[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [RFR] Securing Debian Manual de/after-install.sgml

Hallo Simon,
On Mon, Dec 23, 2013 at 09:54:59PM +0100, Simon Brandmair wrote:
> ich habe mich dran gemacht, die Übersetzung des Securing Debian Manuals
> [1] wieder auf Vordermann zu bringen. Ich hoffe, es ist in Ordnung, wenn
> ich die Aktualisierungen dateiweise einreiche.
> 
> Hier das Diff zu de/after-install.sgml.
> 
> Schöne Feiertage,
> Simon
> 
> 
> [1] http://www.debian.org/doc/user-manuals#securing

Dann schauen wir mal:

Index: after-install.sgml
===================================================================
--- after-install.sgml	(revision 10339)
+++ after-install.sgml	(working copy)
 @@ -92,13 +78,17 @@
 <p>Wenn Sie dies erledigt haben, stehen Ihnen zahlreiche Werkzeuge zur
 Verfügung, mit denen Sie Ihr System aktualisieren können. Wenn Sie ein
 Desktop-System einsetzen, können Sie eine Anwendung mit dem Namen
-<prgn>update-notifier</prgn> verwenden<footnote>Ab <em>Etch</em> und den
-folgenden Veröffentlichungen.</footnote>, die Sie auf neue Aktualisierungen
-aufmerksam macht. Damit können Sie Ihr System auch über den Desktop auf den
-neusten Stand bringen (mit <prgn>update-manager</prgn>). Für den Desktop können
-Sie auch <package>synaptic</package>, <package>kpackage</package> oder
-<package>adept</package> einsetzen, die einen größeren Funktionsumfang
-aufweisen. Wenn Sie auf einem textbasierten Terminal arbeiten, stehen Ihnen
+<prgn>update-notifier</prgn> verwenden<footnote>Ab <em>Etch</em> und
+den folgenden Veröffentlichungen.</footnote>, mit dem Sie leicht

s/Veröffentlichungen./Veröffentlichungen/
s/mit dem/mit der/

+prüfen können, ob neue Aktualisierung verfügbar sind. Damit können Sie
+Ihr System auch über den Desktop auf den neusten Stand bringen
+(mit <prgn>update-manager</prgn>). Weitere Informationen finden Sie
+unter <ref id="update-desktop">. Für den Desktop können Sie
+auch <package>synaptic</package> (GNOME), <package>kpackage</package>
+oder
+<package>adept</package> (KDE) einsetzen, die einen größeren
+Funktionsumfang aufweisen. Wenn Sie auf einem textbasierten Terminal
+arbeiten, stehen Ihnen
 <package>aptitude</package>, <package>apt</package> und
 <package>dselect</package>, wobei letzteres veraltet ist, zur Verfügung:
 
@@ -152,7 +132,7 @@
 verwenden:<footnote>Je nach der Version von lsof müssen Sie $8 statt $9 verwenden.</footnote>
 
 <example>
-# lsof | grep &lt;aktualisierte_Bibliothek&gt; | awk '{print $1, $9}' | uniq | sort +0
+# lsof | grep &lt;the_upgraded_library&gt; | awk '{print $1, $9}' | uniq | sort -k 1
 </example>

Warum nimmst Du die Übersetzung hier raus?
(»aktualisierte_Bibliothek«)?
 
 <p>Einige Pakete (wie <package>libc6</package>) werden diesen Test in der
@@ -211,16 +191,16 @@
 von 2.4 auf 2.6 aktualisieren (oder von 2.4.26 auf 2.4.27
 <footnote>
 Es sei denn, Sie haben ein Kernel-Metapaket wie
-<package>kernel-image-2.4-686</package> installiert, welches immer die neueste
+<package>linux-image-2.6-686</package> installiert, welches immer die neueste
 Minor-Version des Kernels einer Architektur installieren wird.
 </footnote>).
 
-<p>Das Installationssystem von Debian 3.1 wird den gewählten Kernel (2.4 oder
-2.6) als Teil des Paketsystems behandeln. Sie können überprüfen, welche Kernel
-Sie installiert haben:
+<p>Das Installationssystem der aktuellen Debian-Veröffentlichung wird

s/der aktuellen Debian-Veröffentlichung/von aktuellen
Debian-Veröffentlichungen/

+den gewählten Kernel als Teil des Paketsystems behandeln. So können
+Sie überprüfen, welche Kernel Sie installiert haben:
 
 <example>
-  $ COLUMNS=150 dpkg -l 'kernel-image*' | awk '$1 ~ /ii/ { print $0 }'
+$ COLUMNS=150 dpkg -l 'linux-image*' | awk '$1 ~ /ii/ { print $0 }'
 </example>
 
 <p>Um festzustellen, ob Ihr Kernel aktualisiert werden muss, führen Sie
@@ -230,12 +210,12 @@
 $ kernfile=`readlink -f /vmlinuz`
 $ kernel=`dpkg -S $kernfile | awk -F : '{print $1}'`
 $ apt-cache policy $kernel
-kernel-image-2.4.27-2-686:
-  Installed: 2.4.27-9
-  Candidate: 2.4.27-9
-  Version Table:
- *** 2.4.27-9 0
-(...)
+linux-image-2.6.18-4-686:
+  Installed: 2.6.18.dfsg.1-12
+  Candidate: 2.6.18.dfsg.1-12
+  Version table:
+ *** 2.6.18.dfsg.1-12 0
+        100 /var/lib/dpkg/status
 </example>
 
Ich würde die Ausgabe auch Übersetzen, da der Leser wahrscheinlich ein
deutschprachiges System benutzt, in der die Ausgabe auch übersetzt
ist.

 <p>Wenn Sie eine Sicherheitsaktualisierung durchführen, die auch das
@@ -290,18 +269,17 @@
 
 <p>Erinnern Sie sich an <ref id="bios-passwd">? Nun, jetzt sollten Sie, nachdem
 Sie nicht mehr von austauschbaren Datenträgern booten müssen, die
-Standard-BIOS-Einstellung so umändern, dass es <em>ausschließlich</em> von
+Standard-BIOS-Einstellung umändern, so dass das System <em>ausschließlich</em> von
 der Festplatte bootet. Gehen Sie sicher, dass Sie Ihr BIOS-Passwort nicht
 verlieren, oder Sie werden nicht mehr ins
-BIOS zurückkehren können, um die Einstellung wieder zu ändern, so
-dass Sie im Falle eines Festplattenfehlers Ihr System wiederherstellen können, indem Sie zum Beispiel eine
+BIOS zurückkehren können, um die Einstellung wieder zu ändern, damit Sie im Falle eines Festplattenfehlers Ihr System wiederherstellen können, indem Sie zum Beispiel eine
 CD-ROM benutzen.
 
 <p>Eine andere, weniger sichere, aber bequemere Möglichkeit ist es, das BIOS
-so einzustellen, dass es von der Festplatte bootet, und nur falls dies
-fehlschlägt versucht, von austauschbaren Datenträgern zu booten.
+so einzustellen, dass das System von der Festplatte bootet, und falls dies
+fehlschlägt zu versuchen, von austauschbaren Datenträgern zu booten.

Hier finde ich den ursprüngelichen Text deutlich besser.

 Übrigens wird dies oft so gemacht, weil viele Leute ihr BIOS-Passwort
-nur selten benutzen, so dass sie es zu leicht vergessen.
+nur selten benutzen, so dass sie es leicht vergessen.
 
 <sect id="lilo-passwd">Ein Passwort für LILO oder GRUB einstellen
 <p>
@@ -438,15 +416,21 @@
 <p>Manche Sicherheitsregelwerke könnten Administratoren dazu zwingen,
 sich erst als Benutzer mit ihrem Passwort auf dem System einzuloggen, und
 dann Superuser zu werden (mit <prgn>su</prgn> oder <prgn>sudo</prgn>).
-Solche eine Policy ist in Debian in der Datei
-<file>/etc/login.defs</file> oder <file>/etc/securetty</file> (falls Sie
+Solche eine Policy ist in Debian in den Dateien
+<file>/etc/pam.d/login</file> und <file>/etc/securetty</file> (falls Sie
 PAM verwenden) implementiert.

Warum übersetzt Du »Policy« nicht?
 
 <list>
 
-<item>In <file>login.defs</file> ändern Sie die CONSOLE-Variable,
-die eine Datei oder eine Liste von Terminals definiert, an denen sich
-Root einloggen darf.
+<item>Die Datei <file>/etc/pam.d/login</file>
+<footnote>In älteren Debian-Veröffentlichungen müssen Sie in der
+Datei <file>login.defs</file> ie CONSOLE-Variable ändern. die eine

s/ ie / die/
s/ändern./ändern,/

+Datei oder eine Liste von Terminals definiert, an denen sich Root
+einloggen darf.</footnote>
+aktiviert das Modul pam_securetty.so. Wenn es richtig konfiguriert
+ist, wird Root, wenn er sich auf einer unsicheren Console anmelden
+will, nicht nach einem Passwort gefragt, sondern sein Anmeldeversuch
+wird abgelehnt.

Ich würde s/Console/Konsole/ (hast Du im nächsten Abschnitt auch)

 
 <item>In <file>securetty</file>
 <footnote>
@@ -466,19 +450,22 @@
 und <em>ttyXX</em> in GNU/KNetBSD.
 </footnote>
 hinzufügen, wenn Sie eine serielle Konsole für den lokalen Zugang
-verwenden. (Wenn X eine ganze Zahl (Integer) ist, sollten Sie mehrere Instanzen
+verwenden. Wenn X eine ganze Zahl (Integer) ist, sollten Sie mehrere Instanzen
+haben. Die Standardeinstellung in <em>Wheezy</em>

s/(Integer)//
Die öffnende Klammer ist auch im Original; warum entfernst Du sie?
Ich verstehe den Satz anders:
Hierbei ist X eine ganze Zahl; es kann wünschenswert sein, mehrere
Instanzen zu verwenden.

 <footnote>
 Die Standardeinstellung in <em>Woody</em> beinhaltet zwölf lokale tty- und
 vc-Konsolen und die <em>console</em>-Schnittstelle. Anmeldungen von entfernten
 Orten sind nicht erlaubt. In <em>Sarge</em> stellt die Standardeinstellung 64
-Konsolen für tty- und vc-Konsolen zu Verfügung. Sie können das ohne Probleme
-entfernen, wenn Sie nicht derartige viele Konsolen benutzen.
+Konsolen für tty- und vc-Konsolen zu Verfügung.

Hier ist auch das Original schon schwach. Wenn ich den (teilweise
schlecht erschließbaren) Kontext richtig verstehe, steht »vc« für
»virtual console«, also ist vc console doppelt gemoppelt. Wenn dem so
ist, würde ich es mit »virtuellen Konsolen« statt vc-Konsolen
übersetzen.

 </footnote>
-haben, abhängig von der Anzahl der virtuellen Konsolen, die Sie in
-<file>/etc/inittab</file> aktiviert haben
+beinhaltet viele tty-Konsolen, serielle Schnittstellen und vc-Konsolen
+sowie den X-Server und die <em>console</em>-Schnittstelle. Sie können
+das ohne Probleme anpassen, wenn Sie nicht derartige viele Konsolen
+benutzen. Sie können die Anzahl der Konsolen und Schnittstellen in
+<file>/etc/inittab</file> überprüfen
 <footnote>
 Achten Sie auf die <em>getty</em> Einträge.
-</footnote>).
+</footnote>.
 Weiterführende Informationen zu Terminal-Schnittstellen finden Sie im <url
 id="http://tldp.org/HOWTO/Text-Terminal-HOWTO-6.html";
 name="Text-Terminal-HOWTO">.
@@ -501,37 +488,108 @@
 
 <sect id="restrict-reboots">System-Neustart von der Konsole aus einschränken
 
-<p>Wenn an Ihr System eine Tastatur angeschlossen ist, kann jeder (ja
-wirklich <em>jeder</em>) Ihr System neu starten, ohne sich in Ihr System
-einloggen zu müssen. Dies könnte gegen
-Ihre Sicherheitsrichtlinien verstoßen (oder auch nicht). Wenn Sie dies
-einschränken wollen, müssen Sie in <file>/etc/inittab</file>
-prüfen, ob die Zeile, die enthält, dass <tt>ctrlaltdel</tt>
-<prgn>shutdown</prgn> aufruft, den <tt>-a</tt> Schalter enthält
-(vergessen Sie nicht, <tt>init q</tt> auszuführen, nachdem Sie
-diese Datei irgendwie verändert haben). Standardmäßig
-enthält Debian diesen Schalter:
+<p>Wenn an Ihr System eine Tastatur angeschlossen ist, kann es jeder (ja,
+wirklich <em>jeder</em>) mit physischem Zugang zu Ihrem System neu starten, ohne sich in Ihr System
+einloggen zu müssen, einfach indem er die Tastenkombination <em>Ctrl+Alt+Delete</em> drückt (auch als <em>Affengriff</em> bekannt). Dies könnte gegen

s/in Ihr System einloggen/an Ihrem System anmelden/
s/Ctrl/Strg/  und   s/Delete/Entf/

+Ihre Sicherheitsrichtlinien verstoßen (oder auch nicht).
+
+<p>Dies ist schwerwiegender, wenn das Betriebssystem in einer
+virtuellen Umgebung läuft. Dann erstreckt sich diese Fähigkeit auch
+auf Benutzer, die Zugriff auf die virtuelle Konsole haben (was auch
+über das Netzwerk geschehen könnte). Beachten Sie zudem, dass in einer
+solchen Umgebung diese Tastenkombination ständig verwendet wird (um in
+einigen grafischen Benutzeroberflächen eine Login-Shell zu
+öffnen). Ein Systemadministration kann sie auch dazu
+verwenden, <em>virtuell</em> das System neu zu starten.
+
+<p>Es gibt zwei Möglichkeiten, dies einzuschränken:
+
+<list>
+<item>mit einer Konfiguration, mit der nur <em>bestimmte</em> Benutzer
+das System neu starten dürfen,
+<item>diese Eigenschaft vollständig zu deaktivieren.
+</list>
+
+<p>Wenn Sie dies einschränken wollen, müssen Sie
+in <file>/etc/inittab</file> sicherstellen, dass die Zeile,
+die <tt>ctrlaltdel</tt> enthält, <prgn>shutdown</prgn> mit der
+Option <tt>-a</tt> aufruft.
+
+<p>Standardmäßig enthält Debian diese  Optionen:
 <example>
   ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now
 </example>
 
-<p>Jetzt müssen Sie, um es <em>manchen</em> Benutzern zu erlauben,
-Ihr System neu zu starten, eine Datei <file>/etc/shutdown.allow</file>
-erstellen, wie es die Handbuchseite <manref section="8"
-name="shutdown"> beschreibt. Dort müssen die Namen der Benutzer, die
-das System neu booten dürfen, aufgeführt sein. Wenn der
-<em>drei Finger Salut</em> (auch bekannt als <em>Strg+Alt+Entf</em>
-und <em>Affengriff</em>)
-ausgeführt wird, wird geprüft, ob irgendeiner der Benutzer, die
-in der Datei aufgelistet sind, eingeloggt sind. Wenn es keiner von ihnen
-ist, wird <prgn>shutdown</prgn> das System <em>nicht</em> neu starten.
+<p>Die Option <tt>-a</tt> ermöglicht es, <em>einigen</em> Benutzern zu
+erlauben, das System neu zu starten (vgl. die
+Handbuchseite <manref section="8" name="shutdown">). Dazu müssen Sie
+die Datei <file>/etc/shutdown.allow</file> erstellen und die Namen der
+Benutzer, die das System neu booten dürfen, aufführen. Wenn
+der <em>Affengriff</em> in einer Konsole ausgeführt wird, wird
+geprüft, ob irgendeiner der Benutzer, die in der Datei aufgelistet
+sind, eingeloggt ist. Wenn es keiner von ihnen ist,
+wird <prgn>shutdown</prgn> das System <em>nicht</em> neu starten.

s/eingeloggt/angemeldet/
 
-</sect>
+<p>Wenn Sie die Tastenkombination Ctrl+Alt+Del deaktivieren möchten,

s/Ctrl/Strg/  und   s/Delete/Entf/

+müssen Sie nur die Zeile mit <em>ctrlaltdel</em>
+in <file>/etc/inittab</file> auskommentieren.
 
+<p>Vergessen Sie nicht, <tt>init q</tt> auszuführen, nachdem Sie diese
+Datei bearbeitet haben, damit die Änderungen wirksam werden.
 
+
+<sect id="restrict-sysrq">Die Tastenkombination Magic SysRq einschränken.
+
+<p>Die Tastenkombination <em>Magic SysRq</em> erlaubt es Benutzern
+einer Konsole eines Linux-Systems, bestimmte systemnahe Befehle
+auszuführen, indem gleichzeitig <em>Alt+SysRq</em> und eine bestimmte

s/SysRq/S-Abf/  (auch im folgenden)

+Taste gedrückt wird. Die Taste SysRq wird auf vielen Tastaturen
+mit <em>Druck</em> oder <em>Print Screen</em> bezeichnet.

s/ oder <em>Print Screen</em>//

+<p>Seit der Veröffentlichung von Etch ist diese Funktion im

Im Original wird häufig explizit auf bestimmte Begriffe verwiesen, die
Du dann (wie hier) mit »dieser Funktion« überseetzt. Ich würde dafür
plädieren, auch wenn es nicht so gut klingt, bei der expliziten
Nennung zu bleiben, um mögliche Missverständnisse zu vermeiden, d.h.
hier s/diese Funktion/die Tastenkombination Magic SysRq/

+Linux-Kernel aktiviert, damit die Benutzer einer Konsole bestimmte
+Privilegien erhalten können. Ob dies auf Ihr System zutrifft, erkennen
+Sie daran, ob <file>/proc/sys/kernel/sysrq</file> existiert, und an
+dessen Wert:
+
+<example>
+$ cat /proc/sys/kernel/sysrq 
+438
+</example>
+
+<p>Der oben gezeigte Standardwert erlaubt alle SysRq-Funktionen mit
+Ausnahme der Möglichkeit, Signale an Prozesse zu senden. Zum Beispiel
+können Benutzer, die an der Konsole angemeldet sind, alle System

s/System/Systeme/  (aber vermutlich Fehler im Original System →
Volumes/Devices)

+nur-lesend neu einbinden, das System neu starten oder eine Kernelpanik

s/einbinden/einzubinden/
s/neu starten/neu zu starten/

+auslösen. Wenn alle Fähigkeit aktiviert sind oder in älteren

s/auslösen/auszulösen/

+Kernel-Versionen (früher als 2.6.12), wird der Wert einfach 1 sein.
+
+<p>Sie sollten diese Fähigkeit deaktivieren, wenn der Zugang zur
+Konsole nicht auf angemeldete Benutzer beschränkt ist, nämlich wenn
+die Konsole an ein Modem angebunden ist, es leichten physischen Zugang
+zum System gibt oder es in einer virtuellen Umgebung läuft und andere
+Benutzer auf die Konsole zugreifen können. Dafür müssen
+Sie <file>/etc/sysctl.conf</file> bearbeiten und folgende Zeile
+einfügen:
+
+<example>
+# Disables the magic SysRq key
+kernel.sysrq = 0
+</example>
+
+<p>Weitere Informationen finden Sie
+im <url id="http://tldp.org/HOWTO/Remote-Serial-Console-HOWTO/security-sysrq.html";
+name="Sicherheitskapitel im Remote Serial Console HOWTO (engl.)">, in der
+<url id="http://kernel.org/doc/Documentation/sysrq.txt"; name="Kernel
+SysRQ Dokumentation (engl.)"> und
+dem <url id="https://de.wikipedia.org/wiki/Magische_S-Abf-Taste";
+name="Wikipedia-Eintrag zur Magischen S-Abf-Taste">.

Die beiden englischen Titel würde ich nicht übersetzen.

+
+
 <sect>Partitionen auf die richtige Art einbinden
 <p>
-Wenn Sie eine ext2-Partition einbinden, können Sie verschiedene
+Wenn Sie eine <tt>Ext</tt>-Dateisystem (<tt>ext2</tt>, <tt>ext3</tt> oder

s/eine/ein/

+<tt>ext4</tt>) einbinden, können Sie verschiedene
 Optionen mit dem mount-Befehl oder in <file>/etc/fstab</file> verwenden.
 Dies ist zum Beispiel mein fstab-Eintrag für meine
 <file>/tmp</file>-Partition:

@@ -706,18 +764,16 @@
 <item>wie Passwörter überprüft werden.
 </list>
 
-<p>
-Die folgende Beschreibung ist weit davon entfernt, komplett zu sein.
-Für weitere Informationen können Sie <url
-id="http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/pam.html";
-name="The Linux-PAM System Administrator's Guide"> (auf der <url
-id="http://www.kernel.org/pub/linux/libs/pam/"; name="PAM-Hauptseite">) lesen,
-diese Dokumentation ist auch in dem Paket <package>libpam-doc</package>
-enthalten.
+<p> Die folgende Beschreibung ist weit davon entfernt, vollständig zu
+sein.  Für weitere Informationen können

s/sein.  Für/sein. Für/

+Sie <url id="http://www.linux-pam.org/Linux-PAM-html/"; name="Linux-PAM
+Guides (engl.)"> lesen. Diese Dokumentation auf Ihrem System

Weiter oben hast Du den Titel übersetzt; hier nicht. Bitte einheitlich
(ich bin für nicht übersetzen).

s/auf/ist auf/


+unter <file>/usr/share/doc/libpam-doc/html/</file> verfügbar, wenn
+Sie <package>libpam-doc</package> installieren.
 
 <p>PAM bieten Ihnen die Möglichkeit, durch mehrere Authentifizierungsschritte
 auf einmal zu gehen, ohne dass der Benutzer es weiß. Sie
-können gegen eine Berkeley Datenbank und gegen die normale <file>passwd</file>
+können gegen eine Berkeley-Datenbank und gegen die normale <file>passwd</file>
 Datei authentifizieren, und der Benutzer kann sich nur einloggen, wenn er
 beide Male korrekt authentifiziert wurde. Sie können viel
 einschränken mit PAM, genauso wie Sie Ihr System weit öffnen
@@ -728,37 +784,122 @@
 Loginfehler erzeugt, wenn eines der Module versagt.
 <!-- Lots of fields in mine are "required", please elaborate? (FIXME) (era) -->
 
-<p>Die erste Sache, die ich gerne mache, ist, MD5-Unterstützung
-zu den PAM-Anwendungen hinzuzufügen, da dies gegen lexikalische
-Attacken hilft (da Passwörter länger sein können, wenn sie
-MD5 benutzen). Die folgenden zwei Zeilen sollten Sie in allen Dateien
-unterhalb von <file>/etc/pam.d/</file> hinzufügen, die Zugriff auf Ihre
-Maschine gewähren, wie zum Beispiel <tt>login</tt> und <tt>ssh</tt>.
 
+<sect2 id="pam-passwords">Passwortsicherheit in PAM
+
+<p>Sehen Sie sich <file>/etc/pam.d/common-password</file>, die
+von <file>/etc/pam.d/passwd</file> eingebunden wird.

s/wird/wird, an/

+<footnote>In früheren Debian-Veröffentlichungen befand sich die
+Konfiguration der Module direkt
+in <file>/etc/pam.d/passwd</file>.</footnote>
+Andere Dateien in <file>/etc/pam.d/</file> verweisen auf diese Datei,

s/verweisen auf diese Datei/lesen diese Datei ein/

+um die Verwendung eines Passworts durch Programme, die einen Zugriff
+auf das System erlauben, wie etwa das Konsolen-Login (<tt>login</tt>),
+graphische Login-Manager (z.B. <tt>gdm</tt> oder <tt>lightdm</tt>) und

Bisher hast Du »grafisch« (mit »f«) geschrieben, hier mit »ph«. Mir
gefällt die »ph«-Variante besser, aber bitte einheitlich vornehmen.

+entferntes Login (etwa mit <tt>sshd</tt>), zu definieren.

s/entferntes Login/Login aus der Ferne/

+
+<p>Sie müssen sicherstellen, dass das Module pam_unix.so die Option

s/Module/Modul/

+"sha512" verwendet, damit die Passwörter verschlüsselt werden. In

s/"sha512"/»512«/

+Debian Squeeze ist dies standardmäßig eingerichtet.
+
+<p>Die Zeile mit der Konfiguration des Modules pam_unix sollte etwa so
+aussehen:
+
 <example>
+password [success=1 default=ignore] pam_unix.so nullok obscure
+minlen=8 sha512
+</example>
+
+<p>Dieser Ausdruck
+
+<list>
+
+<item>erzwingt die Verschlüsselung von Passwörtern mit der
+Hashfunktion SHA-512, wenn sie gespeichert werden
+(Option <em>sha512</em>),
+
+<item>aktiviert die Überprüfung der Komplexität eines Passworts, wie
+sie in Handbuchseite <manref name="pam_unix" section="8"> beschrieben

s/sie in/sie in der/

+wird (Option <em>obscure</em>),
+
+<item>erfordert, dass das Passwort mindestens acht Zeichen lang ist
+(Option <em>min</em>).
+
+</list>
+
+<p>Sie müssen sicherstellen, dass in PAM-Anwendungen verschlüsselte
+Passwörter verwendet werden, weil dies Wörterbuchangriffe
+erschwert. Zugleich wird es dadurch möglich, Passwörter mit mehr als
+acht Zeichen einzusetzen.
+
+<p>Da mit diesem Modul auch definiert wird, wie Passwörter geändert
+werden, weil es von <tt>chpasswd</tt> eingebunden wird, können Sie die
+Passwortsicherheit Ihres Systems erhöhen, indem
+sie <package>libpam-cracklib</package> installieren und folgenden
+Ausdruck in die
+Konfigurationsdatei <file>/etc/pam.d/common-password</file> eintragen:
+
+<example>
   # Gehen Sie sicher, dass Sie libpam-cracklib zuerst installiert haben,
   # sonst werden Sie sich nicht einloggen können
   password   required     pam_cracklib.so retry=3 minlen=12 difok=3
-  password   required     pam_unix.so use_authtok nullok md5
+  password   [success=1 default=ignore]      pam_unix.so obscure minlen=8 sha512 use_authok
 </example>
 
 <p>Also, was macht diese Beschwörungsformel nun genau? Die erste Zeile lädt das
-cracklib PAM-Modul, welches einen Passwort-Sicherheitscheck bereitstellt. Es
-fragt nach einem neuen Passwort mit mindestens 12 Zeichen, einer Differenz von
-mindestens 3 Zeichen zum alten Passwort, und erlaubt 3 Versuche. Cracklib
-benötigt ein Paket mit Wörterlisten (wie <package>wngerman</package>,
+PAM-Modul cracklib, welches einen Passwort-Sicherheitscheck bereitstellt. Es
+fragt nach einem neuen Passwort mit mindestens zwölf Zeichen
+<footnote>
+Die Option <em>minlen</em> ist nicht auf Anhieb völlig verständlich,
+weil sie nicht die genaue Anzahl der Zeichen eines Passworts ist. Ein
+Kompromiss zwischen Komplexität und Länge eines Passworts kann mit dem
+Parameter "credit" für verschiedene Arten von Zeichen erreicht

s/"credit"/»credit«/

+werden. Weitere Informationen finden Sie in der
+Handbuchseite <manref name="pam_cracklib" section="8">.
+</footnote>,
+einer Differenz von mindestens drei Zeichen zum alten Passwort und
+erlaubt drei Versuche. Cracklib benötigt ein Paket mit Wörterlisten
+(wie <package>wngerman</package>,
 <package>wenglish</package>, <package>wspanish</package>, ...). Stellen Sie
 also sicher, dass Sie ein passendes Paket für Ihre Sprache installiert
 haben. Ansonsten ist cracklib nicht verwendbar.
-<footnote>
-Diese Abhängigkeit ist allerdings im Debian 3.0 Paket nicht gelöst. Lesen Sie
-dazu <url id="http://bugs.debian.org/112965"; name="Bug #112965">.
-</footnote>
-Die zweite Zeile führt das Standardauthentifizierungsmodul mit MD5-Passwörtern
-aus und erlaubt Passwörter mit einer Länge von Null. Die
-<tt>use_authtok</tt>-Anweisung ist notwendig, um das Passwort von dem
-vorherigen Modul übergeben zu bekommen.
 
+<p>Die zweite Zeile (mit dem Module pam_unix.so) ist - wie oben

Ggf. HTML-Bindestriche verwenden?

+beschrieben - der Standard in Debian mit Ausnahme der
+Option <em>use_authok</em>. Diese Option ist notwendig, wenn
+pam_unix.so nach pam_cracklib.so aufgerufen wird, damit das Passwort
+vom zuerst aufgerufenen Modul weitergereicht wird. Anderenfalls muss
+der Benutzer sein Passwort zweimal eingegeben.
+
+<p>Weitere Informationen über die Konfiguration von Crackllib finden
+Sie in der Handbuchseite <manref name="pam_cracklib" section="8"> und
+dem (englischen)
+Artikel <url id="http://www.deer-run.com/~hal/sysadmin/pam_cracklib.html";
+name="Linux Password Security with pam_cracklib"> von Hal Pomeranz.
+
+<p>Mit dem PAM-Modul cracklib richten Sie eine Richtlinie ein, welche
+die Verwendung guter Passwörter erzwingt.

Fehler im Original: uses/users/

+<p>Als Alternative können Sie auch PAM-Module einsetzen, die eine
+Zwei-Faktor-Authentifizierung verwenden, wie
+z.B. <package>libpam-barada</package>,
+<package>libpam-google-authenticator</package>, <package>libpam-oath</package>,
+<package>libpam-otpw</package>, <package>libpam-poldi</package>,
+<package>libpam-usb</package>
+oder <package>libpam-yubico</package>. Diese Module ermöglichen es,
+sich mit einer externen Authentifizierungsmethode am System anzumelden,
+etwa mit einer Chipkarte, einem USB-Stick oder Einmal-Passwörtern, die
+mit einer externen Anwendung, z.B. auf einem Mobiltelefon, erzeugt
+wurden.
+
+<p>Denken Sie daran, dass diese Einschränkungen alle Benutzer
+betreffen <em>außer</em> Änderungen von Passwörtern, die der Benutzer
+root vornimmt. Dieser kann unabhängig von den eingerichteten

Weiter oben hast Du Root (großes R) geschrieben; bitte einheitlich.

+Beschränkungen jedes Passwort (in Hinblick auf Länge oder Komplexität)
+für sich oder andere Benutzer vergeben.
+
+<sect2 id="pam-rootaccess">Die Kontrolle des Benutzerzugangs in PAM
+
 <p>Um sicher zu stellen, dass sich der Benutzer root nur von lokalen
 Terminals einloggen kann, sollten Sie die folgende Zeile in
 <file>/etc/pam.d/login</file> eingefügt werden:

@@ -787,21 +930,12 @@
 <p>Dies schränkt die Systemressourcen ein, die ein Benutzer nutzen darf (siehe
 <ref id="user-limits">). Sie können zum Beispiel die Anzahl
 der Logins, die man haben kann, einschränken (für eine Gruppe
-von Nutzern oder systemweit), die Anzahl der Prozesse, den belegten
+von Benutzern oder systemweit), die Anzahl der Prozesse, den belegten
 Speicher etc.
 
-<p>Editieren Sie nun <file>/etc/pam.d/passwd</file> und ändern Sie
-die erste Zeile. Sie sollten die Option "md5" zufügen, um
-MD5-Passwörter zu benutzen, ändern Sie die minimale
-Passwort-Länge von 4 auf 6 (oder mehr) und setzen Sie eine
-Maximallänge, wenn Sie möchten. Die resultierende Zeile wird in
-etwa so aussehen:
+<sect2 id="pam-su">Kontrolle von su in PAM
 
-<example>
-  password   required   pam_unix.so nullok obscure min=6 max=11 md5
-</example>
-
-<p>Wenn Sie su schützen möchten, so dass nur manche Leute es
+<p>Wenn Sie <prgn>su</prgn> schützen möchten, so dass nur manche Leute es
 benutzen können, um root auf Ihrem System zu werden, müssen Sie
 eine neue Gruppe "wheel" zu Ihrem System hinzufügen (das ist der

s/"wheel"/»wheel«/

 sauberste Weg, da keine Datei solche Gruppenrechte bisher benutzt).
@@ -1068,34 +1192,90 @@
 <prgn>sg</prgn>.
 
 <example>
-  MD5_CRYPT_ENAB      yes
+ ENCRYPT_METHOD  SHA512
 </example>
 
-<p>Wie bereits erklärt, reduzieren MD5-Summen-Passwörter
-großartig das Problem lexikalischer Attacken, da Sie längere
-Passwörter benutzen können. Wenn Sie slink benutzen, lesen Sie
-die Dokumentation zu MD5, bevor Sie diese Option einschalten. Ansonsten
-wird dies in PAM gesetzt.
-<!-- AS 20020909 Was will der Autor mit dem letzten Satz sagen?? -->
-<!-- SB (20050303): "Otherwise this is set in PAM." -->
+<p>Wie bereits erklärt, reduziert eine Verschlüsselung von Passwörtern
+die Gefahr lexikalischer Attacken erheblich, da Sie längere

s/lexikalischer Attacken/von Wörterbuchangriffen/

+Passwörter benutzen können. Diese Definition muss mit dem Wert
+in <file>/etc/pam.d/common-password</file> übereinstimmen.
 
+<sect1>Aktionen bei der
+Benutzeranmeldung: <file>/etc/pam.d/login</file> editieren
+
+<p>Sie können die Datei zur Konfiguration des Anmeldevorgangs
+anpassen, um eine strengere Richtlinie festzuschreiben. Zum Beispiel

Oben hast Du »policy« nicht übersetzt; die Übersetzung finde ich gut
und sollte auch oben erfolgen, aber bitte einheitlich.

+können Sie die Wartezeit zwischen zwei Anmeldeversuchen im Vergleich
+zur Standardkonfiguration erhöhen. Diese bestimmte eine Wartezeit von
+drei Sekunden:

s/Diese bestimmte/Die Standardvorgabe setzt/

+
 <example>
-  PASS_MAX_LEN        50
+auth       optional   pam_faildelay.so  delay=3000000
 </example>
 
-<p>Wenn Sie MD5-Passwörter in Ihrer PAM Konfiguration aktiviert
-haben, dann sollten Sie diese Variable auf denselben Wert setzen, den Sie
-dort benutzt haben.
+<p>Wenn Sie den Wert von <em>delay</em> erhöhen, wird es schwieriger,
+sich durch bloßes Ausprobieren von Passwörtern (brute force)
+erfolgreich am Terminal anzumelden. Wenn ein falsches Passwort
+eingegeben wird, muss ein möglicher Angreifer (oder ein normaler
+Benutzer!) viele Sekunden warten, bis er wieder eine
+Eingabeaufforderung erhält, wodurch das Durchprobieren von Passwörtern
+sehr zeitaufwendig werden kann. So müssen etwa Benutzer
+bei <em>delay=10000000</em> zehn Sekunden warten, wenn sie das falsche
+Passwort eingeben.
 
+<p>In dieser Datei können Sie auch einrichten, dass das System vor
+einer Anmeldung eine Nachricht dem Benutzer anzeigt. Standardmäßig ist

s/vor einer Anmeldung eine Nachricht dem Benutzer/dem Benutzer vor
einer Anmeldung eine Nachricht/

+dies deaktiviert, wie Sie hier sehen können:
 
-<sect1>ftp Einschränken: Editieren von <file>/etc/ftpusers</file>
+<example>
+# auth       required   pam_issue.so issue=/etc/issue
+</example>
+
+<p>Falls es Ihre Sicherheitsrichtlinie erfordert, können Sie mit
+dieser Datei eine Standardnachricht, dass der Zugang zum System
+beschränkt und der Benutzerzugang protokolliert wird, anzeigen
+lassen. Ein solcher Hinweis kann in bestimmten Umgebungen und nach der
+jeweiligen Rechtsprechung notwendig sein. Um dies zu aktivieren,
+müssen Sie nur die entsprechende Mitteilung in die
+Datei <file>/etc/issue</file>
+<footnote>Der Standardinhalt dieser Datei enthält Informationen über
+das Betriebssystem und dessen Version, die Sie möglicherweise
+unbekannten Benutzern nicht mitteilen möchten.</footnote> 
+eintragen und das Kommentarzeichen in der Zeile
+in <file>/etc/pam.d/login</file> entfernen, um das Modul pam_issue.so
+zu aktivieren.
+
+<p>In dieser Datei können Sie weitere Einstellungen vornehmen, welche
+für Ihre Sicherheit relevant sein könnten, wie z.B.:
+
+<list>
+
+<item>Regeln erstellen, welcher Benutzer zu welchen Zeiten auf das
+System zugreifen kann, indem Sie das Modul <em>pam_time.so</em>
+aktivieren und <file>/etc/security/time.conf</file> entsprechend
+konfigurieren (standardmäßig deaktiviert),
+
+<item>den Anmeldevorgang so einrichten, dass Benutzerbeschränkungen,
+die in <file>/etc/security/limits.conf</file> definiert sind,
+verwendet werden (standardmäßig aktiviert),
+
+<item>dem Benutzer Informationen über die vorangegangene Anmeldung
+anzeigen (standardmäßig aktiviert),
+
+<item>nach erfolgter Anmeldung dem Benutzer eine Nachricht
+(<file>/etc/motd</file> und <file>/run/motd.dynamic</file>) anzeigen
+(standardmäßig aktiviert).
+
+</list>
+
+<sect1>ftp einschränken: editieren von <file>/etc/ftpusers</file>

s/editieren/Bearbeiten/

 <p>
 Die Datei <file>/etc/ftpusers</file> enthält eine Liste von allen
-Nutzern, denen es <em>nicht</em> erlaubt ist, sich auf dem Rechner mit ftp
+Benutzern, denen es <em>nicht</em> erlaubt ist, sich auf dem Rechner mit ftp
 einzuloggen. Benutzen Sie diese Datei nur, wenn Sie wirklich ftp
 erlauben wollen (wozu im Allgemeinen nicht geraten wird, da es
 Klartext-Passwörter benutzt). Wenn Ihr ftp-Daemon PAM unterstützt,
-können Sie dies ebenfalls benutzen, um Nutzern bestimmte Dienste zu
+können Sie dies ebenfalls benutzen, um Benutzern bestimmte Dienste zu
 erlauben oder zu verbieten.
 
 <p>FIXME (FEHLER): Ist es ein Fehler, dass <file>ftpusers</file> in Debian
@@ -1748,14 +1928,29 @@
         *.=notice;*.=warn       /dev/tty8
 </example>
 
-<p>Um die Logs farbig zu gestalten sollten einen Blick auf
+<p>Um die Logs farbig zu gestalten, sollten einen Blick auf

s/sollten/sollten Sie/

 <package>colorize</package>, <package>ccze</package> oder
 <package>glark</package> werfen. Es gibt da noch eine Menge über die Analyse
-von Logs zusagen, das hier nicht behandelt werden kann. Eine gute Quelle für
-weiter Informationen ist die Webseite <url name="Log Analysis"
-id="http://www.loganalysis.org/";>. In jedem Fall sind selbst automatische
-Werkzeuge dem besten Analysewerkzeug nicht gewachsen: Ihrem Gehirn.
+von Logs zu sagen, das hier nicht behandelt werden kann. Eine gute Quelle für
+weitere Informationen sind Bücher wie <url name="Security log
+management: identifying patterns in the chaos"
+id="http://books.google.com/books?id=UyktqN6GnWEC";>. In jedem Fall
+sind selbst automatische Werkzeuge dem besten Analysewerkzeug nicht
+gewachsen: Ihrem Gehirn.

Ihrem nicht mit Kleinbuchstaben?
Du hast hier in keiner Weise (anders als sonst) angegeben, dass der
Verweis auf einen englischen Text geht.

 
+<!-- FIXME: Add information related to OSSEC, however
+     it is currently not packaged for Debian
+
+Information relevant for OSSEC :
+
+- Web page: http://www.ossec.net/
+- Ubuntu Guide: http://ubuntuforums.org/showthread.php?t=213445
+- ITP: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=361954
+  (Reason it is not currently packaged, as of, dic 2010 is because
+  of a need of OpenSSL excemption)
+     Point to the book: http://books.google.com/books?id=h37q2q3wvcUC
+-->
+

Der Text ist nicht übersetzt.

 <!-- FIXME: Check information on SHARP, the 'syslog heuristic analysis
 and response program'.  The paper is at
 id="http://www.csis.gvsu.edu/sharp/";. Is it free software? packaged?
@@ -1865,16 +2060,16 @@
 <package>snmpd</package>.
 
 
-<sect1>Nutzen eines loghosts
+<sect1>Nutzen eines Loghosts
 
-<p>Ein Loghost ist ein Host der die syslog-Daten über ein Netzwerk
+<p>Ein Loghost ist ein Host, der die syslog-Daten über ein Netzwerk

Host → Server oder Rechner

 sammelt. Wenn eine Ihrer Maschinen geknackt wird, kann der Eindringling seine
 Spuren nicht verwischen, solange er den Loghost nicht ebenfalls geknackt
 hat. Demzufolge muss der Loghost also besonders sicher sein.  Aus einer
-Maschinen einen Loghost zu machen ist relativ einfach: Starten Sie den
+Maschine einen Loghost zu machen, ist relativ einfach: Starten Sie den
 <prgn>syslogd</prgn> einfach mit <tt>syslogd -r</tt>, und ein neuer Loghost ist
 geboren. Um dies unter Debian dauerhaft zu machen, editieren Sie
-<file>/etc/init.d/sysklogd</file> und ändern Sie die Zeile
+<file>/etc/default/syslogd</file> und ändern Sie die Zeile
 
 <!-- FIXME: The following could also be interesting -->
 <!-- How to hide the logging server on the network i.e. by not giving -->
@@ -1884,32 +2079,32 @@
 <!-- should be configured accordingly. -->
 
 <example>
-  SYSLOGD=""
+SYSLOGD=""
 </example>
 in 
 <example>
-  SYSLOGD="-r"
+SYSLOGD="-r".
 </example>
 
 Als nächstes konfigurieren Sie die anderen Maschinen, Ihre Daten an
 den Loghost zu senden. Fügen Sie einen Eintrag, ähnlich dem
-folgenden zu der <file>/etc/syslog.conf</file> hinzu:
+folgenden, zu der <file>/etc/syslog.conf</file> hinzu:
 
 <example>
   facility.level            @Ihr_Loghost
 </example>
 
-Schauen Sie in die Dokumentation um zu erfahren, wodurch Sie
+Schauen Sie in die Dokumentation, um zu erfahren, wodurch Sie
 <em>facility</em> und <em>level</em> ersetzen können (Sie sollten
-nicht wörtlich übernommen werden). Wenn Sie alles fern
-mit loggen wollen, schreiben Sie einfach:
+nicht wörtlich übernommen werden). Wenn Sie alles entfernt
+mitloggen wollen, schreiben Sie einfach:

s/entfernt/in der Ferne/

Spätestens beim Verb würde ich übersetzen, d.h. hier
s/mitloggen/mitprotokollieren/ (entsprechend auch im Folgenden)

 
 <example>
   *.*                       @Ihr_Loghost
 </example>
 
 in Ihre <file>syslog.conf</file>. Sowohl lokal als auch entfernt
-mitzuloggen ist die beste Lösung (ein Angreifer könnte davon
+mitzuloggen, ist die beste Lösung (ein Angreifer könnte davon
 ausgehen, dass er seine Spuren verwischt hat, nachdem er die lokale
 Log-Datei gelöscht hat). Für weitere Informationen sehen Sie sich die
 Handbuch-Seiten <manref name="syslog" section="3">, <manref


Das Korrekturlesen ist recht mühsam, ich weiß nicht, ob ich die
nächsten Teile noch schaffe.

Viele Grüße

         Helge

-- 
      Dr. Helge Kreutzmann                     debian@helgefjell.de
           Dipl.-Phys.                   http://www.helgefjell.de/debian.php
        64bit GNU powered                     gpg signed mail preferred
           Help keep free software "libre": http://www.ffii.de/

Attachment: signature.asc
Description: Digital signature

Reply to: