.dfsg.1-12 0\n"
" 100 /var/lib/dpkg/status"
msgstr ""
"$ kernfile=`readlink -f /vmlinuz`\n"
"$ kernel=`dpkg -S $kernfile | awk -F : '{print $1}'`\n"
"$ apt-cache policy $kernel\n"
"linux-image-2.6.18-4-686:\n"
" Installiert: 2.6.18.dfsg.1-12\n"
" Installationskandidat: 2.6.18.dfsg.1-12\n"
" Versionstabelle:\n"
" *** 2.6.18.dfsg.1-12 0\n"
" 100 /var/lib/dpkg/status"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:198
msgid "If you are doing a security update which includes the kernel
image you <em>need</em> to reboot the system in order for the security
update to be useful. Otherwise, you will still be running the old (and
vulnerable) kernel image."
msgstr "Wenn Sie eine Sicherheitsaktualisierung durchführen, die auch
das Kernel-Image umfasst, <em>müssen</em> Sie das System neu starten,
damit die Sicherheitsaktualisierung Wirkung zeigen kann. Anderenfalls
lassen Sie immer noch das alte (und verwundbare) Kernel-Image laufen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:222
msgid "If you need to do a system reboot (because of a kernel upgrade)
you should make sure that the kernel will boot up correctly and network
connectivity will be restored, specially if the security upgrade is done
over a remote connection like ssh. For the former you can configure your
boot loader to reboot to the original kernel in the event of a failure
(for more detailed information read <url
id=\"http://www.debian-administration.org/?article=70\"; name=\"Remotely
rebooting Debian GNU/Linux machines\">). For the latter you have to
introduce a network connectivity test script that will check if the
kernel has started up the network subsystem properly and reboot the
system if it did not<footnote><p>A sample script called <url
id=\"http://www.debian-administration.org/articles/70/testnet\";
name=\"testnet\"> is available in the <url
id=\"http://www.debian-administration.org/?article=70\"; name=\"Remotely
rebooting Debian GNU/Linux machines\"> article. A more elaborate network
connectivity testing script is available in the <url
id=\"http://www.debian-administration.org/?article=128\"; name=\"Testing
network connectivity\"> article.</p></footnote>. This should prevent
nasty surprises like updating the kernel and then realizing, after a
reboot, that it did not detect or configure the network hardware
properly and you need to travel a long distance to bring the system up
again. Of course, having the system serial console <footnote><p>Setting
up a serial console is beyond the scope of this document, for more
information read the <url
id=\"http://www.tldp.org/HOWTO/Serial-HOWTO.html\"; name=\"Serial
HOWTO\"> and the <url
id=\"http://www.tldp.org/HOWTO/Remote-Serial-Console-HOWTO/index.html\";
name=\"Remote Serial Console HOWTO\">.</p></footnote> in the system
connected to a console or terminal server should also help debug reboot
issues remotely."
msgstr "Wenn Sie das System neu starten müssen (wegen eines
Kernel-Upgrades), sollten Sie sicherstellen, dass der Kernel fehlerfrei
booten wird und die Netzwerkverbindungen hergestellt werden, besonders
wenn die Sicherheitsaktualisierung über eine entfernte Verbindung wie
mit ssh durchgeführt wird. Für den ersten Fall können Sie Ihren
Boot-Loader so konfigurieren, dass er den Originalkernel lädt, wenn ein
Fehler auftritt (für weiterführende Informationen sollten Sie <url
id=\"http://www.debian-administration.org/?article=70\"; name=\"Remotely
rebooting Debian GNU/Linux machines\"> lesen). Im zweiten Fall müssen
Sie ein Skript verwenden, das die Netzwerkverbindungen testen kann und
überprüft, ob der Kernel das Netzwerksystem korrekt gestartet hat, und,
wenn das nicht geschehen ist, das System neu startet <footnote> Ein
Beispielskript mit dem Namen <url
id=\"http://www.debian-administration.org/articles/70/testnet\";
name=\"testnet\"> ist im Artikel <url
id=\"http://www.debian-administration.org/?article=70\"; name=\"Remotely
rebooting Debian GNU/Linux machines\"> enthalten. Ein ausgereifteres
Testskript befindet sich im Artikel <url
id=\"http://www.debian-administration.org/?article=128\"; name=\"Testing
network connectivity\">.</footnote>. Dies sollte böse Überraschungen
verhindern, wie wenn man den Kernel aktualisiert und dann nach einem
Reboot merkt, dass die Netzwerkhardware nicht richtig erkannt oder
konfiguriert wurde, und man daher eine weite Strecke reisen muss, um das
System wieder zum Laufen zu bringen. Natürlich hilft es beim Debuggen
von Reboot-Problemen aus der Ferne, wenn die serielle Konsole des
Systems <footnote>Das Einrichten einer seriellen Konsole würde den
Rahmen dieses Dokuments sprengen. Informationen dazu finden Sie im <url
id=\"http://www.tldp.org/HOWTO/Serial-HOWTO.html\"; name=\"Serial
HOWTO\"> und im <url
id=\"http://www.tldp.org/HOWTO/Remote-Serial-Console-HOWTO/index.html\";
name=\"Remote Serial Console HOWTO\">. </footnote> mit einem Konsolen-
oder Terminalserver verbunden ist."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:228
msgid "Change the BIOS (again)"
msgstr "Änderungen im BIOS (noch einmal)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:235
msgid "Remember <ref id=\"bios-passwd\">? Well, then you should now,
once you do not need to boot from removable media, to change the default
BIOS setup so that it <em>only</em> boots from the hard drive. Make sure
you will not lose the BIOS password, otherwise, in the event of a hard
disk failure you will not be able to return to the BIOS and change the
setup so you can recover it using, for example, a CD-ROM."
msgstr "Erinnern Sie sich an <ref id=\"bios-passwd\">? Nun, jetzt
sollten Sie, nachdem Sie nicht mehr von austauschbaren Datenträgern
booten müssen, die Standard-BIOS-Einstellung umändern, so dass das
System <em>ausschließlich</em> von der Festplatte bootet. Gehen Sie
sicher, dass Sie Ihr BIOS-Passwort nicht verlieren, oder Sie werden
nicht mehr ins BIOS zurückkehren können, um die Einstellung wieder zu
ändern, damit Sie im Falle eines Festplattenfehlers Ihr System
wiederherstellen können, indem Sie zum Beispiel eine CD-ROM benutzen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:240
msgid "Another less secure but more convenient way is to change the
setup to have the system boot up from the hard disk and, if it fails,
try removable media. By the way, this is often done because most people
don't use the BIOS password that often; it's easily forgotten."
msgstr "Eine andere, weniger sichere, aber bequemere Möglichkeit ist es,
das BIOS so einzustellen, dass es von der Festplatte bootet, und nur
falls dies fehlschlägt zu versuchen, von austauschbaren Datenträgern zu
booten. Übrigens wird dies oft so gemacht, weil viele Leute ihr
BIOS-Passwort nur selten benutzen, so dass sie es leicht vergessen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:241
msgid "Set a LILO or GRUB password"
msgstr "Ein Passwort für LILO oder GRUB einstellen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:248
msgid "Anybody can easily get a root-shell and change your passwords by
entering <tt><name-of-your-bootimage> init=/bin/sh</tt> at the
boot prompt. After changing the passwords and rebooting the system, the
person has unlimited root-access and can do anything he/she wants to the
system. After this procedure you will not have root access to your
system, as you do not know the root password."
msgstr "Jeder kann sehr einfach eine Root-Shell auf Ihrem System
bekommen, indem er einfach <tt><Name-Ihres-Bootimages>
init=/bin/sh</tt> am Bootprompt eingibt. Nachdem die Passwörter geändert
und das System neu gestartet wurde, hat die Person uneingeschränkten
Root-Zugang und kann nach Belieben alles auf Ihrem System machen. Nach
dieser Prozedur haben Sie keinen Root-Zugang mehr zu Ihrem System, weil
Sie das Root-Passwort nicht kennen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:252
msgid "To make sure that this cannot happen, you should set a password
for the boot loader. You can choose between a global password or a
password for a certain image."
msgstr "Um sicher zu stellen, dass dies nicht passieren kann, sollten
Sie den Boot-Loader mit einem Passwort schützen. Sie können zwischen
einem globalen Passwort und Passwörtern für bestimmte Images wählen."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:256
msgid "For LILO you need to edit the config file
<file>/etc/lilo.conf</file> and add a <tt>password</tt> and
<tt>restricted</tt> line as in the example below."
msgstr "Für LILO müssen Sie die Konfigurationsdatei
<file>/etc/lilo.conf</file> editieren und eine <tt>password</tt> und
<tt>restricted</tt> Zeile, wie im folgenden Beispiel, einfügen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:262
#, no-wrap
msgid ""
" image=/boot/2.2.14-vmlinuz\n"
" label=Linux\n"
" read-only\n"
" password=hackme\n"
" restricted"
msgstr ""
" image=/boot/2.2.14-vmlinuz\n"
" label=Linux\n"
" read-only\n"
" password=hackmich\n"
" restricted"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:272
msgid "Then, make sure that the configuration file is not world readable
to prevent local users from reading the password. When done, rerun lilo.
Omitting the <tt>restricted</tt> line causes lilo to always prompt for a
password, regardless of whether LILO was passed parameters. The default
permissions for <file>/etc/lilo.conf</file> grant read and write
permissions to root, and enable read-only access for
<file>lilo.conf</file>'s group, root."
msgstr "Stellen Sie danach sicher, dass die Konfigurationsdatei nicht
für alle lesbar ist, um zu verhindern, dass lokale Benutzer das Passwort
lesen können. Haben Sie dies getan, rufen Sie lilo auf. Wenn Sie die
<tt>restricted</tt>-Zeile weglassen, wird lilo immer nach dem Passwort
fragen, egal ob LILO Parameter übergeben wurden oder nicht. Die
Standard-Zugriffsrechte auf <file>/etc/lilo.conf</file> erlauben Root
das Lesen und Schreiben, und der Gruppe von lilo.conf, ebenfalls Root,
das Lesen."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:279
msgid "If you use GRUB instead of LILO, edit
<file>/boot/grub/menu.lst</file> and add the following two lines at the
top (substituting, of course <tt>hackme</tt> with the desired password).
This prevents users from editing the boot items. <tt>timeout 3</tt>
specifies a 3 second delay before <prgn>grub</prgn> boots the default item."
msgstr "Wenn Sie GRUB anstelle von LILO verwenden, editieren Sie
<file>/boot/grub/menu.lst</file> und fügen die folgenden zwei Zeilen am
Anfang an (dabei ersetzen Sie natürlich <tt>hackmich</tt> mit dem
vorgesehenen Passwort). Dies verhindert, dass Benutzer die Booteinträge
verändern können. <tt>timeout 3</tt> legt eine Wartedauer von 3 Sekunden
fest, bevor <prgn>Grub</prgn> den Standard-Eintrag bootet."
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:282
#, no-wrap
msgid ""
" timeout 3\n"
" password hackme"
msgstr ""
" timeout 3\n"
" password hackmich"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:290
msgid "To further harden the integrity of the password, you may store
the password in an encrypted form. The utility
<prgn>grub-md5-crypt</prgn> generates a hashed password which is
compatible with GRUB's encrypted password algorithm (MD5). To specify in
<prgn>grub</prgn> that an MD5 format password will be used, use the
following directive:"
msgstr "Um die Integrität Ihres Passwortes zusätzlich abzusichern,
sollten Sie Ihr Passwort verschlüsselt ablegen. Das Dienstprogramm
<prgn>grub-md5-crypt</prgn> erzeugt ein gehashtes Passwort, das
kompatibel mit GRUBs Verschlüsselungsalgorithmus (MD5) ist. Um
<prgn>Grub</prgn> mitzuteilen, dass ein Passwort im MD5-Format verwendet
wird, benutzen Sie die folgende Anweisung:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:293
#, no-wrap
msgid ""
" timeout 3\n"
" password --md5 $1$bw0ez$tljnxxKLfMzmnDVaQWgjP0"
msgstr ""
" timeout 3\n"
" password --md5 $1$bw0ez$tljnxxKLfMzmnDVaQWgjP0"
#. type: </example></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:301
msgid "The --md5 parameter was added to instruct <prgn>grub</prgn> to
perform the MD5 authentication process. The provided password is the MD5
encrypted version of hackme. Using the MD5 password method is preferable
to choosing its clear-text counterpart. More information about
<prgn>grub</prgn> passwords may be found in the
<package>grub-doc</package> package."
msgstr "Der Parameter --md5 wurde hinzugefügt, um bei <prgn>Grub</prgn>
einen MD5-Authentifizierungsprozess zu erzwingen. Das angegebene
Passwort ist die mit MD5 verschlüsselte Version von »hackmich«.
MD5-Passwörter sind Klartext-Passwörtern vorzuziehen. Weitere
Informationen über <prgn>Grub</prgn>-Passwörter können Sie im Paket
<package>grub-doc</package> finden."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:303
msgid "Disable root prompt on the initramfs"
msgstr "Entfernen des Root-Prompts von Initramfs"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:306
msgid "Note: This applies to the default kernels provided for releases
after Debian 3.1"
msgstr "Hinweis: Dies betrifft alle Standard-Kernel, die nach Debian 3.1
veröffentlicht wurden."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:312
msgid "Linux 2.6 kernels provide a way to access a root shell while
booting which will be presented during loading the initramfs on error.
This is helpful to permit the administrator to enter a rescue shell with
root permissions. This shell can be used to manually load modules when
autodetection fails. This behavior is the default for
<prgn>initramfs-tools</prgn> generated initramfs. The following message
will appear:"
msgstr "Die Linux-Kernel 2.6 enthalten die Möglichkeit, während des
Bootvorgangs eine Root-Shell zu erhalten. Dies geschieht, wenn beim
Laden von Initramfs ein Fehler auftritt. Dadurch kann der Administrator
auf eine Rettungsshell mit Root-Rechten zugreifen. Mit dieser Shell
können von Hand Module geladen werden, falls eine automatische Erkennung
scheitern sollte. Dieses Verhalten ist Standard für ein von
<prgn>Initramfs-tools</prgn> erzeugtes Initramfs. Folgende Fehlermeldung
wird auftreten:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:314
#, no-wrap
msgid " \"ALERT! /dev/sda1 does not exist. Dropping to a shell!"
msgstr " \"ALERT! /dev/sda1 does not exist. Dropping to a shell! <!--
SB: keine deutsche Übersetzung? -->"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:321
msgid "In order to remove this behavior you need to set the following
boot argument:<em>panic=0</em>. Either add it to the kopt section of
<file>/boot/grub/menu.lst</file> and issue <prgn>update-grub</prgn> or
to the append section of <file>/etc/lilo.conf</file>."
msgstr "Um dieses Verhalten abzuschalten, müssen Sie folgenden
Boot-Parameter setzen: <em>panic=0</em>. Sie können ihn entweder in den
Abschnitt kopt in <file>/boot/grub/menu.lst</file> eintragen und
<prgn>update-grub</prgn> ausführen oder ihn dem Abschnitt append von
<file>/etc/lilo.conf</file> hinzufügen. <!-- SB: in grub2 in
/etc/default/grub -->"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:323
msgid "Remove root prompt on the kernel"
msgstr "Entfernen des Root-Promptes aus dem Kernel"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:326
msgid "Note: This does not apply to the kernels provided for Debian 3.1
as the timeout for the kernel delay has been changed to 0."
msgstr "Hinweis: Dies trifft nicht auf Kernel zu, die in Debian 3.1
enthalten sind, da die Wartezeit auf Null verändert wurde."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:332
msgid "Linux 2.4 kernels provide a way to access a root shell while
booting which will be presented just after loading the cramfs file
system. A message will appear to permit the administrator to enter an
executable shell with root permissions, this shell can be used to
manually load modules when autodetection fails. This behavior is the
default for <prgn>initrd</prgn>'s <file>linuxrc</file>. The following
message will appear:"
msgstr "Linux 2.4 Kernel bieten kurz nach dem Laden des cramfs einen
Weg, Zugriff auf eine Root-Shell zu bekommen, also während das System
bootet. Es erscheint eine Meldung, die dem Administrator erlaubt, eine
auszuführende Shell mit Root-Privilegien zu öffnen. Diese Shell kann
dazu benutzt werden, manuell Module zu laden, falls die automatische
Erkennung fehlschlägt. Dies ist das Standard-Verhalten bei
<prgn>initrd</prgn>'s <file>linuxrc</file>. Die folgende Meldung wird
erscheinen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:334
#, no-wrap
msgid " Press ENTER to obtain a shell (waits 5 seconds)"
msgstr " Press ENTER to obtain a shell (waits 5 seconds) <!-- SB: keine
deutsche Übersetzung? -->"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:338
msgid "In order to remove this behavior you need to change
<file>/etc/mkinitrd/mkinitrd.conf</file> and set:"
msgstr "Um dieses Verhalten zu entfernen, müssen Sie
<file>/etc/mkinitrd/mkinitrd.conf</file> editieren und folgenden Eintrag
setzen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:342
#, no-wrap
msgid ""
" # DELAY The number of seconds the linuxrc script should wait to\n"
" # allow the user to interrupt it before the system is brought up\n"
" DELAY=0"
msgstr ""
" # DELAY Anzahl Sekunden, die das linuxrc Skript warten soll, \n"
" # um den Benutzer Eingriffe zu erlauben, bevor das System hochgefahren\n"
" # wird\n"
" DELAY=0"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:344
msgid "Then regenerate your ramdisk image. You can do this for example
with:"
msgstr "Erstellen Sie anschließend Ihr Ramdisk-Image neu. Dies können
Sie zum Beispiel so tun:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:347
#, no-wrap
msgid ""
" # cd /boot\n"
" # mkinitrd -o initrd.img-2.4.18-k7 /lib/modules/2.4.18-k7"
msgstr ""
" # cd /boot\n"
" # mkinitrd -o initrd.img-2.4.18-k7 /lib/modules/2.4.18-k7"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:349
msgid "or (preferred):"
msgstr "oder (vorzugsweise) so:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:351
#, no-wrap
msgid " # dpkg-reconfigure -plow kernel-image-2.4.x-yz"
msgstr " # dpkg-reconfigure -plow kernel-image-2.4.x-yz"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:356
msgid "Restricting console login access"
msgstr "Einschränkung der Anmeldemöglichkeiten an der Konsole"
#. type: <p><list>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:363
msgid "Some security policies might force administrators to log in to
the system through the console with their user/password and then become
superuser (with <prgn>su</prgn> or <prgn>sudo</prgn>). This policy is
implemented in Debian by editing the <file>/etc/pam.d/login</file> and
the <file>/etc/securetty</file> when using PAM:"
msgstr "Manche Sicherheitsrichtlinien können Administratoren dazu
zwingen, sich erst als Benutzer mit ihrem Passwort auf dem System
einzuloggen und dann Superuser zu werden (mit <prgn>Su</prgn> oder
<prgn>Sudo</prgn>). Solche eine Richtlinie ist in Debian in den Dateien
<file>/etc/pam.d/login</file> und <file>/etc/securetty</file> (falls Sie
PAM verwenden) implementiert."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:373
msgid "<file>/etc/pam.d/login</file> <footnote><p>In older Debian
releases you would need to edit <file>login.defs</file>, and use the
CONSOLE variable which defines a file or list of terminals on which root
logins are allowed.</p></footnote> enables the pam_securetty.so module.
This module, when properly configured will not ask for a password when
the root user tries to login on an insecure console, rejecting access as
this user."
msgstr "Die Datei <file>/etc/pam.d/login</file> <footnote>In älteren
Debian-Veröffentlichungen müssen Sie in der Datei
<file>login.defs</file> die CONSOLE-Variable ändern, die eine Datei oder
eine Liste von Terminals definiert, an denen sich Root anmelden
darf.</footnote> aktiviert das Modul pam_securetty.so. Wenn es richtig
konfiguriert ist, wird Root, wenn er sich auf einer unsicheren Konsole
anmelden will, nicht nach einem Passwort gefragt, sondern sein
Anmeldeversuch wird abgelehnt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:405
msgid "<file>securetty</file> <footnote><p>The
<file>/etc/securetty</file> is a configuration file that belongs to the
<package>login</package> package.</p></footnote> by adding/removing the
terminals to which root access will be allowed. If you wish to allow
only local console access then you need <em>console</em>,
<em>ttyX</em><footnote><p>Or <em>ttyvX</em> in GNU/FreeBSD, and
<em>ttyE0</em> in GNU/KNetBSD.</p></footnote> and <em>vc/X</em> (if
using <em>devfs</em> devices), you might want to add also
<em>ttySX</em><footnote><p>Or <em>comX</em> in GNU/Hurd, <em>cuaaX</em>
in GNU/FreeBSD, and <em>ttyXX</em> in GNU/KNetBSD.</p></footnote> if you
are using a serial console for local access (where X is an integer, you
might want to have multiple instances. The default configuration for
<em>Wheezy</em> <footnote><p>The default configuration in <em>woody</em>
includes 12 local tty and vc consoles, as well as the <em>console</em>
device but does not allow remote logins. In <em>sarge</em> the default
configuration provides 64 consoles for tty and vc
consoles.</p></footnote> includes many tty devices, serial ports, vc
consoles as well as the X server and the <em>console</em> device. You
can safely adjust this if you are not using that many consoles. You can
confirm the virtual consoles and the tty devices you have by reviewing
<file>/etc/inittab</file> <footnote><p>Look for the <em>getty</em>
calls.</p></footnote> . For more information on terminal devices read
the <url id=\"http://tldp.org/HOWTO/Text-Terminal-HOWTO-6.html\";
name=\"Text-Terminal-HOWTO\">."
msgstr "In <file>securetty</file><footnote> Die Datei
<file>/etc/securetty</file> ist eine Konfigurationsdatei, die zum Paket
<package>login</package> gehört. </footnote> entfernen Sie oder fügen
Sie Terminals hinzu, auf denen sich Root anmelden darf. Falls Sie nur
lokalen Zugang zur Konsole erlauben wollen, benötigen Sie
<em>console</em>, <em>ttyX</em> <footnote> Oder <em>ttyvX</em> in
GNU/FreeBSD und <em>ttyE0</em> in GNU/KNetBSD. </footnote> und
<em>vc/X</em> (falls Sie die <em>devfs</em>-Schnittstelle verwenden).
Sie sollten auch <em>ttySX</em> <footnote> Oder <em>comX</em> in
GNU/Hurd, <em>cuaaX</em> in GNU/FreeBSD und <em>ttyXX</em> in
GNU/KNetBSD. </footnote> hinzufügen, wenn Sie eine serielle Konsole für
den lokalen Zugang verwenden (wobei X eine ganze Zahl ist; es kann
wünschenswert sein, mehrere Instanzen zu verwenden). Die
Standardeinstellung in <em>Wheezy</em> <footnote> Die
Standardeinstellung in <em>Woody</em> beinhaltet zwölf lokale tty- und
virtuelle Konsolen und die <em>console</em>-Schnittstelle. Anmeldungen
von entfernten Orten sind nicht erlaubt. In <em>Sarge</em> stellt die
Standardeinstellung 64 Konsolen für tty- und virtuelle Konsolen zu
Verfügung. </footnote> beinhaltet viele tty-Konsolen, serielle
Schnittstellen und vc-Konsolen sowie den X-Server und die
<em>console</em>-Schnittstelle. Sie können das ohne Probleme anpassen,
wenn Sie nicht derartige viele Konsolen benutzen. Sie können die Anzahl
der Konsolen und Schnittstellen in <file>/etc/inittab</file> überprüfen
<footnote> Achten Sie auf die <em>getty</em> Einträge. </footnote>.
Weiterführende Informationen zu Terminal-Schnittstellen finden Sie im
<url id=\"http://tldp.org/HOWTO/Text-Terminal-HOWTO-6.html\";
name=\"Text-Terminal-HOWTO\">."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:414
msgid "When using PAM, other changes to the login process, which might
include restrictions to users and groups at given times, can be
configured in <file>/etc/pam.d/login</file>. An interesting feature that
can be disabled is the possibility to login with null (blank) passwords.
This feature can be limited by removing <em>nullok</em> from the line:"
msgstr "Wenn Sie PAM benutzen, können Sie auch andere Änderungen am
Login-Prozess, die auch Einschränkungen für einzelne Benutzer oder
Gruppen zu bestimmten Zeiten enthalten können, durch Konfiguration der
Datei <file>/etc/pam.d/login</file> vornehmen. Eine interessante
Eigenschaft, die man auch abschalten kann, ist die Möglichkeit, sich mit
einem leeren Passwort (Null-Passwort) anzumelden. Diese Eigenschaft kann
eingeschränkt werden, indem sie <em>nullok</em> aus folgender Zeile
entfernen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:416
#, no-wrap
msgid " auth required pam_unix.so nullok"
msgstr " auth required pam_unix.so nullok"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:420
msgid "Restricting system reboots through the console"
msgstr "Einschränkung des System-Neustarts von der Konsole aus"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:426
msgid "If your system has a keyboard attached to it anyone (yes
<em>anyone</em>) with physical access to the system can reboot the
system through it without login in just pressing the
<em>Ctrl+Alt+Delete</em> keyboard combination, also known as the
<em>three finger salute</em>. This might, or might not, adhere to your
security policy."
msgstr "Wenn eine Tastatur an Ihr System angeschlossen ist, kann es
jeder (ja, wirklich <em>jeder</em>) mit physischem Zugang zu Ihrem
System neu starten, ohne sich an Ihrem System anmelden zu müssen,
einfach indem er die Tastenkombination <em>Strg+Alt+Entf</em> drückt
(auch als <em>Affengriff</em> bekannt). Dies könnte gegen Ihre
Sicherheitsrichtlinien verstoßen (oder auch nicht)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:433
msgid "This is aggravated in environments in which the operating system
is running virtualised. In these environments, the possibility extends
to users that have access to the virtual console (which might be
accessed over the network). Also note that, in these environments, this
keyboard combination is used constantly (to open a login shell in some
GUI operating systems) and an administrator might <em>virtually</em>
send it and force a system reboot."
msgstr "Dies ist schwerwiegender, wenn das Betriebssystem in einer
virtuellen Umgebung läuft. Dann erstreckt sich diese Fähigkeit auch auf
Benutzer, die Zugriff auf die virtuelle Konsole haben (was auch über das
Netzwerk geschehen könnte). Beachten Sie zudem, dass in einer solchen
Umgebung diese Tastenkombination ständig verwendet wird (um in einigen
grafischen Benutzeroberflächen eine Login-Shell zu öffnen). Ein
Systemadministrator kann sie auch dazu verwenden, <em>virtuell</em> das
System neu zu starten."
#. type: <p><list>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:435
msgid "There are two ways to restrict this:"
msgstr "Es gibt zwei Möglichkeiten, dies einzuschränken:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:438
msgid "configure it so that only <em>allowed</em> users can reboot the
system,"
msgstr "mit einer Konfiguration, mit der nur <em>bestimmte</em> Benutzer
das System neu starten dürfen,"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:439
msgid "disable this feature completely."
msgstr "diese Eigenschaft vollständig zu deaktivieren."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:445
msgid "If you want to restrict this, you must check the
<file>/etc/inittab</file> so that the line that includes
<tt>ctrlaltdel</tt> calls <prgn>shutdown</prgn> with the <tt>-a</tt>
switch."
msgstr "Wenn Sie dies einschränken wollen, müssen Sie in
<file>/etc/inittab</file> sicherstellen, dass die Zeile, die
<tt>ctrlaltdel</tt> enthält, <prgn>shutdown</prgn> mit der Option
<tt>-a</tt> aufruft."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:447
msgid "The default in Debian includes this switch:"
msgstr "Standardmäßig enthält Debian diese Optionen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:449
#, no-wrap
msgid " ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now"
msgstr " ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:460
msgid "The <tt>-a</tt> switch, as the <manref name=\"shutdown\"
section=\"8\"> manpage describes,makes it possible to allow
<em>some</em> users to shutdown the system. For this the file
<file>/etc/shutdown.allow</file> must be created and the administrator
has to include there the name of users which can boot the system. When
the <em>three finger salute</em> combination is pressed in a console the
program will check if any of the users listed in the file are logged in.
If none of them is, <prgn>shutdown</prgn> will <em>not</em> reboot the
system."
msgstr "Die Option <tt>-a</tt> ermöglicht es, <em>einigen</em> Benutzern
zu erlauben, das System neu zu starten (vgl. die Handbuchseite <manref
section=\"8\" name=\"shutdown\">). Dazu müssen Sie die Datei
<file>/etc/shutdown.allow</file> erstellen und die Namen der Benutzer,
die das System neu booten dürfen, eintragen. Wenn der
<em>Affengriff</em> in einer Konsole ausgeführt wird, wird geprüft, ob
irgendeiner der Benutzer, die in der Datei aufgelistet sind, angemeldet
ist. Wenn es keiner von ihnen ist, wird <prgn>Shutdown</prgn> das System
<em>nicht</em> neu starten."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:464
msgid "If you want to disable the Ctrl+Alt+Del combination you just need
to comment the line with the <em>ctrlaltdel</em> definition in the
<file>/etc/inittab</file>."
msgstr "Wenn Sie die Tastenkombination Ctrl+Alt+Del deaktivieren
möchten, müssen Sie nur die Zeile mit <em>ctrlaltdel</em> in
<file>/etc/inittab</file> auskommentieren."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:465
msgid "Remember to run <tt>init q</tt> after making any changes to the
<file>/etc/inittab</file> file for the changes to take effect."
msgstr "Vergessen Sie nicht, <tt>init q</tt> auszuführen, nachdem Sie
diese Datei bearbeitet haben, damit die Änderungen wirksam werden."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:471
msgid "Restricting the use of the Magic SysRq key"
msgstr "Einschränkung der Tastenkombination Magische S-Abf"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:477
msgid "The <em>Magic SysRq key</em> is a key combination that allows
users connected to the system console of a Linux kernel to perform some
low-level commands. These low-level commands are sent by pressing
simultaneously <em>Alt+SysRq</em> and a command key. The SysRq key in
many keyboards is labeled as the <em>Print Screen</em> key."
msgstr "Die Tastenkombination <em>Magische S-Abf</em> (Magic SysRq)
erlaubt es Benutzern einer Konsole eines Linux-Systems, bestimmte
systemnahe Befehle auszuführen, indem gleichzeitig <em>Alt+S-Abf</em>
und eine bestimmte Taste gedrückt wird. Die Taste S-Abf wird auf vielen
Tastaturen mit <em>Druck</em> bezeichnet."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:482
msgid "Since the Etch release, the Magic SysRq key feature is enabled in
the Linux kernel to allow console users certain privileges. You can
confirm this by checking if the <file>/proc/sys/kernel/sysrq</file>
exists and reviewing its value:"
msgstr "Seit der Veröffentlichung von Etch ist die Tastenkombination
Magische S-Abf im Linux-Kernel aktiviert, damit die Benutzer einer
Konsole bestimmte Privilegien erhalten können. Ob dies auf Ihr System
zutrifft, erkennen Sie daran, ob <file>/proc/sys/kernel/sysrq</file>
existiert, und an dessen Wert:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:485
#, no-wrap
msgid ""
"$ cat /proc/sys/kernel/sysrq \n"
"438"
msgstr ""
"$ cat /proc/sys/kernel/sysrq \n"
"438"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:493
msgid "The default value shown above allows all of the SysRq functions
except for the possibility of sending signals to processes. For example,
it allow users connected to the console to remount all systems
read-only, reboot the system or cause a kernel panic. In all the
features are enabled, or in older kernels (earlier than 2.6.12) the
value will be just 1."
msgstr "Der oben gezeigte Standardwert erlaubt alle S-Abf-Funktionen mit
Ausnahme der Möglichkeit, Signale an Prozesse zu senden. Zum Beispiel
können Benutzer, die an der Konsole angemeldet sind, alle Systeme
nur-lesend neu einbinden, das System neu starten oder eine Kernelpanik
auslösen. Wenn alle Fähigkeit aktiviert sind oder in älteren
Kernel-Versionen (früher als 2.6.12), wird der Wert einfach 1 sein."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:499
msgid "You should disable this functionality ifaccess to the console is
not restricted to authorised users: the console is connected to a modem
line, there is easy physical access to the system or it is running in a
virtualised environment and other users access the console. To do this
edit the <file>/etc/sysctl.conf</file> and add the following lines:"
msgstr "Sie sollten diese Fähigkeit deaktivieren, wenn der Zugang zur
Konsole nicht auf angemeldete Benutzer beschränkt ist, nämlich wenn die
Konsole an ein Modem angebunden ist, es leichten physischen Zugang zum
System gibt oder es in einer virtuellen Umgebung läuft und andere
Benutzer auf die Konsole zugreifen können. Dafür müssen Sie
<file>/etc/sysctl.conf</file> bearbeiten und folgende Zeile einfügen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:502
#, no-wrap
msgid ""
"# Disables the magic SysRq key\n"
"kernel.sysrq = 0"
msgstr ""
"# Schaltet die Magische S-Abf-Taste ab\n"
"kernel.sysrq = 0"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:510
msgid "For more information, read <url
id=\"http://tldp.org/HOWTO/Remote-Serial-Console-HOWTO/security-sysrq.html\";
name=\"security chapter in the Remote Serial Console HOWTO\">, <url
id=\"http://kernel.org/doc/Documentation/sysrq.txt\"; name=\"Kernel SysRQ
documentation\">. and the <url
id=\"http://en.wikipedia.org/wiki/Magic_SysRq_key\";
name=\"Magic_SysRq_key wikipedia entry\">."
msgstr "Weitere Informationen finden Sie im <url
id=\"http://tldp.org/HOWTO/Remote-Serial-Console-HOWTO/security-sysrq.html\";
name=\"security chapter in the Remote Serial Console HOWTO\">, in der
<url id=\"http://kernel.org/doc/Documentation/sysrq.txt\"; name=\"Kernel
SysRQ documentation\"> und dem <url
id=\"https://de.wikipedia.org/wiki/Magische_S-Abf-Taste\";
name=\"Wikipedia-Eintrag zur Magischen S-Abf-Taste\">."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:511
msgid "Mounting partitions the right way"
msgstr "Partitionen auf die richtige Art einbinden"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:518
msgid "When mounting an <tt>Ext</tt> file system (<tt>ext2</tt>,
<tt>ext3</tt> or <tt>ext4</tt>), there are several additional options
you can apply to the mount call or to <file>/etc/fstab</file>. For
instance, this is my fstab entry for the <file>/tmp</file> partition:"
msgstr "Wenn Sie ein <tt>Ext</tt>-Dateisystem (<tt>ext2</tt>,
<tt>ext3</tt> oder <tt>ext4</tt>) einbinden, können Sie verschiedene
Optionen mit dem mount-Befehl oder in <file>/etc/fstab</file> verwenden.
Dies ist zum Beispiel mein fstab-Eintrag für meine
<file>/tmp</file>-Partition:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:520
#, no-wrap
msgid " /dev/hda7 /tmp ext2 defaults,nosuid,noexec,nodev 0
2"
msgstr " /dev/hda7 /tmp ext2 defaults,nosuid,noexec,nodev 0
2"
#. type: <p><list>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:528
msgid "You see the difference in the options sections. The option
<tt>nosuid</tt> ignores the setuid and setgid bits completely, while
<tt>noexec</tt> forbids execution of any program on that mount point,
and <tt>nodev</tt> ignores device files. This sounds great, but it:"
msgstr "Achten Sie auf den Abschnitt mit den Optionen. Die Option
<tt>nosuid</tt> ignoriert komplett alle setuid- und setgid-Bits, während
<tt>noexec</tt> das Ausführen von Programmen unterhalb des
Einhängepunkts verbietet und <tt>nodev</tt> Gerätedateien ignoriert. Das
hört sich toll an, aber:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:530
msgid "only applies to <tt>ext2</tt> or <tt>ext3</tt> file systems"
msgstr "ist nur auf <tt>ext2</tt> oder <tt>ext3</tt>-Dateisysteme
anwendbar,"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:531
msgid "can be circumvented easily"
msgstr "kann leicht umgangen werden."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:536
msgid "The <tt>noexec</tt> option prevents binaries from being executed
directly, but was easily circumvented in earlier versions of the kernel:"
msgstr "Die Option <tt>noexec</tt>, die verhindert, dass Binarys
ausgeführt werden können, ließe sich in früheren Kernelversionen leicht
umgehen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:543
#, no-wrap
msgid ""
" alex@joker:/tmp# mount | grep tmp\n"
" /dev/hda7 on /tmp type ext2 (rw,noexec,nosuid,nodev)\n"
" alex@joker:/tmp# ./date\n"
" bash: ./date: Permission denied\n"
" alex@joker:/tmp# /lib/ld-linux.so.2 ./date\n"
" Sun Dec 3 17:49:23 CET 2000"
msgstr ""
" alex@joker:/tmp# mount | grep tmp\n"
" /dev/hda7 on /tmp type ext2 (rw,noexec,nosuid,nodev)\n"
" alex@joker:/tmp# ./date\n"
" bash: ./date: Permission denied\n"
" alex@joker:/tmp# /lib/ld-linux.so.2 ./date\n"
" Sun Dec 3 17:49:23 CET 2000"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:548
msgid "Newer versions of the kernel do however handle the
<tt>noexec</tt> flag properly:"
msgstr "Neuere Versionen des Kernels verarbeiten aber die Option
<tt>noexec</tt> richtig:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:556
#, no-wrap
msgid ""
" angrist:/tmp# mount | grep /tmp\n"
" /dev/hda3 on /tmp type ext3 (rw,noexec,nosuid,nodev)\n"
" angrist:/tmp# ./date\n"
" bash: ./tmp: Permission denied \n"
" angrist:/tmp# /lib/ld-linux.so.2 ./date \n"
" ./date: error while loading shared libraries: ./date: failed to map
segment \n"
" from shared object: Operation not permitted"
msgstr ""
" angrist:/tmp# mount | grep /tmp\n"
" /dev/hda3 on /tmp type ext3 (rw,noexec,nosuid,nodev)\n"
" angrist:/tmp# ./date\n"
" bash: ./tmp: Permission denied \n"
" angrist:/tmp# /lib/ld-linux.so.2 ./date \n"
" ./date: error while loading shared libraries: ./date: failed to map
segment \n"
" from shared object: Operation not permitted"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:564
msgid "However, many script kiddies have exploits which try to create
and execute files in <file>/tmp</file>. If they do not have a clue, they
will fall into this pit. In other words, a user cannot be tricked into
executing a trojanized binary in <file>/tmp</file> e.g. when he
incidentally adds <file>/tmp</file> into his PATH."
msgstr "Wie auch immer, viele Skript-Kiddies haben Exploits, die
versuchen, eine Datei in <file>/tmp</file> zu erstellen und auszuführen.
Falls sie keine Ahnung haben, werden sie in dieser Grube hängen bleiben.
Mit anderen Worten: Ein Benutzer kann nicht hereingelegt werden, einen
ausführbaren Trojaner in <file>/tmp</file> laufen zu lassen, zum
Beispiel, indem er zufällig <file>/tmp</file> in seinen Suchpfad aufnimmt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:569
msgid "Also be forewarned, some script might depend on <file>/tmp</file>
being executable. Most notably, Debconf has (had?) some issues regarding
this, for more information see Bug <url
id=\"http://bugs.debian.org/116448\"; name=\"116448\">."
msgstr "Seien Sie sich auch bewusst, dass manche Skripte darauf
aufbauen, dass <file>/tmp</file> ausführbare Rechte hat.
Bemerkenswerterweise hatte (oder hat?) Debconf Probleme bei dieser
Sache, weitere Informationen enthält Fehler <url
id=\"http://bugs.debian.org/116448\"; name=\"116448\">."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:578
msgid "The following is a more thorough example. A note, though:
<file>/var</file> could be set noexec, but some software
<footnote><p>Some of this includes the package manager
<package>dpkg</package> since the installation (post,pre) and removal
(post,pre) scripts are at <file>/var/lib/dpkg/</file> and
Smartlist</p></footnote> keeps its programs under in <file>/var</file>.
The same applies to the nosuid option."
msgstr "Nachfolgend ein gründlicheres Beispiel. Eine Anmerkung dazu:
<file>/var</file> könnte auch noexec enthalten, aber manche Software
<footnote>Einiges davon trifft auf den Paketverwalter
<package>Dpkg</package> zu, da die Installations- oder
Deinstallationsanweisungen (post, pre) unter <file>/var/lib/dpkg/</file>
liegen, und auch auf Smartlist.</footnote> verwahrt ihre Programme
unterhalb von <file>/var</file>. Dasselbe gilt für die Option nosuid."
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:590
#, no-wrap
msgid ""
"/dev/sda6 /usr ext3 defaults,ro,nodev 0 2\n"
"/dev/sda12 /usr/share ext3 defaults,ro,nodev,nosuid 0
2\n"
"/dev/sda7 /var ext3 defaults,nodev,usrquota,grpquota 0
2\n"
"/dev/sda8 /tmp ext3
defaults,nodev,nosuid,noexec,usrquota,grpquota 0 2\n"
"/dev/sda9 /var/tmp ext3
defaults,nodev,nosuid,noexec,usrquota,grpquota 0 2\n"
"/dev/sda10 /var/log ext3 defaults,nodev,nosuid,noexec 0
2\n"
"/dev/sda11 /var/account ext3 defaults,nodev,nosuid,noexec 0
2\n"
"/dev/sda13 /home ext3
rw,nosuid,nodev,exec,auto,nouser,async,usrquota,grpquota
0 2\n"
"/dev/fd0 /mnt/fd0 ext3 defaults,users,nodev,nosuid,noexec
0 0\n"
"/dev/fd0 /mnt/floppy vfat defaults,users,nodev,nosuid,noexec
0 0\n"
"/dev/hda /mnt/cdrom iso9660 ro,users,nodev,nosuid,noexec
0 0"
msgstr ""
"/dev/sda6 /usr ext3 defaults,ro,nodev 0 2\n"
"/dev/sda12 /usr/share ext3 defaults,ro,nodev,nosuid 0
2\n"
"/dev/sda7 /var ext3 defaults,nodev,usrquota,grpquota 0
2\n"
"/dev/sda8 /tmp ext3
defaults,nodev,nosuid,noexec,usrquota,grpquota 0 2\n"
"/dev/sda9 /var/tmp ext3
defaults,nodev,nosuid,noexec,usrquota,grpquota 0 2\n"
"/dev/sda10 /var/log ext3 defaults,nodev,nosuid,noexec 0
2\n"
"/dev/sda11 /var/account ext3 defaults,nodev,nosuid,noexec 0
2\n"
"/dev/sda13 /home ext3
rw,nosuid,nodev,exec,auto,nouser,async,usrquota,grpquota
0 2\n"
"/dev/fd0 /mnt/fd0 ext3 defaults,users,nodev,nosuid,noexec
0 0\n"
"/dev/fd0 /mnt/floppy vfat defaults,users,nodev,nosuid,noexec
0 0\n"
"/dev/hda /mnt/cdrom iso9660 ro,users,nodev,nosuid,noexec
0 0"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:593
msgid "Setting <file>/tmp</file> noexec"
msgstr "<file>/tmp</file> noexec setzen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:616
msgid "Be careful if setting <file>/tmp</file> noexec when you want to
install new software, since some programs might use it for installation.
<package>apt</package> is one such program (see <url
id=\"http://bugs.debian.org/116448\";>) if not configured properly
<tt>APT::ExtractTemplates::TempDir</tt> (see <manref
name=\"apt-extracttemplates\" section=\"1\">). You can set this variable
in <file>/etc/apt/apt.conf</file> to another directory with exec
privileges other than <file>/tmp</file>."
msgstr "Seien Sie vorsichtig, wenn Sie <file>/tmp</file> noexec setzen
und neue Software installieren wollen, da manche Software es während der
Installation benutzt. <package>Apt</package> ist ein solches Programm
(siehe <url id=\"http://bugs.debian.org/116448\";>), wenn nicht
<tt>APT::ExtractTemplates::TempDir</tt> (siehe <manref
name=\"apt-extracttemplates\" section=\"1\">) passend konfiguriert
wurde. Sie können diese Variable in <file>/etc/apt/apt.conf</file> auf
ein anderes Verzeichnis als <file>/tmp</file> mit exec-Privilegien setzen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:617
msgid "Setting /usr read-only"
msgstr "/usr auf nur-lesend setzen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:624
msgid "If you set <file>/usr</file> read-only you will not be able to
install new packages on your Debian GNU/Linux system. You will have to
first remount it read-write, install the packages and then remount it
read-only. <package>apt</package> can be configured to run commands
before and after installing packages, so you might want to configure it
properly."
msgstr "Wenn Sie auf <file>/usr</file> nur lesenden Zugriff erlauben,
werden Sie nicht in der Lage sein, neue Pakete auf Ihrem Debian
GNU/Linux System zu installieren. Sie werden es erst mit Schreibzugriff
erneut mounten müssen, die Pakete installieren und dann wieder nur mit
lesendem Zugriff mounten. <package>Apt</package> kann so konfiguriert
werden, dass Befehle vor und nach dem Installieren von Paketen
ausgeführt werden. Daher müssen Sie es passend konfigurieren."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:625
msgid "To do this modify <file>/etc/apt/apt.conf</file> and add:"
msgstr "Dafür müssen Sie <file>/etc/apt/apt.conf</file> bearbeiten und
Folgendes einfügen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:631
#, no-wrap
msgid ""
" DPkg\n"
" {\n"
" Pre-Invoke { \"mount /usr -o remount,rw\" };\n"
" Post-Invoke { \"mount /usr -o remount,ro\" };\n"
" };"
msgstr ""
" DPkg\n"
" {\n"
" Pre-Invoke { \"mount /usr -o remount,rw\" };\n"
" Post-Invoke { \"mount /usr -o remount,ro\" };\n"
" };"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:636
msgid "Note that the Post-Invoke may fail with a \"/usr busy\" error
message. This happens mainly when you are using files during the update
that got updated. You can find these programs by running"
msgstr "Beachten Sie, dass das Post-Invoke mit der Fehlermeldung »/usr
ist belegt« scheitern kann. Dies passiert vorwiegend, wenn Sie eine
Datei benutzen, die aktualisiert wurde. Sie können diese Programme
finden, indem Sie Folgendes ausführen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:638
#, no-wrap
msgid "# lsof +L1"
msgstr "# lsof +L1"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:648
msgid "Stop or restart these programs and run the Post-Invoke manually.
<em>Beware!</em> This means you'll likely need to restart your X session
(if you're running one) every time you do a major upgrade of your
system. You might want to reconsider whether a read-only
<file>/usr</file> is suitable for your system. See also this <url
id=\"http://lists.debian.org/debian-devel/2001/11/threads.html#00212\";
name=\"discussion on debian-devel about read-only /usr\">."
msgstr "Halten Sie diese Programme an oder starten Sie sie erneut und
rufen dann Post-Invoke manuell auf. <em>Achtung!</em> Das bedeutet, dass
Sie wahrscheinlich jedes Mal Ihre Sitzung von X (falls Sie eine laufen
haben) neu starten müssen, wenn Sie ein größeres Upgrade Ihres Systems
durchführen. Sie müssen entscheiden, ob ein nur lesbares
<file>/usr</file> zu Ihrem System passt. Vergleichen Sie auch diese <url
id=\"http://lists.debian.org/debian-devel/2001/11/threads.html#00212\";
name=\"discussion on debian-devel about read-only /usr\">."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:650
msgid "Providing secure user access"
msgstr "Den Benutzerzugang absichern"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:652
msgid "User authentication: PAM"
msgstr "Benutzerauthentifizierung: PAM"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:662
msgid "PAM (Pluggable Authentication Modules) allows system
administrators to choose how applications authenticate users. Note that
PAM can do nothing unless an application is compiled with support for
PAM. Most of the applications that are shipped with Debian have this
support built in (Debian did not have PAM support before 2.2). The
current default configuration for any PAM-enabled service is to emulate
UNIX authentication (read
<file>/usr/share/doc/libpam0g/Debian-PAM-MiniPolicy.gz</file> for more
information on how PAM services <em>should</em> work in Debian)."
msgstr "PAM (Pluggable Authentication Modules) erlaubt
Systemadministratoren auszuwählen, wie Anwendungen Benutzer
authentifizieren. Beachten Sie, dass PAM nichts machen kann, solange die
Anwendung nicht mit Unterstützung für PAM kompiliert wurde. Die meisten
Anwendungen, die mit Debian geliefert werden, haben diese Unterstützung
eingebaut. Vor Version 2.2 hatte Debian keine Unterstützung für PAM. Die
derzeitige Standardkonfiguration für jeden Dienst, der PAM benutzt, ist
es, UNIX-Authentifizierung zu emulieren (lesen Sie
<file>/usr/share/doc/libpam0g/Debian-PAM-MiniPolicy.gz</file>, um mehr
darüber zu erfahren, wie PAM-Dienste unter Debian arbeiten
<em>sollten</em>)."
#. type: <p><list>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:665
msgid "Each application with PAM support provides a configuration file
in <file>/etc/pam.d/</file> which can be used to modify its behavior:"
msgstr "Jede Anwendung mit PAM-Unterstützung stellt eine
Konfigurationsdatei unter <file>/etc/pam.d/</file> zur Verfügung, in
welcher Sie ihr Verhalten einstellen können:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:667
msgid "what backend is used for authentication."
msgstr "welches Verfahren zur Authentifizierung benutzt wird"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:668
msgid "what backend is used for sessions."
msgstr "welches Verfahren innerhalb einer Sitzung benutzt wird"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:669
msgid "how do password checks behave."
msgstr "wie Passwörter überprüft werden"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:677
msgid "The following description is far from complete, for more
information you might want to read the <url
id=\"http://www.linux-pam.org/Linux-PAM-html/\"; name=\"Linux-PAM
Guides\"> as a reference. This documentation is available in the system
if you install the <package>libpam-doc</package> at
<file>/usr/share/doc/libpam-doc/html/</file>."
msgstr "Die folgende Beschreibung ist weit davon entfernt, vollständig
zu sein. Für weitere Informationen können Sie die <url
id=\"http://www.linux-pam.org/Linux-PAM-html/\"; name=\"Linux-PAM
Guides\"> lesen. Diese Dokumentation ist auf Ihrem System unter
<file>/usr/share/doc/libpam-doc/html/</file> verfügbar, wenn Sie
<package>libpam-doc</package> installieren."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:688
msgid "PAM offers you the possibility to go through several
authentication steps at once, without the user's knowledge. You could
authenticate against a Berkeley database and against the normal
<file>passwd</file> file, and the user only logs in if he authenticates
correct in both. You can restrict a lot with PAM, just as you can open
your system doors very wide. So be careful. A typical configuration line
has a control field as its second element. Generally it should be set to
<tt>requisite</tt>, which returns a login failure if one module fails."
msgstr "PAM bieten Ihnen die Möglichkeit, durch mehrere
Authentifizierungsschritte auf einmal zu gehen, ohne dass der Benutzer
es weiß. Sie können gegen eine Berkeley-Datenbank und gegen die normale
<file>passwd</file>-Datei authentifizieren, und der Benutzer kann sich
nur anmelden, wenn er beide Male korrekt authentifiziert wurde. Sie
können viel einschränken mit PAM, genauso wie Sie Ihr System weit öffnen
können. Seien Sie also vorsichtig. Eine typische Konfigurationszeile hat
ein Kontrollfeld als zweites Element. Generell sollte es auf
<tt>requisite</tt> gesetzt werden, so wird ein Anmeldefehler erzeugt,
wenn eines der Module versagt."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:690
msgid "Password security in PAM"
msgstr "Passwortsicherheit in PAM"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:700
msgid "Review the <file>/etc/pam.d/common-password</file>, included by
<file>/etc/pam.d/passwd</file> <footnote><p>In old Debian releases the
configuration of the modules was defined directly in
<file>/etc/pam.d/passwd</file>.</p></footnote> . This file is included
by other files in <file>/etc/pam.d/</file> to define the behaviour of
password use in subsystems that grant access to services in the machine,
like the console login (<tt>login</tt>), graphical login managers (such
as <tt>gdm</tt> or <tt>lightdm</tt>), and remote login (such as
<tt>sshd</tt>). This definition is"
msgstr "Sehen Sie sich <file>/etc/pam.d/common-password</file> an, die
von <file>/etc/pam.d/passwd</file> eingebunden wird. <footnote>In
früheren Debian-Veröffentlichungen befand sich die Konfiguration der
Module direkt in <file>/etc/pam.d/passwd</file>.</footnote> Andere
Dateien in <file>/etc/pam.d/</file> lesen diese Datei ein, um die
Verwendung eines Passworts durch Programme, die einen Zugriff auf das
System erlauben, wie etwa das Konsolen-Login (<tt>Login</tt>), grafische
Login-Manager (z.B. <tt>Gdm</tt> oder <tt>Lightdm</tt>) und Login aus
der Ferne (etwa mit <tt>Sshd</tt>), zu definieren."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:703
msgid "You have to make sure that the pam_unix.so module uses the
\"sha512\" option to use encrypted passwords. This is the default in
Debian Squeeze."
msgstr "Sie müssen sicherstellen, dass das Modul pam_unix.so die Option
»sha512« verwendet, damit die Passwörter verschlüsselt werden. In Debian
Squeeze ist dies standardmäßig eingerichtet."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:705
msgid "The line with the definition of the pam_unix module will look
something like:"
msgstr "Die Zeile mit der Konfiguration des Moduls pam_unix sollte etwa
so aussehen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:707
#, no-wrap
msgid " password [success=1 default=ignore] pam_unix.so nullok
obscure minlen=8 sha512"
msgstr " password [success=1 default=ignore] pam_unix.so nullok
obscure minlen=8 sha512"
#. type: <p><list>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:711
msgid "This definition:"
msgstr "Dieser Ausdruck"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:716
msgid "Enforces password encryption when storing passwords, using the
SHA-512 hash function (option <em>sha512</em>),"
msgstr "erzwingt die Verschlüsselung von Passwörtern mit der
Hashfunktion SHA-512, wenn sie gespeichert werden (Option <em>sha512</em>),"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:719
msgid "Enables password complexity checks (option <em>obscure</em>) as
defined in the <manref name=\"pam_unix\" section=\"8\"> manpage,"
msgstr "aktiviert die Überprüfung der Komplexität eines Passworts, wie
sie in der Handbuchseite <manref name=\"pam_unix\" section=\"8\">
beschrieben wird (Option <em>obscure</em>),"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:721
msgid "Imposes a minimum password length (option <em>min</em>) of 8."
msgstr "erfordert, dass das Passwort mindestens acht Zeichen lang ist
(Option <em>min</em>)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:727
msgid "You have to ensure that encrypted passwords are used in PAM
applications, since this helps protect against dictionary cracks. Using
encryption also makes it possible to use passwords longer than 8
characters."
msgstr "Sie müssen sicherstellen, dass in PAM-Anwendungen verschlüsselte
Passwörter verwendet werden, weil dies Wörterbuchangriffe erschwert.
Zugleich wird es dadurch möglich, Passwörter mit mehr als acht Zeichen
einzusetzen."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:733
msgid "Since this module is also used to define how passwords are
changed (it is included by <tt>chpasswd</tt>) you can strengthen the
password security in the system by installing
<package>libpam-cracklib</package> and introducing this definition in
the <file>/etc/pam.d/common-password</file> configuration file:"
msgstr "Da mit diesem Modul auch definiert wird, wie Passwörter geändert
werden, weil es von <tt>Chpasswd</tt> eingebunden wird, können Sie die
Passwortsicherheit Ihres Systems erhöhen, indem sie
<package>libpam-cracklib</package> installieren und folgenden Ausdruck
in die Konfigurationsdatei <file>/etc/pam.d/common-password</file>
eintragen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:737
#, no-wrap
msgid ""
" # Be sure to install libpam-cracklib first or you will not be able to
log in\n"
" password required pam_cracklib.so retry=3 minlen=12 difok=3\n"
" password [success=1 default=ignore] pam_unix.so obscure
minlen=8 sha512 use_authok"
msgstr ""
" # Gehen Sie sicher, dass Sie libpam-cracklib zuerst installiert haben,\n"
" # sonst werden Sie sich nicht einloggen können\n"
" password required pam_cracklib.so retry=3 minlen=12 difok=3\n"
" password [success=1 default=ignore] pam_unix.so obscure
minlen=8 sha512 use_authok"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:754
msgid "So, what does this incantation do? The first line loads the
cracklib PAM module, which provides password strength-checking, prompts
for a new password with a minimum size <footnote><p>The <em>minlen</em>
option is not entirely straightforward and is not exactly the number of
characters in the password. A tradeoff can be defined between complexity
and length by adjusting the \"credit\" parameters of different character
classes. For more information read the <manref name=\"pam_cracklib\"
section=\"8\"> manpage.</p></footnote> of 12 characters, and difference
of at least 3 characters from the old password, and allows 3 retries.
Cracklib depends on a wordlist package (such as
<package>wenglish</package>, <package>wspanish</package>,
<package>wbritish</package>, ...), so make sure you install one that is
appropriate for your language or cracklib might not be useful to you at
all."
msgstr "Also, was macht diese Beschwörungsformel nun genau? Die erste
Zeile lädt das PAM-Modul cracklib, welches einen
Passwort-Sicherheitscheck bereitstellt. Es fragt nach einem neuen
Passwort mit mindestens zwölf Zeichen <footnote>Die Option
<em>minlen</em> ist nicht auf Anhieb völlig verständlich, weil sie nicht
die genaue Anzahl der Zeichen eines Passworts ist. Ein Kompromiss
zwischen Komplexität und Länge eines Passworts kann mit dem Parameter
»credit« für verschiedene Arten von Zeichen erreicht werden. Weitere
Informationen finden Sie in der Handbuchseite <manref
name=\"pam_cracklib\" section=\"8\">.</footnote>, einer Differenz von
mindestens drei Zeichen zum alten Passwort und erlaubt drei Versuche.
Cracklib benötigt ein Paket mit Wörterlisten (wie
<package>wngerman</package>, <package>wenglish</package>,
<package>wspanish</package>, ...). Stellen Sie also sicher, dass Sie ein
passendes Paket für Ihre Sprache installiert haben. Ansonsten ist
Cracklib nicht verwendbar."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:760
msgid "The second line (using the pam_unix.so module) is the default
configuration in Debian, as described above, save for the
<em>use_authok</em> option. The <em>use_authok</em> option is required
if pam_unix.so is stacked after pam_cracklib.so, and is used to hand
over the password from the previous module. Otherwise, the user would be
prompted for the password twice."
msgstr "Die zweite Zeile (mit dem Module pam_unix.so) ist – wie
oben beschrieben – der Standard in Debian mit Ausnahme der Option
<em>use_authok</em>. Diese Option ist notwendig, wenn pam_unix.so nach
pam_cracklib.so aufgerufen wird, damit das Passwort vom zuerst
aufgerufenen Modul weitergereicht wird. Anderenfalls muss der Benutzer
sein Passwort zweimal eingegeben."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:765
msgid "For more information about setting up Cracklib, read the <manref
name=\"pam_cracklib\" section=\"8\"> manpage and the article <url
id=\"http://www.deer-run.com/~hal/sysadmin/pam_cracklib.html\";
name=\"Linux Password Security with pam_cracklib\"> by Hal Pomeranz."
msgstr "Weitere Informationen über die Konfiguration von Cracklib finden
Sie in der Handbuchseite <manref name=\"pam_cracklib\" section=\"8\">
und dem Artikel <url
id=\"http://www.deer-run.com/~hal/sysadmin/pam_cracklib.html\";
name=\"Linux Password Security with pam_cracklib\"> von Hal Pomeranz."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:768
msgid "By enabling the cracklib PAM module you setup a policy that
forces uses to use strong passwords."
msgstr "Mit dem PAM-Modul Cracklib richten Sie eine Richtlinie ein,
welche die Verwendung guter Passwörter erzwingt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:780
msgid "Alternatively, you can setup and configure PAM modules to use
double factor authentication such as: <package>libpam-barada</package>,
<package>libpam-google-authenticator</package>,
<package>libpam-oath</package>, <package>libpam-otpw</package>,
<package>libpam-poldi</package>, <package>libpam-usb</package> or
<package>libpam-yubico</package>. The configuration of these modules
would make it possible to access the system using external
authentication mechanisms such as smartcards, external USB keys, or
One-Time-Passwords generated by external applications running, for
example, in the user's mobile phone."
msgstr "Als Alternative können Sie auch PAM-Module einsetzen, die eine
Zwei-Faktor-Authentifizierung verwenden, wie z.B.
<package>libpam-barada</package>,
<package>libpam-google-authenticator</package>,
<package>libpam-oath</package>, <package>libpam-otpw</package>,
<package>libpam-poldi</package>, <package>libpam-usb</package> oder
<package>libpam-yubico</package>. Diese Module ermöglichen es, sich mit
einer externen Authentifizierungsmethode am System anzumelden, etwa mit
einer Chipkarte, einem USB-Stick oder Einmal-Passwörtern, die mit einer
externen Anwendung, z.B. auf einem Mobiltelefon, erzeugt wurden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:785
msgid "Please note that these restrictions apply to all users but
<em>not</em> to the password changes done by the root user. The root
user will be able to set up any password (any length or complexity) for
himself or others regardless of the restrictions defined here."
msgstr "Denken Sie daran, dass diese Einschränkungen alle Benutzer
betreffen <em>außer</em> Änderungen von Passwörtern, die der Benutzer
Root vornimmt. Dieser kann unabhängig von den eingerichteten
Beschränkungen jedes Passwort (in Hinblick auf Länge oder Komplexität)
für sich oder andere Benutzer vergeben."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:787
msgid "User access control in PAM"
msgstr "Kontrolle des Benutzerzugangs in PAM"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:791
msgid "To make sure that the user root can only log into the system from
local terminals, the following line should be enabled in
<file>/etc/pam.d/login</file>:"
msgstr "Um sicher zu stellen, dass sich der Benutzer Root nur an lokalen
Terminals anmelden kann, sollten Sie die folgende Zeile in
<file>/etc/pam.d/login</file> eingefügt werden:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:793
#, no-wrap
msgid " auth requisite pam_securetty.so"
msgstr " auth requisite pam_securetty.so"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:805
msgid "Then you should modify the list of terminals on which direct root
login is allowed in <file>/etc/securetty</file> (as described in <ref
id=\"restrict-console-login\">). Alternatively, you could enable the
<tt>pam_access</tt> module and modify
<file>/etc/security/access.conf</file> which allows for a more general
and fine-tuned access control, but (unfortunately) lacks decent log
messages (logging within PAM is not standardized and is particularly
unrewarding problem to deal with). We'll return to
<file>access.conf</file> a little later."
msgstr "Danach sollten Sie die Liste der Terminals in
<file>/etc/securetty</file> ändern, auf denen sich Root unmittelbar
anmelden darf. Alternativ dazu können Sie auch das
<tt>pam_access</tt>-Modul aktivieren und
<file>/etc/security/access.conf</file> bearbeiten. Dieses Vorgehen
erlaubt eine allgemeinere und feiner abgestimmte Zugangskontrolle,
leider fehlen aber vernünftige Protokollmeldungen (diese sind in PAM
nicht standardisiert und sind ein besonders unbefriedigendes Problem).
Wir werden zu <file>access.conf</file> in Kürze zurückkehren."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:807
msgid "User limits in PAM"
msgstr "Höchstgrenzen für Benutzer in PAM"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:810
msgid "he following line should be enabled in
<file>/etc/pam.d/login</file> to set up user resource limits."
msgstr "Die folgende Zeile sollte in <file>/etc/pam.d/login</file>
aktiviert werden, um den Benutzern Grenzen ihrer Systemressourcen zu
setzen. <!--SB: fix English version -->"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:812
#, no-wrap
msgid " session required pam_limits.so"
msgstr " session required pam_limits.so"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:820
msgid "This restricts the system resources that users are allowed (see
below in <ref id=\"user-limits\">). For example, you could restrict the
number of concurrent logins (of a given group of users, or system-wide),
number of processes, memory size etc."
msgstr "Dies schränkt die Systemressourcen ein, die ein Benutzer nutzen
darf (siehe <ref id=\"user-limits\">). Sie können zum Beispiel die
Anzahl der Logins, die man haben kann, einschränken (für eine Gruppe von
Benutzern oder systemweit), die Anzahl der Prozesse, den belegten
Speicher etc."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:822
msgid "Control of su in PAM"
msgstr "Kontrolle von su in PAM"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:829
msgid "If you want to protect <prgn>su</prgn>, so that only some people
can use it to become root on your system, you need to add a new group
\"wheel\" to your system (that is the cleanest way, since no file has
such a group permission yet). Add root and the other users that should
be able to <prgn>su</prgn> to the root user to this group. Then add the
following line to <file>/etc/pam.d/su</file>:"
msgstr "Wenn Sie <prgn>Su</prgn> schützen möchten, so dass nur manche
Leute es benutzen können, um Root auf Ihrem System zu werden, müssen Sie
eine neue Gruppe »wheel« zu Ihrem System hinzufügen (das ist der
sauberste Weg, da keine Datei solche Gruppenrechte bisher benutzt).
Fügen Sie Root und die anderen Benutzer, die zu Root <prgn>su</prgn>en
können sollen, zu dieser Gruppe. Fügen Sie anschließend die folgende
Zeile zu <file>/etc/pam.d/su/</file> hinzu:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:831
#, no-wrap
msgid " auth requisite pam_wheel.so group=wheel debug"
msgstr " auth requisite pam_wheel.so group=wheel debug"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:838
msgid "This makes sure that only people from the group \"wheel\" can use
<prgn>su</prgn> to become root. Other users will not be able to become
root. In fact they will get a denied message if they try to become root."
msgstr "Dies stellt sicher, dass nur Personen aus der Gruppe »wheel«
<prgn>su</prgn> benutzen können, um Root zu werden. Andere Benutzer wird
es nicht möglich sein, Root zu werden. Tatsächlich werden sie eine
ablehnende Nachricht bekommen, wenn sie versuchen, Root zu werden."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:845
msgid "If you want only certain users to authenticate at a PAM service,
this is quite easy to achieve by using files where the users who are
allowed to login (or not) are stored. Imagine you only want to allow
user 'ref' to log in via <prgn>ssh</prgn>. So you put him into
<file>/etc/sshusers-allowed</file> and write the following into
<file>/etc/pam.d/ssh</file>:"
msgstr "Wenn Sie es nur bestimmten Benutzern erlauben wollen, sich bei
einem PAM-Dienst zu authentifizieren, ist dies sehr leicht zu erreichen,
indem Sie Dateien benutzen, in denen die Nutzer, denen es erlaubt ist,
sich einzuloggen (oder nicht), gespeichert sind. Stellen Sie sich vor,
Sie möchten lediglich dem Nutzer »ref« erlauben, sich mittels
<prgn>ssh</prgn> einzuloggen. Sie schreiben ihn also in eine Datei
<file>/etc/ssh-users-allowed</file> und schreiben das Folgende in
<file>/etc/pam.d/ssh</file>:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:847
#, no-wrap
msgid " auth required pam_listfile.so item=user sense=allow
file=/etc/sshusers-allowed onerr=fail"
msgstr " auth required pam_listfile.so item=user sense=allow
file=/etc/sshusers-allowed onerr=fail"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:851
msgid "Temporary directories in PAM"
msgstr "Temporäre Verzeichnisse in PAM"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:858
msgid "Since there have been a number of so called insecure tempfile
vulnerabilities, thttpd is one example (see <url
id=\"http://www.debian.org/security/2005/dsa-883\"; name=\"DSA-883-1\">),
the <package>libpam-tmpdir</package> is a good package to install. All
you have to do is add the following to
<file>/etc/pam.d/common-session</file>:"
msgstr "Da es eine Reihe von Sicherheitslücken mit so genannten
unsicheren temporären Dateien zum Beispiel in thttpd (vgl. <url
id=\"http://www.debian.org/security/2005/dsa-883\"; name=\"DSA-883-1\">)
gab, lohnt es sich, das Paket <package>libpam-tmpdir</package> zu
installieren. Alles, was Sie machen müssen, ist, Folgendes zu
<file>/etc/pam.d/common-session</file> hinzuzufügen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:860
#, no-wrap
msgid " session optional pam_tmpdir.so"
msgstr " session optional pam_tmpdir.so"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:867
msgid "There has also been a discussion about adding this by default in
Debian configuration, but it s. See <url
id=\"http://lists.debian.org/debian-devel/2005/11/msg00297.html\";> for
more information."
msgstr "Es gab auch eine Diskussion, dies standardmäßig in Debian
einzufügen. Sehen Sie sich <url
id=\"http://lists.debian.org/debian-devel/2005/11/msg00297.html\";> für
weitere Informationen an."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:869
msgid "Configuration for undefined PAM applications"
msgstr "Konfiguration für sonstige PAM-Anwendungen"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:872
msgid "Finally, but not least, create <file>/etc/pam.d/other</file> and
enter the following lines:"
msgstr "Zuletzt, aber nicht am unwichtigsten, erstellen Sie
<file>/etc/pam.d/other</file> mit den folgenden Zeilen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:886
#, no-wrap
msgid ""
" auth required pam_securetty.so\n"
" auth required pam_unix_auth.so\n"
" auth required pam_warn.so\n"
" auth required pam_deny.so\n"
" account required pam_unix_acct.so\n"
" account required pam_warn.so\n"
" account required pam_deny.so\n"
" password required pam_unix_passwd.so\n"
" password required pam_warn.so\n"
" password required pam_deny.so\n"
" session required pam_unix_session.so\n"
" session required pam_warn.so\n"
" session required pam_deny.so"
msgstr ""
" auth required pam_securetty.so\n"
" auth required pam_unix_auth.so\n"
" auth required pam_warn.so\n"
" auth required pam_deny.so\n"
" account required pam_unix_acct.so\n"
" account required pam_warn.so\n"
" account required pam_deny.so\n"
" password required pam_unix_passwd.so\n"
" password required pam_warn.so\n"
" password required pam_deny.so\n"
" session required pam_unix_session.so\n"
" session required pam_warn.so\n"
" session required pam_deny.so"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:892
msgid "These lines will provide a good default configuration for all
applications that support PAM (access is denied by default)."
msgstr "Diese Zeilen stellen für alle Anwendungen, die PAM unterstützen,
eine gute Standard-Konfiguration dar (Zugriff wird standardmäßig
verweigert)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:894
msgid "Limiting resource usage: the <file>limits.conf</file> file"
msgstr "Ressourcen-Nutzung begrenzen: Die Datei <file>limits.conf</file>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:900
msgid "You should really take a serious look into this file. Here you
can define user resource limits. In old releases this configuration file
was <file>/etc/limits.conf</file>, but in newer releases (with PAM) the
<file>/etc/security/limits.conf</file> configuration file should be used
instead."
msgstr "Sie sollten sich wirklich ernsthaft mit dieser Datei
beschäftigen. Hier können Sie Ihren Benutzern Ressourcengrenzen
vorgeben. In alten Veröffentlichungen war die Konfigurationsdatei
<file>/etc/limits.conf</file>. Aber in neueren Versionen (mit PAM)
sollte stattdessen die Konfigurationsdatei
<file>/etc/security/limits.conf</file> benutzt werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:906
msgid "If you do not restrict resource usage, <em>any</em> user with a
valid shell in your system (or even an intruder who compromised the
system through a service or a daemon going awry) can use up as much CPU,
memory, stack, etc. as the system can provide. This <em>resource
exhaustion</em> problem can be fixed by the use of PAM."
msgstr "Wenn Sie die Ressourcennutzung nicht einschränken, kann
<em>jeder</em> Benutzer mit einer gültigen Shell auf Ihrem System (oder
sogar ein Einbrecher, der das System durch einen Dienst kompromittierte,
oder ein außer Kontrolle geratener Daemon) so viel CPU, Speicher, Stack
etc. benutzen, wie das System zur Verfügung stellen kann. Dieses Problem
der <em>Überbeanspruchung von Ressourcen</em> kann mit der Nutzung von
PAM gelöst werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:914
msgid "There is a way to add resource limits to some shells (for
example, <prgn>bash</prgn> has <prgn>ulimit</prgn>, see <manref
name=\"bash\" section=\"1\">), but since not all of them provide the
same limits and since the user can change shells (see <manref
name=\"chsh\" section=\"1\">) it is better to place the limits on the
PAM modules as they will apply regardless of the shell used and will
also apply to PAM modules that are not shell-oriented."
msgstr "Es gibt einen Weg, Ressourcengrenzen zu manchen Shells
hinzuzufügen (zum Beispiel hat <prgn>Bash</prgn> <prgn>ulimit</prgn>,
siehe <manref section=\"1\" name=\"bash\">). Aber da nicht alle die
gleichen Höchstgrenzen zur Verfügung stellen und der Benutzer seine
Shell ändern kann (siehe <manref section=\"1\" name=\"chsh\">), ist es
besser, die Höchstgrenzen in den PAM-Modulen zu platzieren, da diese
unabhängig von der verwendeten Shell Anwendung finden und auch
PAM-Module betreffen, die nicht shellorientiert sind."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:919
msgid "Resource limits are imposed by the kernel, but they need to be
configured through the <file>limits.conf</file> and the PAM
configuration of the different services need to load the appropriate
PAM. You can check which services are enforcing limits by running:"
msgstr "Ressourcengrenzen werden vom Kernel verhängt, aber sie müssen
durch <file>limits.conf</file> konfiguriert werden und die
PAM-Konfiguration der verschiedenen Dienste muss das passende PAM laden.
Sie können herausfinden, welche Dienste Höchstgrenzen durchsetzen, indem
Sie Folgendes ausführen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:921
#, no-wrap
msgid "$ find /etc/pam.d/ \\! -name \"*.dpkg*\" | xargs -- grep limits
|grep -v \":#\""
msgstr "$ find /etc/pam.d/ \\! -name \"*.dpkg*\" | xargs -- grep limits
|grep -v \":#\""
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:929
msgid "Commonly, <file>login</file>, <file>ssh</file> and the graphic
session managers (<file>gdm</file>, <file>kdm</file> or
<file>xdm</file>) should enforce user limits but you might want to do
this in other PAM configuration files, such as <file>cron</file>, to
prevent system daemons from taking over all system resources."
msgstr "Für gewöhnlich setzen <file>Login</file>, <file>Ssh</file> und
die grafischen Sitzungsmanager (<file>Gdm</file>, <file>Kdm</file> und
<file>Xdm</file>) Benutzerhöchstgrenzen durch, aber Sie sollte dies auch
in anderen Konfigurationsdateien für PAM wie für <file>Cron</file>
vornehmen, um zu verhindern, dass Systemdaemonen alle Systemressourcen
aufbrauchen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:931
msgid "The specific limits settings you might want to enforce depend on
your system's resources, that's one of the main reasons why no limits
are enforced in the default installation."
msgstr "Die konkreten Begrenzungen, die Sie festlegen wollen, hängt von
den Ressourcen Ihres Systems ab. Das ist einer der Hauptgründe, warum
keine Höchstgrenzen in der Standardinstallation enthalten sind."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:940
msgid "For example, the configuration example below enforces a 100
process limit for all users (to prevent <em>fork bombs</em>) as well as
a limit of 10MB of memory per process and a limit of 10 simultaneous
logins. Users in the <tt>adm</tt> group have higher limits and can
produce core files if they want to (there is only a <em>soft</em> limit)."
msgstr "So setzt die Konfiguration im Beispiel unten eine Begrenzung von
100 Prozessen für alle Benutzer (um <em>Fork-Bomben</em>
<footnote>Programme, die immer mehr Prozesse erzeugen, um so das System
zum Absturz zu bringen, d.Ü.</footnote> zu vermeiden), eine Begrenzung
auf 10MB Speicher pro Prozess und ein Höchstgrenze von 10 gleichzeitigen
Logins durch. Benutzer in der Gruppe <tt>adm</tt> haben höhere
Begrenzungen und können Dateien mit einem Speicherabbild schreiben, wenn
sie das <!-- SB (20050421): \"can produce core files if they want to\"
--> wollen (es gibt also nur eine <em>weiche</em> Begrenzung)."
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:956
#, no-wrap
msgid ""
"* soft core 0\n"
"* hard core 0\n"
"* hard rss 1000\n"
"* hard memlock 1000\n"
"* hard nproc 100\n"
"* - maxlogins 1\n"
"* hard data 102400\n"
"* hard fsize 2048\n"
"@adm hard core 100000\n"
"@adm hard rss 100000\n"
"@adm soft nproc 2000\n"
"@adm hard nproc 3000\n"
"@adm hard fsize 100000\n"
"@adm - maxlogins 10"
msgstr ""
"* soft core 0\n"
"* hard core 0\n"
"* hard rss 1000\n"
"* hard memlock 1000\n"
"* hard nproc 100\n"
"* - maxlogins 1\n"
"* hard data 102400\n"
"* hard fsize 2048\n"
"@adm hard core 100000\n"
"@adm hard rss 100000\n"
"@adm soft nproc 2000\n"
"@adm hard nproc 3000\n"
"@adm hard fsize 100000\n"
"@adm - maxlogins 10"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:961
msgid "These would be the limits a default user (including system
daemons) would have:"
msgstr "Dies könnten die Höchstgrenzen eines Standardbenutzers
(einschließlich der Systemdaemonen) sein:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:974
#, no-wrap
msgid ""
"$ ulimit -a\n"
"core file size (blocks, -c) 0\n"
"data seg size (kbytes, -d) 102400\n"
"file size (blocks, -f) 2048\n"
"max locked memory (kbytes, -l) 10000\n"
"max memory size (kbytes, -m) 10000\n"
"open files (-n) 1024\n"
"pipe size (512 bytes, -p) 8\n"
"stack size (kbytes, -s) 8192\n"
"cpu time (seconds, -t) unlimited\n"
"max user processes (-u) 100\n"
"virtual memory (kbytes, -v) unlimited"
msgstr ""
"$ ulimit -a\n"
"core file size (blocks, -c) 0\n"
"data seg size (kbytes, -d) 102400\n"
"file size (blocks, -f) 2048\n"
"max locked memory (kbytes, -l) 10000\n"
"max memory size (kbytes, -m) 10000\n"
"open files (-n) 1024\n"
"pipe size (512 bytes, -p) 8\n"
"stack size (kbytes, -s) 8192\n"
"cpu time (seconds, -t) unlimited\n"
"max user processes (-u) 100\n"
"virtual memory (kbytes, -v) unlimited"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:978
msgid "And these are the limits for an administrative user:"
msgstr "Und dies die Höchstgrenzen für einen Administrator:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:991
#, no-wrap
msgid ""
"$ ulimit -a\n"
"core file size (blocks, -c) 0\n"
"data seg size (kbytes, -d) 102400\n"
"file size (blocks, -f) 100000\n"
"max locked memory (kbytes, -l) 100000\n"
"max memory size (kbytes, -m) 100000\n"
"open files (-n) 1024\n"
"pipe size (512 bytes, -p) 8\n"
"stack size (kbytes, -s) 8192\n"
"cpu time (seconds, -t) unlimited\n"
"max user processes (-u) 2000\n"
"virtual memory (kbytes, -v) unlimited"
msgstr ""
"$ ulimit -a\n"
"core file size (blocks, -c) 0\n"
"data seg size (kbytes, -d) 102400\n"
"file size (blocks, -f) 100000\n"
"max locked memory (kbytes, -l) 100000\n"
"max memory size (kbytes, -m) 100000\n"
"open files (-n) 1024\n"
"pipe size (512 bytes, -p) 8\n"
"stack size (kbytes, -s) 8192\n"
"cpu time (seconds, -t) unlimited\n"
"max user processes (-u) 2000\n"
"virtual memory (kbytes, -v) unlimited"
#. type: <p><list>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:995
msgid "For more information read:"
msgstr "Für mehr Informationen hierzu lesen Sie:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1005
msgid "<url
id=\"http://www.samag.com/documents/s=1161/sam0009a/0009a.htm\";
name=\"PAM configuration article\">."
msgstr "<url
id=\"http://www.samag.com/documents/s=1161/sam0009a/0009a.htm\";
name=\"PAM configuration article\">"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1010
msgid "<url
id=\"http://seifried.org/security/os/linux/20020324-securing-linux-step-by-step.html\";
name=\"Seifried's Securing Linux Step by Step\"> on the <em>Limiting
users overview</em> section."
msgstr "<url
id=\"http://seifried.org/security/os/linux/20020324-securing-linux-step-by-step.html\";
name=\"Seifried's Securing Linux Step by Step\"> in dem Abschnitt
<em>Limiting users overview</em>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1013
msgid "<url id=\"http://seifried.org/lasg/users/\"; name=\"LASG\"> in the
<em>Limiting and monitoring users</em> section."
msgstr "<url id=\"http://seifried.org/lasg/users/\"; name=\"LASG\"> in
dem Abschnitt <em>Limiting and monitoring users</em>"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1016
msgid "User login actions: edit <file>/etc/login.defs</file>"
msgstr "Aktionen bei der Benutzeranmeldung: Editieren von
<file>/etc/login.defs</file>"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1025
msgid "The next step is to edit the basic configuration and action upon
user login. Note that this file is not part of the PAM configuration,
it's a configuration file honored by <tt>login</tt> and <tt>su</tt>
programs, so it doesn't make sense tuning it for cases where neither of
the two programs are at least indirectly called (the <prgn>getty</prgn>
program which sits on the consoles and offers the initial login prompt
<em>does</em> invoke <prgn>login</prgn>)."
msgstr "Der nächste Schritt ist es, die grundlegende Konfiguration und
die Aktionen bei der Benutzeranmeldung zu editieren. Beachten Sie, dass
diese Datei kein Bestandteil der PAM-Konfiguration ist. Sie ist eine
Konfigurationsdatei, die von den Programmen <tt>Login</tt> und
<tt>Su</tt> berücksichtigt wird. Es ist also wenig sinnvoll, sie auf
Fälle abzustimmen, in denen keines der beiden Programme wenigstens
indirekt aufgerufen wird (Das Programm <prgn>Getty</prgn>, welches auf
der Konsole läuft und die anfängliche Anmeldeaufforderung zu Verfügung
stellt, <em>ruft</em> <prgn>Login</prgn> auf)."
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1027
#, no-wrap
msgid " FAILLOG_ENAB yes"
msgstr " FAILLOG_ENAB yes"
#. type: </example><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1032
msgid "If you enable this variable, failed logins will be logged. It is
important to keep track of them to catch someone who tries a brute force
attack."
msgstr "Wenn Sie diese Variable einschalten, werden fehlgeschlagene
Anmeldeversuche protokolliert. Es ist wichtig, hier auf dem Laufendem zu
bleiben, um jemanden zu fassen, der eine Brute-Force-Attacke versucht."
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1034
#, no-wrap
msgid " LOG_UNKFAIL_ENAB no"
msgstr " LOG_UNKFAIL_ENAB no"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1044
msgid "If you set this variable to 'yes' it will record unknown
usernames if the login failed. It is best if you use 'no' (the default)
since, otherwise, user passwords might be inadvertenly logged here (if a
user mistypes and they enter their password as the username). If you set
it to 'yes', make sure the logs have the proper permissions (640 for
example, with an appropriate group setting such as adm)."
msgstr "Wenn Sie diese Variable auf »yes« setzen, werden auch unbekannte
Benutzernamen protokolliert, wenn eine Anmeldung scheitert. Es ist zu
empfehlen, sie auf »no« (den Standard) zu belassen, da anderenfalls das
Passwort eines Benutzers aufgezeichnet werden könnte (falls er nämlich
versehentlich anstatt seines Benutzernames sein Passwort eingibt). Falls
Sie sie dennoch auf »yes« setzen, müssen Sie sicher gehen, dass die
Protokolldateien angemessene Zugriffsrechte haben (zum Beispiel 640, mit
einer passenden Gruppen-Zugehörigkeit wie adm)."
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1046
#, no-wrap
msgid " SYSLOG_SU_ENAB yes"
msgstr " SYSLOG_SU_ENAB yes"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1052
msgid "This one enables logging of <prgn>su</prgn> attempts to
<file>syslog</file>. Quite important on serious machines but note that
this can create privacy issues as well."
msgstr "Dies schaltet das Mitprotokollieren von
<prgn>su</prgn>-Versuchen im <file>Syslog</file> ein. Sehr wichtig auf
ernsthaften Maschinen, aber beachten Sie, dass dies auch die
Privatsphäre verletzen kann."
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1054
#, no-wrap
msgid " SYSLOG_SG_ENAB yes"
msgstr " SYSLOG_SG_ENAB yes"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1059
msgid "The same as <var>SYSLOG_SU_ENAB</var> but applies to the
<prgn>sg</prgn> program."
msgstr "Das gleiche wie bei <var>SYSLOG_SU_ENAB</var>, aber für das
Programm <prgn>Sg</prgn>."
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1061
#, no-wrap
msgid " ENCRYPT_METHOD SHA512"
msgstr " ENCRYPT_METHOD SHA512"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1068
msgid "As stated above, encrypted passwords greatly reduce the problem
of dictionary attacks, since you can use longer passwords. This
definition has to be consistent with the value defined in
<file>/etc/pam.d/common-password</file>."
msgstr "Wie bereits erklärt, reduziert eine Verschlüsselung von
Passwörtern die Gefahr von Wörterbuchangriffen erheblich, da Sie längere
Passwörter benutzen können. Diese Definition muss mit dem Wert in
<file>/etc/pam.d/common-password</file> übereinstimmen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1070
msgid "User login actions: edit <file>/etc/pam.d/login</file>"
msgstr "Aktionen bei der Benutzeranmeldung:
<file>/etc/pam.d/login</file> editieren"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1074
msgid "You can adjust the login configuration file to implement an
stricter policy. For example, you can change the default configuration
and increase the delay time between login prompts. The default
configuration sets a 3 seconds delay:"
msgstr "Sie können die Datei zur Konfiguration des Anmeldevorgangs
anpassen, um eine strengere Richtlinie festzuschreiben. Zum Beispiel
können Sie die Wartezeit zwischen zwei Anmeldeversuchen im Vergleich zur
Standardkonfiguration erhöhen. Diese Standardvorgabe setzt eine
Wartezeit von drei Sekunden:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1076
#, no-wrap
msgid "auth optional pam_faildelay.so delay=3000000"
msgstr "auth optional pam_faildelay.so delay=3000000"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1085
msgid "Increasing the <em>delay</em> value to a higher value to make it
harder to use the terminal to log in using brute force. If a wrong
password is typed in, the possible attacker (or normal user!) has to
wait longer seconds to get a new login prompt, which is quite time
consuming when you test passwords. For example, if you set
<em>delay=10000000</em>, users will have to wait 10 seconds if they type
a wrong password."
msgstr "Wenn Sie den Wert von <em>delay</em> erhöhen, wird es
schwieriger, sich durch bloßes Ausprobieren von Passwörtern (brute
force) erfolgreich am Terminal anzumelden. Wenn ein falsches Passwort
eingegeben wird, muss ein möglicher Angreifer (oder ein normaler
Benutzer!) viele Sekunden warten, bis er wieder eine Eingabeaufforderung
erhält, wodurch das Durchprobieren von Passwörtern sehr zeitaufwendig
werden kann. So müssen etwa Benutzer bei <em>delay=10000000</em> zehn
Sekunden warten, wenn sie das falsche Passwort eingeben."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1088
msgid "In this file you can also set the system to present a message to
users before a user logs in. The default is disabled, as shown below:"
msgstr "In dieser Datei können Sie auch einrichten, dass das System dem
Benutzer vor einer Anmeldung eine Nachricht anzeigt. Standardmäßig ist
dies deaktiviert, wie Sie hier sehen können:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1090
#, no-wrap
msgid "# auth required pam_issue.so issue=/etc/issue"
msgstr "# auth required pam_issue.so issue=/etc/issue"
#. type: <p><list>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1106
msgid "If required by your security policy, this file can be used to
show a standard message indicating that access to the system is
restricted and user acess is logged. This kind of disclaimer might be
required in some environments and jurisdictions. To enable it, just
include the relevant information in the <file>/etc/issue</file>
<footnote><p>The default content of this file provides information about
the operating system and version run by the system, which you might not
want to provide to anonymous users.</p></footnote> file and uncomment
the line enabling the pam_issue.so module in
<file>/etc/pam.d/login</file>. In this file you can also enable
additional features which might be relevant to apply local security
policies such as:"
msgstr "Falls es Ihre Sicherheitsrichtlinie erfordert, können Sie mit
dieser Datei eine Standardnachricht, dass der Zugang zum System
beschränkt und der Benutzerzugang protokolliert wird, anzeigen lassen.
Ein solcher Hinweis kann in bestimmten Regionen und nach der jeweiligen
Rechtsprechung notwendig sein. Um dies zu aktivieren, müssen Sie nur die
entsprechende Mitteilung in die Datei <file>/etc/issue</file>
<footnote>Der Standardinhalt dieser Datei enthält Informationen über das
Betriebssystem und dessen Version, die Sie möglicherweise unbekannten
Benutzern nicht mitteilen möchten.</footnote> eintragen und das
Kommentarzeichen in der Zeile in <file>/etc/pam.d/login</file>
entfernen, um das Modul pam_issue.so zu aktivieren. In dieser Datei
können Sie weitere Einstellungen vornehmen, die für Ihre Sicherheit
relevant sein könnten, wie zum Beispiel:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1112
msgid "setting rules for which users can access at which times, by
enabling the <em>pam_time.so</em> module and configuring
<file>/etc/security/time.conf</file> accordingly (disabled by default),"
msgstr "Regeln erstellen, welcher Benutzer zu welchen Zeiten auf das
System zugreifen kann, indem Sie das Modul <em>pam_time.so</em>
aktivieren und <file>/etc/security/time.conf</file> entsprechend
konfigurieren (standardmäßig deaktiviert),"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1115
msgid "setup login sessions to use user limits as defined in
<file>/etc/security/limits.conf</file> (enabled by default),"
msgstr "den Anmeldevorgang so einrichten, dass Benutzerbegrenzungen, die
in <file>/etc/security/limits.conf</file> definiert sind, verwendet
werden (standardmäßig aktiviert),"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1118
msgid "present the user with the information of previous login
information (enabled by default),"
msgstr "dem Benutzer Informationen über die vorangegangene Anmeldung
anzeigen (standardmäßig aktiviert),"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1121
msgid "print a message (<file>/etc/motd</file> and
<file>/run/motd.dynamic</file>) to users after login in (enabled by
default),"
msgstr "nach erfolgter Anmeldung den Benutzern eine Nachricht
(<file>/etc/motd</file> und <file>/run/motd.dynamic</file>) anzeigen
(standardmäßig aktiviert)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1124
msgid "Restricting ftp: editing <file>/etc/ftpusers</file>"
msgstr "Ftp einschränken: bearbeiten von <file>/etc/ftpusers</file>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1131
msgid "The <file>/etc/ftpusers</file> file contains a list of users who
are not allowed to log into the host using ftp. Only use this file if
you really want to allow ftp (which is not recommended in general,
because it uses clear-text passwords). If your daemon supports PAM, you
can also use that to allow and deny users for certain services."
msgstr "Die Datei <file>/etc/ftpusers</file> enthält eine Liste von
allen Benutzern, denen es <em>nicht</em> erlaubt ist, sich auf dem
Rechner mit Ftp einzuloggen. Benutzen Sie diese Datei nur, wenn Sie
wirklich Ftp erlauben wollen (wozu im Allgemeinen nicht geraten wird, da
es Klartext-Passwörter benutzt). Wenn Ihr Ftp-Daemon PAM unterstützt,
können Sie dies ebenfalls benutzen, um Benutzern bestimmte Dienste zu
erlauben oder zu verbieten."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1135
msgid "FIXME (BUG): Is it a bug that the default <file>ftpusers</file>
in Debian does <em>not</em> include all the administrative users (in
<package>base-passwd</package>)."
msgstr "FIXME (FEHLER): Ist es ein Fehler, dass <file>ftpusers</file> in
Debian standardmäßig <em>nicht</em> die Benutzer mit
Administratorenrecht (in <package>base-passwd</package>) beinhaltet?"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1139
msgid "A convenient way to add all system accounts to the
<file>/etc/ftpusers</file> is to run"
msgstr "Folgender Befehl ist ein einfacher Weg, alle Systemkonten zu
<file>/etc/ftpusers</file> hinzuzufügen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1141
#, no-wrap
msgid "$ awk -F : '{if ($3<1000) print $1}' /etc/passwd > /etc/ftpusers"
msgstr "$ awk -F : '{if ($3<1000) print $1}' /etc/passwd > /etc/ftpusers"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1145
msgid "Using su"
msgstr "Verwendung von Su"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1156
msgid "If you really need users to become the super user on your system,
e.g. for installing packages or adding users, you can use the command
<prgn>su</prgn> to change your identity. You should try to avoid any
login as user root and instead use <prgn>su</prgn>. Actually, the best
solution is to remove <prgn>su</prgn> and switch to the
<prgn>sudo</prgn> mechanism which has a broader logic and more features
than <prgn>su</prgn>. However, <prgn>su</prgn> is more common as it is
used on many other Unices."
msgstr "Wenn es wirklich benötigt wird, dass Benutzer der Super-User
(also Root, d.Ü.) auf Ihrem System werden, zum Beispiel um Pakete zu
installieren oder neue Benutzer anzulegen, können Sie das Programm
<prgn>Su</prgn> benutzen, um Ihre Identität zu wechseln. Sie sollten
jeden Login als Benutzer Root vermeiden und stattdessen das Programm
<prgn>Su</prgn> benutzen. Eigentlich ist die beste Lösung,
<prgn>Su</prgn> zu entfernen und zu <prgn>Sudo</prgn> zu wechseln, da es
eine feinere Steuerung und mehr Möglichkeiten bietet als
<prgn>Su</prgn>. Wie auch immer, <prgn>Su</prgn> ist verbreiteter und
wird auf vielen Unices eingesetzt."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1158
msgid "Using sudo"
msgstr "Verwendung von Sudo"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1167
msgid "<prgn>sudo</prgn> allows the user to execute defined commands
under another user's identity, even as root. If the user is added to
<file>/etc/sudoers</file> and authenticates himself correctly, he is
able to run commands which have been defined in
<file>/etc/sudoers</file>. Violations, such as incorrect passwords or
trying to run a program you don't have permission for, are logged and
mailed to root."
msgstr "<prgn>Sudo</prgn> erlaubt es dem Benutzer, ein definiertes
Kommando unter einer anderen Benutzeridentität auszuführen, sogar als
Root. Wenn der Benutzer zu <file>/etc/sudoers</file> hinzugefügt ist und
sich korrekt authentifiziert, ist er in der Lage, Kommandos, die in
<file>/etc/sudoers</file> definiert wurden, auszuführen.
Sicherheitsverletzungen, wie ein inkorrektes Passwort oder der Versuch
ein Programm auszuführen, für das die Rechte nicht ausreichen, werden
protokolliert und an Root gemailt."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1168
msgid "Disallow remote administrative access"
msgstr "Administrativen Fernzugriff verweigern"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1174
msgid "You should also modify <file>/etc/security/access.conf</file> to
disallow remote logins to administrative accounts. This way users need
to invoke <prgn>su</prgn> (or <prgn>sudo</prgn>) to use any
administrative powers and the appropriate audit trace will always be
generated."
msgstr "Sie sollten <file>/etc/security/access.conf</file> ebenfalls so
verändern, dass ein Login aus der Ferne in ein administratives Konto
nicht erlaubt wird. Auf diese Weise müssen Benutzer das Programm
<prgn>Su</prgn> (oder <prgn>Sudo</prgn>) aufrufen, um
Administratorenrechte zu bekommen, so dass es immer eine nachprüfbare
Spur gibt."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1177
msgid "You need to add the following line to
<file>/etc/security/access.conf</file>, the default Debian configuration
file has a sample line commented out:"
msgstr "Sie müssen die folgende Zeile zu Ihrer
<file>/etc/security/access.conf</file> hinzufügen, die Debians
Standardkonfigurationsdatei hat ein Beispiel auskommentiert:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1179
#, no-wrap
msgid " -:wheel:ALL EXCEPT LOCAL"
msgstr " -:wheel:ALL EXCEPT LOCAL"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1186
msgid "Remember to enable the <tt>pam_access</tt> module for every
service (or default configuration) in <file>/etc/pam.d/</file> if you
want your changes to <file>/etc/security/access.conf</file> honored."
msgstr "Vergessen Sie nicht, in <file>/etc/pam.d/</file> das
<tt>pam_access</tt>-Module für jeden Dienst (oder jede
Standardkonfiguration) anzuschalten, wenn Sie wollen, dass Ihre
Änderungen an <file>/etc/security/access.conf</file> berücksichtigt werden."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1188
msgid "Restricting users's access"
msgstr "Den Benutzerzugang einschränken"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1195
msgid "Sometimes you might think you need to have users created in your
local system in order to provide a given service (pop3 mail service or
ftp). Before doing so, first remember that the PAM implementation in
Debian GNU/Linux allows you to validate users with a wide variety of
external directory services (radius, ldap, etc.) provided by the libpam
packages."
msgstr "Manchmal werden Sie denken, dass Sie einen Benutzer auf Ihrem
System erstellen müssen, um einen bestimmten Dienst (Pop3-Mail-Server
oder Ftp) anzubieten. Bevor Sie dies tun, denken Sie zuerst daran, dass
die PAM-Implementierung in Debian GNU/Linux Ihnen erlaubt, Benutzer mit
einer breiten Auswahl von externen Verzeichnisdiensten (Radius, Ldap
etc.) zu bestätigen. Dies wird vom Paket libpam bewerkstelligt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1206
msgid "If users need to be created and the system can be accessed
remotely take into account that users will be able to log in to the
system. You can fix this by giving users a null (<file>/dev/null</file>)
shell (it would need to be listed in <file>/etc/shells</file>). If you
want to allow users to access the system but limit their movements, you
can use the <file>/bin/rbash</file>, equivalent to adding the
<tt>-r</tt> option in <prgn>bash</prgn> (<em>RESTRICTED SHELL</em> see
<manref name=\"bash\" section=\"1\">). Please note that even with
restricted shell, a user that access an interactive program (that might
allow execution of a subshell) could be able to bypass the limits of the
shell."
msgstr "Wenn Sie einen Benutzer anlegen müssen und auf Ihr System aus
der Ferne zugegriffen werden kann, beachten Sie, dass es Benutzern
möglich sein wird, sich einzuloggen. Sie können dies beheben, indem Sie
diesen Benutzern eine Null (<file>/dev/null</file>) als Shell (sie muss
in <file>/etc/shells</file> aufgelistet sein) zuweisen. Wenn Sie den
Benutzern erlauben wollen, auf das System zuzugreifen, aber ihre
Bewegungen einschränken wollen, können Sie <file>/bin/rbash</file>
benutzen. Dies hat das gleiche Ergebnis, wie wenn Sie die <tt>-r</tt>
Option der <prgn>Bash</prgn> (<em>RESTRICTED SHELL</em>, siehe <manref
name=\"bash\" section=\"1\">) verwendet hätten. Beachten Sie bitte, dass
sogar mit einer beschränkten Shell ein Benutzer, der auf ein
interaktives Programm zugreifen kann (das ihm erlaubt, eine Subshell
auszuführen), diese Limitierung der Shell umgehen kann."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1214
msgid "Debian currently provides in the unstable release (and might be
included in the next stable releases) the <file>pam_chroot</file> module
(in the <package>libpam-chroot</package>). An alternative to it is to
<prgn>chroot</prgn> the service that provides remote logging
(<prgn>ssh</prgn>, <prgn>telnet</prgn>).
<footnote><p><package>libpam-chroot</package> has not been yet
thoroughly tested, it does work for <prgn>login</prgn> but it might not
be easy to set up the environment for other programs</p></footnote>"
msgstr "Debian bietet zurzeit in seiner Unstable-Veröffentlichung (und
wird es vielleicht der nächsten Stable-Veröffentlichung hinzufügen) das
Modul <file>pam_chroot</file> (in <package>libpam-chroot</package>) an.
Eine Alternative hierzu ist es, die Dienste, die eine Fernanmeldung
ermöglichen (<prgn>Ssh</prgn> und <prgn>Telnet</prgn>), in einer
<prgn>Chroot</prgn>-Umgebung laufen zu lassen.
<footnote><package>libpam-chroot</package> wurden noch nicht vollständig
getestet. Es funktioniert mit <prgn>Login</prgn>, aber es dürfte nicht
leicht sein, diese Umgebung für andere Programme einzurichten.</footnote>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1218
msgid "If you wish to restrict <em>when</em> users can access the system
you will have to customize <file>/etc/security/access.conf</file> for
your needs."
msgstr "Wenn Sie einschränken wollen, <em>wann</em> ein Benutzer auf das
System zugreifen kann, müssen Sie <file>/etc/security/access.conf</file>
an Ihre Bedürfnisse anpassen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1222
msgid "Information on how to <prgn>chroot</prgn> users accessing the
system through the <prgn>ssh</prgn> service is described in <ref
id=\"chroot-ssh-env\">."
msgstr "Informationen, wie man Benutzer, die auf das System mittels dem
<prgn>Ssh</prgn>-Dienst zugreifen, in eine <prgn>Chroot</prgn>-Umgebung
einsperrt, wird in <ref id=\"chroot-ssh-env\"> beschrieben."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1224
msgid "User auditing"
msgstr "Überprüfen der Benutzer"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1228
msgid "If you are really paranoid you might want to add a system-wide
configuration to audit what the users are doing in your system. This
sections presents some tips using diverse utilities you can use."
msgstr "Wenn Sie wirklich paranoid sind, sollten Sie eine systemweite
Einrichtung verwenden, um zu überwachen, was die Benutzer auf Ihrem
System tun. In diesem Abschnitt werden einige Tipps vorgestellt, wie Sie
verschiedene Werkzeuge verwenden."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1230
msgid "Input and output audit with script"
msgstr "Überwachung von Ein- und Ausgabe mittels eines Skripts"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1236
msgid "You can use the <prgn>script</prgn> command to audit both what
the users run and what are the results of those commands. You cannot
setup <prgn>script</prgn> as a shell (even if you add it to
<file>/etc/shells</file>). But you can have the shell initialization
file run the following:"
msgstr "Um sowohl die von den Benutzern ausführten Programme als auch
deren Ergebnisse zu überwachen, können Sie den Befehl
<prgn>script</prgn> verwenden. Sie können <prgn>script</prgn> nicht als
eine Shell einsetzen (auch dann nicht, wenn Sie es zu
<file>/etc/shells</file> hinzufügen). Aber Sie können in die Datei,
welche den Startvorgang der Shell steuert, folgendes eintragen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1239
#, no-wrap
msgid ""
"umask 077\n"
"exec script -q -a \"/var/log/sessions/$USER\""
msgstr ""
"umask 077\n"
"exec script -q -a \"/var/log/sessions/$USER\""
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1246
msgid "Of course, if you do this system wide it means that the shell
would not continue reading personal initialization files (since the
shell gets overwritten by <prgn>script</prgn>). An alternative is to do
this in the user's initialization files (but then the user could remove
this, see the comments about this below)"
msgstr "Wenn Sie systemweit vornehmen, bedeutet dies natürlich, dass die
Shell die weiteren persönlichen Startdateien nicht abarbeitet (weil die
Shell von <prgn>script</prgn> überschrieben wird). Eine Alternative ist,
die in den Startdateien des Benutzers vorzunehmen (dann kann der
Benutzer aber dies entfernen, vgl. dazu die Anmerkungen unten)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1253
msgid "You also need to setup the files in the audit directory (in the
example <file>/var/log/sessions/</file>) so that users can write to it
but cannot remove the file. This could be done, for example, by creating
the user session files in advance and setting them with the
<em>append-only</em> flag using <prgn>chattr</prgn>."
msgstr "Sie müssen auch die Dateien im Audit-Verzeichnis (im Beispiel
<file>/var/log/sessions/</file>) so einrichten, dass die Benutzer in sie
schreiben können, sie aber nicht löschen können. Dies kann zum Beispiel
bewerkstelligt werden, indem die Sitzungsdateien der Benutzer vorab
erstellt werden und mit <prgn>chattr</prgn> auf <em>append-only</em>
(nur anfügen) gesetzt werden."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1258
msgid "A useful alternative for sysadmins, which includes date
information would be:"
msgstr "Eine sinnvolle Alternative für Systemadministratoren, die auch
Zeitinformationen enthält, ist:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1261
#, no-wrap
msgid ""
"umask 077\n"
"exec script -q -a \"/var/log/sessions/$USER-`date +%Y%m%d`\""
msgstr ""
"umask 077\n"
"exec script -q -a \"/var/log/sessions/$USER-`date +%Y%m%d`\""
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1265
msgid "Using the shell history file"
msgstr "Die Verlaufsdatei der Shell benutzen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1272
msgid "If you want to review what does the user type in the shell (but
not what the result of that is) you can setup a system-wide
<file>/etc/profile</file> that configures the environment so that all
commands are saved into a history file. The system-wide configuration
needs to be setup in such a way that users cannot remove audit
capabilities from their shell. This is somewhat shell specific so make
sure that all users are using a shell that supports this."
msgstr "Wenn Sie auswerten wollen, was die Benutzer in die Shell
eingeben (aber nicht was das Ergebnis ist), können Sie eine systemweite
<file>/etc/profile</file> so einrichten, dass alle Befehle in der
<tt>Verlaufsdatei</tt> gespeichert werden. Die systemweite Einstellung
muss so eingerichtet werden, dass Benutzer die Auditmöglichkeit nicht
aus ihrer Shell entfernen können. Ob dies möglich ist, hängt von der Art
der Shell ab. Sie müssen also sicherstellen, dass alle Benutzer eine
Shell verwenden, die das unterstützt."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1285
msgid "For example, for bash, the <file>/etc/profile</file> could be set
as follows <footnote><p>Setting HISTSIZE to a very large number can
cause issues under some shells since the history is kept in memory for
every user session. You might be safer if you set this to a high-enough
value and backup user's history files (if you need all of the user's
history for some reason)</p></footnote> :"
msgstr "Für die Bash zum Beispiel könnte <file>/etc/profile</file>
folgendermaßen aufgebaut werden <footnote> Wenn HISTSIZE eine sehr große
Zahl zugewiesen wird, kann dies bei einigen Shells zu Problemen führen,
da der Verlauf für jede Sitzung eines Benutzers im Speicher abgelegt
wird. Sie sind auf der sichereren Seite, wenn Sie HISTSIZE auf einen
ausreichend großen Wert setzen und eine Kopie der History-Datei des
Benutzers anlegen (falls Sie aus irgendwelchen Gründen den ganzen
Verlauf von einem Benutzer benötigen). </footnote>:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1299
#, no-wrap
msgid ""
" HISTFILE=~/.bash_history\n"
" HISTSIZE=10000\n"
" HISTFILESIZE=999999\n"
" # Don't let the users enter commands that are ignored\n"
" # in the history file\n"
" HISTIGNORE=\"\"\n"
" HISTCONTROL=\"\"\n"
" readonly HISTFILE\n"
" readonly HISTSIZE\n"
" readonly HISTFILESIZE\n"
" readonly HISTIGNORE\n"
" readonly HISTCONTROL\n"
" export HISTFILE HISTSIZE HISTFILESIZE HISTIGNORE HISTCONTROL"
msgstr ""
" HISTFILE=~/.bash_history\n"
" HISTSIZE=10000\n"
" HISTFILESIZE=999999\n"
" # Verhindert, dass Benutzer Befehle eintragen,\n"
" # die in die Verlaufsdatei ignoriert werden\n"
" HISTIGNORE=\"\"\n"
" HISTCONTROL=\"\"\n"
" readonly HISTFILE\n"
" readonly HISTSIZE\n"
" readonly HISTFILESIZE\n"
" readonly HISTIGNORE\n"
" readonly HISTCONTROL\n"
" export HISTFILE HISTSIZE HISTFILESIZE HISTIGNORE HISTCONTROL"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1310
msgid "For this to work, the user can only append information to
<file>.bash_history</file> file. You need <em>also</em> to set the
<em>append-only</em> option using <prgn>chattr</prgn> program for
<file>.bash_history</file> for all users. <footnote><p>Without the
append-only flag users would be able to empty the contents of the
history file running <tt> > .bash_history</tt></p></footnote>."
msgstr "Damit dies funktioniert, dürfen die Benutzer nur Informationen
zur <file>.bash_history</file>-Datei hinzufügen. Sie müssen daher
<em>zusätzlich</em> die <em>append-only</em>-Option (nur anfügen)
mittels des Programms <prgn>Chattr</prgn> für die
<file>.bash_history</file> aller Benutzer setzen <footnote> Ohne das
Append-Only-Flag wäre es den Benutzern möglich, den Inhalt des Verlaufs
zu löschen, indem sie <tt>> .bash_history</tt> ausführen. </footnote>."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1321
msgid "Note that you could introduce the configuration above in the
user's <file>.profile</file>. But then you would need to setup
permissions properly in such a way that prevents the user from modifying
this file. This includes: having the user's home directories
<em>not</em> belong to the user (since he would be able to remove the
file otherwise) but at the same time enable them to read the
<file>.profile</file> configuration file and write on the
<file>.bash_history</file>. It would be good to set the
<em>immutable</em> flag (also using <prgn>chattr</prgn>) for
<file>.profile</file> too if you do it this way."
msgstr "Beachten Sie, dass Sie obige Konfiguration auch in
<file>.profile</file> des Benutzers eintragen können. Dann müssten Sie
aber die Rechte korrekt vergeben, so dass der Benutzer daran gehindert
ist, diese Datei zu verändern. Dies schließt ein, dass das
Home-Verzeichnis des Benutzers diesem <em>nicht</em> gehört (sonst
könnte er die Datei einfach löschen). Gleichzeitig müsste ihm ermöglicht
werden, die Konfigurationsdatei <file>.profile</file> zu lesen und in
<file>.bash_history</file> zu schreiben. Falls Sie diesen Weg gehen
wollen, wäre es auch gut, das Flag <em>immutable</em> (unveränderbar)
für <file>.profile</file> zu setzen (auch dazu verwenden Sie
<prgn>Chattr</prgn>)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1323
msgid "Complete user audit with accounting utilities"
msgstr "Vervollständigung der Benutzerüberwachung durch
Accounting-Werkzeuge"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1330
msgid "The previous example is a simple way to configure user auditing
but might be not useful for complex systems or for those in which users
do not run shells at all (or exclusively). If this is your case, you
need to look at <package>acct</package>, the accounting utilities. These
utilities will log all the commands run by users or processes in the
system, at the expense of disk space."
msgstr "Die vorherigen Beispiele sind ein einfacher Weg, um die
Überwachung von Benutzern einzurichten. Sie eignen sich aber nicht
unbedingt für komplexe Systeme oder für solche, auf denen die Benutzer
überhaupt keine (oder ausschließlich) Shells am Laufen haben. Sollte
dies der Fall sein, schauen Sie sich das Paket <package>acct</package>
an, das Werkzeuge zur Auswertung (accounting utilities) enthält. Diese
werden alle Kommandos, die ein Benutzer oder ein Prozess auf dem System
ausführt, – auf die Kosten von Plattenplatz – aufzeichnen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1336
msgid "When activating accounting, all the information on processes and
users is kept under <file>/var/account/</file>, more specifically in the
<file>pacct</file>. The accounting package includes some tools
(<prgn>sa</prgn>, <prgn>ac</prgn> and <prgn>lastcomm</prgn>) to analyse
this data."
msgstr "Wenn Sie diese Auswertung aktivieren, werden alle Informationen
über Prozesse und Benutzer unter <file>/var/account/</file> gespeichert,
genauer gesagt in <file>pacct</file>. Das Accounting-Paket schließt
einige Werkzeuge (<prgn>Sa</prgn>, <prgn>Ac</prgn> und
<prgn>Lastcomm</prgn>) zur Analyse dieser Daten ein."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1337
msgid "Other user auditing methods"
msgstr "Andere Methoden zur Benutzerüberwachung"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1350
msgid "If you are completely paranoid and want to audit every user's
command, you could take <prgn>bash</prgn> source code, edit it and have
it send all that the user typed into another file. Or have
<package>ttysnoop</package> constantly monitor any new ttys
<footnote><p>Ttys are spawned for local logins and remote logins through
ssh and telnet</p></footnote> and dump the output into a file. Other
useful program is <package>snoopy</package> (see also <url
id=\"http://sourceforge.net/projects/snoopylogger/\"; name=\"the project
page\">) which is a user-transparent program that hooks in as a library
providing a wrapper around <var>execve()</var> calls, any command
executed is logged to <prgn>syslogd</prgn> using the <tt>authpriv</tt>
facility (usually stored at <file>/var/log/auth.log</file>)."
msgstr "Wenn Sie wirklich paranoid sind und jedes Kommando des Benutzers
protokollieren wollen, können Sie den Quellcode der <prgn>Bash</prgn> so
ändern, dass sie alles, was der Benutzer eingibt, in einer anderen Datei
ablegt. Oder Sie lassen <package>Ttysnoop</package> ununterbrochen jedes
neue tty<footnote>Ttys werden für lokale und entfernte Anmeldungen mit
Ssh und Telnet erzeugt. </footnote> überwachen und die Ausgaben in einer
Datei speichern. Ein anderes nützliches Programm ist
<package>snoopy</package> (vergleichen Sie auch <url
id=\"http://sourceforge.net/projects/snoopylogger/\"; name=\"the project
page\">). Dies ist ein für den Benutzer transparentes Programm, das sich
als eine Bibliothek einhängt und eine Hülle um
<var>execve()</var>-Aufrufe bildet. Jedes ausgeführte Kommando wird im
<prgn>syslogd</prgn> aufgezeichnet, indem die
<tt>authpriv</tt>-Möglichkeit benutzt wird (üblicherweise wird dies
unter <file>/var/log/auth.log</file> gespeichert)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1352
msgid "Reviewing user profiles"
msgstr "Nachprüfung der Benutzerprofile"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1359
msgid "If you want to <em>see</em> what users are actually doing when
they logon to the system you can use the <file>wtmp</file> database that
includes all login information. This file can be processed with several
utilities, amongst them <prgn>sac</prgn> which can output a profile on
each user showing in which timeframe they usually log on to the system."
msgstr "Wenn Sie <em>sehen</em> wollen, was Benutzer tatsächlich tun,
wenn sie sich am System anmelden, können Sie die
<file>wtmp</file>-Datenbank benutzen, die alle Anmeldeinformationen
enthält. Diese Datei kann mit verschiedenen Werkzeugen weiterverarbeitet
werden, unter ihnen <prgn>Sac</prgn>, das ein Profil für jeden Benutzer
ausgeben kann und zeigt, in welchem Zeitfenster sie sich für gewöhnlich
auf dem System anmelden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1363
msgid "In case you have accounting activated, you can also use the tools
provided by it in order to determine when the users access the system
and what do they execute."
msgstr "Für den Fall, dass Sie Accounting aktiviert haben, können Sie
auch die mitgelieferten Werkzeuge verwenden, um festzustellen, wann
Benutzer auf das System zugreifen und was sie ausführen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1365
msgid "Setting users umasks"
msgstr "Umasks der Benutzer einstellen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1369
msgid "Depending on your user policy you might want to change how
information is shared between users, that is, what the default
permissions of new files created by users are."
msgstr "Abhängig von Ihren Richtlinien möchten Sie ändern, wie Benutzer
Informationen untereinander teilen können. Dabei geht es um die
Standardrechte von neu erstellten Dateien."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1375
msgid "Debian's default <tt>umask</tt> setting is <em>022</em> this
means that files (and directories) can be read and accessed by the
user's group and by any other users in the system. This definition is
set in the standard configuration file <file>/etc/profile</file> which
is used by all shells."
msgstr "Das Standardwert von <tt>Umask</tt> ist in Debian <em>022</em>.
Das bedeutet, dass die Gruppe des Benutzers und alle anderen Benutzers
auf dem System die Dateien (und Verzeichnisse) lesen und darauf
zugreifen kann. Dieser Wert wird in der Standardkonfigurationsdatei
<file>/etc/profile</file> gesetzt, die von allen Shells verwendet wird."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1386
msgid "If Debian's default value is too permissive for your system you
will have to change the umask setting for all the shells. More
restrictive umask settings include 027 (no access is allowed to new
files for the <em>other</em> group, i.e. to other users in the system)
or 077 (no access is allowed to new files to the members the user's
group). Debian (by default<footnote><p>As defined in
<file>/etc/adduser.conf</file> (USERGROUPS=yes). You can change this
behaviour if you set this value to no, although it is not
recommended</p></footnote>) creates one group per user so that only the
user is included in its group. Consequently 027 and 077 are equivalent
as the user's group contains only the user himself."
msgstr "Wenn die Standardwerte von Debian für Ihr System zu großzügig
sind, müssen Sie die Umask-Einstellungen für alle Shells ändern.
Strengere Umask-Einstellungen sind 027 (kein Zugriff der Gruppe
<em>other</em> auf neue Dateien, dazu zählen andere Benutzer auf dem
System) oder 077 (kein Zugriff der Mitglieder der Gruppe des Benutzers).
Debian erzeugt (standardmäßig<footnote>Wird in
<file>/etc/adduser.conf</file> festgelegt (USERGROUPS=yes). Sie ändern
dieses Verhalten, wenn Sie den Wert auf »no« setzen. Dies wird aber
nicht empfohlen.</footnote>) für jeden Benutzer eine eigene Gruppe, so
dass das einzige Gruppenmitglied der Benutzer selbst ist. Daher ergibt
sich zwischen 027 und 077 kein Unterschied, da die Benutzergruppe nur
den Benutzer selbst enthält."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1401
msgid "This change is set by defining a proper <tt>umask</tt> setting
for all users. You can change this by introducing an <prgn>umask</prgn>
call in the shell configuration files: <file>/etc/profile</file> (source
by all Bourne-compatible shells), <file>/etc/csh.cshrc</file>,
<file>/etc/csh.login</file>, <file>/etc/zshrc</file> and probably some
others (depending on the shells you have installed on your system). You
can also change the <var>UMASK</var> setting in
<file>/etc/login.defs</file>, Of all of these the last one that gets
loaded by the shell takes precedence. The order is: the default system
configuration for the user's shell (i.e. <file>/etc/profile</file> and
other system-wide configuration files) and then the user's shell (his
<file>~/.profile</file>, <file>~/.bash_profile</file>, etc...). Some
shells, however, can be executed with a <em>nologin</em> value which
might skip sourcing some of those files. See your shell's manpage for
additional information."
msgstr "Dies ändern Sie, indem Sie eine passende <tt>Umask</tt> für alle
Benutzer einstellen. Dazu müssen Sie einen <prgn>umask</prgn>-Aufruf in
den Konfigurationsdateien aller Shells einfügen:
<file>/etc/profile</file> (wird von allen Shells beachtet, die
kompatibel mit Bourne sind), <file>/etc/csh.cshrc</file>,
<file>/etc/csh.login</file>, <file>/etc/zshrc</file> und wahrscheinlich
noch ein paar andere (je nachdem, welche Shells Sie auf Ihrem System
installiert haben). Sie können auch die <var>UMASK</var>-Einstellung in
<file>/etc/login.defs</file> verändern. Von all diesen Dateien erlangt
die letzte, die von der Shell geladen wird, Vorrang. Die Reihenfolge
lautet: die Standard-System-Konfiguration für die Shell des Benutzers
(d.h. <file>/etc/profile</file> und andere systemweite
Konfigurationsdateien) und dann die Shell des Benutzers (seine
<file>~/.profile</file>) und <file>~/.bash_profile</file> etc.).
Allerdings können einige Shells mit dem <em>nologin</em>-Wert ausgeführt
werden, was verhindern kann, dass einige dieser Dateien ausgewertet
werden. Sehen Sie in der Handbuchseite Ihrer Shell für weitere
Informationen nach."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1407
msgid "For connections that make use of <prgn>login</prgn> the UMASK
definition in <file>/etc/login.defs</file> is used before any of the
others. However, that value does not apply to user executed programs
that do not use <prgn>login</prgn> such as those run through
<prgn>su</prgn>, <prgn>cron</prgn> or <prgn>ssh</prgn>."
msgstr "Bei Anmeldungen, die von <prgn>Login</prgn> Gebrauch machen,
erhält die UMASK-Festlegung in <file>/etc/login.defs</file> Vorrang vor
allen anderen Einstellungen. Dieser Wert wird aber nicht von Anwendungen
des Benutzers beachtet, die nicht <prgn>Login</prgn> verwenden, wie z.B.
solche, die durch <prgn>Su</prgn>, <prgn>Cron</prgn> oder
<prgn>Ssh</prgn> ausgeführt werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1413
msgid "Don't forget to review and maybe modify the dotfiles under
<file>/etc/skel/</file> since these will be new user's defaults when
created with the <prgn>adduser</prgn> command. Debian default dotfiles
do not include any <prgn>umask</prgn> call but if there is any in the
dotfiles newly created users might a different value."
msgstr "Vergessen Sie nicht, die Dateien unter <file>/etc/skel/</file>
zu überprüfen und gegebenenfalls anzupassen, da dort die Standards für
Benutzer festgelegt werden, die mit dem Befehl <prgn>adduser</prgn>
erstellt werden. Standardmäßig enthalten die Dateien in Debian keinen
Aufruf von <prgn>umask</prgn>. Wenn sich aber ein solcher in
Konfigurationsdateien befindet, sind neue Benutzer eher geneigt, ihn
ihren Bedürfnissen anzupassen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1417
msgid "Note, however that users can modify their own <tt>umask</tt>
setting if they want to, making it more permissive or more restricted,
by changing their own dotfiles."
msgstr "Beachten Sie allerdings, dass ein Benutzer seine
<tt>Umask</tt>-Einstellung ändern kann, wenn er es möchte, um sie
großzügiger oder einschränkender zu machen, indem er seine
Konfigurationsdateien verändert."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1421
msgid "The <package>libpam-umask</package> package adjusts the users'
default <tt>umask</tt> using PAM. Add the following, after installing
the package, to <file>/etc/pam.d/common-session</file>:"
msgstr "Das Paket <package>libpam-umask</package> passt die
Standard-<tt>Umask</tt> eines Benutzers mit Hilfe von PAM an. Nachdem
Sie das Paket installiert haben, tragen Sie Folgendes in
<file>/etc/pam.d/common-session</file> ein:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1423
#, no-wrap
msgid "session optional pam_umask.so umask=077"
msgstr "session optional pam_umask.so umask=077"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1431
msgid "Finally, you should consider changing root's default 022 umask
(as defined in <file>/root/.bashrc</file>) to a more strict umask. That
will prevent the system administrator from inadvertenly dropping
sensitive files when working as root to world-readable directories (such
as <file>/tmp</file>) and having them available for your average user."
msgstr "Zu guter Letzt sollte Sie in Betracht ziehen, die Standard-Umask
von Root (022, wird in <file>/root/.bashrc</file> festgelegt) auf einen
strengeren Wert zu verändern. Damit kann verhindert werden, dass der
Systemadministrator als Root sensible Dateien in von allen lesbaren
Verzeichnissen (wie z.B. <file>/tmp</file>) ablegt und sie so dem
Durchschnittsbenutzer zugänglich macht."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1433
msgid "Limiting what users can see/access"
msgstr "Beschränken, was Benutzer sehen und worauf sie zugreifen können"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1437
msgid "FIXME: Content needed. Describe the consequences of changing
packages permissions when upgrading (an admin this paranoid should
<prgn>chroot</prgn> his users BTW) if not using
<prgn>dpkg-statoverride</prgn>."
msgstr "FIXME: Inhalt benötigt. Aufzeigen der Folgen beim Upgraden, wenn
die Paketrechte verändert werden, falls nicht
<prgn>dpkg-statoverride</prgn> verwendet wird (übrigens sollte ein
derartig paranoider Administrator seine Benutzer in eine
<prgn>Chroot</prgn>-Umgebung einsperren)."
#. type: <p><list>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1442
msgid "If you need to grant users access to the system with a shell
think about it very carefully. A user can, by default unless in a
severely restricted environment (like a <tt>chroot</tt> jail), retrieve
quite a lot of information from your system including:"
msgstr "Wenn Sie einem Benutzer Zugriff auf das System mit einer Shell
gewähren müssen, sollten Sie vorsichtig sein. Ein Benutzer kann
normalerweise, wenn er sich nicht in einer streng abgeschirmten Umgebung
befindet (z.B. in einem <tt>Chroot</tt>-Gefängnis), ziemlich viel
Informationen über Ihr System sammeln. Darunter fallen:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1451
msgid "some configuration files in <file>/etc</file>. However, Debian's
default permissions for some sensitive files (which might, for example,
contain passwords), will prevent access to critical information. To see
which files are only accessible by the root user for example <tt>find
/etc -type f -a -perm 600 -a -uid 0</tt> as superuser."
msgstr "Einige Konfigurationsdateien unter <file>/etc</file>. Jedoch
werden Debians Standardrechte für sensible Dateien (die zum Beispiel
Passwörter enthalten könnten) den Zugriff auf kritische Informationen
verhindern. Um zu sehen, auf welche Dateien nur der Root-Benutzer
zugreifen kann, führen Sie zum Beispiel <tt>find /etc -type f -a -perm
600 -a -uid 0</tt> als Superuser aus."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1455
msgid "your installed packages, either by looking at the package
database, at the <file>/usr/share/doc</file> directory or by guessing by
looking at the binaries and libraries installed in your system."
msgstr "Ihre installierten Pakete. Indem man die Paket-Datenbank und das
<file>/usr/share/doc</file>-Verzeichnis ansieht, oder indem man mit
Hilfe der auf Ihrem System installierten Binaries und Bibliotheken
versucht zu raten."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1461
msgid "some log files at <file>/var/log</file>. Note also that some log
files are only accessible to root and the <tt>adm</tt> group (try
<tt>find /var/log -type f -a -perm 640</tt>) and some are even only
available to the root user (try <tt>find /var/log -type f -a -perm 600
-a -uid 0</tt>)."
msgstr "Einige Protokolle unter <file>/var/log</file>. Beachten Sie,
dass auf einige Protokolle nur Root und die <tt>adm</tt>-Gruppe
zugreifen kann (versuchen Sie <tt>find /var/log -type f -a -perm
640</tt>). Manche sind sogar ausschließlich für Root verfügbar (sehen
Sie sich <tt>find /var/log -type f -a -perm 600 -a -uid 0</tt> an)."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1466
msgid "What can a user see in your system? Probably quite a lot of
things, try this (take a deep breath):"
msgstr "Was kann ein Benutzer von Ihrem System sehen? Wahrscheinlich
ziemlich viele Sachen, versuchen Sie mal Folgendes (und jetzt tief
durchatmen):"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1469
#, no-wrap
msgid ""
" find / -type f -a -perm +006 2>/dev/null \n"
" find / -type d -a -perm +007 2>/dev/null"
msgstr ""
" find / -type f -a -perm +006 2>/dev/null \n"
" find / -type d -a -perm +007 2>/dev/null"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1474
msgid "The output is the list of files that a user can <em>see</em> and
the directories to which he has access."
msgstr "Was Sie sehen, ist eine Liste von allen Dateien, die ein
Benutzer <em>einsehen</em> kann, und von den Verzeichnissen, auf die er
Zugriff hat."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1476
msgid "Limiting access to other user's information"
msgstr "Begrenzung des Zugangs zu Informationen anderer Benutzer"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1482
msgid "If you still grant shell access to users you might want to limit
what information they can view from other users. Users with shell access
have a tendency to create quite a number of files under their $HOMEs:
mailboxes, personal documents, configuration of X/GNOME/KDE applications..."
msgstr "Wenn Sie immer noch Benutzern einen Shellzugang zur Verfügung
stellen wollen, sollten Sie die Informationen begrenzen, die man über
anderen Benutzern einholen kann. Benutzer mit einer Shell haben die
Neigung, eine ziemlich große Anzahl von Dateien in ihrem $HOME zu
erstellen: Mailboxen, persönliche Daten, Konfigurationen für
X/GNOME/KDE-Anwendungen ..."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1490
msgid "In Debian each user is created with one associated group, and no
two users belong to the same group. This is the default behavior: when
an user account is created, a group of the same name is created too, and
the user is assigned to it. This avoids the concept of a common
<em>users</em> group which might make it more difficult for users to
hide information from other users."
msgstr "In Debian wird jeder Benutzer mit einer zugehörigen Gruppe
erstellt. Verschiedene Benutzer gehören dabei nie zur selben Gruppe.
Folgendes ist das Standardverhalten: Wenn ein Benutzerkonto angelegt
wird, wird auch eine Gruppe mit dem gleichen Namen erstellt. Dieser
Gruppe wird der Benutzer zugewiesen. Damit wird die Idee einer
allgemeinen <em>users</em>-Gruppe überflüssig, die es Benutzern
erschweren könnte, Informationen vor anderen Benutzern zu verstecken."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1495
msgid "However, users' <var>$HOME</var> directories are created with
0755 permissions (group-readable and world-readable). The group
permissions is not an issue since only the user belongs to the group,
however the world permissions might (or might not) be an issue depending
on your local policy."
msgstr "Allerdings wird das <var>$HOME</var>-Verzeichnis der Benutzer
mit 0755-Rechten (lesbar von der Gruppe, lesbar von der Welt) erstellt.
Die Rechte für die Gruppe sind kein Thema, da nur der Benutzer zu dieser
Gruppe gehört. Allerdings könnten die Rechte für die Welt ein Problem
darstellen, wobei dies von Ihren lokalen Richtlinien abhängt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1500
msgid "You can change this behavior so that user creation provides
different <var>$HOME</var> permissions. To change the behavior for
<em>new</em> users when they get created, change <em>DIR_MODE</em> in
the configuration file <file>/etc/adduser.conf</file> to 0750 (no
world-readable access)."
msgstr "Sie können dieses Verhalten so abändern, dass das Erstellen
eines Benutzers andere Rechte für <var>$HOME</var> liefert. Um dieses
Verhalten für <em>neue</em> Benutzer zu ändern, wenn sie erstellt
werden, ändern Sie in der Konfigurationsdatei
<file>/etc/adduser.conf</file> <em>DIR_MODE</em> auf 0750 (nicht lesbar
für die Welt) ab."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1503
msgid "Users can still share information, but not directly in their
<var>$HOME</var> directories unless they change its permissions."
msgstr "Benutzer können immer noch Informationen austauschen, aber nicht
mehr unmittelbar in ihrem <var>$HOME</var>-Verzeichnis, es sei denn,
dass sie dessen Recht verändert haben."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1517
msgid "Note that disabling world-readable home directories will prevent
users from creating their personal web pages in the
<file>~/public_html</file> directory, since the web server will not be
able to read one component in the path - namely their <var>$HOME</var>
directory. If you want to permit users to publish HTML pages in their
<file>~/public_html</file>, then change <em>DIR_MODE</em> to 0751. This
will allow the web server to access the final <file>public_html</file>
directory (which itself should have a mode of 0755) and provide the
content published by users. Of course, we are only talking about a
default configuration here; users can generally tune modes of their own
files completely to their liking, or you could keep content intended for
the web in a separate location which is not a subdirectory of user's
<var>$HOME</var> directory."
msgstr "Wenn Sie den Lesezugriff auf die Home-Verzeichnisse für die Welt
verhindert, sollten Sie beachten, dass dann Benutzer ihre persönlichen
Webseiten nicht unter <file>~/public_html</file> erstellen können, da
der Webserver einen Teil des Pfads nicht lesen kann – und zwar das
<var>$HOME</var>-Verzeichnis. Wenn Sie es Benutzern erlauben wollen,
ihre HTML-Seiten in ihrem <file>~/public_html</file> zu veröffentlichen,
sollten Sie <em>DIR_MODE</em> auf 0751 setzen. Das ermöglicht dem
Webserver Zugang zum <file>public_html</file>-Verzeichnis <!--SB
(20050304): Übersetzung von \"the final <file>public_html</file>
directory\"? Final=endgültig? --> (welches selber die Rechte 0755 haben
sollte). So kann er den von den Benutzern veröffentlichten Inhalt
anbieten. Natürlich sprechen wir hier nur über die Standardeinstellung.
Benutzer können grundsätzlich die Rechte für ihre eigenen Dateien nach
ihrem Gutdünken vergeben. Oder Sie können die Dinge, die für das Web
bestimmt sind, in einem getrennten Ort ablegen, der kein
Unterverzeichnis vom <var>$HOME</var>-Verzeichnis des Benutzers ist."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1519
msgid "Generating user passwords"
msgstr "Erstellen von Benutzerpasswörtern"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1535
msgid "There are many cases when an administrator needs to create many
user accounts and provide passwords for all of them. Of course, the
administrator could easily just set the password to be the same as the
user's account name, but that would not be very sensitive security-wise.
A better approach is to use a password generating program. Debian
provides <package>makepasswd</package>, <package>apg</package> and
<package>pwgen</package> packages which provide programs (the name is
the same as the package) that can be used for this purpose.
<prgn>Makepasswd</prgn> will generate true random passwords with an
emphasis on security over pronounceability while <prgn>pwgen</prgn> will
try to make meaningless but pronounceable passwords (of course this
might depend on your mother language). <prgn>Apg</prgn> has algorithms
to provide for both (there is a client/server version for this program
but it is not included in the Debian package)."
msgstr "In vielen Fällen muss ein Administrator viele Benutzerkonten
erstellen und alle mit Passwörtern ausstatten. Der Administrator könnte
natürlich einfach als Passwort den Namen des Benutzerkontos vergeben.
Dies wäre aber unter Sicherheitsgesichtspunkten nicht sehr klug. Ein
besseres Vorgehen ist es, ein Programm zur Erzeugung von Passwörtern zu
verwenden. Debian stellt die Pakete <package>makepasswd</package>,
<package>apg</package> und <package>pwgen</package> zur Verfügung, die
Programme liefern (deren Name ist der gleiche wie der des Pakets), die
zu diesem Zweck verwendet werden können. <prgn>Makepasswd</prgn> erzeugt
wirklich zufällige Passwörter, gibt also der Sicherheit gegenüber der
Aussprechbarkeit den Vorzug. Dagegen versucht <prgn>pwgen</prgn>,
bedeutungslose, aber aussprechbare Passwörter herzustellen (dies hängt
natürlich auch von Ihrer Muttersprache ab). <prgn>Apg</prgn> liefert
Algorithmen für beide Möglichkeiten (Es gibt auch eine
Client/Server-Version dieses Programms. Diese befindet sich aber nicht
im Debian-Paket)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1550
msgid "<prgn>Passwd</prgn> does not allow non-interactive assignation of
passwords (since it uses direct tty access). If you want to change
passwords when creating a large number of users you can create them
using <prgn>adduser</prgn> with the <tt>--disabled-login</tt> option and
then use <prgn>usermod</prgn> or <prgn>chpasswd</prgn>
<footnote><p><prgn>Chpasswd</prgn> cannot handle MD5 password generation
so it needs to be given the password in encrypted form before using it,
with the <tt>-e</tt> option.</p></footnote> (both from the
<package>passwd</package> package so you already have them installed).
If you want to use a file with all the information to make users as a
batch process you might be better off using <prgn>newusers</prgn>."
msgstr "<prgn>Passwd</prgn> erlaubt nur die interaktive Zuweisung von
Passwörtern (da es direkt den tty-Zugang benutzt). Wenn Sie Passwörter
ändern wollen, wenn Sie eine große Anzahl von Benutzern erstellen,
können Sie diese unter der Verwendung von <prgn>adduser</prgn> mit der
<tt>--disabled-login</tt>-Option erstellen, und danach
<prgn>usermod</prgn> oder <prgn>chpasswd</prgn> <footnote>
<prgn>Chpasswd</prgn> kann keine MD5-Passwörter erzeugen. Daher muss ihm
das Passwort in verschlüsselter Form übergeben werden, bevor es mit der
<tt>-e</tt>-Option verwendet werden kann. </footnote> benutzen (beide
Programme stammen aus dem <package>passwd</package>-Paket. Sie haben sie
also schon installiert). Wenn Sie lieber eine Datei verwenden, die alle
Informationen zur Erstellung von Benutzern als Batch-Prozess enthält,
sind Sie vielleicht mit <prgn>newusers</prgn> besser dran."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1552
msgid "Checking user passwords"
msgstr "Kontrolle der Benutzerpasswörter"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1564
msgid "User passwords can sometimes become the <em>weakest link</em> in
the security of a given system. This is due to some users choosing weak
passwords for their accounts (and the more of them that have access to
it the greater the chances of this happening). Even if you established
checks with the cracklib PAM module and password limits as described in
<ref id=\"auth-pam\"> users will still be able to use weak passwords.
Since user access might include remote shell access (over
<prgn>ssh</prgn>, hopefully) it's important to make password guessing as
hard as possible for the remote attackers, especially if they were
somehow able to collect important information such as usernames or even
the <file>passwd</file> and <file>shadow</file> files themselves."
msgstr "Die Passwörter der Benutzer sind manchmal die <em>schwächste
Stelle</em> der Sicherheit eines Systems. Das liegt daran, dass manche
Benutzer schwache Passwörter für ihr Konto wählen (und je mehr Benutzer
Zugang zum System haben, umso größer die Chance, dass das passiert).
Selbst wenn Sie Überprüfungen mit dem PAM-Module cracklib und Grenzen
für Passwörter einsetzen, wie in <ref id=\"auth-pam\"> beschrieben wird,
ist es Benutzern immer noch möglich, schwache Passwörter zu verwenden.
Da der Zugang der Benutzer auch den Zugang aus der Ferne (hoffentlich
über <prgn>Ssh</prgn>) umfassen kann, ist es wichtig, dass das Erraten
von Passwörtern für entfernte Angreifer so schwierig wie möglich ist.
Dies gilt insbesondere dann, wenn es ihnen gelungen sein sollte, Zugang
zu wichtigen Informationen wie den Benutzernamen oder sogar den Dateien
<file>passwd</file> und <file>shadow</file> selbst zu bekommen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1569
msgid "A system administrator must, given a big number of users, check
if the passwords they have are consistent with the local security
policy. How to check? Try to crack them as an attacker would if he had
access to the hashed passwords (the <file>/etc/shadow</file> file)."
msgstr "Ein Systemadministrator muss bei einer großen Anzahl von
Benutzern überprüfen, ob deren Passwörter mit den lokalen
Sicherheitsrichtlinien in Einklang stehen. Und wie überprüft man das?
Indem man versucht, sie wie ein Angreifer zu knacken, der Zugriff auf
die gehashten Passwörter hat (also auf die Datei <file>/etc/shadow</file>)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1579
msgid "An administrator can use <package>john</package> or
<package>crack</package> (both are brute force password crackers)
together with an appropriate wordlist to check users' passwords and take
appropriate action when a weak password is detected. You can search for
Debian GNU packages that contain word lists using <prgn>apt-cache search
wordlist</prgn>, or visit the classic Internet wordlist sites such as
<url id=\"ftp://ftp.ox.ac.uk/pub/wordlists\";> or <url
id=\"ftp://ftp.cerias.purdue.edu/pub/dict\";>."
msgstr "Ein Administrator kann <package>john</package> oder
<package>crack</package> (beide benutzen Brute-Force (rohe Gewalt) zum
Knacken von Passwörtern) zusammen mit einer passenden Wörterliste
verwenden, um die Passwörter der Benutzer zu überprüfen, und falls ein
schlechtes Passwort entdeckt wird, geeignete Schritte unternehmen. Sie
können mit <prgn>apt-cache search wordlist</prgn> nach
Debian/GNU-Paketen suchen, die Wörterlisten enthalten, oder Sie besuchen
die klassischen Internetseiten mit Wörterlisten wie <url
id=\"ftp://ftp.ox.ac.uk/pub/wordlists\";> oder <url
id=\"ftp://ftp.cerias.purdue.edu/pub/dict\";>."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1581
msgid "Logging off idle users"
msgstr "Abmelden von untätigen Benutzern"
#. type: <p><list>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1586
msgid "Idle users are usually a security problem, a user might be idle
maybe because he's out to lunch or because a remote connection hung and
was not re-established. For whatever the reason, idle users might lead
to a compromise:"
msgstr "Untätige (idle) Benutzer stellen für gewöhnlich ein
Sicherheitsproblem dar. Ein Benutzer kann untätig sein, da er
Mittagessen ist, oder weil eine entfernte Verbindung hängen blieb und
nicht wieder hergestellt wurde. Unabhängig von den Gründen können
untätige Benutzer zu einer Kompromittierung führen:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1590
msgid "because the user's console might be unlocked and can be accessed
by an intruder."
msgstr "weil die Konsole des Benutzers vielleicht nicht verriegelt ist
und damit ein Eindringling darauf zugreifen kann."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1594
msgid "because an attacker might be able to re-attach himself to a
closed network connection and send commands to the remote shell (this is
fairly easy if the remote shell is not encrypted as in the case of
<prgn>telnet</prgn>)."
msgstr "weil ein Angreifer an eine schon beendete Netzwerkverbindung
anknüpfen und Befehle an die entfernte Shell schicken kann (das ist
ziemlich einfach, wenn die entfernte Shell, wie bei <prgn>Telnet</prgn>,
nicht verschlüsselt ist)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1599
msgid "Some remote systems have even been compromised through an idle
(and detached) <prgn>screen</prgn>."
msgstr "In einige entfernte System wurde sogar schon durch ein untätiges
(und abgelöstes) <prgn>Screen</prgn> eingedrungen."
#. type: <p><list>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1602
msgid "Automatic disconnection of idle users is usually a part of the
local security policy that must be enforced. There are several ways to
do this:"
msgstr "Die automatische Trennung von untätigen Benutzern ist gewöhnlich
ein Teil der lokalen Sicherheitsrichtlinie, die durchgesetzt werden
muss. Es gibt mehrere Wege, dies zu tun:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1609
msgid "If <prgn>bash</prgn> is the user shell, a system administrator
can set a default <tt>TMOUT</tt> value (see <manref name=\"bash\"
section=\"1\">) which will make the shell automatically log off remote
idle users. Note that it must be set with the <tt>-o</tt> option or
users will be able to change (or unset) it."
msgstr "Wenn die Shell des Benutzers die <prgn>Bash</prgn> ist, kann ein
Systemadministrator <tt>TMOUT</tt> einen Standardwert zuweisen
(vergleich <manref section=\"1\" name=\"bash\">). Das hat zur Folge,
dass die Shell automatisch entferne untätige Benutzer abmeldet. Beachten
Sie, dass der Wert mit der Option <tt>-o</tt> gesetzt werden muss.
Ansonsten ist es den Benutzern möglich, ihn zu verändern (oder zu löschen)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1616
msgid "Install <package>timeoutd</package> and configure
<file>/etc/timeouts</file> according to your local security policy. The
daemon will watch for idle users and time out their shells accordingly."
msgstr "Installieren Sie <package>Timeoutd</package> und konfigurieren
Sie <file>/etc/timeouts</file> passend zu Ihren lokalen
Sicherheitsrichtlinien. Der Daemon achtet auf untätige Benutzer und
beendet gegebenenfalls ihre Shells."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1618
msgid "Install <package>autolog</package> and configure it to remove
idle users."
msgstr "Installieren Sie <package>Autolog</package> und richten Sie es
so ein, dass es untätige Benutzer entfernt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:1626
msgid "The <prgn>timeoutd</prgn> or <prgn>autolog</prgn> daemons are the
preferred method since, after all, users can change their default shell
or can, after running their default shell, switch to another
(uncontrolled) shell."
msgstr "Vorzugswürdige Methoden sind die Daemonen <prgn>Timeoutd</prgn>
oder <prgn>Autolog</prgn>, da letzten Endes die Benutzer ihre
Standardshell ändern können oder zu einer anderen (unbeschränkten) Shell
wechseln können, nachdem sie ihre Standardshell gestartet haben."
Reply to: