Re: [RFR] Securing Debian Manual de.po (Teil 2b)
Securing Debian Manual: Teil 2b
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2482
msgid "If you want to prevent you system from answering ICMP echo requests, just enable this configuration option:"
msgstr "Falls Sie verhindern wollen, dass Ihr System auf ICMP-Echo-Anfragen antwortet, müssen Sie nur diese Konfigurationsoption anschalten:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2484
#, no-wrap
msgid "net/ipv4/icmp_echo_ignore_all = 1"
msgstr "net/ipv4/icmp_echo_ignore_all = 1"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2489
msgid "To log packets with impossible addresses (due to wrong routes) on your network use:"
msgstr "Verwenden Sie Folgendes, um Pakete mit unmöglichen Adressen (erzeugt durch falsche Routen) in Ihrem Netzwerk zu protokollieren:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2491
#, no-wrap
msgid "/proc/sys/net/ipv4/conf/all/log_martians = 1"
msgstr "/proc/sys/net/ipv4/conf/all/log_martians = 1"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2503
msgid "For more information on what things can be done with <file>/proc/sys/net/ipv4/*</file> read <file>/usr/src/linux/Documentation/filesystems/proc.txt</file>. All the options are described thoroughly under <file>/usr/src/linux/Documentation/networking/ip-sysctl.txt</file> <footnote><p>In Debian the <package>kernel-source-<var>version</var></package> packages copy the sources to <file>/usr/src/kernel-source-<var>version</var>.tar.bz2</file>, just substitute <var>version</var> to whatever kernel version sources you have installed</p></footnote>."
msgstr "Für weiterführende Informationen, welche Sachen mit <file>/proc/sys/net/ipv4/*</file> angestellt werden können, sollten Sie <file>/usr/src/linux/Documentation/filesystems/proc.txt</file> lesen. Alle Optionen werden gründlich in <file>/usr/src/linux/Documentation/networking/ip-sysctl.txt</file> <footnote> In Debian kopiert das Paket <package>kernel-source-<var>version</var></package> die Kernelquellen nach <file>/usr/src/kernel-source-<var>version</var>.tar.bz2</file>. Ersetzen Sie einfach <var>version</var> mit der installierten Kernelversion. </footnote> beschrieben."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2506
msgid "Configuring syncookies"
msgstr "Konfiguration von Syncookies"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2515
msgid "This option is a double-edged sword. On the one hand it protects your system against syn packet flooding; on the other hand it violates defined standards (RFCs)."
msgstr "Diese Option ist ein zweischneidiges Schwert. Auf der einen Seite schützt es Ihr System vor dem Überfluten mit syn-Paketen. Auf der anderen Seite verletzt es definierte Standards (RFCs)."
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2517
#, no-wrap
msgid "net/ipv4/tcp_syncookies = 1"
msgstr "net/ipv4/tcp_syncookies = 1"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2525
msgid "If you want to change this option each time the kernel is working you need to change it in <tt>/etc/network/options</tt> by setting <tt>syncookies=yes</tt>. This will take effect when ever <tt>/etc/init.d/networking</tt> is run (which is typically done at boot time) while the following will have a one-time effect until the reboot:"
msgstr "Wenn Sie das dauerhaft für den Kernel festlegen wollen, müssen Sie in <tt>/etc/network/options</tt> <tt>syncookies=yes</tt> festlegen. Jedes Mal, wenn <tt>/etc/init.d/networking</tt> ausgeführt wird (was typischerweise beim Booten geschieht), wird diese Option wirksam. Dagegen wird folgendes nur eine einmalige Wirkung bis zum nächsten Neustart haben:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2527
#, no-wrap
msgid "echo 1 > /proc/sys/net/ipv4/tcp_syncookies"
msgstr "echo 1 > /proc/sys/net/ipv4/tcp_syncookies"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2533
msgid "This option will only be available if the kernel is compiled with the <tt>CONFIG_SYNCOOKIES</tt>. All Debian kernels are compiled with this option builtin but you can verify it running:"
msgstr "Diese Option ist nur verfügbar, wenn der Kernel mit <tt>CONFIG_SYNCOOKIES</tt> übersetzt wurde. Alle Kernel von Debian wurden mit dieser Option kompiliert. Sie können das folgendermaßen überprüfen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2536
#, no-wrap
msgid ""
"$ sysctl -A |grep syncookies\n"
"net/ipv4/tcp_syncookies = 1"
msgstr ""
"$ sysctl -A |grep syncookies\n"
"net/ipv4/tcp_syncookies = 1"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2541
msgid "For more information on TCP syncookies read <url id=\"http://cr.yp.to/syncookies.html\";>."
msgstr "Weitere Informationen zu TCP-Syncookies finden Sie unter <url id=\"http://cr.yp.to/syncookies.html\";>."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2543
msgid "Securing the network on boot-time"
msgstr "Absicherung des Netzwerks beim Hochfahren"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2548
msgid "When setting configuration options for the kernel networking you need configure it so that it's loaded every time the system is restarted. The following example enables many of the previous options as well as other useful options."
msgstr "Wenn Sie die Netzwerkoptionen des Kernels konfigurieren, müssen Sie dafür sorgen, dass sie bei jedem Neustart des Systems geladen werden. Das nachfolgende Beispiel aktiviert neben vielen der oben vorgestellten Optionen auch noch ein paar andere nützliche Optionen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2555
msgid "There are actually two ways to configure your network at boot time. You can configure <file>/etc/sysctl.conf</file> (see: <manref name=\"sysctl.conf\" section=\"5\">) or introduce a script that is called when the interface is enabled. The first option will be applied to all interfaces, whileas the second option allows you to configure this on a per-interface basis."
msgstr "Tatsächlich gibt es zwei Möglichkeiten, Ihr Netzwerk beim Booten einzurichten. Sie können entweder <file>/etc/sysctl.conf</file> konfigurieren (siehe <manref section=\"5\" name=\"sysctl.conf\">) oder ein Skript einsetzen, das beim Aktivieren der Netzwerkschnittstellen aufgerufen wird. Die erste Möglichkeit wird auf alle Schnittstellen angewendet, die zweite erlaubt es Ihnen, die Konfiguration für jede Schnittstelle separat zu wählen."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2558
msgid "An example of a <file>/etc/sysctl.conf</file> configuration that will secure some network options at the kernel level is shown below. Notice the comment in it, <file>/etc/network/options</file> might override some values if they contradict those in this file when the <file>/etc/init.d/networking</file> is run (which is later than <file>procps</file> on the startup sequence)."
msgstr "Ein Beispiel einer Konfiguration von <file>/etc/sysctl.conf</file>, die einige Netzwerkoptionen auf der Kernelebene absichert, wird unten gezeigt. Beachten Sie darin den Kommentar, dass <file>/etc/network/options</file> beim Ausführen von <file>/etc/init.d/networking</file> (dies ist in der Startsequenz nach <file>procps</file>) einige Werte überschreiben könnte, wenn sich Werte in dieser Datei widersprechen."
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2611
#, no-wrap
msgid ""
"#\n"
"# /etc/sysctl.conf - Configuration file for setting system variables\n"
"# See sysctl.conf (5) for information. Also see the files under\n"
"# Documentation/sysctl/, Documentation/filesystems/proc.txt, and\n"
"# Documentation/networking/ip-sysctl.txt in the kernel sources \n"
"# (/usr/src/kernel-$version if you have a kernel-package installed)\n"
"# for more information of the values that can be defined here.\n"
"\n"
"#\n"
"# Be warned that /etc/init.d/procps is executed to set the following\n"
"# variables. However, after that, /etc/init.d/networking sets some\n"
"# network options with builtin values. These values may be overridden\n"
"# using /etc/network/options.\n"
"#\n"
"#kernel.domainname = example.com\n"
"\n"
"# Additional settings - adapted from the script contributed\n"
"# by Dariusz Puchala (see below)\n"
"# Ignore ICMP broadcasts\n"
"net/ipv4/icmp_echo_ignore_broadcasts = 1\n"
"#\n"
"# Ignore bogus ICMP errors\n"
"net/ipv4/icmp_ignore_bogus_error_responses = 1\n"
"# \n"
"# Do not accept ICMP redirects (prevent MITM attacks)\n"
"net/ipv4/conf/all/accept_redirects = 0\n"
"# _or_\n"
"# Accept ICMP redirects only for gateways listed in our default\n"
"# gateway list (enabled by default)\n"
"# net/ipv4/conf/all/secure_redirects = 1\n"
"#\n"
"# Do not send ICMP redirects (we are not a router)\n"
"net/ipv4/conf/all/send_redirects = 0\n"
"#\n"
"# Do not forward IP packets (we are not a router)\n"
"# Note: Make sure that /etc/network/options has 'ip_forward=no'\n"
"net/ipv4/conf/all/forwarding = 0\n"
"#\n"
"# Enable TCP Syn Cookies\n"
"# Note: Make sure that /etc/network/options has 'syncookies=yes'\n"
"net/ipv4/tcp_syncookies = 1\n"
"#\n"
"# Log Martian Packets\n"
"net/ipv4/conf/all/log_martians = 1\n"
"#\n"
"# Turn on Source Address Verification in all interfaces to\n"
"# prevent some spoofing attacks\n"
"# Note: Make sure that /etc/network/options has 'spoofprotect=yes'\n"
"net/ipv4/conf/all/rp_filter = 1\n"
"#\n"
"# Do not accept IP source route packets (we are not a router)\n"
"net/ipv4/conf/all/accept_source_route = 0"
msgstr ""
"#\n"
"# /etc/sysctl.conf - Configuration file for setting system variables\n"
"# See sysctl.conf (5) for information. Also see the files under\n"
"# Documentation/sysctl/, Documentation/filesystems/proc.txt, and\n"
"# Documentation/networking/ip-sysctl.txt in the kernel sources \n"
"# (/usr/src/kernel-$version if you have a kernel-package installed)\n"
"# for more information of the values that can be defined here.\n"
"\n"
"#\n"
"# Be warned that /etc/init.d/procps is executed to set the following\n"
"# variables. However, after that, /etc/init.d/networking sets some\n"
"# network options with builtin values. These values may be overridden\n"
"# using /etc/network/options.\n"
"#\n"
"#kernel.domainname = example.com\n"
"\n"
"# Additional settings - adapted from the script contributed\n"
"# by Dariusz Puchala (see below)\n"
"# Ignore ICMP broadcasts\n"
"net/ipv4/icmp_echo_ignore_broadcasts = 1\n"
"#\n"
"# Ignore bogus ICMP errors\n"
"net/ipv4/icmp_ignore_bogus_error_responses = 1\n"
"# \n"
"# Do not accept ICMP redirects (prevent MITM attacks)\n"
"net/ipv4/conf/all/accept_redirects = 0\n"
"# _or_\n"
"# Accept ICMP redirects only for gateways listed in our default\n"
"# gateway list (enabled by default)\n"
"# net/ipv4/conf/all/secure_redirects = 1\n"
"#\n"
"# Do not send ICMP redirects (we are not a router)\n"
"net/ipv4/conf/all/send_redirects = 0\n"
"#\n"
"# Do not forward IP packets (we are not a router)\n"
"# Note: Make sure that /etc/network/options has 'ip_forward=no'\n"
"net/ipv4/conf/all/forwarding = 0\n"
"#\n"
"# Enable TCP Syn Cookies\n"
"# Note: Make sure that /etc/network/options has 'syncookies=yes'\n"
"net/ipv4/tcp_syncookies = 1\n"
"#\n"
"# Log Martian Packets\n"
"net/ipv4/conf/all/log_martians = 1\n"
"#\n"
"# Turn on Source Address Verification in all interfaces to\n"
"# prevent some spoofing attacks\n"
"# Note: Make sure that /etc/network/options has 'spoofprotect=yes'\n"
"net/ipv4/conf/all/rp_filter = 1\n"
"#\n"
"# Do not accept IP source route packets (we are not a router)\n"
"net/ipv4/conf/all/accept_source_route = 0"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2618
msgid "To use the script you need to first create the script, for example, in <file>/etc/network/interface-secure</file> (the name is given as an example) and call it from <file>/etc/network/interfaces</file> like this:"
msgstr "Um dieses Skript verwenden zu können, müssen Sie es zuerst unter z.B. <file>/etc/network/interface-secure</file> (der Name ist nur ein Beispiel) erstellen und es wie folgt aus <file>/etc/network/interfaces</file> aufrufen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2626
#, no-wrap
msgid ""
"auto eth0\n"
"iface eth0 inet static\n"
" address xxx.xxx.xxx.xxx\n"
" netmask 255.255.255.xxx\n"
" broadcast xxx.xxx.xxx.xxx\n"
" gateway xxx.xxx.xxx.xxx\n"
" pre-up /etc/network/interface-secure"
msgstr ""
"auto eth0\n"
"iface eth0 inet static\n"
" address xxx.xxx.xxx.xxx\n"
" netmask 255.255.255.xxx\n"
" broadcast xxx.xxx.xxx.xxx\n"
" gateway xxx.xxx.xxx.xxx\n"
" pre-up /etc/network/interface-secure"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2631
msgid "In this example, before the interface eth0 is enabled the script will be called to secure all network interfaces as shown below."
msgstr "In diesem Beispiel wird das Skript aufgerufen, um alle Netzwerkschnittstellen abzusichern, wie unten gezeigt wird, bevor die Schnittstelle eth0 aktiviert wird."
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2662
#, no-wrap
msgid ""
"#!/bin/sh -e\n"
"# Script-name: /etc/network/interface-secure\n"
"#\n"
"# Modifies some default behavior in order to secure against \n"
"# some TCP/IP spoofing & attacks for all interfaces.\n"
"#\n"
"# Contributed by Dariusz Puchalak.\n"
"#\n"
"echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts \n"
" # Broadcast echo protection enabled.\n"
"echo 0 > /proc/sys/net/ipv4/conf/all/forwarding\n"
" # IP forwarding disabled.\n"
"echo 1 > /proc/sys/net/ipv4/tcp_syncookies # TCP syn cookies protection enabled.\n"
"echo 1 >/proc/sys/net/ipv4/conf/all/log_martians # Log strange packets.\n"
"# (this includes spoofed packets, source routed packets, redirect packets)\n"
"# but be careful with this on heavy loaded web servers.\n"
"echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses \n"
" # Bad error message protection enabled.\n"
"\n"
"# IP spoofing protection.\n"
"echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter\n"
"\n"
"# Disable ICMP redirect acceptance.\n"
"echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects\n"
"echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects\n"
"\n"
"# Disable source routed packets.\n"
"echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route\n"
"\n"
"exit 0"
msgstr ""
"#!/bin/sh -e\n"
"# Skriptname: /etc/network/interface-secure\n"
"#\n"
"# Verändert das Standardverhalten für alle Schnittstellen in einigen Bereichen,\n"
"# um vor TCP/IP-Spoofing und Angriffen zu schützen.\n"
"#\n"
"# Wurde von Dariusz Puchalak beigesteuert\n"
"#\n"
"echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts \n"
" # Broadcast echo protection enabled.\n"
"echo 0 > /proc/sys/net/ipv4/conf/all/forwarding\n"
" # IP forwarding disabled.\n"
"echo 1 > /proc/sys/net/ipv4/tcp_syncookies # TCP syn cookies protection enabled.\n"
"echo 1 >/proc/sys/net/ipv4/conf/all/log_martians # Log strange packets.\n"
"# (this includes spoofed packets, source routed packets, redirect packets)\n"
"# but be careful with this on heavy loaded web servers.\n"
"echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses \n"
" # Bad error message protection enabled.\n"
"\n"
"# IP spoofing protection.\n"
"echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter\n"
"\n"
"# Disable ICMP redirect acceptance.\n"
"echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects\n"
"echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects\n"
"\n"
"# Disable source routed packets.\n"
"echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route\n"
"\n"
"exit 0"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2668
msgid "Notice that you can actually have per-interface scripts that will enable different network options for different interfaces (if you have more than one), just change the pre-up line to:"
msgstr "Beachten Sie, dass Sie auch verschiedene Netzwerkoptionen für verschiedene Schnittstellen (falls Sie mehr als eine haben) setzten können, indem Sie die pre-up-Zeile verändern:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2670
#, no-wrap
msgid "pre-up /etc/network/interface-secure $IFACE"
msgstr "pre-up /etc/network/interface-secure $IFACE"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2677
msgid "And use a script which will only apply changes to a specific interface, not to all of the interfaces available. Notice that some networking options can only be enabled globally, however. A sample script is this one:"
msgstr "Zusätzlich müssen Sie ein Skript verwenden, das Änderungen nur auf eine bestimmte Schnittstelle anwendet und nicht auf alle Schnittstellen. Beachten Sie aber, dass einige Netzwerkoptionen nur global gesetzt werden können. Dies ist ein Beispielsskript:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2715
#, no-wrap
msgid ""
"#!/bin/sh -e\n"
"# Script-name: /etc/network/interface-secure\n"
"#\n"
"# Modifies some default behavior in order to secure against \n"
"# some TCP/IP spoofing & attacks for a given interface.\n"
"#\n"
"# Contributed by Dariusz Puchalak.\n"
"#\n"
"\n"
"IFACE=$1\n"
"if [ -z \"$IFACE\" ] ; then\n"
" echo \"$0: Must give an interface name as argument!\"\n"
" echo \"Usage: $0 <interface>\"\n"
" exit 1\n"
"fi\n"
"\n"
"if [ ! -e /proc/sys/net/ipv4/conf/$IFACE/ ]; then\n"
" echo \"$0: Interface $IFACE does not exit (cannot find /proc/sys/net/ipv4/conf/)\"\n"
" exit 1\n"
"fi\n"
"\n"
"echo 0 > /proc/sys/net/ipv4/conf/$IFACE/forwarding # IP forwarding disabled.\n"
"echo 1 >/proc/sys/net/ipv4/conf/$IFACE/log_martians # Log strange packets.\n"
"# (this includes spoofed packets, source routed packets, redirect packets)\n"
"# but be careful with this on heavy loaded web servers.\n"
"\n"
"# IP spoofing protection.\n"
"echo 1 > /proc/sys/net/ipv4/conf/$IFACE/rp_filter\n"
"\n"
"# Disable ICMP redirect acceptance.\n"
"echo 0 > /proc/sys/net/ipv4/conf/$IFACE/accept_redirects\n"
"echo 0 > /proc/sys/net/ipv4/conf/$IFACE/send_redirects\n"
"\n"
"# Disable source routed packets.\n"
"echo 0 > /proc/sys/net/ipv4/conf/$IFACE/accept_source_route\n"
"\n"
"exit 0"
msgstr ""
"#!/bin/sh -e\n"
"# Skriptname: /etc/network/interface-secure\n"
"#\n"
"# Verändert das Standardverhalten für alle Schnittstellen in einigen Bereichen,\n"
"# um vor TCP/IP-Spoofing und Angriffen zu schützen.\n"
"#\n"
"# Wurde von Dariusz Puchalak beigesteuert\n"
"#\n"
"\n"
"IFACE=$1\n"
"if [ -z \"$IFACE\" ] ; then\n"
" echo \"$0: Must give an interface name as argument!\"\n"
" echo \"Usage: $0 <interface>\"\n"
" exit 1\n"
"fi\n"
"\n"
"if [ ! -e /proc/sys/net/ipv4/conf/$IFACE/ ]; then\n"
" echo \"$0: Interface $IFACE does not exit (cannot find /proc/sys/net/ipv4/conf/)\"\n"
" exit 1\n"
"fi\n"
"\n"
"echo 0 > /proc/sys/net/ipv4/conf/$IFACE/forwarding # IP forwarding disabled.\n"
"echo 1 >/proc/sys/net/ipv4/conf/$IFACE/log_martians # Log strange packets.\n"
"# (this includes spoofed packets, source routed packets, redirect packets)\n"
"# but be careful with this on heavy loaded web servers.\n"
"\n"
"# IP spoofing protection.\n"
"echo 1 > /proc/sys/net/ipv4/conf/$IFACE/rp_filter\n"
"\n"
"# Disable ICMP redirect acceptance.\n"
"echo 0 > /proc/sys/net/ipv4/conf/$IFACE/accept_redirects\n"
"echo 0 > /proc/sys/net/ipv4/conf/$IFACE/send_redirects\n"
"\n"
"# Disable source routed packets.\n"
"echo 0 > /proc/sys/net/ipv4/conf/$IFACE/accept_source_route\n"
"\n"
"exit 0"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2722
msgid "An alternative solution is to create an <tt>init.d</tt> script and have it run on bootup (using <prgn>update-rc.d</prgn> to create the appropriate <tt>rc.d</tt> links)."
msgstr "Eine andere Lösungsmöglichkeit ist es, ein <tt>init.d</tt>-Skript zu erstellen und es beim Booten auszuführen (verwenden Sie <prgn>update-rc.d</prgn>, um die passenden <tt>rc.d</tt>-Links herzustellen)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2724
msgid "Configuring firewall features"
msgstr "Konfiguration der Firewall"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2731
msgid "In order to have firewall capabilities, either to protect the local system or others <em>behind</em> it, the kernel needs to be compiled with firewall capabilities. The standard Debian 2.2 kernel (Linux 2.2) provides the packet filter <prgn>ipchains</prgn> firewall, Debian 3.0 standard kernel (Linux 2.4) provides the <em>stateful</em> packet filter <prgn>iptables</prgn> (netfilter) firewall."
msgstr "Um die Möglichkeiten einer Firewall zu haben, damit entweder das lokale System oder andere <em>dahinter</em> beschützt werden, muss der Kernel mit Firewall-Unterstützung kompiliert worden sein. Der Standardkernel von Debian 2.2 (Linux 2.2) stellt die Paketfilter-Firewall <prgn>ipchains</prgn> zur Verfügung. Der Standardkernel von Debian 3.0 (Linux 2.4) enthält die <em>stateful</em> Paketfilter-Firewall <prgn>iptables</prgn> (netfilter)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2738
msgid "In any case, it is pretty easy to use a kernel different from the one provided by Debian. You can find pre-compiled kernels as packages you can easily install in the Debian system. You can also download the kernel sources using the <package>kernel-source-<var>X</var></package> and build custom kernel packages using <prgn>make-kpkg</prgn> from the <package>kernel-package</package> package."
msgstr "In jedem Fall ist es recht einfach, einen anderen als den mit Debian gelieferten Kernel zu benutzen. Sie finden vorkompilierte Kernel als Pakete vor, die Sie leicht auf Ihrem Debian-System installieren können. Mit Hilfe des Pakets <package>kernel-source-<var>X</var></package> können Sie auch die Kernelquellen herunterladen und einen maßgeschneiderten Kernel kompilieren, indem Sie <prgn>make-kpkg</prgn> aus dem Paket <package>kernel-package</package> benutzen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2742
msgid "Setting up firewalls in Debian is discussed more thoroughly in <ref id=\"firewall-setup\">."
msgstr "Auf das Aufsetzen einer Firewall unter Debian wird unter <ref id=\"firewall-setup\"> ausführlich eingegangen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2746
msgid "Disabling weak-end hosts issues"
msgstr "Lösung des Problems der Weak-End-Hosts <!-- SB (20050306): \"Disabling weak-end hosts issues\" - Gibt's dafür eine vernünftige Übersetzung? \"Week-end host\" wäre wohl \"Kneipe\" ;-) -->"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2770
msgid "Systems with more than one interface on different networks can have services configured so that they will bind only to a given IP address. This usually prevents access to services when requested through any other address. However, this does not mean (although it is a common misconception) that the service is bound to a given <em>hardware</em> address (interface card). <footnote><p>To reproduce this (example provided by Felix von Leitner on the Bugtraq mailing list): <example> host a (eth0 connected to eth0 of host b): ifconfig eth0 10.0.0.1 ifconfig eth1 23.0.0.1 tcpserver -RHl localhost 23.0.0.1 8000 echo fnord host b: ifconfig eth0 10.0.0.2 route add 23.0.0.1 gw 10.0.0.1 telnet 23.0.0.1 8000</example></p><p>It seems, however, not to work with services bound to 127.0.0.1, you might need to write the tests using raw sockets.</p></footnote>"
msgstr "Auf Systemen mit mehr als einer Schnittstelle zu verschiedenen Netzwerken können Dienste so eingerichtet werden, dass sie Verbindungen nur zu einer bestimmten IP-Adresse zulassen. Normalerweise verhindert das den Zugang zu diesen Diensten, wenn an sie Anfragen über andere Adressen gestellt werden. Allerdings bedeutet das nicht, dass der Dienst an eine bestimmte <em>Hardware</em>-Adresse (Netzwerkkarte) gebunden ist (ein verbreiteter Irrtum). <footnote> Um das nachzuvollziehen folgendes Beispiel, das von Felix von Leitner auf der Bugtraq-Mailingliste vorgestellt wurde: <example> host a (eth0 connected to eth0 of host b): ifconfig eth0 10.0.0.1 ifconfig eth1 23.0.0.1 tcpserver -RHl localhost 23.0.0.1 8000 echo fnord host b: ifconfig eth0 10.0.0.2 route add 23.0.0.1 gw 10.0.0.1 telnet 23.0.0.1 8000 </example> <p>Das scheint allerdings nicht mit Diensten zu funktionieren, die mit 127.0.0.1 verbunden sind. Sie sollten vielleicht für die Tests raw sockets verwenden. </footnote>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2776
msgid "This is not an ARP issue and it's not an RFC violation (it's called <em>weak end host</em> in <url id=\"ftp://ftp.isi.edu/in-notes/rfc1122.txt\"; name=\"RFC1122\">, section 3.3.4.2). Remember, IP addresses have nothing to do with physical interfaces."
msgstr "Das ist kein Problem von ARP und auch keine Verletzung eines RFCs (es wird in <url id=\"ftp://ftp.isi.edu/in-notes/rfc1122.txt\"; name=\"RFC1122\">, Abschnitt 3.3.4.2 als <em>weak end host</em> bezeichnet). Vergessen Sie nicht, dass IP-Adressen nichts mit dem physischen Schnittstellen zu tun haben."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2777
msgid "On 2.2 (and previous) kernels this can be fixed with:"
msgstr "Im Kernel 2.2 (und davor) konnte dieses Problem so gelöst werden:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2782
#, no-wrap
msgid ""
"# echo 1 > /proc/sys/net/ipv4/conf/all/hidden\n"
"# echo 1 > /proc/sys/net/ipv4/conf/eth0/hidden\n"
"# echo 1 > /proc/sys/net/ipv4/conf/eth1/hidden\n"
"....."
msgstr ""
"# echo 1 > /proc/sys/net/ipv4/conf/all/hidden\n"
"# echo 1 > /proc/sys/net/ipv4/conf/eth0/hidden\n"
"# echo 1 > /proc/sys/net/ipv4/conf/eth1/hidden\n"
"....."
#. type: <p><list>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2784
msgid "On later kernels this can be fixed either with:"
msgstr "Bei späteren Kernel kann das folgendermaßen gelöst werden:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2786
msgid "iptables rules."
msgstr "Regeln für iptables"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2801
msgid "properly configured routing. <footnote><p>The fact that this behavior can be changed through routing was described by Matthew G. Marsh in the Bugtraq thread: <example>eth0 = 1.1.1.1/24 eth1 = 2.2.2.2/24 ip rule add from 1.1.1.1/32 dev lo table 1 prio 15000 ip rule add from 2.2.2.2/32 dev lo table 2 prio 16000 ip route add default dev eth0 table 1 ip route add default dev eth1 table 2</example></p></footnote>"
msgstr "richtig konfiguriertes Routing <footnote> Die Tatsache, dass dieses Verhalten durch Routing geändert werden kann, wurde von Matthew G. Marsh in dem Bugtraq-Thread beschrieben: <example> eth0 = 1.1.1.1/24 eth1 = 2.2.2.2/24 ip rule add from 1.1.1.1/32 dev lo table 1 prio 15000 ip rule add from 2.2.2.2/32 dev lo table 2 prio 16000 ip route add default dev eth0 table 1 ip route add default dev eth1 table 2 </example> </footnote> oder"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2808
msgid "kernel patching. <footnote><p>There are some patches available for this behavior as described in Bugtraq's thread at <url id=\"http://www.linuxvirtualserver.org/~julian/#hidden\";> and <url id=\"http://www.fefe.de/linux-eth-forwarding.diff\";>.</p></footnote>"
msgstr "Patchen des Kernels <footnote> Wie im Bugtraq-Thread beschrieben, gibt es dafür einige Patches auf <url id=\"http://www.linuxvirtualserver.org/~julian/#hidden\";> und <url id=\"http://www.fefe.de/linux-eth-forwarding.diff\";>. </footnote>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2823
msgid "Along this text there will be many occasions in which it is shown how to configure some services (sshd server, apache, printer service...) in order to have them listening on any given address, the reader should take into account that, without the fixes given here, the fix would not prevent accesses from within the same (local) network. <footnote><p>An attacker might have many problems pulling the access through after configuring the IP-address binding if he is not on the same broadcast domain (same network) as the attacked host. If the attack goes through a router it might be quite difficult for the answers to return somewhere.</p></footnote>"
msgstr "In diesem Text finden sich viele Fälle, in denen gezeigt wird, wie man einige Dienste (sshd-Server, apache, Druckserver, ...) so konfiguriert, dass sie nur auf einer bestimmten Adresse lauschen. Der Leser sollte in Betracht ziehen, dass das den Zugang aus dem gleichen (lokalen) Netzwerk nicht verhindern kann, wenn nicht die in diesem Abschnitt vorgeschlagenen Schritte ergriffen werden. <footnote> Ein Angreifer, der nicht in der gleichen Broadcast-Domain (also dem gleichen Netzwerk) wie der angegriffene Host ist, kann auf viele Probleme bei Zugang stoßen, nachdem die Anbindung der IP-Adressen konfiguriert wurde. Wenn der Angriff über einen Router läuft, kann es sich als ziemlich schwer herausstellen, die Antworten zurückzubekommen. </footnote>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2826
msgid "FIXME: Comments on Bugtraq indicate there is a Linux specific method to bind to a given interface."
msgstr "FIXME: Comments on Bugtraq indicate there is a Linux specific method to bind to a given interface."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2829
msgid "FIXME: Submit a bug against netbase so that the routing fix is standard behavior in Debian?"
msgstr "FIXME: Submit a bug against netbase so that the routing fix is standard behavior in Debian?"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2831
msgid "Protecting against ARP attacks"
msgstr "Schutz vor ARP-Angriffen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2835
msgid "When you don't trust the other boxes on your LAN (which should always be the case, because it's the safest attitude) you should protect yourself from the various existing ARP attacks."
msgstr "Wenn Sie den anderen Kisten in Ihrem LAN nicht trauen (das sollte immer so sein, da es die sicherste Einstellung ist), sollten Sie sich vor den verschiedenen ARP-Angriffen schützen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2846
msgid "As you know the ARP protocol is used to link IP addresses to MAC addresses (see <url id=\"ftp://ftp.isi.edu/in-notes/rfc826.txt\"; name=\"RFC826\"> for all the details). Every time you send a packet to an IP address an ARP resolution is done (first by looking into the local ARP cache then if the IP isn't present in the cache by broadcasting an ARP query) to find the target's hardware address. All the ARP attacks aim to fool your box into thinking that box B's IP address is associated to the intruder's box's MAC address; Then every packet that you want to send to the IP associated to box B will be send to the intruder's box..."
msgstr "Wie Sie wissen, wird das ARP-Protokoll dazu verwendet, IP-Adressen mit MAC-Adressen zu verknüpfen (für alle Details siehe <url name=\"RFC826\" id=\"ftp://ftp.isi.edu/in-notes/rfc826.txt\";>). Jedes Mal, wenn Sie ein Paket an eine IP-Adresse schicken, wird eine ARP-Auflösung vorgenommen (zuerst wird in den lokalen ARP-Speicher geschaut, und falls die IP nicht im Speicher ist, wird ein Rundruf (Broadcast) mit der ARP-Anfrage verschickt), um die Hardware-Adresse des Ziels zu finden. Alle ARP-Angriffe zielen darauf ab, Ihrem Rechner vorzugaukeln, dass die IP-Adresse des Rechners B mit der MAC-Adresse des Computers des Angreifers verbunden ist. Dadurch wird jedes Paket, das Sie an den Rechner B, der mit der IP-Adresse verbunden ist, schicken wollen, an den Computer des Eindringlings umgeleitet ..."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2854
msgid "Those attacks (ARP cache poisoning, ARP spoofing...) allow the attacker to sniff the traffic even on switched networks, to easily hijack connections, to disconnect any host from the network... ARP attacks are powerful and simple to implement, and several tools exists, such as <prgn>arpspoof</prgn> from the <package>dsniff</package> package or <url id=\"http://arpoison.sourceforge.net/\"; name=\"arpoison\">."
msgstr "Diese Angriffe (Verfälschung des ARP-Speichers, ARP-Spoofing, ...) ermöglichen dem Angreifer, auf Netzwerken den Verkehr abzuhören (selbst bei Netzwerken, die über einen Switch laufen). Er kann sich leicht in eine Verbindung einschleusen oder einen Host vom Netzwerk nehmen oder ... ARP-Angriffe sind leistungsfähig und einfach durchzuführen. Es gibt dafür auch einige Werkzeuge wie <prgn>arpspoof</prgn> aus dem Paket <package>dsniff</package> oder <url name=\"arpoison\" id=\"http://arpoison.sourceforge.net/\";>."
#. type: <p><list>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2856
msgid "However, there is always a solution:"
msgstr "Allerdings gibt es immer eine Lösung:"
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2861
msgid "Use a static ARP cache. You can set up \"static\" entries in your ARP cache with:"
msgstr "Verwenden Sie einen statischen ARP-Speicher. So erstellen Sie »statische« Einträge in Ihrem ARP-Speicher:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2863
#, no-wrap
msgid " arp -s host_name hdwr_addr"
msgstr " arp -s host_name hdwr_addr"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2871
msgid "By setting static entries for each important host in your network you ensure that nobody will create/modify a (fake) entry for these hosts (static entries don't expire and can't be modified) and spoofed ARP replies will be ignored."
msgstr "Indem Sie statische Einträge für jeden wichtigen Host in Ihrem Netzwerk vergeben, stellen Sie sicher, dass niemand einen (falschen) Eintrag für diese Hosts erstellen oder verändern kann (statische Einträge verfallen nicht und können nicht verändert werden). Auch gefälschte ARP-Antworten werden ignoriert."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2877
msgid "Detect suspicious ARP traffic. You can use <package>arpwatch</package>, <package>karpski</package> or more general IDS that can also detect suspicious ARP traffic (<package>snort</package>, <url id=\"http://www.prelude-ids.org\"; name=\"prelude\">...)."
msgstr "Entdecken Sie verdächtigen ARP-Verkehr. Sie können dazu <package>arpwatch</package>, <package>karpski</package> oder allgemeinere IDS, die auch verdächtigen ARP-Verkehr entdecken können wie <package>snort</package> oder <url name=\"prelude\" id=\"http://www.prelude-ids.org\";>, einsetzen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2878
msgid "Implement IP traffic filtering validating the MAC address."
msgstr "Verwenden Sie einen IP-Filter, der die MAC-Adressen überprüft."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2883
msgid "Taking a snapshot of the system"
msgstr "Einen Schnappschuss des Systems erstellen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2889
msgid "Before putting the system into production system you could take a snapshot of the whole system. This snapshot could be used in the event of a compromise (see <ref id=\"after-compromise\">). You should remake this upgrade whenever the system is upgraded, especially if you upgrade to a new Debian release."
msgstr "Bevor Sie das System in produktiven Betrieb nehmen, können Sie einen Schnappschuss des gesamten Systems erstellen. Diesen Schnappschuss können Sie im Falle einer Kompromittierung (siehe <ref id=\"after-compromise\">) benutzen. Sie sollten den Schnappschuss immer dann erneuern, wenn Sie das System aktualisieren, insbesondere wenn Sie auf eine neue Debian-Veröffentlichung upgraden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2895
msgid "For this you can use a writable removable-media that can be set up read-only, this could be a floppy disk (read protected after use), a CD on a CD-ROM unit (you could use a rewritable CD-ROM so you could even keep backups of md5sums in different dates), or a USB disk or MMC card (if your system can access those and they can be write protected)."
msgstr "Hierfür können Sie beschreibbare, austauschbare Datenträger benutzen, die Sie schreibschützen können. Dies kann eine Diskette (die nach der Benutzung schreibgeschützt wird), eine CD in einem CD-ROM-Laufwerk (Sie können auch wiederbeschreibbare CD-ROMs benutzen, so können Sie sogar alte Sicherheitskopien Ihrer MD5-Summen behalten), eine USB-Platte oder eine MMC-Karte (wenn Ihr System auf diese zugreifen kann und sie schreibgeschützt werden können) sein."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2897
msgid "The following script creates such a snapshot:"
msgstr "Das folgende Skript erstellt einen solchen Schnappschuss:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2927
#, no-wrap
msgid ""
"#!/bin/bash\n"
"/bin/mount /dev/fd0 /mnt/floppy\n"
"trap \"/bin/umount /dev/fd0\" 0 1 2 3 9 13 15\n"
"if [ ! -f /usr/bin/md5sum ] ; then\n"
"\techo \"Cannot find md5sum. Aborting.\"\n"
"\texit 1\n"
"fi\n"
"/bin/cp /usr/bin/md5sum /mnt/floppy\n"
"echo \"Calculating md5 database\"\n"
">/mnt/floppy/md5checksums.txt\n"
"for dir in /bin/ /sbin/ /usr/bin/ /usr/sbin/ /lib/ /usr/lib/\n"
"do\n"
" find $dir -type f | xargs /usr/bin/md5sum >>/mnt/floppy/md5checksums-lib.txt\n"
"done\n"
"echo \"post installation md5 database calculated\"\n"
"if [ ! -f /usr/bin/sha1sum ] ; then\n"
"\techo \"Cannot find sha1sum\"\n"
" echo \"WARNING: Only md5 database will be stored\"\n"
"else\n"
"\t/bin/cp /usr/bin/sha1sum /mnt/floppy\n"
"\techo \"Calculating SHA-1 database\"\n"
"\t>/mnt/floppy/sha1checksums.txt\n"
"\tfor dir in /bin/ /sbin/ /usr/bin/ /usr/sbin/ /lib/ /usr/lib/\n"
"\tdo\n"
"\t find $dir -type f | xargs /usr/bin/sha1sum >>/mnt/floppy/sha1checksums-lib.txt\n"
"\tdone\n"
"\techo \"post installation sha1 database calculated\"\n"
"fi\n"
"exit 0"
msgstr ""
"#!/bin/bash\n"
"/bin/mount /dev/fd0 /mnt/floppy\n"
"trap \"/bin/umount /dev/fd0\" 0 1 2 3 9 13 15\n"
"if [ ! -f /usr/bin/md5sum ] ; then\n"
"\techo \"Kann md5sum nicht finden. Breche ab.\"\n"
"\texit 1\n"
"fi\n"
"/bin/cp /usr/bin/md5sum /mnt/floppy\n"
"echo \"Erstelle MD5-Datenbank\"\n"
">/mnt/floppy/md5checksums.txt\n"
"for dir in /bin/ /sbin/ /usr/bin/ /usr/sbin/ /lib/ /usr/lib/\n"
"do\n"
" find $dir -type f | xargs /usr/bin/md5sum >>/mnt/floppy/md5checksums-lib.txt\n"
"done\n"
"echo \"MD5-Datenbank (nach der Installation) erstellt\"\n"
"if [ ! -f /usr/bin/sha1sum ] ; then\n"
"\techo \"Kann sha1sum nicht finden\"\n"
" echo \"WARNUNG: nur die md5-Datenbank wird gespeichert\"\n"
"else\n"
"\t/bin/cp /usr/bin/sha1sum /mnt/floppy\n"
"\techo \"Erstelle SHA-1-Datenbank\"\n"
"\t>/mnt/floppy/sha1checksums.txt\n"
"\tfor dir in /bin/ /sbin/ /usr/bin/ /usr/sbin/ /lib/ /usr/lib/\n"
"\tdo\n"
"\t find $dir -type f | xargs /usr/bin/sha1sum >>/mnt/floppy/sha1checksums-lib.txt\n"
"\tdone\n"
"\techo \"SHA-1-Datenbank (nach der Installation) erstellt\"\n"
"fi\n"
"exit 0"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2941
msgid "Note that the md5sum binary (and sha1sum, if available) is placed on the floppy drive so it can be used later on to check the binaries of the system (just in case it gets trojaned). However, if you want to make sure that you are running a legitimate binary, you might want to either compile a static copy of the md5sum binary and use that one (to prevent a trojaned libc library from interfering with the binary) or to use the snapshot of md5sums only from a clean environment such as a rescue CD-ROM or a Live-CD (to prevent a trojaned kernel from interfering). I cannot stress this enough: if you are on a compromised system you cannot trust its output, see <ref id=\"after-compromise\">."
msgstr "Beachten Sie, dass das Programm md5sum (und sha1sum, falls verfügbar) auch auf der Diskette gesichert werden muss, so dass Sie es später benutzen können, um die anderen Programme Ihres Systems zu prüfen (für den Fall, dass md5sum oder sha1sum einen Trojaner enthalten). Wenn Sie aber sicher sein wollen, dass Sie eine gültige Kopie von md5sum verwenden, sollten Sie eine statische Kopie von md5sum erstellen und diese verwenden (damit wird verhindert, dass eine manipulierte libc-Bibliothek das Programm beeinträchtigt) oder md5sum nur in einer sauberen Umgebung einsetzen, die Sie etwa mit einer Rettungs-CD-ROM oder einer Live-CD erzeugen können (damit wird verhindert, dass ein manipulierter Kernel das Programm beeinflusst). Ich kann es nicht genug betonen: Wenn Sie ein System haben, in das eingebrochen wurde, können Sie den Ausgaben nicht vertrauen. Sehen Sie sich auch <ref id=\"after-compromise\"> an."
#. type: <p><list>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2946
msgid "The snapshot does not include the files under <file>/var/lib/dpkg/info</file> which includes the MD5 hashes of installed packages (in files ending with <file>.md5sums</file>). You could copy this information along too, however you should notice:"
msgstr "Dieser Schnappschuss enthält nicht die Dateien unterhalb von <file>/var/lib/dpkg/info</file>, wo MD5-Summen installierter Pakete enthalten sind (die Dateien enden mit <file>.md5sums</file>). Sie können diese Informationen zusätzlich kopieren, aber Sie sollten Folgendes beachten:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2955
msgid "the md5sums files include the md5sum of all files provided by the Debian packages, not just system binaries. As a consequence, that database is bigger (5 Mb versus 600 Kb in a Debian GNU/Linux system with a graphical system and around 2.5 Gb of software installed) and will not fit in small removable media (like a single floppy disk, but would probably fit in a removable USB memory)."
msgstr "Die Dateien mit den MD5-Summen enthalten die MD5-Summen aller Dateien, die ein Debian-Paket enthält, nicht nur die der Systemprogramme. Das hat zur Folge, dass diese Datenbank viel größer ist (5 MB statt 600 KB auf einem Debian GNU/Linux System mit grafischen Subsystem und etwa 2,5 GB Software installiert) und nicht auf ein kleines, transportables Medium wie eine Diskette passt, aber wohl auf einen tragbaren USB-Speicher."
#. type: <p><example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2959
msgid "not all Debian packages provide md5sums for the files installed since it is not (currently) mandated policy. Notice, however, that you can generate the md5sums for all packages using <package>debsums</package> after you've finished the system installation:"
msgstr "Nicht alle Debian-Pakete stellen MD5-Summen der installierten Dateien zur Verfügung, da es (derzeit) nicht in der Richtlinie verlangt wird. Sie können allerdings nach der Installation die MD5-Summen aller Pakete mit <package>debsums</package> erstellen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2961
#, no-wrap
msgid "# debsums --generate=missing,keep"
msgstr "# debsums --generate=missing,keep"
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2970
msgid "Once the snapshot is done you should make sure to set the medium read-only. You can then store it for backup or place it in the drive and use it to drive a <prgn>cron</prgn> check nightly comparing the original md5sums against those on the snapshot."
msgstr "Sobald der Schnappschuss erstellt wurde, sollten Sie sicherstellen, dass das entsprechende Medium schreibgeschützt ist. Sie können es dann als Sicherheitskopie verwenden oder in ein Laufwerk stecken, um jede Nacht mit <prgn>cron</prgn> die MD5-Summen des Systems mit Ihrem Schnappschuss zu vergleichen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2974
msgid "If you do not want to setup a manual check you can always use any of the integrity systems available that will do this and more, for more information please read <ref id=\"periodic-integrity\">."
msgstr "Wenn Sie keine Überprüfung von Hand einrichten wollen, können Sie immer eines der Integritätssysteme verwenden, die diese Aufgabe und noch vieles mehr für Sie erledigen werden. Weitere Informationen finden Sie unter <ref id=\"periodic-integrity\">."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2978
msgid "Other recommendations"
msgstr "Andere Empfehlungen"
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:52
#: en/after-install.sgml:2980
msgid "Do not use software depending on svgalib"
msgstr "Benutzen Sie keine Software, die von svgalib abhängt"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:3
msgid "SVGAlib is very nice for console lovers like me, but in the past it has been proven several times that it is very insecure. Exploits against <prgn>zgv</prgn> were released, and it was simple to become root. Try to prevent using SVGAlib programs wherever possible."
msgstr "SVGAlib ist ganz nett für Konsolen-Liebhaber wie mich, aber in der Vergangenheit wurde mehrfach gezeigt, dass es ziemlich unsicher ist. Exploits durch <prgn>zgv</prgn> wurden veröffentlicht und es war einfach, Root zu werden. Versuchen Sie die Nutzung von SVGAlib-Programmen wann immer nur möglich zu vermeiden."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:5
msgid "Securing services running on your system"
msgstr "Absichern von Diensten, die auf Ihrem System laufen"
#. type: <p><list>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:7
msgid "Services can be secured in a running system in two ways:"
msgstr "Dienste können auf zwei Arten in einem laufenden System abgesichert werden:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:12
msgid "Making them only accessible at the access points (interfaces) they need to be in."
msgstr "Sie so einstellen, dass auf sie nur von Zugangspunkten (Interfaces) zugegriffen werden kann, von denen es nötig ist."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:15
msgid "Configuring them properly so that they can only be used by legitimate users in an authorized manner."
msgstr "Sie so konfigurieren, dass sie nur von legitimierten Benutzern auf autorisierte Art und Weise benutzt werden können."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:24
msgid "Restricting services so that they can only be accessed from a given place can be done by restricting access to them at the kernel (i.e. firewall) level, configure them to listen only on a given interface (some services might not provide this feature) or using some other methods, for example the Linux vserver patch (for 2.4.16) can be used to force processes to use only one interface."
msgstr "Dienste können durch Zugriffsbeschränkungen auf Kernel-Ebene (durch eine Firewall) eingeschränkt werden, so dass auf sie nur von bestimmten Orten aus zugegriffen werden kann. Konfigurieren Sie sie, so dass sie nur auf einer bestimmten Schnittstelle horchen (einige Dienste bieten diese Fähigkeiten nicht). Oder verwenden Sie eine andere Methode, zum Beispiel den Linux-vserver-Patch (für 2.4.16), mit dem Prozesse an eine bestimmte Schnittstelle gebunden werden können."
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:35
msgid "Regarding the services running from <prgn>inetd</prgn> (<prgn>telnet</prgn>, <prgn>ftp</prgn>, <prgn>finger</prgn>, <prgn>pop3</prgn>...) it is worth noting that <prgn>inetd</prgn> can be configured so that services only listen on a given interface (using <tt>service@ip</tt> syntax) but that's an undocumented feature. One of its substitutes, the <prgn>xinetd</prgn> meta-daemon includes a <tt>bind</tt> option just for this matter. See <manref name=\"xinetd.conf\" section=\"5\">."
msgstr "Was die Dienste angeht, die von <prgn>inetd</prgn> aufgerufen werden (<prgn>telnet</prgn>, <prgn>ftp</prgn>, <prgn>finger</prgn>, <prgn>pop3</prgn>, ...), so ist es wert zu erwähnen, dass <prgn>inetd</prgn> so konfiguriert werden kann, dass er nur auf eine bestimmte Schnittstelle reagiert (unter Verwendung der <tt>service@ip</tt>-Syntax). Dies ist jedoch eine nicht dokumentierte Eigenschaft. Ein Ersatz, der Meta-Daemon <prgn>xinetd</prgn>, kennt eine <tt>bind</tt>-Option nur für diesen Zweck. Lesen Sie dazu bitte <manref name=\"xinetd.conf\" section=\"5\">."
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:48
#, no-wrap
msgid ""
"service nntp\n"
"{\n"
" socket_type = stream\n"
" protocol = tcp\n"
" wait = no\n"
" user = news\n"
" group = news\n"
" server = /usr/bin/env\n"
" server_args = POSTING_OK=1 PATH=/usr/sbin/:/usr/bin:/sbin/:/bin\n"
"+/usr/sbin/snntpd logger -p news.info\n"
" bind = 127.0.0.1\n"
"}"
msgstr ""
"service nntp\n"
"{\n"
" socket_type = stream\n"
" protocol = tcp\n"
" wait = no\n"
" user = news\n"
" group = news\n"
" server = /usr/bin/env\n"
" server_args = POSTING_OK=1 PATH=/usr/sbin/:/usr/bin:/sbin/:/bin\n"
"+/usr/sbin/snntpd logger -p news.info\n"
" bind = 127.0.0.1\n"
"}"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:54
msgid "The following sections detail how specific individual services can be configured properly depending on their intended use."
msgstr "Die folgenden Abschnitte gehen detaillierter darauf ein, wie bestimmte Dienste abhängig von der beabsichtigten Benutzung passend konfiguriert werden."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:55
msgid "Securing ssh"
msgstr "Absichern von ssh"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:63
msgid "If you are still running telnet instead of ssh, you should take a break from this manual and change this. Ssh should be used for all remote logins instead of telnet. In an age where it is easy to sniff Internet traffic and get clear-text passwords, you should use only protocols which use cryptography. So, perform an <tt>apt-get install ssh</tt> on your system now."
msgstr "Wenn Sie immer noch telnet statt ssh benutzen, sollten Sie dieses Handbuch kurz beiseitelegen und dies ändern. Ssh sollte anstelle von telnet für alle Anmeldungen aus der Ferne benutzt werden. In einer Zeit, in der es leicht ist, Internet-Verkehr mitzuschnüffeln und an Klartext-Passwörter heranzukommen, sollten Sie lediglich Protokolle verwenden, die Verschlüsselung benutzen. Also führen Sie sofort ein <tt>apt-get install ssh</tt> auf Ihrem System aus."
#. type: <p><list>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:71
msgid "Encourage all the users on your system to use ssh instead of telnet, or even better, uninstall telnet/telnetd. In addition you should avoid logging into the system using ssh as root and use alternative methods to become root instead, like <prgn>su</prgn> or <prgn>sudo</prgn>. Finally, the <file>sshd_config</file> file, in <file>/etc/ssh</file>, should be modified to increase security as well:"
msgstr "Ermuntern Sie alle Benutzer Ihres Systems, ssh anstelle von telnet zu benutzen, oder noch besser: deinstallieren Sie telnet/telnetd. Zusätzlich sollten Sie es vermeiden, sich mit ssh als Root einzuloggen, und lieber andere Methoden benutzen, um Root zu werden. Wie zum Beispiel <prgn>su</prgn> oder <prgn>sudo</prgn>. Schließlich sollten Sie noch die Datei <file>/etc/ssh/sshd_config</file> für mehr Sicherheit modifizieren:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:71
msgid "<tt>ListenAddress 192.168.0.1</tt>"
msgstr "<tt>ListenAddress 192.168.0.1</tt>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:77
msgid "Have ssh listen only on a given interface, just in case you have more than one (and do not want ssh available on it) or in the future add a new network card (and don't want ssh connections from it)."
msgstr "Lassen Sie ssh nur auf einer bestimmten Schnittstelle lauschen, falls Sie mehrere haben (und ssh nicht auf allen verfügbar sein soll) oder Sie in Zukunft eine neue Netzwerkkarte einbauen werden (und keine ssh-Verbindungen auf ihr erlauben wollen)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:79
msgid "<tt>PermitRootLogin no</tt>"
msgstr "<tt>PermitRootLogin no</tt>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:83
msgid "Try not to permit Root Login wherever possible. If anyone wants to become root via ssh, now two logins are needed and the root password cannot be brute forced via SSH."
msgstr "Versuchen Sie so wenige Anmeldungen als Root wie möglich zu erlauben. Wenn nun jemand Root werden will, benötigt er zwei Anmeldungen. So kann das Root-Passwort nicht so leicht ausgetestet werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:85
msgid "<tt>Port 666</tt> or <tt>ListenAddress 192.168.0.1:666</tt>"
msgstr "<tt>Port 666</tt> oder <tt>ListenAddress 192.168.0.1:666</tt>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:89
msgid "Change the listen port, so the intruder cannot be completely sure whether a sshd daemon runs (be forewarned, this is security by obscurity)."
msgstr "Verändern Sie den Port, auf dem ssh lauscht, so dass ein Eindringling nicht wirklich sicher sein kann, ob ein sshd-Daemon läuft (aber beachten Sie, dass dies lediglich »Sicherheit durch Verschleierung« ist)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:90
msgid "<tt>PermitEmptyPasswords no</tt>"
msgstr "<tt>PermitEmptyPasswords no</tt>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:92
msgid "Empty passwords make a mockery of system security."
msgstr "Nicht gesetzte Passwörter spotten jeglicher Systemsicherheit."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:93
msgid "<tt>AllowUsers alex ref me@somewhere</tt>"
msgstr "<tt>AllowUsers alex ref ich@irgendwo</tt>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:97
msgid "Allow only certain users to have access via ssh to this machine. <tt>user@host</tt> can also be used to restrict a given user from accessing only at a given host."
msgstr "Erlauben Sie nur bestimmten Benutzern sich via ssh auf der Maschine anzumelden. <tt>benutzer@host</tt> kann auch verwendet werden, um einen bestimmten Benutzer dazu zu zwingen, nur von einem bestimmten Host aus zuzugreifen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:98
msgid "<tt>AllowGroups wheel admin</tt>"
msgstr "<tt>AllowGroups wheel admin</tt>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:103
msgid "Allow only certain group members to have access via ssh to this machine. AllowGroups and AllowUsers have equivalent directives for denying access to a machine. Not surprisingly they are called \"DenyUsers\" and \"DenyGroups\"."
msgstr "Erlauben Sie nur bestimmten Gruppenmitgliedern sich via ssh auf der Maschine einzuloggen. AllowGroups und AllowUsers haben äquivalente Verfahrensweisen, um den Zugang zu der Maschine zu verwehren. Es wird nicht überraschen, dass es sich hierbei um »DenyUsers« und »DenyGroups« handelt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:105
msgid "<tt>PasswordAuthentication yes</tt>"
msgstr "<tt>PasswordAuthentication yes</tt>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:117
msgid "It is completely your choice what you want to do. It is more secure to only allow access to the machine from users with ssh-keys placed in the <file>~/.ssh/authorized_keys</file> file. If you want so, set this one to \"no\"."
msgstr "Es ist allein Ihre Wahl, was Sie hier eintragen. Es ist sicherer, Zugriff nur Benutzern zu erlauben, die ssh-Schlüssel in der Datei <file>~/.ssh/authorized_keys</file> haben. Wenn Sie dies wollen, setzen Sie es auf »no«."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:124
msgid "Disable any form of authentication you do not really need, if you do not use, for example <tt>RhostsRSAAuthentication</tt>, <tt>HostbasedAuthentication</tt>, <tt>KerberosAuthentication</tt> or <tt>RhostsAuthentication</tt> you should disable them, even if they are already by default (see the manpage <manref name=\"sshd_config\" section=\"5\">)."
msgstr "Schalten Sie jede Art der Authentifizierung ab, die Sie nicht wirklich benötigen, zum Beispiel <tt>RhostsRSAAuthentication</tt>, <tt>HostbasedAuthentication</tt>, <tt>KerberosAuthentication</tt> oder <tt>RhostsAuthentication</tt>. Sie sollten sie abschalten, auch wenn sie es standardmäßig bereits sind (siehe dazu die Handbuch-Seite <manref name=\"sshd_config\" section=\"5\">)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:125
msgid "<tt>Protocol 2</tt>"
msgstr "<tt>Protocol 2</tt>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:131
msgid "Disable the protocol version 1, since it has some design flaws that make it easier to crack passwords. For more information read <url id=\"http://earthops.net/ssh-timing.pdf\"; name=\"a paper regarding ssh protocol problems\"> or the <url id=\"http://xforce.iss.net/static/6449.php\"; name=\"Xforce advisory\">."
msgstr "Deaktivieren Sie die Protokollversion 1, da diese einige Designschwächen hat, die es einfacher zu machen, Passwörter zu knacken. Für weitere Informationen lesen Sie <url id=\"http://earthops.net/ssh-timing.pdf\"; name=\"a paper regarding ssh protocol problems\"> oder das <url id=\"http://xforce.iss.net/static/6449.php\"; name=\"Xforce advisory\">."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:132
msgid "<tt>Banner <file>/etc/<var>some_file</var></file></tt>"
msgstr "<tt>Banner <file>/etc/<var>eine_Datei</var></file></tt>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:137
msgid "Add a banner (it will be retrieved from the file) to users connecting to the ssh server. In some countries sending a warning before access to a given system about unauthorized access or user monitoring should be added to have legal protection."
msgstr "Fügen Sie einen Bannertext (er wird aus der Datei bezogen) für Benutzer, die sich mit dem ssh-Server verbinden, hinzu. In einigen Ländern sollte das Senden einer Warnung über unautorisierten Zugriff oder Benutzerüberwachung vor dem Zugriff zu einem bestimmten System erfolgen, um sich rechtlich abzusichern."
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:145
msgid "You can also restrict access to the ssh server using <tt>pam_listfile</tt> or <tt>pam_wheel</tt> in the PAM control file. For example, you could keep anyone not listed in <file>/etc/loginusers</file> away by adding this line to <file>/etc/pam.d/ssh</file>:"
msgstr "Sie können den Zugriff auf den ssh-Server auch mittels <tt>pam_listfile</tt> oder <tt>pam_wheel</tt> in der PAM-Kontrolldatei beschränken. Zum Beispiel können Sie jeden abhalten, der nicht in der Datei <file>/etc/loginusers</file> aufgelistet ist, durch Hinzufügen folgender Zeile zu <file>/etc/pam.d/ssh</file>:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:147
#, no-wrap
msgid "auth required pam_listfile.so sense=allow onerr=fail item=user file=/etc/loginusers"
msgstr "auth required pam_listfile.so sense=allow onerr=fail item=user file=/etc/loginusers"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:159
msgid "As a final note, be aware that these directives are from a OpenSSH configuration file. Right now, there are three commonly used SSH daemons, ssh1, ssh2, and OpenSSH by the OpenBSD people. Ssh1 was the first ssh daemon available and it is still the most commonly used (there are rumors that there is even a Windows port). Ssh2 has many advantages over ssh1 except it is released under a closed-source license. OpenSSH is completely free ssh daemon, which supports both ssh1 and ssh2. OpenSSH is the version installed on Debian when the package <package>ssh</package> is chosen."
msgstr "Abschließend beachten Sie bitte, dass diese Direktiven von einer OpenSSH-Konfigurationsdatei stammen. Derzeit gibt es drei weit verbreitete ssh-Daemonen: ssh1, ssh2 und OpenSSH von den OpenBSD-Leuten. Ssh1 war der erste verfügbare ssh-Daemon und er ist noch der weit verbreitetste (Gerüchten zufolge gibt es sogar eine Windows-Version). Ssh2 hat gegenüber ssh1 viele Vorteile, abgesehen davon, dass es unter einer unfreien Lizenz veröffentlicht wurde. OpenSSH ist ein völlig freier ssh-Daemon, der sowohl ssh1 als auch ssh2 unterstützt. OpenSSH ist die Version, die installiert wird, wenn Sie auf Debian das Paket <package>ssh</package> auswählen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:164
msgid "You can read more information on how to set up SSH with PAM support in the <url id=\"http://lists.debian.org/debian-security/2001/debian-security-200111/msg00395.html\"; name=\"security mailing list archives\">."
msgstr "Mehr Informationen, wie Sie SSH mit Unterstützung für PAM aufsetzen, finden Sie hier: <url id=\"http://lists.debian.org/debian-security/2001/debian-security-200111/msg00395.html\"; name=\"security mailing list archives\">."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:165
msgid "Chrooting ssh"
msgstr "SSH in ein Chroot-Gefängnis einsperren"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:176
msgid "Currently OpenSSH does not provide a way to chroot automatically users upon connection (the commercial version does provide this functionality). However there is a project to provide this functionality for OpenSSH too, see <url id=\"http://chrootssh.sourceforge.net\";>, it is not currently packaged for Debian, though. You could use, however, the <file>pam_chroot</file> module as described in <ref id=\"user-restrict\">."
msgstr "Zurzeit bietet OpenSSH keine Möglichkeit, automatisch Benutzer bei der Verbindung in ein Chroot-Gefängnis einzusperren (die kommerzielle Version bietet diese Funktionalität). Wie dem auch sei, es gibt auch ein Projekt, das diese Funktionalität für OpenSSH anbietet, vergleiche <url id=\"http://chrootssh.sourceforge.net\";>. Es ist aber aktuell noch nicht als Debianpaket verfügbar. Sie sollten stattdessen das <file>pam_chroot</file>-Modul, wie in <ref id=\"user-restrict\"> beschrieben, verwenden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:179
msgid "In <ref id=\"chroot-ssh-env\"> you can find several options to make a chroot environment for SSH."
msgstr "In <ref id=\"chroot-ssh-env\"> können Sie verschiedene Optionen finden, um Chroot-Umgebungen für SSH zu erstellen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:181
msgid "Ssh clients"
msgstr "Ssh-Clients"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:187
msgid "If you are using an SSH client against the SSH server you must make sure that it supports the same protocols that are enforced on the server. For example, if you use the <package>mindterm</package> package, it only supports protocol version 1. However, the sshd server is, by default, configured to only accept version 2 (for security reasons)."
msgstr "Wenn Sie einen SSH-Client mit einem SSH-Server verwenden, müssen Sie sicherstellen, dass er die selben Protokolle, die vom Server erzwungen werden, unterstützt. Wenn Sie beispielsweise das Paket <package>mindterm</package> verwenden, unterstützt dies nur Protokollversion 1. Jedoch ist der sshd-Server standardmäßig so konfiguriert, nur Version 2 (aus Sicherheitsgründen) zu akzeptieren."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:189
msgid "Disallowing file transfers"
msgstr "Verbieten der Übertragung von Dateien"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:195
msgid "If you do <em>not</em> want users to transfer files to and from the ssh server you need to restrict access to the <prgn>sftp-server</prgn> <em>and</em> the <prgn>scp</prgn> access. You can restrict <prgn>sftp-server</prgn> by configuring the proper <tt>Subsystem</tt> in the <file>/etc/ssh/sshd_config</file>."
msgstr "Wenn Sie <em>nicht</em> möchten, das Benutzer Dateien zum und vom ssh-Server übertragen, müssen Sie den Zugang zu <prgn>sftp-server</prgn> <em>und</em> zu <prgn>scp</prgn> einschränken. Sie können dies für <prgn>sftp-server</prgn> tun, indem Sie den korrekten <tt>Subsystem</tt>-Wert in <file>/etc/ssh/sshd_config</file> eintragen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:199
msgid "You can also chroot users (using <package>libpam-chroot</package> so that, even if file transfer is allowed, they are limited to an environment which does not include any system files."
msgstr "Sie können auch Benutzer mittels <package>libpam-chroot</package> in eine Chroot-Umgebung einsperren, so dass sie, selbst wenn Dateitransfers erlaubt sind, auf eine bestimmte Umgebung festgelegt sind, die keine Systemdateien enthält."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:201
msgid "Restricing access to file transfer only"
msgstr "Beschränkung des Zugangs auf Dateientransfers"
#. type: <p><list>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:205
msgid "You might want to restrict access to users so that they can only do file transfers and cannot have interactive shells. In order to do this you can either:"
msgstr "Sie können den Zugang von Benutzern der Gestalt beschränken, dass sie nur Dateien übertragen können, aber keine interaktive Shell erhalten. Dies können Sie mit den folgenden Methoden erreichen:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:210
msgid "disallow users from login to the ssh server (as described above either through the configuration file or PAM configuration)."
msgstr "den Benutzern verbieten, sich auf dem ssh-Server einzuloggen (wie oben beschrieben entweder durch die Konfigurationsdatei oder die PAM-Konfiguration), oder"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:215
msgid "give users a restricted shell such as <package>scponly</package> or <package>rssh</package>. These shells restrict the commands available to the users so that they are not provided any remote execution priviledges."
msgstr "den Benutzern nur eine eingeschränkte Shell wie <package>scponly</package> oder <package>rssh</package> zuweisen. Diese Shells schränken die Befehle ein, die den Benutzern zur Verfügung stehen, so dass sie auf dem entfernten Rechner keine Befehle ausführen können."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:219
msgid "Securing Squid"
msgstr "Absichern von Squid"
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:242
msgid "Squid is one of the most popular proxy/cache server, and there are some security issues that should be taken into account. Squid's default configuration file denies all users requests. However the Debian package allows access from 'localhost', you just need to configure your browser properly. You should configure Squid to allow access to trusted users, hosts or networks defining an Access Control List on <file>/etc/squid/squid.conf</file>, see the <url id=\"http://www.deckle.co.za/squid-users-guide/Main_Page\"; name=\"Squid User's Guide\"> for more information about defining ACLs rules. Notice that Debian provides a minimum configuration for Squid that will prevent anything, except from <em>localhost</em> to connect to your proxy server (which will run in the default port 3128). You will need to customize your <file>/etc/squid/squid.conf</file> as needed. The recommended minimum configuration (provided with the package) is shown below:"
msgstr "Squid ist einer der verbreitetsten Proxy/Cache-Server und es gibt ein paar Sicherheitsaspekte, die Sie beachten sollten. Squids Standard-Konfiguration lehnt alle Anfragen von Benutzern ab. Dennoch erlaubt das Debian-Paket Zugriff von »localhost«, Sie müssen nur Ihren Browser richtig konfigurieren. Sie sollten Squid so konfigurieren, dass er Zugriffe von vertrauenswürdigen Benutzern, Computern oder Netzwerken erlaubt, indem Sie eine Zugriffs-Kontroll-Liste (ACL, Access Control List) in <file>/etc/squid/squid.conf</file> definieren. Mehr Informationen, wie Sie ACLs definieren, finden Sie im <url name=\"Squid User's Guide\" id=\"http://www.deckle.co.za/squid-users-guide/Main_Page\";>. Ein gute deutsche Dokumentation ist das <url name=\"Squid-Handbuch\" id=\"http://www.squid-handbuch.de/\";>. Beachten Sie, dass Debian eine minimale Konfiguration für Squid bereitstellt, die alles verhindert, mit der Ausnahme, dass <em>localhost</em> sich mit Ihrem Proxy-Server (der standardmäßig mit dem Port 3128 läuft) verbinden kann. Sie müssen Ihre <file>/etc/squid/squid.conf</file>-Datei wie gewünscht anpassen. Die empfohlene minimale Konfiguration (mit dem Paket vertrieben) sieht wie folgt aus:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:282
#, no-wrap
msgid ""
"acl all src 0.0.0.0/0.0.0.0\n"
"acl manager proto cache_object\n"
"acl localhost src 127.0.0.1/255.255.255.255\n"
"acl SSL_ports port 443 563\n"
"acl Safe_ports port 80 # http\n"
"acl Safe_ports port 21 # ftp\n"
"acl Safe_ports port 443 563 # https, snews\n"
"acl Safe_ports port 70 # gopher\n"
"acl Safe_ports port 210 # wais\n"
"acl Safe_ports port 1025-65535 # unregistered ports\n"
"acl Safe_ports port 280 # http-mgmt\n"
"acl Safe_ports port 488 # gss-http\n"
"acl Safe_ports port 591 # filemaker\n"
"acl Safe_ports port 777 # multiling http\n"
"acl Safe_ports port 901 # SWAT\n"
"acl purge method PURGE\n"
"acl CONNECT method CONNECT\n"
"(...)\n"
"# Only allow cachemgr access from localhost\n"
"http_access allow manager localhost\n"
"http_access deny manager\n"
"# Only allow purge requests from localhost\n"
"http_access allow purge localhost\n"
"http_access deny purge\n"
"# Deny requests to unknown ports\n"
"http_access deny !Safe_ports\n"
"# Deny CONNECT to other than SSL ports\n"
"http_access deny CONNECT !SSL_ports\n"
"#\n"
"# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS\n"
"#\n"
"http_access allow localhost\n"
"# And finally deny all other access to this proxy\n"
"http_access deny all\n"
"#Default:\n"
"# icp_access deny all\n"
"#\n"
"#Allow ICP queries from everyone\n"
"icp_access allow all"
msgstr ""
"acl all src 0.0.0.0/0.0.0.0\n"
"acl manager proto cache_object\n"
"acl localhost src 127.0.0.1/255.255.255.255\n"
"acl SSL_ports port 443 563\n"
"acl Safe_ports port 80 # http\n"
"acl Safe_ports port 21 # ftp\n"
"acl Safe_ports port 443 563 # https, snews\n"
"acl Safe_ports port 70 # gopher\n"
"acl Safe_ports port 210 # wais\n"
"acl Safe_ports port 1025-65535 # unregistered ports\n"
"acl Safe_ports port 280 # http-mgmt\n"
"acl Safe_ports port 488 # gss-http\n"
"acl Safe_ports port 591 # filemaker\n"
"acl Safe_ports port 777 # multiling http\n"
"acl Safe_ports port 901 # SWAT\n"
"acl purge method PURGE\n"
"acl CONNECT method CONNECT\n"
"(...)\n"
"# Erlaube nur cachemgr Zugriff von localhost\n"
"http_access allow manager localhost\n"
"http_access deny manager\n"
"# Erlaube nur purge Anfragen von localhost\n"
"http_access allow purge localhost\n"
"http_access deny purge\n"
"# Verbiete Anfragen zu unbekannten Ports\n"
"http_access deny !Safe_ports\n"
"# Verbiete CONNECT zu anderen als SSL-Ports\n"
"http_access deny CONNECT !SSL_ports\n"
"#\n"
"# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS\n"
"#\n"
"http_access allow localhost\n"
"# And finally deny all other access to this proxy\n"
"http_access deny all\n"
"#Default:\n"
"# icp_access deny all\n"
"#\n"
"#Allow ICP queries from everyone\n"
"icp_access allow all"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:288
msgid "You should also configure Squid based on your system resources, including cache memory (option <tt>cache_mem</tt>), location of the cached files and the amount of space they will take up on disk (option <tt>cache_dir</tt>)."
msgstr "Sie sollten Squid auch entsprechend Ihren System-Ressourcen konfigurieren einschließlich des Cache-Speichers (Option <tt>cache_mem</tt>), der Lage der zwischengespeicherten Dateien und der verwendeten Speichermenge auf der Platte (Option <tt>cache_dir</tt>)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:294
msgid "Notice that, if not properly configured, someone may relay a mail message through Squid, since the HTTP and SMTP protocols are designed similarly. Squid's default configuration file denies access to port 25. If you wish to allow connections to port 25 just add it to Safe_ports lists. However, this is <em>NOT</em> recommended."
msgstr "Beachten Sie, dass es bei ungeeigneter Konfiguration vorkommen kann, dass jemand eine Mail über Squid weiterleitet, da die Protokolle HTTP und SMTP ein ähnliches Design haben. Squids Standardkonfiguration verweigert Zugriffe auf Port 25. Wenn Sie Verbindungen an Port 25 erlauben wollen, fügen Sie ihn einfach zu der Safe_ports-Liste hinzu. Dies ist aber <em>NICHT</em> empfohlen."
#. type: <p><list>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:301
msgid "Setting and configuring the proxy/cache server properly is only part of keeping your site secure. Another necessary task is to analyze Squid's logs to assure that all things are working as they should be working. There are some packages in Debian GNU/Linux that can help an administrator to do this. The following packages are available in Debian 3.0 and Debian 3.1 (sarge):"
msgstr "Passendes Aufsetzen und Konfigurieren des Proxy/Cache-Servers ist nur ein Teil der Absicherung Ihrer Site. Eine andere notwendige Aufgabe ist es, Squids Log-Dateien zu analysieren, um sicher zu gehen, dass alles so arbeitet, wie es soll. Es gibt ein paar Pakete in Debian GNU/Linux, die einem Administrator hierbei helfen können. Die folgenden Pakete sind in Debian 3.0 (Woody) und Debian 3.1 (Sarge) verfügbar:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:304
msgid "<package>calamaris</package> - Log analyzer for Squid or Oops proxy log files."
msgstr "<package>calamaris</package> – Log-Datei-Analysator für Squid- oder Oops-Proxy-Log-Dateien"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:305
msgid "<package>modlogan</package> - A modular logfile analyzer."
msgstr "<package>modlogan</package> – ein modularer Log-Datei-Analysator"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:306
msgid "<package>sarg</package> - Squid Analysis Report Generator."
msgstr "<package>sarg</package> – Squid Analysis Report Generator"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:307
msgid "<package>squidtaild</package> - Squid log monitoring program."
msgstr "<package>squidtaild</package> – Squid-Log-Beobachtungsprogramm"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:318
msgid "When using Squid in Accelerator Mode it acts as a web server too. Turning on this option increases code complexity, making it less reliable. By default Squid is not configured to act as a web server, so you don't need to worry about this. Note that if you want to use this feature be sure that it is really necessary. To find more information about Accelerator Mode on Squid see the <url id=\"http://www.deckle.co.za/squid-users-guide/Accelerator_Mode\"; name=\"Squid User's Guide - Accelerator Mode\">"
msgstr "Wenn Squid im »Accelerator Mode« betrieben wird, agiert er auch als Web-Server. Aktivieren dieser Option erhöht die Komplexität des Codes, was ihn weniger vertrauenswürdig macht. Standardmäßig ist Squid nicht dazu konfiguriert, als Web-Server zu arbeiten, Sie müssen sich darüber also keine Gedanken machen. Sie sollen sicher sein, dass es wirklich nötig ist, wenn Sie diese Eigenschaft nutzen wollen. Weitere Informationen über den »Accelerator Mode« in Squid finden Sie im <url name=\"Squid User's Guide - Accelerator Mode\" id=\"http://www.deckle.co.za/squid-users-guide/Accelerator_Mode\";>."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:320
msgid "Securing FTP"
msgstr "Absichern von FTP"
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:329
msgid "If you really have to use FTP (without wrapping it with sslwrap or inside a SSL or SSH tunnel), you should chroot ftp into the ftp users' home directory, so that the user is unable to see anything else than their own directory. Otherwise they could traverse your root file system just like if they had a shell in it. You can add the following line in your <file>proftpd.conf</file> in your global section to enable this chroot feature:"
msgstr "Wenn Sie wirklich FTP benutzen müssen (ohne ihn mit sslwrap zu umhüllen oder innerhalb eines SSL- oder SSH-Tunnels), sollten Sie ftp in das Home-Verzeichnis der FTP-Benutzer mit chroot einsperren, so dass diese nichts anderes sehen können als ihr eigenes Verzeichnis. Andernfalls können sie die Wurzel Ihres Dateisystems durchforsten, als hätten sie Shell-Zugriff darauf. Sie können die folgende Zeile in Ihre <file>proftpd.conf</file>-Datei im globalen Abschnitt hinzufügen, um die chroot-Fähigkeiten zu nutzen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:331
#, no-wrap
msgid "DefaultRoot ~"
msgstr "DefaultRoot ~"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:336
msgid "Restart ProFTPd by <tt>/etc/init.d/proftpd restart</tt> and check whether you can escape from your homedir now."
msgstr "Starten Sie ProFTPd neu, indem Sie <tt>/etc/init.d/proftpd restart</tt> eingeben, und prüfen Sie, ob Sie noch aus Ihrem Home-Verzeichnis heraus kommen können."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:341
msgid "To prevent ProFTPd DoS attacks using ../../.., add the following line in <file>/etc/proftpd.conf</file>: <tt>DenyFilter \\*.*/</tt>"
msgstr "Um ProFTPd-DoS-Angriffe durch ../../../ zu verhindern, fügen Sie die folgende Zeile Ihrer <file>/etc/proftpd.conf</file> hinzu: <tt>DenyFilter \\*.*/</tt>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:351
msgid "Always remember that FTP sends login and authentication passwords in clear text (this is not an issue if you are providing an anonymous public service) and there are better alternatives in Debian for this. For example, <prgn>sftp</prgn> (provided by <package>ssh</package>). There are also free implementations of SSH for other operating systems: <url id=\"http://www.chiark.greenend.org.uk/~sgtatham/putty/\"; name=\"putty\"> and <url id=\"http://www.cygwin.com\"; name=\"cygwin\"> for example."
msgstr "Vergessen Sie nicht, dass FTP Login- und Authentifizierungs-Passwort als Klartext sendet (dies ist kein Problem, wenn Sie einen anonymen, öffentlichen Dienst anbieten) und es gibt bessere Alternativen in Debian hierzu. Zum Beispiel <prgn>sftp</prgn> (aus dem Paket <package>ssh</package>). Es gibt auch freie Implementierungen von SSH für andere Betriebssysteme, zum Beispiel <url id=\"http://www.chiark.greenend.org.uk/~sgtatham/putty/\"; name=\"putty\"> oder <url id=\"http://www.cygwin.com\"; name=\"cygwin\">."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:363
msgid "However, if you still maintain the FTP server while making users access through SSH you might encounter a typical problem. Users accessing anonymous FTP servers inside SSH-secured systems might try to log in the <em>FTP server</em>. While the access will be refused, the password will nevertheless be sent through the net in clear form. To avoid that, ProFTPd developer TJ Saunders has created a patch that prevents users feeding the anonymous FTP server with valid SSH accounts. More information and patch available at: <url id=\"http://www.castaglia.org/proftpd/#Patches\"; name=\"ProFTPD Patches\">. This patch has been reported to Debian too, see <url id=\"http://bugs.debian.org/145669\"; name=\"Bug #145669\">."
msgstr "Wenn Sie dennoch einen FTP-Server verwalten, während Sie den Benutzern Zugriff via SSH gewähren, könnten Sie auf ein typisches Problem stoßen. Benutzer, die innerhalb eines mit SSH abgesicherten Systems auf einen anonymen FTP-Server zugreifen wollen, können versuchen, sich auf dem <em>FTP-Server</em> einzuloggen. Während der Zugriff verweigert werden wird, wird das Passwort trotzdem als Klartext über das Netz gesendet. Um dies zu verhindern, hat der ProFTPd-Entwickler TJ Saunders einen Patch erstellt, der verhindert, dass Benutzer den anonymen FTP-Server mit gültigen SSH-Zugangsdaten füttern. Mehr Informationen und den Patch finden Sie unter: <url id=\"http://www.castaglia.org/proftpd/#Patches\"; name=\"ProFTPD Patches\">. Dieser Patch wurde auch an Debian gesandt, vergleiche <url id=\"http://bugs.debian.org/145669\"; name=\"Fehler #145669\">."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:364
msgid "Securing access to the X Window System"
msgstr "Zugriff auf das X-Window-System absichern"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:375
msgid "Today, X terminals are used by more and more companies where one server is needed for a lot of workstations. This can be dangerous, because you need to allow the file server to connect to the clients (X server from the X point of view. X switches the definition of client and server). If you follow the (very bad) suggestion of many docs, you type <tt>xhost +</tt> on your machine. This allows any X client to connect to your system. For slightly better security, you can use the command <tt>xhost +hostname</tt> instead to only allow access from specific hosts."
msgstr "Heutzutage werden X-Terminals in immer mehr Unternehmen benutzt, wo ein Server für viele Arbeitsplätze benötigt wird. Dies kann gefährlich sein, weil Sie dem Datei-Server erlauben müssen, sich mit den X-Clients zu verbinden (X-Server aus Sicht von X. X vertauscht die Definition von Client und Server). Wenn Sie dem (sehr schlechten) Vorschlag von vielen Dokumentationen folgen, geben Sie auf Ihrer Maschine <tt>xhost +</tt> ein. Dies erlaubt jedem X-Client, sich mit Ihrem System zu verbinden. Für etwas bessere Sicherheit können Sie stattdessen das Kommando <tt>xhost +Rechnername</tt> verwenden, um den Zugriff auf bestimmte Rechner zu begrenzen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:398
msgid "A much more secure solution, though, is to use ssh to tunnel X and encrypt the whole session. This is done automatically when you ssh to another machine. For this to work, you have to configure both the ssh client and the ssh server. On the ssh client, <tt>ForwardX11</tt> should be set to <tt>yes</tt> in <file>/etc/ssh/ssh_config</file>. On the ssh server, <tt>X11Forwarding</tt> should be set to <tt>yes</tt> in <file>/etc/ssh/sshd_config</file> and the package <package>xbase-clients</package> should be installed because the ssh server uses <file>/usr/X11R6/bin/xauth</file> (<file>/usr/bin/xauth</file> on Debian unstable) when setting up the pseudo X display. In times of SSH, you should drop the xhost based access control completely."
msgstr "Allerdings ist es eine viel sicherere Lösung, SSH zu benutzen, um X zu tunneln und die gesamte Sitzung zu verschlüsseln. Dies geschieht automatisch, wenn Sie sich an einer anderen Maschine via ssh anmelden. Damit dies funktioniert, müssen Sie den ssh-Client und den ssh-Server konfigurieren. Auf dem ssh-Client muss <tt>ForwardX11</tt> in <file>/etc/ssh/ssh_config</file> auf <tt>yes</tt> gesetzt sein. Auf dem ssh-Server muss <tt>X11Forwarding</tt> in <file>/etc/ssh/sshd_config</file> auf <tt>yes</tt> gesetzt sein und das Paket <package>xbase-clients</package> muss installiert sein. Dies liegt daran, dass der SSH-Server <file>/usr/X11R6/bin/xauth</file> (bei Debian-Unstable (<file>/usr/bin/xauth</file>) verwendet, wenn er das Pseudo-X-Display aufsetzt. In den Zeiten von SSH sollten Sie die xhost-basierte Zugriffskontrolle komplett über Bord werfen."
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:402
msgid "For best security, if you do not need X access from other machines, switch off the binding on TCP port 6000 simply by typing:"
msgstr "Wenn Sie keinen X-Zugriff von anderen Maschinen benötigen, ist es für die Sicherheit am besten, die Bindung auf dem TCP-Port 6000 abzuschalten, indem Sie einfach Folgendes eingeben:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:404
#, no-wrap
msgid "$ startx -- -nolisten tcp"
msgstr "$ startx -- -nolisten tcp"
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:411
msgid "This is the default behavior in Xfree 4.1.0 (the Xserver provided in Debian 3.0 and 3.1). If you are running Xfree 3.3.6 (i.e. you have Debian 2.2 installed) you can edit <file>/etc/X11/xinit/xserverrc</file> to have it something along the lines of:"
msgstr "Dies ist das Standard-Verhalten unter XFree 4.1.0 (dem Xserver aus Debian 3.0 und 3.1). Wenn Sie XFree 3.3.6 laufen lassen (d.h. wenn Sie Debian 2.2 benutzen), können Sie <file>/etc/X11/xinit/xserverrc</file> editieren, damit Sie etwas erhalten wie:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:414
#, no-wrap
msgid ""
"#!/bin/sh\n"
"exec /usr/bin/X11/X -dpi 100 -nolisten tcp"
msgstr ""
"#!/bin/sh\n"
"exec /usr/bin/X11/X -dpi 100 -nolisten tcp"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:427
msgid "If you are using XDM set <file>/etc/X11/xdm/Xservers</file> to: <tt>:0 local /usr/bin/X11/X vt7 -dpi 100 -nolisten tcp</tt>. If you are using Gdm make sure that the <tt>DisallowTCP=true</tt> option is set in the <file>/etc/gdm/gdm.conf</file> (which is the default in Debian). This will basically append <tt>-nolisten tcp</tt> to every X command line <footnote><p>Gdm will <em>not</em> append <tt>-nolisten tcp</tt> if it finds a <tt>-query</tt> or <tt>-indirect</tt> on the command line since the query wouldn't work.</p></footnote>."
msgstr "Wenn Sie XDM benutzen, setzen Sie <file>/etc/X11/xdm/Xservers</file> auf <tt>:0 local /usr/bin/X11/X vt7 -dpi 100 -nolisten tcp</tt>. Wenn Sie GDM benutzen, stellen Sie sicher, dass die Option <tt>DisallowTCP=true</tt> in <file>/etc/gdm/gdm.conf</file> eingetragen ist (was standardmäßig unter Debian der Fall ist). Dies wird grundsätzlich an jede X-Befehlszeile <tt>-nolisten tcp</tt> anhängen <footnote> GDM wird <tt>-nolisten tcp</tt> <em>nicht</em> anhängen, wenn es <tt>-query</tt> oder <tt>-indirect</tt> in der Befehlszeile findet, da sonst die Anfrage nicht funktionieren würde. </footnote>."
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:431
msgid "You can also set the default's system timeout for <prgn>xscreensaver</prgn> locks. Even if the user can override it, you should edit the <file>/etc/X11/app-defaults/XScreenSaver</file> configuration file and change the lock line:"
msgstr "Sie können außerdem eine standardmäßige Zeitgrenze für die <prgn>xscreensaver</prgn>-Bildschirmsperre setzen. Auch wenn der Benutzer sie aufheben kann, sollten Sie die Konfigurationsdatei <file>/etc/X11/app-defaults/XScreenSaver</file> editieren und die lock-Zeile von"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:433
#, no-wrap
msgid "*lock: False"
msgstr "*lock: False"
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:435
msgid "(which is the default in Debian) to:"
msgstr "(das ist der Standardwert unter Debian) auf Folgendes ändern:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:437
#, no-wrap
msgid "*lock: True"
msgstr "*lock: True"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:442
msgid "FIXME: Add information on how to disable the screensavers which show the user desktop (which might have sensitive information)."
msgstr "FIXME: Add information on how to disable the screensavers which show the user desktop (which might have sensitive information)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:448
msgid "Read more on X Window security in <url id=\"http://www.tldp.org/HOWTO/XWindow-User-HOWTO.html\"; name=\"XWindow-User-HOWTO\"> (<file>/usr/share/doc/HOWTO/en-txt/XWindow-User-HOWTO.txt.gz</file>)."
msgstr "Lesen Sie mehr zur Sicherheit von X Window in <url name=\"XWindow-User-HOWTO\" id=\"http://www.tldp.org/HOWTO/XWindow-User-HOWTO.html\";> (<file>/usr/share/doc/HOWTO/en-txt/XWindow-User-HOWTO.txt.gz</file>)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:451
msgid "FIXME: Add info on thread of debian-security on how to change config files of XFree 3.3.6 to do this."
msgstr "FIXME: Add info on thread of debian-security on how to change config files of XFree 3.3.6 to do this."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:452
msgid "Check your display manager"
msgstr "Überprüfen Ihres Display-Managers"
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:458
msgid "If you only want to have a display manager installed for local usage (having a nice graphical login, that is), make sure the XDMCP (X Display Manager Control Protocol) stuff is disabled. In XDM you can do this with this line in <tt>/etc/X11/xdm/xdm-config</tt>:"
msgstr "Wenn Sie einen Display-Manager lediglich zur lokalen Nutzung (für ein schönes graphisches Anmeldefenster) haben wollen, gehen Sie sicher, dass der XDMCP (X Display Manager Control Protocol) Krempel abgeschaltet ist. Unter XDM können Sie dies mit der folgenden Zeile in <tt>/etc/X11/xdm/xdm-config</tt> erreichen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:460
#, no-wrap
msgid "DisplayManager.requestPort: 0"
msgstr "DisplayManager.requestPort: 0"
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:464
msgid "For GDM there should be in your gdm.conf:"
msgstr "Für GDM müssen Sie in Ihre gdm.conf Folgendes eintragen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:467
#, no-wrap
msgid ""
"[xdmcp]\n"
"Enable=false"
msgstr ""
"[xdmcp]\n"
"Enable=false"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:473
msgid "Normally, all display managers are configured not to start XDMCP services per default in Debian."
msgstr "Normalerweise sind unter Debian alle Display-Manager so konfiguriert, dass sie standardmäßig keine XDMCP-Dienste starten."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:475
msgid "Securing printing access (the lpd and lprng issue)"
msgstr "Absichern des Druckerzugriffs (die lpd- und lprng-Problematik)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:480
msgid "Imagine, you arrive at work, and the printer is spitting out endless amounts of paper because someone is DoSing your line printer daemon. Nasty, isn't it?"
msgstr "Stellen Sie sich vor, Sie kommen zur Arbeit und der Drucker spuckt endlose Mengen von Papier aus, weil jemand eine DoS-Attacke gegen Ihren Drucker-Daemon durchführt. Unangenehm, oder?"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:485
msgid "In any UNIX printing architecture, there has to be a way to get the client's data to the host's print server. In traditional <prgn>lpr</prgn> and <prgn>lp</prgn>, the client command copies or symlinks the data into the spool directory (which is why these programs are usually SUID or SGID)."
msgstr "In jeder UNIX-Druck-Architektur muss es einen Weg geben, um die Daten des Clients zu dem Druck-Server zu schicken. Traditionell machen dies <prgn>lpr</prgn> und <prgn>lp</prgn> so, dass das Client-Kommando die Daten in das Spool-Verzeichnis kopiert oder symbolisch verlinkt (weshalb diese Programme normalerweise SUID oder SGID sind)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:491
msgid "In order to avoid any issues you should keep your printer servers especially secure. This means you need to configure your printer service so it will only allow connections from a set of trusted servers. In order to do this, add the servers you want to allow printing to your <file>/etc/hosts.lpd</file>."
msgstr "Um jede Gefahr zu vermeiden, sollen Sie Ihren Druck-Server besonders sicher halten. Dies heißt, dass Sie Ihren Druckdienst so konfigurieren müssen, dass er nur Aufträge von vertrauenswürdigen Rechnern annimmt. Hierzu müssen Sie die Rechner, von denen Sie Druckaufträge entgegennehmen möchten, in die Datei <file>/etc/hosts.lpd</file> eintragen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:504
msgid "However, even if you do this, the <prgn>lpr</prgn> daemon accepts incoming connections on port 515 of any interface. You should consider firewalling connections from networks/hosts which are not allowed printing (the <prgn>lpr</prgn> daemon cannot be limited to listen only on a given IP address)."
msgstr "Allerdings akzeptiert der <prgn>lpr</prgn>-Daemon auch, wenn Sie dies getan haben, Verbindungen auf Port 515 auf jeder Schnittstelle. Sie sollten sich überlegen, ob Sie Verbindungen von Netzwerken/Rechnern, die nicht drucken dürfen, mittels Firewall blocken wollen (der <prgn>lpr</prgn>-Daemon kann nicht so konfiguriert werden, dass er nur auf eine bestimmte IP-Adresse lauscht)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:511
msgid "<prgn>Lprng</prgn> should be preferred over <prgn>lpr</prgn> since it can be configured to do IP access control. And you can specify which interface to bind to (although somewhat weirdly)."
msgstr "Sie sollten <prgn>Lprng</prgn> gegenüber <prgn>lpr</prgn> vorziehen, da er so konfiguriert werden kann, dass er Zugangskontrolle über IP beherrscht. Und Sie können spezifizieren, auf welche Schnittstelle er sich binden soll (wenn auch etwas sonderbar)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:518
msgid "If you are using a printer in your system, but only locally, you will not want to share this service over a network. You can consider using other printing systems, like the one provided by <package>cups</package> or <url id=\"http://pdq.sourceforge.net/\"; name=\"PDQ\"> which is based on user permissions of the <file>/dev/lp0</file> device."
msgstr "Wenn Sie Ihren Drucker nur lokal auf Ihrem System benutzen, werden Sie diesen Dienst nicht über ein Netzwerk anbieten wollen. Sie sollten dann überlegen, ein anderes Druck-System, wie zum Beispiel das aus dem Paket <package>cups</package> oder <url name=\"PDQ\" id=\"http://pdq.sourceforge.net/\";>, das auf den Zugriffsrechten des Gerätes <file>/dev/lp0</file> beruht, einzusetzen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:523
msgid "In <package>cups</package>, the print data is transferred to the server via the HTTP protocol. This means the client program doesn't need any special privileges, but does require that the server is listening on a port somewhere."
msgstr "Bei <package>cups</package> werden die Druckaufträge mit dem HTTP-Protokoll zum Server übertragen. Dadurch muss der Client nicht über spezielle Privilegien verfügen, aber dies erfordert, dass der Server auf irgendeinem Port lauscht."
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:527
msgid "However, if you want to use <prgn>cups</prgn>, but only locally, you can configure it to bind to the loopback interface by changing <file>/etc/cups/cupsd.conf</file>:"
msgstr "Wenn Sie <prgn>cups</prgn> jedoch nur lokal benutzen möchten, können Sie ihn so konfigurieren, dass er nur auf der Loopback-Schnittstelle lauscht, indem Sie Folgendes in Ihrer <file>/etc/cups/cupsd.conf</file> ändern:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:529
#, no-wrap
msgid "Listen 127.0.0.1:631"
msgstr "Listen 127.0.0.1:631"
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:538
msgid "There are many other security options like allowing or denying networks and hosts in this config file. However, if you do not need them you might be better off just limiting the listening port. <prgn>Cups</prgn> also serves documentation through the HTTP port, if you do not want to disclose potential useful information to outside attackers (and the port is open) add also:"
msgstr "Es gibt noch andere Sicherheitsoptionen in dieser Konfigurationsdatei, wie zum Beispiel das Erlauben oder Verweigern von Netzwerken oder Rechnern. Wenn Sie sie allerdings nicht benötigen, belassen Sie es am besten dabei, einfach nur den Port, auf dem gelauscht wird, einzuschränken. <prgn>Cups</prgn> liefert auch Dokumentation über den HTTP-Port. Wenn Sie diese potenziell nützlichen Informationen einem Angreifer von außerhalb nicht enthüllen wollen (und der Port offen ist), fügen Sie außerdem Folgendes hinzu:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:544
#, no-wrap
msgid ""
"<Location />\n"
" Order Deny,Allow\n"
" Deny From All\n"
" Allow From 127.0.0.1\n"
"</Location>"
msgstr ""
"<Location />\n"
" Order Deny,Allow\n"
" Deny From All\n"
" Allow From 127.0.0.1\n"
"</Location>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:550
msgid "This configuration file can be modified to add some more features including SSL/TLS certificates and crypto. The manuals are available at http://localhost:631/ or at <url id=\"cups.org\">."
msgstr "Die Konfigurationsdatei kann so angepasst werden, dass zusätzliche Fähigkeiten einschließlich SSL- und TLS-Zertifikate oder Verschlüsselung möglich werden. Die Handbücher finden Sie unter http://localhost:631/ oder <url id=\"http://cups.org\";>."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:554
msgid "FIXME: Add more content (the article on <url id=\"http://www.rootprompt.org\"; name=\"Amateur Fortress Building\"> provides some very interesting views)."
msgstr "FIXME: Add more content (the article on <url id=\"http://www.rootprompt.org\"; name=\"Amateur Fortress Building\"> provides some very interesting views)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:557
msgid "FIXME: Check if PDG is available in Debian, and if so, suggest this as the preferred printing system."
msgstr "FIXME: Check if PDG is available in Debian, and if so, suggest this as the preferred printing system."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:560
msgid "FIXME: Check if Farmer/Wietse has a replacement for printer daemon and if it's available in Debian."
msgstr "FIXME: Check if Farmer/Wietse has a replacement for printer daemon and if it's available in Debian."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:562
msgid "Securing the mail service"
msgstr "Absichern des Mail-Dienstes"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:567
msgid "If your server is not a mailing system, you do not really need to have a mail daemon listening for incoming connections, but you might want local mail delivered in order, for example, to receive mail for the root user from any alert systems you have in place."
msgstr "Wenn Ihr Server kein Mail-System ist, müssen Sie nicht wirklich einen Mail-Daemon haben, der auf eingehende Verbindungen reagiert. Aber Sie wollen lokale Mails ausliefern, um beispielsweise Mails an den Root-User von irgendwelchen Alarmsystemen zu erhalten."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:571
msgid "If you have <prgn>exim</prgn> you do not need the daemon to be working in order to do this since the standard <prgn>cron</prgn> job flushes the mail queue. See <ref id=\"disableserv\"> on how to do this."
msgstr "Wenn Sie <prgn>exim</prgn> haben, müssen Sie den Daemon nicht laufen lassen, um dies zu erreichen, da der Standard-<prgn>cron</prgn>-Job die Mails abarbeitet. Sehen Sie in <ref id=\"disableserv\">, wie man dies erledigt."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:573
msgid "Configuring a Nullmailer"
msgstr "Konfiguration eines Nullmailers"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:580
msgid "You might want to have a local mailer daemon so that it can relay the mails sent locally to another system. This is common when you have to administer a number of systems and do not want to connect to each of them to read the mail sent locally. Just as all logging of each individual system can be centralized by using a central syslog server, mail can be sent to a central mailserver."
msgstr "Sie brauchen vielleicht einen lokalen Mail-Daemon, damit er die Mails, die vom lokalen Rechner zu einem anderen System geschickt wurden, versenden kann. Dies ist üblich, wenn Sie eine Anzahl von Systemen zu administrieren haben und nicht zu jedem von diesen eine Verbindung aufbauen wollen, um die dort lokal verschickten Mails zu lesen. Genau wie all das Protokollieren eines jeden individuellen Systems durch einen zentralen syslog-Server zentralisiert werden kann, so kann auch Mail zu einem zentralen Mail-Server gesandt werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:584
msgid "Such a <em>relay-only</em> system should be configured properly for this. The daemon could, as well, be configured to only listen on the loopback address."
msgstr "Solch ein <em>nur sendendes</em> System sollte sorgfältig dafür eingerichtet werden. Der Daemon kann ebenso konfiguriert werden, nur an der Loopback-Adresse zu lauschen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:592
msgid "The following configuration steps only need to be taken to configure the <package>exim</package> package in the Debian 3.0 release. If you are using a later release (such as 3.1 which uses <package>exim4</package>) the installation system has been improved so that if the mail transport agent is configured to only deliver local mail it will automatically only allow connections from the local host and will not permit remote connections."
msgstr "Die folgenden Konfigurationsschritte müssen nur zur Konfiguration des <package>exim</package>-Pakets in der Debian 3.0 Version vorgenommen werden. Wenn Sie eine neuere Version verwenden (wie z.B. 3.1, das <package>exim4</package> verwendet), so wurde das Installationssystem verbessert, so dass, wenn der Mail-Transport-Agent konfiguriert wurde, nur lokale Mails zu versenden, es automatisch nur Verbindungen vom lokalen Rechner und keine Verbindungen aus der Ferne zulässt."
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:594
msgid "In a Debian 3.0 system using <package>exim</package>, you will have to remove the SMTP daemon from <prgn>inetd</prgn>:"
msgstr "In einem Debian 3.0 System mit <package>exim</package> muss man den SMTP-Daemon aus <prgn>inetd</prgn> wie folgt entfernen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:596
#, no-wrap
msgid "$ update-inetd --disable smtp"
msgstr "$ update-inetd --disable smtp"
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:603
msgid "and configure the mailer daemon to only listen on the loopback interface. In <prgn>exim</prgn> (the default MTA) you can do this by editing the file <file>/etc/exim.conf</file> and adding the following line:"
msgstr "und den Mail-Daemon so konfigurieren, dass er nur auf der loopback-Schnittstelle lauscht. In <prgn>exim</prgn> (dem Standard-Mail-Transport-Agent (MTA) unter Debian) tun Sie dies, indem Sie in der Datei <file>/etc/exim.conf</file> folgende Zeile hinzufügen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:605
#, no-wrap
msgid "local_interfaces = \"127.0.0.1\""
msgstr "local_interfaces = \"127.0.0.1\""
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:612
msgid "Restart both daemons (inetd and exim) and you will have exim listening on the 127.0.0.1:25 socket only. Be careful, and first disable inetd, otherwise, exim will not start since the inetd daemon is already handling incoming connections."
msgstr "Starten Sie beide Daemonen neu (inetd und exim) und exim wird lediglich auf den Socket 127.0.0.1:25 lauschen. Seien Sie vorsichtig und deaktivieren Sie erst inetd, oder exim wird nicht neu starten, da der inetd-Daemon bereits eingehende Verbindungen behandelt."
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:614
msgid "For <prgn>postfix</prgn> edit <file>/etc/postfix/main.conf</file>:"
msgstr "Bei <prgn>postfix</prgn> editieren Sie <file>/etc/postfix/main.conf</file>:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:616
#, no-wrap
msgid "inet_interfaces = localhost"
msgstr "inet_interfaces = localhost"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:628
msgid "If you only want local mail, this approach is better than tcp-wrapping the mailer daemon or adding firewalling rules to limit anybody accessing it. However, if you do need it to listen on other interfaces, you might consider launching it from inetd and adding a tcp wrapper so incoming connections are checked against <file>/etc/hosts.allow</file> and <file>/etc/hosts.deny</file>. Also, you will be aware of when an unauthorized access is attempted against your mailer daemon, if you set up proper logging for any of the methods above."
msgstr "Wenn Sie lediglich lokale Mails wollen, ist dieses Herangehen besser als den Mailer-Daemon in einen tcp-Wrapper zu hüllen oder Firewall-Regeln einzufügen, die den Zugang für alle limitieren. Wenn Sie jedoch auch auf andere Schnittstellen reagieren müssen, sollten Sie überlegen, ihn vom inetd aufrufen zu lassen und einen tcp-Wrapper einzusetzen, so dass eingehende Verbindungen gegen <file>/etc/hosts.allow</file> und <file>/etc/hosts.deny</file> geprüft werden. Außerdem werden Sie vor unautorisierten Zugriffsversuchen gegen Ihren Mail-Daemon durch angemessenes Protokollieren gewarnt werden wollen."
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:631
msgid "In any case, to reject mail relay attempts at the SMTP level, you can change <file>/etc/exim/exim.conf</file> to include:"
msgstr "In jedem Fall können Sie Mail-Zustellversuche auf dem SMTP-Level ablehnen, indem Sie die <file>/etc/exim/exim.conf</file> abändern, damit Sie Folgendes enthält:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:633
#, no-wrap
msgid "receiver_verify = true"
msgstr "receiver_verify = true"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:640
msgid "Even if your mail server will not relay the message, this kind of configuration is needed for the relay tester at <url id=\"http://www.abuse.net/relay.html\";> to determine that your server is <em>not</em> relay capable."
msgstr "Auch wenn Ihr Mail-Server keine Mails zustellen wird, ist diese Konfiguration für den Relay-Tester auf <url id=\"http://www.abuse.net/relay.html\";> nötig, um festzustellen, dass Ihr Server <em>nicht</em> relaisfähig ist."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:657
msgid "If you want a relay-only setup, however, you can consider changing the mailer daemon to programs that can <em>only</em> be configured to forward the mail to a remote mail server. Debian provides currently both <package>ssmtp</package> and <package>nullmailer</package> for this purpose. In any case, you can evaluate for yourself any of the mail transport agents <footnote><p>To retrieve the list of mailer daemons available in Debian try: <example>$ apt-cache search mail-transport-agent</example></p><p>The list will not include <prgn>qmail</prgn>, which is distributed only as source code in the <package>qmail-src</package> package.</p></footnote> provided by Debian and see which one suits best to the system's purposes."
msgstr "Wenn Sie Mails nur weiterleiten möchten, können Sie in Erwägung ziehen, den Mail-Daemon durch Programme zu ersetzen, die <em>nur</em> zum Weiterleiten der Mail zu einem entfernten Mail-Server konfiguriert werden können. Debian stellt zurzeit <package>ssmtp</package> und <package>nullmailer</package> für diese Zwecke zur Verfügung. Auf jeden Fall können Sie für sich selbst alle von Debian angebotenen Mail-Transport-Agents testen <footnote> Die Liste der in Debian verfügbaren Mail-Daemons erhalten Sie wie folgt: <example> $ apt-cache search mail-transport-agent </example> <p>Die Liste wird <prgn>qmail</prgn> nicht enthalten, da dies nur im Quellcode im Paket <package>qmail-src</package> vertrieben wird. </footnote> und sehen, welcher davon am besten auf Ihr System zugeschnitten ist."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:659
msgid "Providing secure access to mailboxes"
msgstr "Anbieten eines sicheren Zugangs zu Mailboxen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:673
msgid "If you want to give remote access to mailboxes there are a number of POP3 and IMAP daemons available.<footnote><p>A list of servers/daemons which support these protocols in Debian can be retrieved with: <example>$ apt-cache search pop3-server $ apt-cache search imap-server</example></p></footnote> However, if you provide IMAP access note that it is a general file access protocol, it can become the equivalent of a shell access because users might be able to retrieve any file that they can through it."
msgstr "Wenn Sie entfernten Zugriff auf Mailboxen erlauben wollen, gibt es eine Anzahl von möglichen POP3- und IMAP-Daemonen.<footnote> Eine Liste von Servern/Daemonen die diese Protokolle in Debian anbieten, kann wie folgt erhalten werden: <example> $ apt-cache search pop3-server $ apt-cache search imap-server </example> </footnote> Wenn Sie IMAP-Zugriff anbieten, beachten Sie jedoch, dass es ein allgemeines Dateizugriffsprotokoll ist. Es kann das Äquivalent zu einem Shell-Zugang werden, da Benutzer in der Lage sein könnten, Zugang zu beliebigen Dateien zu erhalten, auf die sie durch ihn zugreifen können."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:677
msgid "Try, for example, to configure as your inbox path <tt>{server.com}/etc/passwd</tt> if it succeeds your IMAP daemon is not properly configured to prevent this kind of access."
msgstr "Versuchen Sie beispielsweise, <tt>{server.com}/etc/passwd</tt> als Ihren Eingabepfad zu konfigurieren. Wenn dies gelingt, ist Ihr IMAP-Daemon nicht richtig konfiguriert, um diese Art von Zugriff zu verhindern."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:686
msgid "Of the IMAP servers in Debian the <prgn>cyrus</prgn> server (in the <package>cyrus-imapd</package> package) gets around this by having all access to a database in a restricted part of the file system. Also, <prgn>uw-imapd</prgn> (either install the <package>uw-imapd</package> or better, if your IMAP clients support it, <package>uw-imapd-ssl</package>) can be configured to chroot the users mail directory but this is not enabled by default. The documentation provided gives more information on how to configure it."
msgstr "Unter den IMAP-Servern in Debian vermeidet der <prgn>cyrus</prgn>-Server (im Paket <package>cyrus-imapd</package>) dies, indem er den gesamten Zugriff zu einer Datenbasis in einem beschränkten Teil des Dateisystems limitiert. Auch <prgn>uw-imapd</prgn> (installieren Sie entweder das <package>uw-imapd</package>- oder besser, wenn Ihre IMAP-Clients es unterstützen, das <package>uw-imapd-ssl</package>-Paket) kann konfiguriert werden, das Mailverzeichnis der Benutzer in ein Chroot-Gefängnis einzusperren, dies ist jedoch nicht standardmäßig aktiviert. Die angebotene Dokumentation enthält mehr Informationen, wie man dies konfiguriert."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:697
msgid "Also, you might want to run an IMAP server that does not need valid users to be created on the local system (which would grant shell access too), <package>courier-imap</package> (for IMAP) and <package>courier-pop</package>, <package>teapop</package> (for POP3) and <package>cyrus-imapd</package> (for both POP3 and IMAP) provide servers with authentication methods beside the local user accounts. <prgn>cyrus</prgn> can use any authentication method that can be configured through PAM while <prgn>teapop</prgn> might use databases (such as <package>postgresql</package> and <package>mysql</package>) for user authentication."
msgstr "Es ist ebenso empfehlenswert, einen IMAP-Server laufen zu haben, der keine neuen Benutzer im lokalen System erfordert (dies würde auch einen Shell-Zugang ermöglichen). Sowohl <package>courier-imap</package> (für IMAP) und <package>courier-pop</package>, <package>teapop</package> (für POP3) und <package>cyrus-imapd</package> (für POP3 und IMAP) bieten Server mit Authentifizierungsmethoden neben den lokalen Benutzerkonten. <prgn>cyrus</prgn> kann alle Authentifizierungsmethoden, die mittels PAM konfiguriert werden können, verwenden, währenddessen <prgn>teapop</prgn>-Datenbanken (wie <package>postgresql</package> und <package>mysql</package>) für die Benutzerauthentifizierung nutzen kann."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:700
msgid "FIXME: Check: <package>uw-imapd</package> might be configured with user authentication through PAM too."
msgstr "FIXME: Check: <package>uw-imapd</package> might be configured with user authentication through PAM too."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:701
msgid "Receiving mail securely"
msgstr "Sicherer Empfang von Mails"
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:710
msgid "Reading/receiving mail is the most common clear-text protocol. If you use either POP3 or IMAP to get your mail, you send your clear-text password across the net, so almost anyone can read your mail from now on. Instead, use SSL (Secure Sockets Layer) to receive your mail. The other alternative is SSH, if you have a shell account on the box which acts as your POP or IMAP server. Here is a basic <file>fetchmailrc</file> to demonstrate this:"
msgstr "Das Lesen und Empfangen von Mails ist das gebräuchlichste Klartext-Protokoll. Wenn Sie POP3 oder IMAP benutzen, um Ihre Mails zu erhalten, senden Sie ein Klartext-Passwort über das gesamte Netz, so dass ziemlich jeder Ihre Mails von nun an lesen kann. Benutzen Sie stattdessen SSL (Secure Sockets Layer), um Ihre Mails zu empfangen. Wenn Sie einen Shell-Account auf dem Rechner, der als POP oder IMAP-Server agiert, haben, ist die andere Alternative SSH. Hier ist eine beispielhafte <file>fetchmailrc</file>, um dies zu zeigen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:718
#, no-wrap
msgid ""
"poll my-imap-mailserver.org via \"localhost\"\n"
" with proto IMAP port 1236\n"
" user \"ref\" there with password \"hackme\" is alex here warnings 3600\n"
" folders\n"
" .Mail/debian\n"
" preconnect 'ssh -f -P -C -L 1236:my-imap-mailserver.org:143 -l ref\n"
" my-imap-mailserver.org sleep 15 </dev/null > /dev/null'"
msgstr ""
"poll my-imap-mailserver.org via \"localhost\"\n"
" with proto IMAP port 1236\n"
" user \"ref\" there with password \"hackmich\" is alex here warnings 3600\n"
" folders\n"
" .Mail/debian\n"
" preconnect 'ssh -f -P -C -L 1236:my-imap-mailserver.org:143 -l ref\n"
" my-imap-mailserver.org sleep 15 </dev/null > /dev/null'"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:725
msgid "The preconnect is the important line. It fires up an ssh session and creates the necessary tunnel, which automatically forwards connections to localhost port 1236 to the IMAP mail server, but encrypted. Another possibility would be to use <prgn>fetchmail</prgn> with the SSL feature."
msgstr "Die wichtige Zeile ist die preconnect-Zeile. Sie startet eine SSH-Verbindung und erstellt den notwendigen Tunnel, durch den automatisch alle Verbindungen zum lokalen Port 1236 verschlüsselt an den IMAP-Mail-Server weitergeleitet werden. Eine andere Möglichkeit wäre es, <prgn>fetchmail</prgn> mit SSL-Unterstützung zu benutzen."
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:728
msgid "If you want to provide encrypted mail services like POP and IMAP, <tt>apt-get install stunnel</tt> and start your daemons this way:"
msgstr "Wenn Sie verschlüsselte Mail-Dienste wie POP oder IMAP anbieten möchten, <tt>apt-get install stunnel</tt> und starten Sie Ihren Daemon auf diese Weise:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:730
#, no-wrap
msgid "stunnel -p /etc/ssl/certs/stunnel.pem -d pop3s -l /usr/sbin/popd"
msgstr "stunnel -p /etc/ssl/certs/stunnel.pem -d pop3s -l /usr/sbin/popd"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:736
msgid "This command wraps the provided daemon (-l) to the port (-d) and uses the specified SSL certificate (-p)."
msgstr "Dieses Kommando bindet den angegebenen Daemon (-l) an den Port (-d) und benutzt ein bestimmtes SSL-Zertifikat (-p)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:738
msgid "Securing BIND"
msgstr "Absichern von BIND"
#. type: <p><list>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:742
msgid "There are different issues that can be tackled in order to secure the Domain server daemon, which are similar to the ones considered when securing any given service:"
msgstr "Es gibt verschiedene Dinge, mit denen Sie sich auseinander setzen sollten, um einen Domain-Server-Daemon abzusichern, die ähnlich zu den Überlegungen sind, wie man einen anderen Dienst absichert:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:749
msgid "configuring the daemon itself properly so it cannot be misused from the outside (see <ref id=\"configure-bind\">). This includes limiting possible queries from clients: zone transfers and recursive queries."
msgstr "Konfigurieren Sie den Daemon selbst, so dass er von außen nicht missbraucht werden kann (siehe auch <ref id=\"configure-bind\">). Dies schließt das Einschränken von Abfragen durch Clients ein: Zonen-Transfers und rekursive Abfragen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:754
msgid "limit the access of the daemon to the server itself so if it is used to break in, the damage to the system is limited. This includes running the daemon as a non-privileged user (see <ref id=\"user-bind\">) and chrooting it (see <ref id=\"chroot-bind\">)."
msgstr "Einschränken des Zugriffs des Daemon auf den Server selbst, so dass dem Schaden für das System im Falle eines Einbruchs Grenzen gesetzt sind. Hierzu gehört auch, den Daemon als nicht-privilegierten Benutzer laufen zu lassen (siehe <ref id=\"user-bind\">) und ihn in ein Chroot-Gefängnis einzusperren (siehe <ref id=\"chroot-bind\">)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:758
msgid "Bind configuration to avoid misuse"
msgstr "Bind-Konfiguration um Missbrauch zu verhindern"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:770
msgid "You should restrict some of the information that is served from the DNS server to outside clients so that it cannot be used to retrieve valuable information from your organization that you do not want to give away. This includes adding the following options: <em>allow-transfer</em>, <em>allow-query</em>, <em>allow-recursion</em> and <em>version</em>. You can either limit this on the global section (so it applies to all the zones served) or on a per-zone basis. This information is documented in the <package>bind-doc</package> package, read more on this on <file>/usr/share/doc/bind/html/index.html</file> once the package is installed."
msgstr "Sie sollten einige Informationen, die von außen über den DNS-Server abgefragt werden können, zurückhalten, so dass man nicht wertvolle Informationen über Ihre Organisation, die Sie nicht herausgeben wollen, abfragen kann. Dies schließt die folgenden Optionen mit ein: <em>allow-transfer</em>, <em>allow-query</em>, <em>allow-recursion</em> und <em>version</em>. Sie können dies in dem globalen Abschnitt tun (so wird es auf alle Zonen angewandt) oder jeweils pro Zone. Dies ist im Paket <package>bind-doc</package> dokumentiert. Sobald das Paket installiert ist, können Sie hierzu mehr in <file>/usr/share/doc/bind/html/index.html</file> lesen."
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:777
msgid "Imagine that your server is connected to the Internet and to your internal (your internal IP is 192.168.1.2) network (a basic multi-homed server), you do not want to give any service to the Internet and you just want to enable DNS lookups from your internal hosts. You could restrict it by including in <file>/etc/bind/named.conf</file>:"
msgstr "Stellen Sie sich vor, Ihr Server ist mit dem Internet und Ihrem internen Netzwerk (Ihre interne IP ist 192.168.1.2) verbunden – ein einfacher Server im heimischen Netzwerk. Sie möchten keinen Dienst im Internet anbieten und lediglich DNS-Abfragen von Ihren internen Rechnern erlauben. Sie können dies einschränken, indem Sie Folgendes in Ihre <file>/etc/bind/named.conf</file> aufnehmen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:786
#, no-wrap
msgid ""
"options {\n"
" allow-query { 192.168.1/24; } ;\n"
" allow-transfer { none; } ; \n"
" allow-recursion { 192.168.1/24; } ;\n"
" listen-on { 192.168.1.2; } ;\n"
" forward { only; } ;\n"
" forwarders { A.B.C.D; } ;\n"
"};"
msgstr ""
"options {\n"
" allow-query { 192.168.1/24; } ;\n"
" allow-transfer { none; } ; \n"
" allow-recursion { 192.168.1/24; } ;\n"
" listen-on { 192.168.1.2; } ;\n"
" forward { only; } ;\n"
" forwarders { A.B.C.D; } ;\n"
"};"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:798
msgid "The <em>listen-on</em> option makes the DNS bind to only the interface that has the internal address, but, even if this interface is the same as the interface that connects to the Internet (if you are using NAT, for example), queries will only be accepted if coming from your internal hosts. If the system has multiple interfaces and the <em>listen-on</em> is not present, only internal users could query, but, since the port would be accessible to outside attackers, they could try to crash (or exploit buffer overflow attacks) on the DNS server. You could even make it listen only on 127.0.0.1 if you are not giving DNS service for any other systems than yourself."
msgstr "Die Option <em>listen-on</em> bewirkt, dass sich DNS nur auf die Schnittstelle bindet, die die interne Adresse hat. Aber sogar wenn diese Schnittstelle Verbindung zum Internet hat (zum Beispiel weil Sie NAT benutzen), werden Abfragen nur akzeptiert, wenn sie von internen Hosts kommen. Wenn das System mehrere Schnittstellen hat und Sie kein <em>listen-on</em> gesetzt haben, könnten zwar nur interne Benutzer Abfragen starten, aber, da der Port für Angreifer von außen ansprechbar ist, könnten sie versuchen, den DNS zum Absturz zu bringen (oder durch Speicher-Überlauf-Attacken auszunutzen). Sie könnten ihn sogar dazu bringen, lediglich auf 127.0.0.1 zu hören, wenn Sie den DNS-Service nicht für ein anderes System anbieten wollen."
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:808
msgid "The version.bind record in the chaos class contains the version of the currently running bind process. This information is often used by automated scanners and malicious individuals who wish to determine if one's <prgn>bind</prgn> is vulnerable to a specific attack. By providing false or no information in the version.bind record, one limits the probability that one's server will be attacked based on its published version. To provide your own version, use the <em>version</em> directive in the following manner:"
msgstr "Der version.bind-Eintrag in der chaos class enthält die Version des derzeit laufenden Bind-Prozesses. Diese Information wird oft von automatischen Scannern und bösartigen Individuen dazu verwendet herauszufinden, ob ein <prgn>bind</prgn> für eine bestimmte Attacke verwundbar ist. Indem Sie falsche oder gar keine Informationen im version.bind-Eintrag zur Verfügung stellen, minimieren Sie die Wahrscheinlichkeit, dass jemand Ihren Server aufgrund der publizierten Version attackieren wird. Um Ihre eigene Version anzugeben, benutzen Sie die <em>Version</em>-Direktive auf folgende Art:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:801
#, no-wrap
msgid ""
" options { ... various options here ...\n"
"version \"Not available.\"; };"
msgstr ""
" options { ... various options here ...\n"
"version \"Nicht verfügbar.\"; };"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:813
msgid "Changing the version.bind record does not provide actual protection against attacks, but it might be considered a useful safeguard."
msgstr "Das Ändern des version.bind-Eintrags schützt eigentlich nicht gegen Attacken, aber Sie können es als sinnvolle Schutzvorrichtung ansehen."
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:818
msgid "A sample <file>named.conf</file> configuration file might be the following:"
msgstr "Eine beispielhafte <file>named.conf</file>-Konfigurationsdatei könnte so aussehen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:877
#, no-wrap
msgid ""
"acl internal {\n"
" 127.0.0.1/32; // localhost\n"
" 10.0.0.0/8; // internal\n"
" aa.bb.cc.dd; // eth0 IP\n"
"};\n"
"\n"
"acl friendly {\n"
" ee.ff.gg.hh; // slave DNS\n"
" aa.bb.cc.dd; // eth0 IP\n"
" 127.0.0.1/32; // localhost\n"
" 10.0.0.0/8; // internal\n"
"};\n"
"\n"
"options {\n"
" directory \"/var/cache/bind\";\n"
" allow-query { internal; };\n"
" allow-recursion { internal; };\n"
" allow-transfer { none; };\n"
"};\n"
"// From here to the mysite.bogus zone \n"
"// is basically unmodified from the debian default\n"
"logging {\n"
" category lame-servers { null; };\n"
" category cname { null; }; \n"
"};\n"
"\n"
"zone \".\" {\n"
" type hint;\n"
" file \"/etc/bind/db.root\";\n"
"};\n"
"\n"
"zone \"localhost\" {\n"
" type master;\n"
" file \"/etc/bind/db.local\";\n"
"};\n"
"\n"
"zone \"127.in-addr.arpa\" {\n"
" type master;\n"
" file \"/etc/bind/db.127\";\n"
"};\n"
"\n"
"zone \"0.in-addr.arpa\" {\n"
" type master;\n"
" file \"/etc/bind/db.0\";\n"
"};\n"
"\n"
"zone \"255.in-addr.arpa\" {\n"
" type master;\n"
" file \"/etc/bind/db.255\";\n"
"};\n"
"\n"
"// zones I added myself\n"
"zone \"mysite.bogus\" {\n"
" type master;\n"
" file \"/etc/bind/named.mysite\";\n"
" allow-query { any; };\n"
" allow-transfer { friendly; };\n"
"};"
msgstr ""
"acl internal {\n"
" 127.0.0.1/32; // localhost\n"
" 10.0.0.0/8; // intern\n"
" aa.bb.cc.dd; // eth0 IP\n"
"};\n"
"\n"
"acl friendly {\n"
" ee.ff.gg.hh; // slave DNS\n"
" aa.bb.cc.dd; // eth0 IP\n"
" 127.0.0.1/32; // localhost\n"
" 10.0.0.0/8; // intern\n"
"};\n"
"\n"
"options {\n"
" directory \"/var/cache/bind\";\n"
" allow-query { internal; };\n"
" allow-recursion { internal; };\n"
" allow-transfer { none; };\n"
"};\n"
"// Ab hier bis zur meineseite.bogus Zone\n"
"// ist alles im Grunde die unveränderte Debian-Standardeinstellung.\n"
"logging {\n"
" category lame-servers { null; };\n"
" category cname { null; }; \n"
"};\n"
"\n"
"zone \".\" {\n"
" type hint;\n"
" file \"/etc/bind/db.root\";\n"
"};\n"
"\n"
"zone \"localhost\" {\n"
" type master;\n"
" file \"/etc/bind/db.local\";\n"
"};\n"
"\n"
"zone \"127.in-addr.arpa\" {\n"
" type master;\n"
" file \"/etc/bind/db.127\";\n"
"};\n"
"\n"
"zone \"0.in-addr.arpa\" {\n"
" type master;\n"
" file \"/etc/bind/db.0\";\n"
"};\n"
"\n"
"zone \"255.in-addr.arpa\" {\n"
" type master;\n"
" file \"/etc/bind/db.255\";\n"
"};\n"
"\n"
"// Zone, die ich selbst hinzugefügt habe\n"
"zone \"mysite.bogus\" {\n"
" type master;\n"
" file \"/etc/bind/named.meineseite\";\n"
" allow-query { any; };\n"
" allow-transfer { friendly; };\n"
"};"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:884
msgid "Please (again) check the Bug Tracking System regarding Bind, specifically <url id=\"http://bugs.debian.org/94760\"; name=\"Bug #94760 (regarding ACLs on zone transfers)\">. Feel free to contribute to the bug report if you think you can add useful information."
msgstr "Bitte prüfen Sie (erneut) die Debian-Fehler-Datenbank (BTS) bezüglich Bind, insbesondere <url name=\"Bug #94760 (regarding ACLs on zone transfers)\" id=\"http://bugs.debian.org/94760\";>. Fühlen Sie sich ruhig dazu ermutigt, zu diesem Bugreport beizutragen, wenn Sie glauben, nützliche Informationen hinzufügen zu können."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:886
msgid "Changing BIND's user"
msgstr "Ändern des BIND-Benutzers"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:897
msgid "Regarding limiting BIND's privileges you must be aware that if a non-root user runs BIND, then BIND cannot detect new interfaces automatically, for example when you put a PCMCIA card into your laptop. Check the <file>README.Debian</file> file in your named documentation (<file>/usr/share/doc/bind/README.Debian</file>) directory for more information about this issue. There have been many recent security problems concerning BIND, so switching the user is useful when possible. We will detail here the steps needed in order to do this, however, if you want to do this in an automatic way you might try the script provided in <ref id=\"bind-chuser\">."
msgstr "Bezüglich der Beschränkung von BINDs Privilegien müssen Sie beachten, dass, wenn Sie BIND als nicht-root Benutzer laufen lassen, BIND neue Netzwerk-Schnittstellen nicht automatisch entdecken kann, zum Beispiel wenn Sie eine PCMCIA-Karte in Ihr Notebook stecken. Lesen Sie die Datei <file>README.Debian</file> in Ihrer named-Dokumentation (<file>/usr/share/doc/bind/README.Debian</file>) für mehr Informationen hierzu. Es gab in letzter Zeit viele Sicherheitsprobleme mit BIND, so dass es nützlich ist, den Benutzer zu wechseln, wenn es möglich ist. Wir werden die Schritte, die dazu nötig sind, detailliert aufführen. Wenn Sie dies automatisch machen lassen wollen, können Sie das Skript in <ref id=\"bind-chuser\"> ausprobieren."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:904
msgid "Notice, in any case, that this only applies to BIND version 8. In the Debian packages for BIND version 9 (since the 9.2.1-5 version, available since <em>sarge</em>) the <em>bind</em> user is created and used by setting the OPTIONS variable in <file>/etc/default/bind9</file>. If you are using BIND version 9 and your name server daemon is not running as the <em>bind</em> user verify the settings on that file."
msgstr "Beachten Sie, dass dies nur auf die BIND-Version 8 zutrifft. In den Debian-Paketen für die BIND-Version 9 wird der Benutzer <em>bind</em> erstellt (seit Version 9.2.1-5, ist in <em>Sarge</em> enthalten) und mit der Variable OPTIONS in <file>/etc/default/bind9</file> verwendet. Wenn Sie BIND 9 einsetzen und Ihr Nameserver nicht als Benutzer <em>bind</em> läuft, sollten Sie die Einstellungen in dieser Datei überprüfen."
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:908
msgid "To run BIND under a different user, first create a separate user and group for it (it is <em>not</em> a good idea to use nobody or nogroup for every service not running as root). In this example, the user and group <tt>named</tt> will be used. You can do this by entering:"
msgstr "Um BIND unter einem anderen Benutzer laufen zu lassen, müssen Sie zunächst einen zusätzlichen Benutzer und eine zusätzlich Gruppe dafür erstellen (es ist <em>keine</em> gute Idee, für alle Dienste, die Sie nicht als Root laufen lassen, den Benutzer nobody und die Gruppe nogroup zu benutzen). In diesem Beispiel wird der Benutzer und die Gruppe <tt>named</tt> verwendet. Sie können diese anlegen, indem Sie die folgenden Kommandos eingeben:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:912
#, no-wrap
msgid ""
"addgroup named\n"
"adduser --system --home /home/named --no-create-home --ingroup named \\\n"
" --disabled-password --disabled-login named"
msgstr ""
"addgroup named\n"
"adduser --system --home /home/named --no-create-home --ingroup named \\\n"
" --disabled-password --disabled-login named"
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:916
msgid "Notice that the user <tt>named</tt> will be quite restricted. If you want, for whatever reason, to have a less restrictive setup use:"
msgstr "Beachten Sie, dass der Benutzer <tt>named</tt> sehr eingeschränkt ist. Wenn Sie – aus welchen Gründen auch immer – ein weniger eingeschränktes Setup haben möchten, benutzen Sie:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:918
#, no-wrap
msgid "adduser --system --ingroup named named"
msgstr "adduser --system --ingroup named named"
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:923
msgid "Now you can either edit <file>/etc/init.d/bind</file> with your favorite editor and change the line beginning with"
msgstr "Editieren Sie nun <file>/etc/init.d/bind</file> mit Ihrem Lieblingseditor und ändern Sie die Zeile, die mit"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:925
#, no-wrap
msgid "start-stop-daemon --start"
msgstr "start-stop-daemon --start"
#. type: </example><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:931
msgid "to<footnote><p>Note that depending on your bind version you might not have the <tt>-g</tt> option, most notably if you are using bind9 in sarge (9.2.4 version).</p></footnote>"
msgstr "anfängt zu<footnote>Beachten Sie, dass Sie abhängig von Ihrer Bind-Version die Option <tt>-g</tt> nicht haben, höchstwahrscheinlich wenn Sie bind9 von Sarge (9.2.4) installiert haben.</footnote>:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:933
#, no-wrap
msgid "start-stop-daemon --start --quiet --exec /usr/sbin/named -- -g named -u named"
msgstr "start-stop-daemon --start --quiet --exec /usr/sbin/named -- -g named -u named"
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:939
msgid "Or you can change (create it if it does not exit) the default configuration file (<file>/etc/default/bind</file> for BIND version 8) and introduce the following:"
msgstr "Alternativ dazu können Sie auch die Standardkonfigurationsdatei (bei BIND 8 <file>/etc/default/bind</file>) bearbeiten (und erstellen, falls sie nicht vorhanden ist) und Folgendes einfügen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:941
#, no-wrap
msgid "OPTIONS=\"-u named -g named\""
msgstr "OPTIONS=\"-u named -g named\""
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:946
msgid "Change the permissions of files that are used by Bind, including <file>/etc/bind/rndc.key</file>:"
msgstr "Ändern Sie die Rechte der Dateien, die von Bind verwendet werden, inklusive <file>/etc/bind/rndc.key</file>:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:948
#, no-wrap
msgid "-rw-r----- 1 root named 77 Jan 4 01:02 rndc.key"
msgstr "-rw-r----- 1 root named 77 Jan 4 01:02 rndc.key"
#. type: </example><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:953
msgid "and where bind creates its pidfile, using, for example, <file>/var/run/named</file> instead of <file>/var/run</file>:"
msgstr "und den Ort, an dem bind seine PID-Datei erzeugt, z.B. indem Sie <file>/var/run/named</file> anstatt von <file>/var/run</file> verwenden:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:962
#, no-wrap
msgid ""
"$ mkdir /var/run/named\n"
"$ chown named.named /var/run/named\n"
"$ vi /etc/named.conf\n"
"[ ... update the configuration file to use this new location ...]\n"
"options { ...\n"
" pid-file \"/var/run/named/named.pid\";\n"
"};\n"
"[ ... ]"
msgstr ""
"$ mkdir /var/run/named\n"
"$ chown named.named /var/run/named\n"
"$ vi /etc/named.conf\n"
"[ ... ändern Sie die Konfigurationsdatei, um diesen neuen Pfad zu verwenden ...]\n"
"options { ...\n"
" pid-file \"/var/run/named/named.pid\";\n"
"};\n"
"[ ... ]"
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:967
msgid "Also, in order to avoid running anything as root, change the <tt>reload</tt> line in the init.d script by substituting:"
msgstr "Außerdem müssen Sie, um zu verhindern, dass irgendetwas als Root läuft, im init.d-Skript die <tt>reload</tt>-Zeile von:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:970
#, no-wrap
msgid ""
"reload)\n"
" /usr/sbin/ndc reload"
msgstr ""
"reload)\n"
" /usr/sbin/ndc reload"
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:973
#: securing-debian-howto.en.sgml:60
#: en/faq.sgml:299
#: en/faq.sgml:686
msgid "to:"
msgstr "in Folgendes ändern:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:978
#, no-wrap
msgid ""
"reload)\n"
" $0 stop\n"
" sleep 1\n"
" $0 start"
msgstr ""
"reload)\n"
" $0 stop\n"
" sleep 1\n"
" $0 start"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:984
msgid "Note: Depending on your Debian version you might have to change the <tt>restart</tt> line too. This was fixed in Debian's bind version <tt>1:8.3.1-2</tt>."
msgstr "Hinweis: Abhängig von Ihrer Debian-Version müssen Sie auch die <tt>restart</tt>-Zeile ändern. Dies wurde in der Version <tt>1:8.3.1-2</tt> von Debians BIND-Paket repariert."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:988
msgid "All you need to do now is to restart bind via <tt>/etc/init.d/bind restart</tt>, and then check your syslog for two entries like this:"
msgstr "Alles, was Sie jetzt noch tun müssen, ist, bind mittels <tt>/etc/init.d/bind restart</tt> neu zu starten und dann Ihr Syslog auf zwei Einträge wie die folgenden zu prüfen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:992
#, no-wrap
msgid ""
"Sep 4 15:11:08 nexus named[13439]: group = named\n"
"Sep 4 15:11:08 nexus named[13439]: user = named"
msgstr ""
"Sep 4 15:11:08 nexus named[13439]: group = named\n"
"Sep 4 15:11:08 nexus named[13439]: user = named"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1007
msgid "Voilà! Your named now <em>does not</em> run as root. If you want to read more information on why BIND does not run as non-root user on Debian systems, please check the Bug Tracking System regarding Bind, specifically <url id=\"http://bugs.debian.org/50013\"; name=\"Bug #50013: bind should not run as root\"> and <url id=\"http://bugs.debian.org/132582\"; name=\"Bug #132582: Default install is potentially insecure\">, <url id=\"http://bugs.debian.org/53550\"; name=\"Bug #53550\">, <url id=\"http://bugs.debian.org/52745\"; name=\"Bug #52745\">, and <url id=\"http://bugs.debian.org/128129\"; name=\"Bug #128129\">. Feel free to contribute to the bug reports if you think you can add useful information."
msgstr "Voilà! Ihr named läuft <em>nicht mehr</em> als Root. Wenn Sie mehr Informationen darüber lesen wollen, warum BIND nicht als nicht-root Benutzer auf Debian-Systemen läuft, sehen Sie bitte in der Fehlerdatenbank zu Bind nach, insbesondere <url name=\"Bug #50013: bind should not run as root\" id=\"http://bugs.debian.org/50013\";> und <url name=\"Bug #132582: Default install is potentially insecure\" id=\"http://bugs.debian.org/132582\";>, <url name=\"Bug #53550\" id=\"http://bugs.debian.org/53550\";>, <url name=\"Bug #52745\" id=\"http://bugs.debian.org/52745\";> und <url name=\"Bug #128129\" id=\"http://bugs.debian.org/128129\";>. Fühlen Sie sich ruhig dazu ermuntert, etwas zu den Fehlerbeschreibungen beizutragen, wenn Sie denken, nützliche Informationen hinzufügen zu können."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1009
msgid "Chrooting the name server"
msgstr "Chroot-Gefängnis für den Name-Server"
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1019
msgid "To achieve maximum BIND security, now build a chroot jail (see <ref id=\"chroot\">) around your daemon. There is an easy way to do this: the <tt>-t</tt> option (see the <manref name=\"named\" section=\"8\"> manpage or page 100 of <url id=\"http://www.nominum.com/content/documents/bind9arm.pdf\"; name=\"Bind's 9 documentation (PDF)\">). This will make Bind chroot itself into the given directory without you needing to set up a chroot jail and worry about dynamic libraries. The only files that need to be in the chroot jail are:"
msgstr "Um die größtmögliche BIND-Sicherheit zu erreichen, müssen Sie nun ein Chroot-Gefängnis (siehe <ref id=\"chroot\">) um Ihren Daemon herum bauen. Es gibt einen einfachen Weg, dies zu erreichen: Die Option <tt>-t</tt> (siehe die Handbuchseite <manref name=\"named\" section=\"8\"> oder Seite 100 von <url id=\"http://www.nominum.com/content/documents/bind9arm.pdf\"; name=\"Bind's 9 Dokumentation (PDF)\">). Dies wird Bind selbst in ein bestimmtes Verzeichnis chrooten lassen, ohne dass Sie ein eigenes Chroot-Gefängnis aufsetzen und sich Sorgen um dynamische Bibliotheken machen müssen. Die einzigen Dateien, die in diesem Chroot-Gefängnis benötigt werden, sind:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1029
#, no-wrap
msgid ""
"dev/null\n"
"etc/bind/ - should hold named.conf and all the server zones\n"
"sbin/named-xfer - if you do name transfers\n"
"var/run/named/ - should hold the PID and the name server cache (if\n"
" any) this directory needs to be writable by named user\n"
"var/log/named - if you set up logging to a file, needs to be writable\n"
" for the named user\n"
"dev/log - syslogd should be listening here if named is configured to\n"
" log through it"
msgstr ""
"dev/null\n"
"etc/bind/ – sollte die named.conf und alle Server-Zonen enthalten\n"
"sbin/named-xfer – wenn Sie Namen transferieren\n"
"var/run/named/ – sollte die PID und den Cache des\n"
" Name-Servers (falls es ihn gibt) enthalten.\n"
" Dieses Verzeichnis muss für\n"
" den named-User schreibbar sein.\n"
"var/log/named – Wenn Sie in eine Datei protokollieren, muss\n"
" dies für den named-User schreibbar sein.\n"
"dev/log – syslogd sollte hierauf hören, wenn\n"
" named so konfiguriert ist, dass er\n"
" darüber protokolliert."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1039
msgid "In order for your Bind daemon to work properly it needs permission in the named files. This is an easy task since the configuration files are always at <tt>/etc/named/</tt>. Take into account that it only needs read-only access to the zone files, unless it is a secondary or cache name server. If this is your case you will have to give read-write permissions to the necessary zones (so that zone transfers from the primary server work)."
msgstr "Damit Ihr Bind-Daemon vernünftig läuft, braucht er bestimmte Zugriffsrechte auf die named-Dateien. Dies ist eine einfache Angelegenheit, da die Konfigurationsdateien immer in <tt>/etc/named/</tt> liegen. Beachten Sie, dass er lediglich Lesezugriff benötigt, es sei denn, es handelt sich um einen sekundären oder zwischenspeichernden (Cache) Name-Server. Wenn dies der Fall ist, müssen Sie ihm Lese- und Schreibzugriff auf die notwendigen Zonen gewähren (damit Zonen-Transfers vom primären Server funktionieren)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1049
msgid "Also, you can find more information regarding Bind chrooting in the <url id=\"http://www.tldp.org/HOWTO/Chroot-BIND-HOWTO.html\"; name=\"Chroot-BIND-HOWTO\"> (regarding Bind 9) and <url id=\"http://www.tldp.org/HOWTO/Chroot-BIND8-HOWTO.html\"; name=\"Chroot-BIND8-HOWTO\"> (regarding Bind 8). This same documents should be available through the installation of the <package>doc-linux-text</package> (text version) or <package>doc-linux-html</package> (HTML version). Another useful document is <url id=\"http://web.archive.org/web/20011024064030/http://www.psionic.com/papers/dns/dns-linux\";>."
msgstr "Mehr Informationen über das Chrooten von Bind finden Sie unter <url name=\"Chroot-BIND-HOWTO\" id=\"http://www.tldp.org/HOWTO/Chroot-BIND-HOWTO.html\";> (betrifft Bind 9) und <url name=\"Chroot-BIND8-HOWTO\" id=\"http://www.tldp.org/HOWTO/Chroot-BIND8-HOWTO.html\";> (betrifft Bind 8). Diese Dokumente sollten auch nach der Installation des Paketes <package>doc-linux-text</package> (Text-Version) oder <package>doc-linux-html</package> (HTML-Version) verfügbar sein. Ein anderes nützliches Dokument ist <url id=\"http://web.archive.org/web/20011024064030/http://www.psionic.com/papers/dns/dns-linux\";>."
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1056
msgid "If you are setting up a full chroot jail (i.e. not just <tt>-t</tt>) for Bind in Debian, make sure you have the following files in it<footnote><p>This setup has not been tested for new release of Bind yet.</p></footnote>:"
msgstr "Wenn Sie für Bind ein komplettes Chroot-Gefängnis aufsetzen (d.h. Sie benutzen nicht nur <tt>-t</tt>), stellen Sie sicher, dass Sie die folgenden Dateien darin haben:<footnote> Diese Einstellungen wurden für die neueren Veröffentlichung von Bind noch nicht getestet.</footnote>"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1070
#, no-wrap
msgid ""
"dev/log - syslogd should be listening here\n"
"dev/null\n"
"etc/bind/named.conf \n"
"etc/localtime\n"
"etc/group - with only a single line: \"named:x:GID:\"\n"
"etc/ld.so.cache - generated with ldconfig \n"
"lib/ld-2.3.6.so\n"
"lib/libc-2.3.6.so\n"
"lib/ld-linux.so.2 - symlinked to ld-2.3.6.so\n"
"lib/libc.so.6 - symlinked to libc-2.3.6.so\n"
"sbin/ldconfig - may be deleted after setting up the chroot\n"
"sbin/named-xfer - if you do name transfers\n"
"var/run/"
msgstr ""
"dev/log – syslogd sollte hierauf hören\n"
"dev/null\n"
"etc/bind/named.conf \n"
"etc/localtime\n"
"etc/group – mit einer einzigen Zeile: \"named:x:GID:\"\n"
"etc/ld.so.cache – mit ldconfig erstellt\n"
"lib/ld-2.3.6.so\n"
"lib/libc-2.3.6.so\n"
"lib/ld-linux.so.2 – symbolischer Link auf ld-2.3.6.so\n"
"lib/libc.so.6 – symbolischer Link auf libc-2.3.6.so\n"
"sbin/ldconfig – kann gelöscht werden, nachdem Chroot aufgesetzt wurde\n"
"sbin/named-xfer – wenn Sie Namen transferieren\n"
"var/run/"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1075
msgid "And modify also <prgn>syslogd</prgn> listen on <tt>$CHROOT/dev/log</tt> so the named server can write syslog entries into the local system log."
msgstr "Sorgen Sie auch dafür, dass <prgn>syslogd</prgn> auf <tt>$CHROOT/dev/log</tt> achtet, so dass der Name-Server seine syslog-Einträge in das lokale System-Protokoll schreiben lassen kann."
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1080
msgid "If you want to avoid problems with dynamic libraries, you can compile bind statically. You can use <prgn>apt-get</prgn> for this, with the <tt>source</tt> option. It can even download the packages you need to properly compile it. You would need to do something similar to:"
msgstr "Wenn Sie Probleme mit dynamischen Bibliotheken vermeiden wollen, können Sie Bind statisch kompilieren. Sie können hierzu <prgn>apt-get</prgn> mit der <tt>source</tt> Option benutzen. Es kann sogar die Pakete herunterladen, die Sie zum Kompilieren benötigen. Sie müssten etwas ähnliches wie das Folgende tun:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1089
#, no-wrap
msgid ""
"$ apt-get source bind\n"
"# apt-get build-dep bind\n"
"$ cd bind-8.2.5-2\n"
" (edit src/port/linux/Makefile so CFLAGS includes the '-static'\n"
" option)\n"
"$ dpkg-buildpackage -rfakeroot -uc -us\n"
"$ cd ..\n"
"# dpkg -i bind-8.2.5-2*deb"
msgstr ""
"$ apt-get source bind\n"
"# apt-get build-dep bind\n"
"$ cd bind-8.2.5-2\n"
" (editieren Sie src/port/linux/Makefile, so dass CFLAGS\n"
" die Option »-static« beinhaltet\n"
"$ dpkg-buildpackage -rfakeroot -uc -us\n"
"$ cd ..\n"
"# dpkg -i bind-8.2.5-2*deb"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1103
msgid "After installation, you will need to move around the files to the chroot jail<footnote><p>Unless you use the <tt>instdir</tt> option when calling <prgn>dpkg</prgn> but then the chroot jail might be a little more complex.</p></footnote> you can keep the <tt>init.d</tt> scripts in <file>/etc/init.d</file> so that the system will automatically start the name server, but edit them to add <tt>--chroot /location_of_chroot</tt> in the calls to <prgn>start-stop-daemon</prgn> in those scripts or use the <em>-t</em> option for BIND by setting it in the OPTIONS argument at the <file>/etc/default/bind</file> (for version 8) or <file>/etc/default/bind9</file> (for version 9) configuration file."
msgstr "Nach der Installation werden Sie die Dateien in das Chroot-Gefängnis verschieben müssen.<footnote>Es sei denn, Sie benutzen die <tt>instdir</tt>-Option, wenn Sie <prgn>dpkg</prgn> aufrufen, aber dann könnte das chroot-Gefängnis etwas komplizierter werden.</footnote> Sie können die <tt>init.d</tt>-Skripte in <file>/etc/init.d</file> lassen, so dass das System automatisch den Name-Server starten wird, aber editieren Sie sie, indem Sie bei den <prgn>start-stop-daemon</prgn>-Aufrufen in diesen Skripten <tt>--chroot /location_of_chroot</tt> hinzufügen. Oder verwenden Sie für BIND die Option <em>-t</em>, indem Sie sie in das OPTION-Argument in der Konfigurationsdatei <file>/etc/default/bind</file> (für Version 8) oder <file>/etc/default/bind9</file> (für Version 9) eintragen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1105
msgid "For more information on how to set up chroots see <ref id=\"chroot\">."
msgstr "Für weitere Informationen wie man Chroot-Gefängnisse aufsetzt, siehe <ref id=\"chroot\">."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1115
msgid "FIXME: Merge info from <url id=\"http://people.debian.org/~pzn/howto/chroot-bind.sh.txt\";>, <url id=\"http://www.cryptio.net/~ferlatte/config/\";> (Debian-specific), <url id=\"http://web.archive.org/web/20021216104548/http://www.psionic.com/papers/whitep01.html\";> and <url id=\"http://csrc.nist.gov/fasp/FASPDocs/NISTSecuringDNS.htm\";>."
msgstr "FIXME: Füge Informationen aus folgenden Quellen ein: <url id=\"http://people.debian.org/~pzn/howto/chroot-bind.sh.txt\";>, <url id=\"http://www.cryptio.net/~ferlatte/config/\";> (Debian-specific), <url id=\"http://web.archive.org/web/20021216104548/http://www.psionic.com/papers/whitep01.html\";> and <url id=\"http://csrc.nist.gov/fasp/FASPDocs/NISTSecuringDNS.htm\";>."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1117
msgid "Securing Apache"
msgstr "Absichern von Apache"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1121
msgid "FIXME: Add content: modules provided with the normal Apache installation (under /usr/lib/apache/X.X/mod_*) and modules that can be installed separately in libapache-mod-XXX packages."
msgstr "FIXME: Add content: modules provided with the normal Apache installation (under /usr/lib/apache/X.X/mod_*) and modules that can be installed separately in libapache-mod-XXX packages."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1128
msgid "You can limit access to the Apache server if you only want to use it internally (for testing purposes, to access the <package>doc-central</package> archive, etc.) and do not want outsiders to access it. To do this use the <tt>Listen</tt> or <tt>BindAddress</tt> directives in <file>/etc/apache/http.conf</file>."
msgstr "Sie können den Zugriff auf Ihren Apache-Server einschränken, wenn Sie ihn nur intern benutzen wollen (zum Beispiel zu Testzwecken, oder um auf die <package>doc-central</package>-Archive zuzugreifen, etc.) und nicht wollen, dass von außen auf ihn zugegriffen werden kann. Um dies zu tun, benutzen Sie die <tt>Listen</tt> oder <tt>BindAddress</tt> Direktiven in der Datei <file>/etc/apache/http.conf</file>."
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1129
msgid "Using Listen:"
msgstr "Benutzen von Listen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1131
#, no-wrap
msgid "Listen 127.0.0.1:80"
msgstr "Listen 127.0.0.1:80"
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1133
msgid "Using BindAddress:"
msgstr "Benutzen von BindAddress:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1135
#, no-wrap
msgid "BindAddress 127.0.0.1"
msgstr "BindAddress 127.0.0.1"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1140
msgid "Then restart apache with <tt>/etc/init.d/apache restart</tt> and you will see that it is only listening on the loopback interface."
msgstr "Starten Sie anschließend Apache mit <tt>/etc/init.d/apache restart</tt> neu, und Sie werden sehen, dass er nur auf die lokale Schleife achtet."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1144
msgid "In any case, if you are not using all the functionality provided by Apache, you might want to take a look at other web servers provided in Debian like <package>dhttpd</package>."
msgstr "In jedem Fall sollten Sie, wenn Sie nicht die ganze Funktionalität, die Apache zur Verfügung stellt, benutzen wollen, mal einen Blick auf die anderen Web-Server aus Debian werfen, zum Beispiel <package>dhttpd</package>."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1156
msgid "The <url id=\"http://httpd.apache.org/docs/misc/security_tips.html\"; name=\"Apache Documentation\"> provides information regarding security measures to be taken on Apache web server (this same information is provided in Debian by the <package>apache-doc</package> package)."
msgstr "Die <url name=\"Apache Documentation\" id=\"http://httpd.apache.org/docs/misc/security_tips.html\";> stellt viele Informationen zu Sicherheitsmaßnahmen, die Sie auf einem Apache Web-Server anwenden können, bereit (die gleichen Informationen erhalten Sie unter Debian auch durch das Paket <package>apache-doc</package>)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1159
msgid "More information on further restricting Apache by setting up a chroot jail is provided in <ref id=\"chroot-apache-env\">."
msgstr "Mehr Informationen zu weiteren Restriktionen von Apache durch Einrichten chroot-Gefängnisses wird in <ref id=\"chroot-apache-env\"> bereitgestellt."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1161
msgid "Disabling users from publishing web contents"
msgstr "Verhindern, dass Benutzer Web-Inhalte veröffentlichen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1166
msgid "The default Apache installation in Debian permits users to publish content under the <file>$HOME/public_html</file>. This content can be retrieved remotely using an URL such as: http://your_apache_server/~user.";
msgstr "Die Standard-Apache-Installation in Debian erlaubt Benutzern, Inhalt unter <file>$HOME/public_html</file> bereitzustellen. Dieser Inhalt kann aus der Ferne mit einer URL wie http://Ihr_Apache_Server/~benutzer abgegriffen werden."
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1170
msgid "If you do not want to permit this you must change the <file>/etc/apache/http.conf</file> configuration file commenting out (in Apache 1.3) the following module:"
msgstr "Wenn Sie dies nicht erlauben wollen, müssen Sie in der Konfigurationsdatei <file>/etc/apache/http.conf</file> (von Apache 1.3) folgendes Module auskommentieren:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1172
#, no-wrap
msgid "LoadModule userdir_module /usr/lib/apache/1.3/mod_userdir.so"
msgstr "LoadModule userdir_module /usr/lib/apache/1.3/mod_userdir.so"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1178
msgid "If you are using Apache 2.0 you must remove the file <file>/etc/apache2/mods-enabled/userdir.load</file> or restrict the default configuration by modifying <file>/etc/apache2/mods-enabled/userdir.conf</file>."
msgstr "Wenn Sie Apache 2.0 verwenden, müssen Sie die Datei <file>/etc/apache2/mods-enabled/userdir.load</file> entfernen oder die Standardkonfiguration einschränken, indem Sie <file>/etc/apache2/mods-enabled/userdir.conf</file> bearbeiten."
#. type: <p><example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1182
msgid "However, if the module was linked statically (you can list the modules that are compiled in running <tt>apache -l</tt>) you must add the following to the Apache configuration file:"
msgstr "Falls allerdings das Modul statisch verlinkt wurde (Sie können die Module, die einkompiliert wurden, mittels <tt>apache -l</tt> überprüfen), müssen Sie das Folgende der Konfigurationsdatei von Apache hinzufügen:"
#. type: <example></example>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1184
#, no-wrap
msgid "Userdir disabled"
msgstr "Userdir disabled"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1191
msgid "An attacker might still do user enumeration, since the answer of the web server will be a <em>403 Permission Denied</em> and not a <em>404 Not available</em>. You can avoid this if you use the Rewrite module."
msgstr "Ein Angreifer kann immer noch die Benutzer herausfinden, da die Antwort des Web-Servers <em>403 Permission Denied</em> und nicht <em>404 Not available</em> lautet. Mit dem Rewrite-Modul können Sie das verhindern."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1193
msgid "Logfiles permissions"
msgstr "Rechte der Protokolldateien"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1202
msgid "Apache logfiles, since 1.3.22-1, are owned by user 'root' and group 'adm' with permissions 640. These permissions are changed after rotation. An intruder that accessed the system through the web server would not be able (without privilege escalation) to remove old log file entries."
msgstr "Apaches Protokolldateien gehören seit 1.3.22-1 dem Benutzer »root« und der Gruppe »adm« mit den Rechten 640. Diese Rechte ändern sich nach einer Rotation. Ein Eindringling, der das System über den Web-Server erreicht hat, kann so Einträge in alten Protokolldatei nicht (ohne Rechteerweiterung) entfernen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1204
msgid "Published web files"
msgstr "Veröffentlichte Web-Dateien"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1214
msgid "Apache files are located under <file>/var/www</file>. Just after installation the default file provides some information on the system (mainly that it's a Debian system running Apache). The default webpages are owned by user root and group root by default, while the Apache process runs as user www-data and group www-data. This should make attackers that compromise the system through the web server harder to deface the site. You should, of course, substitute the default web pages (which might provide information you do not want to show to outsiders) with your own."
msgstr "Apache-Dateien befinden sich unterhalb von <file>/var/www</file>. Direkt nach der Installation bietet die Standardseite einige Informationen zu dem System (hauptsächlich dass es ein Debian-System ist, auf welchem Apache läuft). Die Standard-Webseiten gehören standardmäßig dem Benutzer root und der Gruppe root, währenddessen der Apache-Prozess als Benutzer www-data und Gruppe www-data läuft. Dies sollte es Angreifern, die in das System durch den Web-Server eindringen, schwerer machen, die Site zu verunstalten. Sie sollten natürlich die Standard-Webseiten (die Informationen, die Sie der Außenwelt vorenthalten wollen, enthalten können) durch Ihre eigenen ersetzen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1217
msgid "Securing finger"
msgstr "Absichern von Finger"
#. type: <p><list>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1221
msgid "If you want to run the finger service first ask yourself if you need to do so. If you do, you will find out that Debian provides many finger daemons (output from <prgn>apt-cache search fingerd</prgn>):"
msgstr "Wenn Sie den Finger-Dienst laufen lassen wollen, fragen Sie sich bitte zuerst, ob Sie das auch wirklich tun müssen. Wenn es notwendig sein sollte, werden Sie feststellen, dass Debian viele Finger-Daemonen zur Verfügung stellt (hier die Ausgabe von <prgn>apt-cache search fingerd</prgn>):"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1223
msgid "cfingerd - Configurable finger daemon"
msgstr "cfingerd – konfigurierbarer finger-Daemon"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1225
msgid "efingerd - Another finger daemon for unix, capable of fine-tuning your output."
msgstr "efingerd – ein weiterer Unix-finger-Daemon mit anpassbarer Ausgabe"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1226
msgid "ffingerd - a secure finger daemon"
msgstr "ffingerd – ein sicherer finger-Daemon"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1227
msgid "fingerd - Remote user information server."
msgstr "fingerd – Remote-User-Informationsserver"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1228
msgid "xfingerd - BSD-like finger daemon with qmail support."
msgstr "xfingerd – BSD-ähnlicher finger-Daemon mit qmail-Unterstützung"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1244
msgid "<package>ffingerd</package> is the recommended finger daemon if you are going to use it for a public service. In any case, you are encouraged to, when setting it up through inetd, xinetd or tcpserver to: limit the number of processes that will be running at the same time, limit access to the finger daemon from a given number of hosts (using tcp wrappers) and having it only listening to the interface you need it to be in."
msgstr "<package>ffingerd</package> ist der empfohlene finger-Daemon, wenn Sie vorhaben, einen öffentlichen Dienst anzubieten. In jedem Fall sind Sie zu Folgendem ermutigt, wenn Sie ihn über inetd, xinetd oder tcpserver aufzusetzen: Schränken Sie die Anzahl der Prozesse ein, die gleichzeitig laufen dürfen, schränken Sie den Zugriff auf den Finger-Daemon von bestimmten Hosts ein (indem Sie tcp-wrapper benutzen) und lassen Sie ihn nur auf der notwendigen Schnittstelle lauschen."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1246
msgid "General chroot and suid paranoia"
msgstr "Allgemeine chroot- und suid-Paranoia"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1265
msgid "<prgn>chroot</prgn> is one of the most powerful possibilities to restrict a daemon or a user or another service. Just imagine a jail around your target, which the target cannot escape from (normally, but there are still a lot of conditions that allow one to escape out of such a jail). If you do not trust a user or a service, you can create a modified root environment for him. This can use quite a bit of disk space as you need to copy all needed executables, as well as libraries, into the jail. But then, even if the user does something malicious, the scope of the damage is limited to the jail."
msgstr "<prgn>chroot</prgn> ist eine der mächtigsten Möglichkeiten, einen Daemon oder einen Benutzer oder einen anderen Dienst zu beschränken. Denken Sie einfach an ein Gefängnis um Ihr Ziel, welches das Ziel nicht verlassen kann (normalerweise, es gibt aber einige Bedingungen, die einem einen Ausbruch aus solch einem Gefängnis ermöglichen). Wenn Sie einem Benutzer oder einem Dienst nicht trauen, können Sie eine modifizierte root-Umgebung für ihn erzeugen. Dies kann einiges an Plattenplatz benötigen, da Sie alle benötigten Programme ebenso wie Bibliotheken in das Gefängnis kopieren müssen. Aber danach ist die Wirkung des Schadens, selbst wenn der Benutzer etwas bösartiges macht, auf das Gefängnis beschränkt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1270
msgid "Many services running as daemons could benefit from this sort of arrangement. The daemons that you install with your Debian distribution will not come, however, chrooted<footnote><p>It does try to run them under <em>minimum priviledge</em> which includes running daemons with their own users instead of having them run as root.</p></footnote> per default."
msgstr "Viele Dienste, die als Daemonen laufen, können von dieser Vorgehensweise profitieren. Die Daemonen, die Sie mit Ihrer Debian-Distribution installieren, laufen jedoch nicht standardmäßig in einem chroot-Gefängnis.<footnote>Es wird versucht, diese mit <em>minimalen Rechten</em> laufen zu lassen, was beinhaltet, Daemonen unter ihren eigenen Benutzern, anstatt unter Root, laufen zu lassen.</footnote>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1279
msgid "This includes: name servers (such as <prgn>bind</prgn>), web servers (such as <prgn>apache</prgn>), mail servers (such as <prgn>sendmail</prgn>) and ftp servers (such as <prgn>wu-ftpd</prgn>). It is probably fair to say that the complexity of BIND is the reason why it has been exposed to a lot of attacks in recent years (see <ref id=\"sec-bind\">)."
msgstr "Dies beinhaltet: Name-Server (wie <prgn>bind</prgn>), Web-Server (wie <prgn>apache</prgn>), Mail-Server (wie <prgn>sendmail</prgn>) und FTP-Server (wie <prgn>wu-ftpd</prgn>). Wahrscheinlich ist es nur fair zu sagen, dass die Komplexität von BIND der Grund dafür ist, warum er in den letzten Jahren so oft für Attacken verwundbar war (vergleiche <ref id=\"sec-bind\">)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1282
msgid "However, Debian does provide some software that can help set up <prgn>chroot</prgn> environments. See <ref id=\"auto-chroot\">."
msgstr "Jedoch bietet Debian einige Software an, die helfen kann, <prgn>chroot</prgn>-Umgebungen aufzubauen. Sehen Sie <ref id=\"auto-chroot\">."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1285
msgid "Anyway, if you run any service on your system, you should consider running them as secure as possible. This includes: revoking root privileges, running in a restricted environment (such as a chroot jail) or replacing them with a more secure equivalent."
msgstr "Wenn Sie irgendwelche Dienste in Ihrem System laufen lassen, sollten Sie dies so sicher wie nur möglich tun. Dies beinhaltet: Entziehung von root-Privilegien, Starten in beschränkten Umgebungen (wie ein chroot-Gefängnis) oder Ersetzen durch ein sichereres Äquivalent."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1299
msgid "However, be forewarned that a <prgn>chroot</prgn> jail can be broken if the user running in it is the superuser. So, you need to make the service run as a non-privileged user. By limiting its environment you are limiting the world readable/executable files the service can access, thus, you limit the possibilities of a privilege escalation by use of local system security vulnerabilities. Even in this situation you cannot be completely sure that there is no way for a clever attacker to somehow break out of the jail. Using only server programs which have a reputation for being secure is a good additional safety measure. Even minuscule holes like open file handles can be used by a skilled attacker for breaking into the system. After all, <prgn>chroot</prgn> was not designed as a security tool but as a testing tool."
msgstr "Seien Sie jedoch gewarnt, dass aus einem <prgn>chroot</prgn>-Gefängnis ausgebrochen werden kann, wenn der Benutzer, der im Inneren läuft, der Superuser ist. Sie müssen also sicherstellen, dass der Dienst als nicht privilegierter Benutzer läuft. Durch Einschränken seiner Umgebung schränken Sie die welt-lesbaren/ausführbaren Dateien, auf die der Dienst zugreifen kann, ein. Auf diese Weise begrenzen Sie die Möglichkeiten einer Rechteerweiterung durch lokale Sicherheitsverwundbarkeiten des Systems. Selbst in dieser Situation können Sie nicht völlig sicher sein, dass es für einen cleveren Angreifer keinen Weg gibt, irgendwie aus dem Gefängnis auszubrechen. Der ausschließliche Einsatz sicherer Server-Programme, die einen guten Ruf bezüglich Sicherheit haben, ist eine zusätzliche gute Sicherheitsmaßnahme. Selbst kleinste Löcher wie offene Datei-Handle können von einem versierten Angreifer zum Einbruch in das System verwendet werden. Schließlich war <prgn>chroot</prgn> nicht als Sicherheits-, sondern als ein Testwerkzeug gedacht."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1303
msgid "Making chrooted environments automatically"
msgstr "Automatisches Erstellen von Chroot-Umgebungen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1312
msgid "There are several programs to chroot automatically servers and services. Debian currently (accepted in May 2002) provides Wietse Venema's <prgn>chrootuid</prgn> in the <package>chrootuid</package> package, as well as <package>compartment</package> and <package>makejail</package>. These programs can be used to set up a restricted environment for executing any program (<prgn>chrootuid</prgn> enables you to even run it as a restricted user)."
msgstr "Es gibt verschiedene Programme, um Server und Dienste automatisch in ein Chroot-Gefängnis einzusperren. Debian bietet zurzeit (akzeptiert im Mai 2002) Wietse Venemas <prgn>chrootuid</prgn> im Paket <package>chrootuid</package>, ebenso wie <package>compartment</package> und <package>makejail</package> an. Diese Programme können verwendet werden, um eine eingeschränkte Umgebung zum Ausführen beliebiger Programme aufzusetzen (<prgn>chrootuid</prgn> erlaubt es Ihnen sogar, es unter einem eingeschränkten Benutzer laufen zu lassen)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1331
msgid "Some of these tools can be used to set up the chroot environment easily. The <prgn>makejail</prgn> program for example, can create and update a chroot jail with short configuration files (it provides sample configuration files for <prgn>bind</prgn>, <prgn>apache</prgn>, <prgn>postgresql</prgn> and <prgn>mysql</prgn>). It attempts to guess and install into the jail all files required by the daemon using <prgn>strace</prgn>, <prgn>stat</prgn> and Debian's package dependencies. More information at <url id=\"http://www.floc.net/makejail/\";>. <prgn>Jailer</prgn> is a similar tool which can be retrieved from <url id=\"http://www.balabit.hu/downloads/jailer/\";> and is also available as a Debian package."
msgstr "Einige dieser Werkzeuge können verwendet werden, um das Chroot-Gefängnis leicht aufzusetzen. Zum Beispiel kann das <prgn>makejail</prgn>-Programm ein chroot-Gefängnis mit kurzen Konfigurationsdateien erzeugen und aktualisieren. (Es bietet Beispielskonfigurationsdateien für <prgn>bind</prgn>, <prgn>apache</prgn>, <prgn>postgresql</prgn> und <prgn>mysql</prgn>.) Es versucht alle Dateien, die vom Daemon benötigt werden, mittels <prgn>strace</prgn>, <prgn>stat</prgn> und Debians Paketabhängigkeiten zu bestimmen und in das Gefängnis zu installieren. Weitere Information gibt es unter <url id=\"http://www.floc.net/makejail/\";>. <prgn>Jailer</prgn> ist ein ähnliches Werkzeug und kann von <url id=\"http://www.balabit.hu/downloads/jailer/\";> heruntergeladen werden und ist auch als Debian-Paket verfügbar."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1332
msgid "General cleartext password paranoia"
msgstr "Allgemeine Klartextpasswort-Paranoia"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1337
msgid "You should try to avoid any network service which sends and receives passwords in cleartext over a net like FTP/Telnet/NIS/RPC. The author recommends the use of ssh instead of telnet and ftp to everybody."
msgstr "Sie sollten versuchen, jeden Netzwerk-Dienst, der seine Passwörter als Klartext über das Netz sendet oder empfängt, wie zum Beispiel FTP/Telnet/NIS/RPC, zu vermeiden. Der Autor empfiehlt jedem, ssh anstelle von telnet und ftp zu verwenden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1344
msgid "Keep in mind that migrating from telnet to ssh, but using other cleartext protocols does not increase your security in ANY way! Best would be to remove ftp, telnet, pop, imap, http and to supersede them with their respective encrypted services. You should consider moving from these services to their SSL versions, ftp-ssl, telnet-ssl, pop-ssl, https ..."
msgstr "Vergessen Sie jedoch nicht, dass die Migration von telnet zu ssh die Sicherheit in keiner Weise erhöht, wenn Sie weiterhin Klartext-Protokolle verwenden. Am besten wäre es ftp, telnet, pop, imap und http zu entfernen und durch ihre entsprechenden verschlüsselten Dienste zu ersetzen. Sie sollten in Erwägung ziehen von diesen Diensten zu deren SSL-Versionen zu wechseln: ftp-ssl, telnet-ssl, pop-ssl, https, ..."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1348
msgid "Most of these above listed hints apply to every Unix system (you will find them if reading any other hardening-related document related to Linux and other Unices)."
msgstr "Die meisten der oben aufgelisteten Tipps gelten für jedes Unix-System (Sie werden sie in jedem anderen sicherheitsrelevanten Dokument, das Sie jemals lesen, wiederfinden, wenn es sich auf Linux und andere Unices bezieht)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1350
msgid "Disabling NIS"
msgstr "NIS deaktivieren"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1354
msgid "You should not use NIS, the Network Information Service, if possible, because it allows password sharing. This can be highly insecure if your setup is broken."
msgstr "Sie sollten, wenn möglich, nicht NIS, den Network Information Service, benutzen, da er das gemeinsame Nutzen von Passwörtern erlaubt. Dies kann sehr unsicher sein, wenn Ihr Setup fehlerhaft ist."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1362
msgid "If you need password sharing between machines, you might want to consider using other alternatives. For example, you can setup an LDAP server and configure PAM on your system in order to contact the LDAP server for user authentication. You can find a detailed setup in the <url id=\"http://www.tldp.org/HOWTO/LDAP-HOWTO.html\"; name=\"LDAP-HOWTO\"> (<file>/usr/share/doc/HOWTO/en-txt/LDAP-HOWTO.txt.gz</file>)."
msgstr "Wenn Sie Passwörter zwischen verschiedenen Maschinen teilen müssen, sollten Sie andere Alternativen in Erwägung ziehen. Zum Beispiel können Sie einen LDAP-Server aufsetzen und PAM auf Ihrem System so konfigurieren, dass es den LDAP-Server zur Benutzer-Authentifizierung kontaktiert. Sie finden ein detailliertes Setup in dem <url name=\"LDAP-HOWTO\" id=\"http://www.tldp.org/HOWTO/LDAP-HOWTO.html\";> (<file>/usr/share/doc/HOWTO/en-txt/LDAP-HOWTO.txt.gz</file>)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1367
msgid "You can read more about NIS security in the <url id=\"http://www.tldp.org/HOWTO/NIS-HOWTO.html\"; name=\"NIS-HOWTO\"> (<file>/usr/share/doc/HOWTO/en-txt/NIS-HOWTO.txt.gz</file>)."
msgstr "Sie können mehr über NIS-Sicherheit in dem <url name=\"NIS-HOWTO\" id=\"http://www.tldp.org/HOWTO/NIS-HOWTO.html\";> (<file>/usr/share/doc/HOWTO/en-txt/NIS-HOWTO.txt.gz</file>) lesen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1370
msgid "FIXME (jfs): Add info on how to set this up in Debian."
msgstr "FIXME (jfs): Add info on how to set this up in Debian."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1372
msgid "Securing RPC services"
msgstr "Absichern von RPC-Diensten"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1374
msgid "You should disable RPC if you do not need it."
msgstr "Sie sollten RPC abschalten, wenn Sie es nicht benötigen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1380
msgid "Remote Procedure Call (RPC) is a protocol that programs can use to request services from other programs located on different computers. The <prgn>portmap</prgn> service controls RPC services by mapping RPC program numbers into DARPA protocol port numbers; it must be running in order to make RPC calls."
msgstr "Remote Procedure Call (RPC, etwa »entfernter Funktionsaufruf«) ist ein Protokoll, das von Programmen verwendet werden kann, um Dienste von anderen Programmen, die auf anderen Computern laufen, anzufordern. Der <prgn>portmap</prgn>-Dienst kontrolliert RPC-Dienste durch Abbilden von RPC-Programmnummern auf DARPA-Protokoll-Portnummern. Er muss laufen, um RPC-Aufrufe ausführen zu können."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1386
msgid "RPC-based services have had a bad record of security holes, although the portmapper itself hasn't (but still provides information to a remote attacker). Notice that some of the DDoS (distributed denial of service) attacks use RPC exploits to get into the system and act as a so called agent/handler."
msgstr "RPC-basierte Dienste hatten eine unrühmliche Geschichte, was Sicherheitslücken betrifft, obwohl dies für den Portmapper an sich nicht gilt (dieser bietet aber nach wie vor entfernten Angreifern Informationen). Es ist zu beachten, dass einige DDoS-(distributed denial of service, verteilte Dienstverweigerungen)-Angriffe RPC-Löcher benutzen, um in das System einzudringen und als so genannter Agent/Handler zu fungieren."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1393
msgid "You only need RPC if you are using an RPC-based service. The most common RPC-based services are NFS (Network File System) and NIS (Network Information System). See the previous section for more information about NIS. The File Alteration Monitor (FAM) provided by the package <package>fam</package> is also an RPC service, and thus depends on <package>portmap</package>."
msgstr "Sie benötigen RPC nur dann, wenn Sie einen RPC-basierten Dienst verwenden. Die bekanntesten RPC-basierten Dienste sind NFS (Network File System) und NIS (Network Information System). Vergleichen Sie mit dem vorherigen Abschnitt für weitere Information über NIS. Der File Alteration Monitor (FAM), der vom Paket <package>fam</package> bereitgestellt wird, ist ebenso ein RPC-Dienst und hängt deshalb von <package>portmap</package> ab."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1400
msgid "NFS services are quite important in some networks. If that is the case for you, then you will need to find a balance of security and usability for your network (you can read more about NFS security in the <url id=\"http://www.tldp.org/HOWTO/NFS-HOWTO.html\"; name=\"NFS-HOWTO\"> (<file>/usr/share/doc/HOWTO/en-txt/NFS-HOWTO.txt.gz</file>))."
msgstr "NFS-Dienste sind in einigen Netzwerken ziemlich wichtig. Wenn dies für Sie der Fall ist, müssen Sie einen Ausgleich finden, zwischen Sicherheit und Nutzbarkeit für Ihr Netzwerk. Sie können mehr über NFS-Sicherheit im <url name=\"NFS-HOWTO\" id=\"http://www.tldp.org/HOWTO/NFS-HOWTO.html\";> (<file>/usr/share/doc/HOWTO/en-txt/NFS-HOWTO.txt.gz</file>) finden."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1402
msgid "Disabling RPC services completely"
msgstr "Vollständiges Deaktivieren von RPC-Diensten"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1410
msgid "Disabling portmap is quite simple. There are several different methods. The simplest one in a Debian 3.0 system and later releases is to uninstall the <package>portmap</package> package. If you are running an older Debian version you will have to disable the service as seen in <ref id=\"disableserv\">, because the program is part of the <package>netbase</package> package (which cannot be de-installed without breaking the system)."
msgstr "Das Abschalten von portmap ist relativ einfach. Es gibt verschiedene Methoden. Die einfachste in einem Debian 3.0 oder neueren System ist das Paket <package>portmap</package> zu deinstallieren. Wenn Sie eine ältere Version von Debian laufen haben, werden Sie den Dienst, wie in <ref id=\"disableserv\"> beschrieben, abschalten müssen, weil das Programm Teil des Pakets <package>netbase</package> (das nicht deinstalliert werden kann, ohne das System kaputt zu machen) ist."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1415
msgid "Notice that some desktop environments (notably, GNOME) use RPC services and need the portmapper for some of the file management features. If this is your case, you can limit the access to RPC services as described below."
msgstr "Beachten Sie, dass einige Desktop-Umgebungen (hauptsächlich GNOME) RPC-Dienste verwenden und den Portmapper für einige der Dateimanager-Eigenschaften benötigen. Wenn dies bei Ihnen der Fall ist, können Sie den Zugang zu RPC-Diensten, wie weiter unter beschrieben, beschränken."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1417
msgid "Limiting access to RPC services"
msgstr "Einschränken des Zugriffs auf RPC-Dienste"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1423
msgid "Unfortunately, in some cases removing RPC services from the system is not an option. Some local desktop services (notably SGI's <package>fam</package>) are RPC based and thus need a local portmapper. This means that under some situations, users installing a desktop environment (like GNOME) will install the portmapper too."
msgstr "Unglücklicherweise ist es in manchen Fällen nicht möglich, RPC-Dienste vom System zu entfernen. Einige lokale Desktop-Dienste (hauptsächlich SGIs <package>fam</package>) sind RPC-basiert und benötigen deshalb einen lokalen Portmapper. Dies bedeutet, dass unter bestimmten Umständen Benutzer, die eine Desktop-Umgebung (wie GNOME) installieren, den Portmapper auch installieren werden."
#. type: <p><list>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1426
msgid "There are several ways to limit access to the portmapper and to RPC services:"
msgstr "Es gibt einige Wege den Zugriff auf den Portmapper und RPC-Dienste zu beschränken:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1429
msgid "Block access to the ports used by these services with a local firewall (see <ref id=\"firewall-setup\">)."
msgstr "Blockieren des Zugangs zu den Ports, die von diesen Diensten verwendet werden, mit einer lokalen Firewall (vergleiche <ref id=\"firewall-setup\">)"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1434
msgid "Block access to these services using tcp wrappers, since the portmapper (and some RPC services) are compiled with <file>libwrap</file> (see <ref id=\"tcpwrappers\">). This means that you can block access to them through the <file>hosts.allow</file> and <file>hosts.deny</file> tcp wrappers configuration."
msgstr "Blockieren des Zugangs zu diesen Diensten mittels TCP-Wrappers, da der Portmapper und einige RPC-Dienste mit <file>libwrap</file> (siehe <ref id=\"tcpwrappers\">) kompiliert wurden. Dies bedeutet, dass Sie Zugang zu diesen durch die <file>hosts.allow</file> und <file>hosts.deny</file> TCP-Wrapper-Konfiguration blockieren können."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1441
msgid "Since version 5-5, the <package>portmap</package> package can be configured to listen only on the loopback interface. To do this, modify <file>/etc/default/portmap</file>, uncomment the following line: <tt>#OPTIONS=\"-i 127.0.0.1\"</tt> and restart the portmapper. This is sufficient to allow local RPC services to work while at the same time prevents remote systems from accessing them (see, however, <ref id=\"limit-bindaddr\">)."
msgstr "Seit Version 5-5 kann das Paket <package>portmap</package> so konfiguriert werden, dass es nur noch auf der Loopback-Schnittstelle lauscht. Um dies zu erreichen, kommentieren Sie die folgende Zeile in der Datei <file>/etc/default/portmap</file> aus: <tt>#OPTIONS=\"-i 127.0.0.1\"</tt> und starten Sie den Portmapper neu. Dies ist ausreichend, um lokale RPC-Dienste laufen zu lassen, während zur selben Zeit entfernte Systeme am Zugang gehindert werden (lesen Sie dazu auch <ref id=\"limit-bindaddr\">)."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1445
msgid "Adding firewall capabilities"
msgstr "Hinzufügen von Firewall-Fähigkeiten"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1460
msgid "The Debian GNU/Linux operating system has the built-in capabilities provided by the Linux kernel <footnote><p></p></footnote>. If you install a recent Debian release (default kernel installed is 2.6) you will have <prgn>iptables</prgn> (netfilter) firewalling available<footnote><p>Available since the kernel version 2.4 (which was the default kernel in Debian 3.0). Previous kernel versions (2.2, available in even older Debian releases) used <prgn>ipchains</prgn>. The main difference between <prgn>ipchains</prgn> and <prgn>iptables</prgn> is that the latter is based on <em>stateful packet inspection</em> which provides for more secure (and easier to build) filtering configurations. Older (and now unsupported) Debian distributions using the 2.0 kernel series needed the appropriate kernel patch.</p></footnote>."
msgstr "Das Debian-GNU/Linux-Betriebssystem hat die eingebauten Fähigkeiten des Linux-Kernels. Wenn Sie eine aktuelle Veröffentlichung von Debian (mit dem Standardkernel 2.6) installiert haben, steht Ihnen als Firewall <prgn>iptables</prgn> (netfilter) zur Verfügung<footnote>Ist seit Kernel 2.4 verfügbar (was der Standardkernel für Debian 3.0 war). Ältere Kernelversionen (wie 2.2, der in älteren Debian-Veröffentlichungen enthalten war) verwendeten <prgn>ipchains</prgn>. Der Hauptunterschied zwischen <prgn>ipchains</prgn> und <prgn>iptables</prgn> ist, dass letzteres auf <em>stateful packet inspection</em> (zustandsbehaftete Paketuntersuchung) beruht, so dass Ihnen sicherere (und einfacher zu erstellende) Filterkonfigurationen zur Verfügung stehen. Ältere (und nun nicht länger unterstützte) Debian-Veröffentlichungen, die den Kernel 2.0 einsetzen, benötigten einen geeigneten Kernel-Patch. </footnote>."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1462
msgid "Firewalling the local system"
msgstr "Firewallen des lokalen Systems"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1468
msgid "You can use firewall rules as a way to secure the access to your local system and, even, to limit the outbound communications made by it. Firewall rules can also be used to protect processes that cannot be properly configured <em>not</em> to provide services to some networks, IP addresses, etc."
msgstr "Sie können eine Firewall dazu benutzen, den Zugriff auf Ihr lokales System abzusichern und sogar um die Kommunikation von ihm nach Außen zu beschränken. Firewall-Regeln können auch dazu benutzt werden, Prozesse zu sichern, die nicht vernünftig konfiguriert werden können, um Dienste <em>nicht</em> einigen Netzwerken, IP-Adressen, etc. zur Verfügung zu stellen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1479
msgid "However, this step is presented last in this manual basically because it is <em>much</em> better not to depend solely on firewalling capabilities in order to protect a given system. Security in a system is made up of layers, firewalling should be the last to include, once all services have been hardened. You can easily imagine a setup in which the system is solely protected by a built-in firewall and an administrator blissfully removes the firewall rules for whatever reason (problems with the setup, annoyance, human error...), this system would be wide open to an attack if there were no other hardening in the system to protect from it."
msgstr "Dieser Schritt ist aber hauptsächlich deshalb als letzter in dieser Anleitung, weil es <em>viel</em> besser ist, sich nicht alleine auf die Fähigkeiten der Firewall zu verlassen, um ein System zu schützen. Die Sicherheit eines Systems setzt sich aus mehreren Ebenen zusammen; eine Firewall sollte die letzte sein, wenn bereits alle Dienste abgehärtet worden sind. Sie können sich sicherlich leicht eine Konfiguration vorstellen, bei der ein System lediglich von einer eingebauten Firewall geschützt wird, und der Administrator glückselig die Firewall-Regeln aus irgendwelchen Gründen (Probleme mit dem Setup, Verdruss, Denkfehler, ...) entfernt. Dieses System wäre weit geöffnet für Angriffe, wenn es keine anderen Schutzmaßnahmen auf dem System gibt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1490
msgid "On the other hand, having firewall rules on the local system also prevents some bad things from happening. Even if the services provided are configured securely, a firewall can protect from misconfigurations or from fresh installed services that have not yet been properly configured. Also, a tight configuration will prevent trojans <em>calling home</em> from working unless the firewalling code is removed. Note that an intruder does <em>not</em> need superuser access to install a trojan locally that could be remotely controlled (since binding on ports is allowed if they are not priviledged ports and capabilities have not been removed)."
msgstr "Andererseits können Firewall-Regeln auf dem lokalen System dafür sorgen, dass böse Dinge nicht passieren. Sogar wenn die bereitgestellten Dienste sicher konfiguriert sind, kann eine Firewall vor Misskonfigurationen oder frisch installierten Diensten, die noch nicht passend konfiguriert sind, schützen. Außerdem wird eine strenge Konfiguration <em>nach Hause telefonierende</em> Trojaner am Funktionieren hindern, es sei denn, der Firewall-Code wird entfernt. Beachten Sie, dass ein Eindringling <em>keinen</em> Superuser-Zugriff benötigt, um ferngesteuerte Trojaner zu installieren (da es erlaubt ist, sich an Ports zu binden, wenn es sich nicht um einen privilegierten Port handelt und die Fähigkeiten (Capabilities) noch vorhanden sind)."
#. type: <p><list>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1493
msgid "Thus, a proper firewall setup would be one with a default deny policy, that is:"
msgstr "Demzufolge wäre ein passendes Firewall-Setup, eines mit einer standardmäßigen Richtlinie, die alles ablehnt, was nicht ausdrücklich erlaubt ist, also:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1498
msgid "incoming connections are allowed only to local services by allowed machines."
msgstr "Eingehende Verbindungen werden nur zu lokalen Diensten von erlaubten Maschinen gestattet."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1506
msgid "outgoing connections are only allowed to services used by your system (DNS, web browsing, POP, email...).<footnote><p>Unlike personal firewalls in other operating systems, Debian GNU/Linux does not (yet) provide firewall generation interfaces that can make rules limiting them per process or user. However, the iptables code can be configured to do this (see the owner module in the <manref name=\"iptables\" section=\"8\"> manpage).</p></footnote>"
msgstr "Ausgehende Verbindungen werden nur von Diensten erlaubt, die auf Ihrem System benutzt werden (DNS, Web-Surfen, POP, E-Mail, ...).<footnote>Im Gegensatz zu persönlichen Firewalls für andere Betriebssysteme, stellt Debian GNU/Linux (noch) keine Firewall-Erstellungs-Schnittstelle zur Verfügung, die Regeln erstellen kann, die einzelne Prozesse oder Benutzer einschränken. Jedoch kann der Iptables-Code so konfiguriert werden, dass er dies kann (siehe dazu das »owner«-Modul in der Handbuchseite <manref name=\"iptables\" section=\"8\">).</footnote>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1509
msgid "the forward rule denies everything (unless you are protecting other systems, see below)."
msgstr "Die Forward-Regel verbietet alles; es sei denn, andere Systeme werden geschützt (siehe dazu unten)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1511
msgid "all other incoming or outgoing connections are denied."
msgstr "Alle anderen eingehenden und ausgehenden Verbindungen werden abgelehnt."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1515
msgid "Using a firewall to protect other systems"
msgstr "Schützen anderer Systeme durch eine Firewall"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1526
msgid "A Debian firewall can also be installed in order to protect, with filtering rules, access to systems <em>behind</em> it, limiting their exposure to the Internet. A firewall can be configured to prevent access from systems outside of the local network to internal services (ports) that are not public. For example, on a mail server, only port 25 (where the mail service is being given) needs to be accessible from the outside. A firewall can be configured to, even if there are other network services besides the public ones running in the mail server, throw away packets (this is known as <em>filtering</em>) directed towards them."
msgstr "Eine Debian-Firewall kann auch so installiert werden, dass sie mit Firewall-Regeln Systeme <em>hinter</em> ihr beschützt, indem sie die Angriffsfläche zum Internet hin einschränkt. Eine Firewall kann so konfiguriert werden, dass ein Zugriff von Systemen außerhalb des lokalen Netzwerks auf interne Dienste (Ports) unterbunden wird. Zum Beispiel muss auf einem Mail-Server lediglich Port 25 (auf dem der Mail-Dienst aufsetzt) von außen zugänglich sein. Eine Firewall kann so konfiguriert werden, dass sogar, wenn es neben den öffentlich zugänglichen noch andere Netzwerkdienste gibt, direkt an diese gesendete Pakete verworfen werden (dies nennt man <em>filtern</em>)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1535
msgid "You can even set up a Debian GNU/Linux box as a bridge firewall, i.e. a filtering firewall completely transparent to the network that lacks an IP address and thus cannot be attacked directly. Depending on the kernel you have installed, you might need to install the bridge firewall patch and then go to <em>802.1d Ethernet Bridging</em> when configuring the kernel and a new option <em>netfilter ( firewalling ) support</em>. See the <ref id=\"bridge-fw\"> for more information on how to set this up in a Debian GNU/Linux system."
msgstr "Sie können eine Debian GNU/Linux Maschine sogar so konfigurieren, dass sie als Bridge-Firewall (überbrückender Schutzwall) fungiert, d.h. als eine filternde Firewall, die komplett transparent zum gesamten Netzwerk erscheint, ohne IP-Adresse auskommt und daher nicht direkt attackiert werden kann. Abhängig von dem installierten Kernel müssen Sie vielleicht den Bridge-Firewall-Patch installieren und dann <em>802.1d Ethernet Bridging</em> in der Kernel-Konfiguration und die neue Option <em>netfilter ( firewalling ) Support</em> auswählen. Sehen Sie dazu <ref id=\"bridge-fw\">, um zu erfahren, wie man dies auf einem Debian GNU/Linux System aufsetzt."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1537
msgid "Setting up a firewall"
msgstr "Aufsetzen einer Firewall"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1543
msgid "The default Debian installation, unlike other Linux distributions, does not yet provide a way for the administrator to setup a firewall configuration throughout the default installation but you can install a number of firewall configuration packages (see <ref id=\"firewall-pack\">)."
msgstr "Die Debian-Standardinstallation bietet im Gegensatz zu vielen anderen Linux-Distributionen noch keine Methode für den Administrator, eine Firewall-Konfiguration mit der Standardinstallation einzurichten, aber Sie können eine Anzahl von Firewall-Konfigurationspaketen (siehe <ref id=\"firewall-pack\">) installieren."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1551
msgid "Of course, the configuration of the firewall is always system and network dependant. An administrator must know beforehand what is the network layout and the systems he wants to protect, the services that need to be accessed, and whether or not other network considerations (like NAT or routing) need to be taken into account. Be careful when configuring your firewall, as Laurence J. Lane says in the <package>iptables</package> package:"
msgstr "Natürlich ist die Konfiguration einer Firewall immer vom System und dem Netzwerk abhängig. Ein Administrator muss vorher das Netzwerklayout und die Systeme, die er beschützen will, kennen, die Dienste, auf die zugegriffen werden können muss, und ob andere netzwerkspezifischen Erwägungen (wie NAT oder Routing) berücksichtigt werden müssen. Seien Sie vorsichtig, wenn Sie Ihre Firewall konfigurieren. Wie Laurence J. Lane im <package>iptables</package>-Paket sagt:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1558
msgid "<em>The tools can easily be misused, causing enormous amounts of grief by completely crippling network access to a system. It is not terribly uncommon for a remote system administrator to accidentally lock himself out of a system hundreds or thousands of miles away. One can even manage to lock himself out of a computer who's keyboard is under his fingers. Please, use due caution.</em>"
msgstr "<em>Die Werkzeuge können leicht falsch verwendet werden und eine Menge Ärger verursachen, indem sie den gesamten Zugang zu einem Computernetzwerk stilllegen. Es ist nicht völlig ungewöhnlich, dass sich ein Systemadministrator, der ein System verwaltet, das hunderte oder tausende von Kilometern entfernt ist, irrtümlicherweise selbst davon ausgeschlossen hat. Man kann es sogar schaffen, sich von dem Computer auszusperren, dessen Tastatur unter seinen Fingern liegt. Lassen Sie daher die gebotene Vorsicht walten.</em>"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1563
msgid "Remember this: just installing the <package>iptables</package> (or the older firewalling code) does not give you any protection, just provides the software. In order to have a firewall you need to <em>configure</em> it!"
msgstr "Vergessen Sie nicht: Das bloße Installieren von <package>iptables</package> (oder dem älteren Firewallcode) gibt Ihnen keine Sicherheit, es stellt lediglich die Software zur Verfügung. Um eine Firewall zu haben, müssen Sie sie konfigurieren!"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1568
msgid "If you do not have a clue on how to set up your firewall rules manually consult the <em>Packet Filtering HOWTO</em> and <em>NAT HOWTO</em> provided by <package>iptables</package> for offline reading at <file>/usr/share/doc/iptables/html/</file>."
msgstr "Wenn Sie keine Ahnung haben, wie Sie Ihre Firewall-Regeln manuell aufsetzen sollen, sehen Sie in dem <em>Packet Filtering HOWTO</em> und <em>NAT HOWTO</em> aus dem Paket <package>iptables</package>, zu finden unter <file>/usr/share/doc/iptables/html/</file> nach."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1579
msgid "If you do not know much about firewalling you should start by reading the <url id=\"http://www.tldp.org/HOWTO/Firewall-HOWTO.html\"; name=\"Firewalling and Proxy Server HOWTO\">, install the <package>doc-linux-text</package> package if you want to read it offline. If you want to ask questions or need help setting up a firewall you can use the debian-firewall mailing list, see <url id=\"http://lists.debian.org/debian-firewall\";>. Also see <ref id=\"references\"> for more (general) pointers on firewalls. Another good iptables tutorial is <url id=\"http://iptables-tutorial.frozentux.net/iptables-tutorial.html\";>."
msgstr "Wenn Sie nicht viel über Firewalls wissen, sollten Sie beginnen, indem Sie das <url id=\"http://www.tldp.org/HOWTO/Firewall-HOWTO.html\"; name=\"Firewalling and Proxy Server HOWTO\"> lesen. Installieren Sie das Paket <package>doc-linux-text</package>, wenn Sie es offline lesen wollen. Wenn Sie Fragen stellen wollen oder Hilfe beim Einrichten einer Firewall benötigen, können Sie sich an die debian-firewall-Mailingliste wenden, siehe <url id=\"http://lists.debian.org/debian-firewall\";>. Sehen Sie auch <ref id=\"references\"> für weitere (allgemeinere) Verweise zu Firewalls. Ein weiterer guter Leitfaden für Iptables ist <url id=\"http://iptables-tutorial.frozentux.net/iptables-tutorial.html\";>."
#. type: <heading></heading>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1581
msgid "Using firewall packages"
msgstr "Nutzen von Firewall-Paketen"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1589
msgid "Setting up manually a firewall can be complicated for novice (and sometimes even expert) administrators. However, the free software community has created a number of tools that can be used to easily configure a local firewall. Be forewarned that some of these tools are oriented more towards local-only protection (also known as <em>personal firewall</em>) and some are more versatile and can be used to configure complex rules to protect whole networks."
msgstr "Das manuelle Aufsetzen einer Firewall kann für neue (und manchmal auch für erfahrene) Administratoren kompliziert sein. Hierfür hat die Freie-Software-Gemeinschaft eine große Zahl von Werkzeugen erstellt, die zur einfachen Konfiguration einer lokalen Firewall benutzt werden können. Seien Sie gewarnt, dass einige dieser Werkzeuge sich mehr auf lokalen Schutz konzentrieren (auch <em>personal firewall</em> genannt), während andere vielseitiger sind und dazu benutzt werden können, komplexere Regelwerke zum Schutz ganzer Netzwerke zu erstellen."
#. type: <p><list>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1592
msgid "Some software that can be used to set up firewall rules in a Debian system is:"
msgstr "Einige Programme, die unter Debian zum Aufsetzen von Firewall-Regeln benutzt werden können, sind:"
#. type: <p><list>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1595
msgid "For desktop systems:"
msgstr "Für Desktop-Systeme:"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1600
msgid "<package>firestarter</package>, a GNOME application oriented towards end-users that includes a wizard useful to quickly setup firewall rules. The application includes a GUI to be able to monitor when a firewall rule blocks traffic."
msgstr "<package>firestarter</package>, eine GNOME-Anwendung, die sich an Endanwender richtet, die einen Wizard enthält, der nützlich ist, um schnell Firewall-Regeln aufzustellen. Die Anwendung enthält eine graphische Oberfläche zum Beobachten, ob eine Firewall-Regel Daten blockiert."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1602
msgid "<package>guarddog</package>, a KDE based firewall configuration package oriented both to novice and advanced users."
msgstr "<package>guarddog</package> ist ein auf KDE beruhendes Paket zur Erstellung von Firewall-Regeln. Es richtet sich sowohl an Neulinge wie auch an Fortgeschrittene."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1605
msgid "<package>knetfilter</package>, a KDE GUI to manage firewall and NAT rules for iptables (alternative/competitor to the guarddog tool although slightly oriented towards advanced users)."
msgstr "<package>knetfilter</package> ist ein KDE-Programm mit grafischer Oberfläche, um Firewall- und NAT-Regeln für iptables zu verwalten. Es ist eine Alternative zu guarddog, es ist jedoch etwas mehr auf fortgeschrittenere Benutzer ausgelegt."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1612
msgid "fireflier, an interactive tool to create iptables rules based on traffic seen on the system and applications. It has a server-client model so you have to install both the server (<package>fireflier-server</package>) and one of the available clients, with one client available for different desktop environments: <package>fireflier-client-gtk</package> (Gtk+ client), <package>fireflier-client-kde</package> (KDE client) and <package>fireflier-client-qt</package> (QT client)."
msgstr "fireflier ist ein interaktives Werkzeug, um Firewall-Regeln zu erstellen. Dazu analysiert es den Netzwerkverkehr und Anwendungen. Es basiert auf einem Client-Server-Modell, daher müssen Sie sowohl den Server (<package>fireflier-server</package>) als auch einen der zahlreichen Clients (<package>fireflier-client-gtk</package> (Gtk+-Client), <package>fireflier-client-kde</package> (KDE-Client) oder <package>fireflier-client-qt</package> (QT-Client)) installieren."
#. type: <p><list>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1616
msgid "For servers (headless) systems:"
msgstr "Für Server-Systeme (textbasiert):"
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1623
msgid "<package>fwbuilder</package>, an object oriented GUI which includes policy compilers for various firewall platforms including Linux' netfilter, BSD's pf (used in OpenBSD, NetBSD, FreeBSD and MacOS X) as well as router's access-lists. It is similar to enterprise firewall management software. Complete fwbuilder's functionality is also available from the command line."
msgstr "<package>fwbuilder</package>, eine objektorientierte graphische Oberfläche, die Richtlinien-Compiler für verschiedene Firewall-Plattformen inklusive Linux' netfilter, BSDs pf (verwendet in OpenBSD, NetBSD, FreeBSD und MacOS X) ebenso wie Zugriffslisten von Routern enthält. Es ist ähnlich zu Enterprise-Firewall-Management-Software. Die vollständige Funktionalität von fwbuilder ist auch von der Kommandozeile verfügbar."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1628
msgid "<package>shorewall</package>, a firewall configuration tool which provides support for IPsec as well as limited support for traffic shaping as well as the definition of the firewall rules. Configuration is done through a simple set of files that are used to generate the iptables rules."
msgstr "<package>shorewall</package>, ein Firewall-Konfigurationswerkzeug, das Unterstützung für IPsec sowie beschränkte Unterstützung für Traffic Shaping und die Definition der Firewall-Regeln bietet. Die Konfiguration geschieht durch eine einfache Menge von Dateien, die verwendet werden, um die iptables-Regeln aufzustellen."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1633
msgid "<package>bastille</package>, this hardening application is described in <ref id=\"automatic-harden\">. One of the hardening steps that the administrator can configure is a definition of the allowed and disallowed network traffic that is used to generate a set of firewall rules that the system will execute on startup."
msgstr "<package>bastille</package>, diese Härtungsanwendung ist in <ref id=\"automatic-harden\"> beschrieben. Einer der Härtungsschritte, die der Administrator konfigurieren kann, ist eine Definition des erlaubten und verbotenen Netzwerkverkehrs, der verwendet wird, eine Anzahl von Firewall-Regeln, die das System am Start ausführt, zu generieren."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1641
msgid "Lots of other iptables frontends come with Debian; an extensive list comparing the different packages in Debian is maintained at the <url id=\"http://wiki.debian.org/Firewalls\"; name=\"Firewalls page on the Debian wiki\">."
msgstr "Es gibt in Debian auch noch eine Menge anderer Frontends für Iptables. Eine vollständige Liste kann auf der <url id=\"http://wiki.debian.org/Firewalls\"; name=\"Firewall-Seite des Debian-Wikis\">, die auch einen Vergleich der verschiedenen Pakete enthält, abgerufen werden."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1650
msgid "Notice that some of the packages outlined previously will introduce firewalling scripts to be run when the system boots. Test them extensively before rebooting or you might find yourself locked from the box. If you mix different firewalling packages you can have undesired effects, usually, the firewalling script that runs last will be the one that configures the system (which might not be what you intend). Consult the package documentation and use either one of these setups."
msgstr "Seien Sie gewarnt, dass manche der zuvor skizzierten Pakete Firewall-Skripte einführen, die beim Systemstart ausgeführt werden. Testen Sie diese ausführlich, bevor Sie neustarten, oder Sie finden sich selbst ausgesperrt vor Ihrem Rechner wieder. Wenn Sie verschiedene Firewall-Pakete mischen, kann dies zu unerwünschten Nebeneffekten führen. Gewöhnlich wird das Firewall-Skript, das zuletzt ausgeführt wird, das System konfigurieren (was Sie so vielleicht nicht vorhatten). Sehen Sie hierzu in der Paketdokumentation nach und benutzen Sie nur eines dieser Setups."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1660
msgid "As mentioned before, some programs, like <package>firestarter</package>, <package>guarddog</package> and <package>knetfilter</package>, are administration GUIs using either GNOME or KDE (last two). These applications are much more user-oriented (i.e. for home users) than some of the other packages in the list which might be more administrator-oriented. Some of the programs mentioned before (like <prgn>bastille</prgn>) are focused at setting up firewall rules to protect the host they run in but are not necessarily designed to setup firewall rules for firewall hosts that protect a network (like <prgn>shorewall</prgn> or <prgn>fwbuilder</prgn>)."
msgstr "Wie bereits zuvor erläutert, sind einige Programme wie <package>firestarter</package>, <package>guarddog</package> und <package>knetfilter</package> graphische Administrations-Schnittstellen, die entweder GNOME oder KDE (die letzte beiden) benutzen. Diese sind viel benutzerorientierter (z.B. für Heimanwender) als einige der anderen Pakete in der Liste, die sich eher an Administratoren richten. Einige der Programme, die zuvor aufgeführt wurden (wie <prgn>bastille</prgn>), fokussieren auf das Erstellen von Firewall-Regeln zum Schutz des Rechners, auf dem sie laufen, sind aber nicht notwendigerweise dafür geschaffen, Firewall-Regeln für Rechner zu erstellen, die ein Netzwerk schützen (wie <prgn>shorewall</prgn> oder <prgn>fwbuilder</prgn>)."
#. type: <p></p>
#: securing-debian-howto.en.sgml:53
#: en/services.sgml:1682
msgid "There is yet another type of firewall application: application proxies. If you are looking into setting up an enterprise-level firewall that does packet filtering and provides a number of transparent proxies that can do fine-grain traffic analysis you should consider using <package>zorp</package>, which provides this in a single program. You can also manually setup this type of firewall host using the proxies available in Debian for different services like for DNS using <package>bind</package> (properly configured), <package>dnsmasq</package>, <package>pdnsd</package> or <package>totd</package> for FTP using <package>frox</package> or <package>ftp-proxy</package>, for X11 using <package>xfwp</package>, for IMAP using <package>imapproxy</package>, for mail using <package>smtpd</package>, or for POP3 using <package>p3scan</package>. For other protocols you can either use a generic TCP proxy like <package>simpleproxy</package> or a generic SOCKS proxy like <package>dante-server</package>, <package>tsocks</package> or <package>socks4-server</package>. Typically, you will also use a web caching system (like <package>squid</package>) and a web filtering system (like <package>squidguard</package> or <package>dansguardian</package>)."
msgstr "Es gibt einen weiteren Typ von Firewall-Anwendungen: Anwendungs-Proxys. Wenn Sie eine Möglichkeit suchen, eine Unternehmenslösung aufzusetzen, die Pakete filtert und eine Anzahl von transparenten Proxys bietet, die feinabgestimmte Verkehrsanalysen bieten, so sollten Sie <package>zorp</package> genauer betrachten. Dies bietet alles in einem einzelnen Programm. Sie können diese Art von Firewall-Rechner auch manuell aufsetzen, indem Sie die Proxys, die in Debian vorhanden sind, für verschiedene Dienste verwenden. Zum Beispiel für DNS <package>bind</package> (richtig konfiguriert), <package>dnsmasq</package>, <package>pdnsd</package> oder <package>totd</package> für FTP <package>frox</package> oder <package>ftp-proxy</package>, für X11 <package>xfwp</package>, für IMAP <package>imapproxy</package>, für Mail <package>smtpd</package> oder für POP3 <package>p3scan</package>. Für andere Protokolle können Sie entweder einen allgemeinen TCP-Proxy wie <package>simpleproxy</package> oder einen allgemeinen SOCKS-Proxy wie <package>dante-server</package>, <package>tsocks</package> oder <package>socks4-server</package> verwenden. Typischerweise werden Sie auch ein Web-Cache-System (wie <package>squid</package>) und ein Web-Filtersystem (wie <package>squidguard</package> oder <package>dansguardian</package>) nutzen."
Reply to: