Hallo Simon, sorry für die lange Dauer dieses Korekturabschnitts, siehe (auch an die anderen Listenteilnehmer) meinen Text unten. On Sun, Oct 12, 2014 at 11:15:14AM +0200, Simon Brandmair wrote: > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:12 > msgid "Once the system is installed you can still do more to secure the > system; some of the steps described in this chapter can be taken. Of > course this really depends on your setup but for physical access > prevention you should read <ref id=\"bios-boot\">,<ref > id=\"lilo-passwd\">,<ref id=\"kernel-root-prompt\">, <ref > id=\"restrict-console-login\">, and <ref id=\"restrict-reboots\">." > msgstr "Wenn das System installiert ist, können Sie es noch weiter > absichern, indem Sie einige der in diesem Kapitel beschriebenen Schritte > ausführen. Natürlich hängt dies vor allem von Ihrem Setup ab, aber um > physischen Zugriff zu verhindern, sollten Sie <ref id=\"bios-boot\">, > <ref id=\"lilo-passwd\">, <ref id=\"kernel-root-prompt\">, <ref > id=\"restrict-console-login\"> und <ref id=\"restrict-reboots\"> lesen." s/Ihrem Setup/Ihrer Einrichtung/ (ggf. »Installation«) > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:17 > msgid "Before connecting to any network, especially if it's a public one > you should, at the very least, execute a security update (see <ref > id=\"security-update\">). Optionally, you could take a snapshot of your > system (see <ref id=\"snapshot\">)." > msgstr "Bevor Sie sich mit einem Netzwerk verbinden, insbesondere wenn > es sich um ein öffentliches Netzwerk handelt, sollten Sie wenigstens > eine Sicherheitsaktualisierung (siehe <ref id=\"security-update\">) > durchführen. Daneben können Sie auch einen Schnappschuss Ihres Systems > machen (siehe <ref id=\"snapshot\">)." Ich persönlich versuche im Allgemeinen s/Netzwerk/Netz/ wo möglich. > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:26 > msgid "In order to receive information on available security updates you > should subscribe yourself to the debian-security-announce mailing list > in order to receive the Debian Security Advisories (DSAs). See <ref > id=\"debian-sec-team\"> for more information on how the Debian security > team works. For information on how to subscribe to the Debian mailing > lists read <url id=\"http://lists.debian.org\">." > msgstr "Um Informationen zu verfügbaren Sicherheitsaktualisierungen und > die Debian-Sicherheits-Ankündigungen (DSA) zu erhalten, sollten Sie > Debians Security-Announce-Mailingliste abonnieren. Lesen Sie <ref > id=\"debian-sec-team\"> für weitere Informationen, wie das > Sicherheitsteam von Debian arbeitet. Hinweise, wie man die Mailinglisten > von Debian abonniert, finden Sie unter <url > id=\"http://lists.debian.org\">." Ggf. »man«-Formulierung vermeiden (→ Sie) > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:29 > msgid "DSAs are signed with the Debian Security Team's signature which > can be retrieved from <url id=\"http://security.debian.org\">." > msgstr "DSAs werden mit der Signatur des Sicherheitsteams von Debian > unterschrieben, die unter <url id=\"http://security.debian.org\"> > erhältlich ist." Fehler im Original: Es wird nicht mit einer Signatur, sondern mit einem Schlüssel unterschrieben. > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:52 > msgid "If you are installing a Debian release you must take into account > that since the release was made there might have been security updates > after it has been determined that a given package is vulnerable. Also, > there might have been minor releases (there have been four for the > Debian 3.0 <em>sarge</em> release) which include these package updates." > msgstr "Wenn Sie eine Debian-Veröffentlichung installieren, müssen Sie > berücksichtigen, dass es seit der Veröffentlichung > Sicherheitsaktualisierungen gegeben haben könnte, nachdem entdeckt > wurde, dass ein bestimmtes Paket verwundbar ist. Ebenso könnte es > kleinere Veröffentlichungen gegeben haben. Es gab vier kleinere > Veröffentlichungen von Debian 3.1 <em>Sarge</em>, die diese > Paketaktualisierungen enthalten." s/kleinere Veröffentlichungen/Zwischenveröffentlichungen/ Ich würde das Sarge-Beispiel auch im Deutschen in Klammern setzen, da sonst der Bezug des letzten Halbsatzes falsch ist. Alternativ den letzten Halbsatz vor das Beispiel ziehen. > #. type: <p><example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:115 > msgid "Once you have executed a security update you might need to > restart some of the system services. If you do not do this, some > services might still be vulnerable after a security upgrade. The reason > for this is that daemons that are running before an upgrade might still > be using the old libraries before the upgrade <footnote><p>Even though > the libraries have been removed from the filesystem the inodes will not > be cleared up until no program has an open file descriptor pointing to > them.</p></footnote>. In order to detect which daemons might need to be > restarted you can use the <prgn>checkrestart</prgn> program (available > in the <package>debian-goodies</package> package) or use this one > liner<footnote><p>Depending on your lsof version you might need to use > $8 instead of $9</p></footnote> (as root):" > msgstr "Wenn Sie eine Sicherheitsaktualisierung durchgeführt haben, > müssen Sie gegebenenfalls einige Dienste des Systems neu starten. Wenn > Sie das nicht tun, könnten Dienste auch nach der > Sicherheitsaktualisierung immer noch verwundbar sein. Das liegt daran, > dass Daemonen, die schon vor einem Upgrade liefen, immer noch die alten > Bibliotheken vor dem Upgrade verwenden könnten.<footnote> Selbst wenn > die Bibliotheken aus dem Dateisystem entfernt wurden, werden die Inodes > nicht beseitigt, bis kein Programm mehr einen offenen Dateideskriptor > mit Verweis auf sie hat.</footnote> Um herauszufinden, welche Daemonen > neu gestartet werden müssen, können Sie das Programm > <prgn>Checkrestart</prgn> (ist im Paket > <package>debian-goodies</package> enthalten) oder diesen Einzeiler (als > Root) verwenden:<footnote>Je nach der Version von lsof müssen Sie $8 > statt $9 verwenden.</footnote>" s/Selbst/<p>Selbst/ s#hat#hat</p># ggf. s/lsof/Lsof/ > #. type: <example></example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:117 > #, no-wrap > msgid "# lsof | grep <the_upgraded_library> | awk '{print $1, $9}' > | uniq | sort -k 1" > msgstr "# lsof | grep <the_upgraded_library> | awk '{print $1, > $9}' | uniq | sort -k 1" s/the_upgraded_library/die_aktualisierte_Bibliothek/ > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:125 > msgid "Some packages (like <package>libc6</package>) will do this check > in the postinst phase for a limited set of services specially since an > upgrade of essential libraries might break some applications (until > restarted)<footnote><p>This happened, for example, in the upgrade from > libc6 2.2.x to 2.3.x due to NSS authentication issues, see <url > id=\"http://lists.debian.org/debian-glibc/2003/debian-glibc-200303/msg00276.html\">.</p></footnote>." > msgstr "Einige Pakete (wie <package>libc6</package>) werden diesen Test > in der Postinst-Phase für eine begrenzte Anzahl von Diensten > durchführen, da ein Upgrade von notwendigen Bibliotheken einige > Anwendungen unbrauchbar machen kann, wenn sie nicht neu gestartet werden > <footnote>Das passierte z.B. beim Upgrade von libc6 2.2.x zu 2.3.x wegen > Problemen mit der NSS-Authentifizierung, siehe <url > id=\"http://lists.debian.org/debian-glibc/2003/debian-glibc-200303/msg00276.html\">. > </footnote>." s/libc6/Libc6/ a/2.2.x zu/2.2.x auf/ > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:130 > msgid "Bringing the system to run level 1 (single user) and then back to > run level 3 (multi user) should take care of the restart of most (if not > all) system services. But this is not an option if you are executing the > security upgrade from a remote connection (like ssh) since it will be > severed." > msgstr "Indem das System auf Runlevel 1 (Single User) und dann zurück > auf Runlevel 3 (Multi User) gebracht wird, sollten die meisten (wenn > nicht alle) Systemdienste neu gestartet werden. Dies ist aber keine > Möglichkeit, wenn Sie die Sicherheitsaktualisierung über eine entfernte > Verbindung (z.B. mit Ssh) vornehmen, da diese getrennt werden würde." »Single User« und »Multi User« nicht übersetzt? s/Möglichkeit/Option/ s/entfernte Verbindung/Verbindung aus der Ferne/ > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:136 > msgid "Excercise caution when dealing with security upgrades if you are > doing them over a remote connection like ssh. A suggested procedure for > a security upgrade that involves a service restart is to restart the SSH > daemon and then, inmediately, attempt a new ssh connection without > breaking the previous one. If the connection fails, revert the upgrade > and investigate the issue." > msgstr "Lassen Sie Vorsicht walten, wenn Sie es mit > Sicherheitsaktualisierungen über eine entfernte Verbindung wie mit ssh > zu tun haben. Die empfohlene Vorgehensweise für > Sicherheitsaktualisierungen, die Dienste betreffen, ist, den SSH-Daemon > neu zu starten und sofort zu versuchen, eine neue SSH-Verbindung > herzustellen, ohne die alten zu beenden. Falls der Verbindungsversuch > scheitern sollte, machen Sie die Aktualisierung rückgängig und > untersuchen Sie das Problem." s/entfernte Verbindung/Verbindung aus der Ferne/ s/ssh/SSH/ s/Sicherheitsaktualisierung/Sicherheits-Upgrade/ s/die Aktualisierung/das Upgrade/ > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:222 > msgid "If you need to do a system reboot (because of a kernel upgrade) > you should make sure that the kernel will boot up correctly and network > connectivity will be restored, specially if the security upgrade is done > over a remote connection like ssh. For the former you can configure your > boot loader to reboot to the original kernel in the event of a failure > (for more detailed information read <url > id=\"http://www.debian-administration.org/?article=70\" name=\"Remotely > rebooting Debian GNU/Linux machines\">). For the latter you have to > introduce a network connectivity test script that will check if the > kernel has started up the network subsystem properly and reboot the > system if it did not<footnote><p>A sample script called <url > id=\"http://www.debian-administration.org/articles/70/testnet\" > name=\"testnet\"> is available in the <url > id=\"http://www.debian-administration.org/?article=70\" name=\"Remotely > rebooting Debian GNU/Linux machines\"> article. A more elaborate network > connectivity testing script is available in the <url > id=\"http://www.debian-administration.org/?article=128\" name=\"Testing > network connectivity\"> article.</p></footnote>. This should prevent > nasty surprises like updating the kernel and then realizing, after a > reboot, that it did not detect or configure the network hardware > properly and you need to travel a long distance to bring the system up > again. Of course, having the system serial console <footnote><p>Setting > up a serial console is beyond the scope of this document, for more > information read the <url > id=\"http://www.tldp.org/HOWTO/Serial-HOWTO.html\" name=\"Serial > HOWTO\"> and the <url > id=\"http://www.tldp.org/HOWTO/Remote-Serial-Console-HOWTO/index.html\" > name=\"Remote Serial Console HOWTO\">.</p></footnote> in the system > connected to a console or terminal server should also help debug reboot > issues remotely." > msgstr "Wenn Sie das System neu starten müssen (wegen eines > Kernel-Upgrades), sollten Sie sicherstellen, dass der Kernel fehlerfrei > booten wird und die Netzwerkverbindungen hergestellt werden, besonders > wenn die Sicherheitsaktualisierung über eine entfernte Verbindung wie > mit ssh durchgeführt wird. Für den ersten Fall können Sie Ihren > Boot-Loader so konfigurieren, dass er den Originalkernel lädt, wenn ein > Fehler auftritt (für weiterführende Informationen sollten Sie <url > id=\"http://www.debian-administration.org/?article=70\" name=\"Remotely > rebooting Debian GNU/Linux machines\"> lesen). Im zweiten Fall müssen > Sie ein Skript verwenden, das die Netzwerkverbindungen testen kann und > überprüft, ob der Kernel das Netzwerksystem korrekt gestartet hat, und, > wenn das nicht geschehen ist, das System neu startet <footnote> Ein > Beispielskript mit dem Namen <url > id=\"http://www.debian-administration.org/articles/70/testnet\" > name=\"testnet\"> ist im Artikel <url > id=\"http://www.debian-administration.org/?article=70\" name=\"Remotely > rebooting Debian GNU/Linux machines\"> enthalten. Ein ausgereifteres > Testskript befindet sich im Artikel <url > id=\"http://www.debian-administration.org/?article=128\" name=\"Testing > network connectivity\">.</footnote>. Dies sollte böse Überraschungen > verhindern, wie wenn man den Kernel aktualisiert und dann nach einem > Reboot merkt, dass die Netzwerkhardware nicht richtig erkannt oder > konfiguriert wurde, und man daher eine weite Strecke reisen muss, um das > System wieder zum Laufen zu bringen. Natürlich hilft es beim Debuggen > von Reboot-Problemen aus der Ferne, wenn die serielle Konsole des > Systems <footnote>Das Einrichten einer seriellen Konsole würde den > Rahmen dieses Dokuments sprengen. Informationen dazu finden Sie im <url > id=\"http://www.tldp.org/HOWTO/Serial-HOWTO.html\" name=\"Serial > HOWTO\"> und im <url > id=\"http://www.tldp.org/HOWTO/Remote-Serial-Console-HOWTO/index.html\" > name=\"Remote Serial Console HOWTO\">. </footnote> mit einem Konsolen- > oder Terminalserver verbunden ist." s/entfernte Verbindung/Verbindung aus der Ferne/ Ich würd die »man«-Formulierungen vermeiden. > #. type: <heading></heading> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:228 > msgid "Change the BIOS (again)" > msgstr "Änderungen im BIOS (noch einmal)" Ist das im Original nicht eher aktiv gemeint? →Ändern Sie das BIOS (noch einmal) > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:235 > msgid "Remember <ref id=\"bios-passwd\">? Well, then you should now, > once you do not need to boot from removable media, to change the default > BIOS setup so that it <em>only</em> boots from the hard drive. Make sure > you will not lose the BIOS password, otherwise, in the event of a hard > disk failure you will not be able to return to the BIOS and change the > setup so you can recover it using, for example, a CD-ROM." > msgstr "Erinnern Sie sich an <ref id=\"bios-passwd\">? Nun, jetzt > sollten Sie, nachdem Sie nicht mehr von austauschbaren Datenträgern > booten müssen, die Standard-BIOS-Einstellung umändern, so dass das > System <em>ausschließlich</em> von der Festplatte bootet. Gehen Sie > sicher, dass Sie Ihr BIOS-Passwort nicht verlieren, oder Sie werden > nicht mehr ins BIOS zurückkehren können, um die Einstellung wieder zu > ändern, damit Sie im Falle eines Festplattenfehlers Ihr System > wiederherstellen können, indem Sie zum Beispiel eine CD-ROM benutzen." s/austauschbaren Datenträgern/Wechseldatenträgern/ s/umändern/ändern/ > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:240 > msgid "Another less secure but more convenient way is to change the > setup to have the system boot up from the hard disk and, if it fails, > try removable media. By the way, this is often done because most people > don't use the BIOS password that often; it's easily forgotten." > msgstr "Eine andere, weniger sichere, aber bequemere Möglichkeit ist es, > das BIOS so einzustellen, dass es von der Festplatte bootet, und nur > falls dies fehlschlägt zu versuchen, von austauschbaren Datenträgern zu > booten. Übrigens wird dies oft so gemacht, weil viele Leute ihr > BIOS-Passwort nur selten benutzen, so dass sie es leicht vergessen." s/fehlschlägt zu/fehlschlägt, zu/ Ggf. den ersten Satz in zwei oder mehrere Sätze zerlegen. > #. type: <p><example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:256 > msgid "For LILO you need to edit the config file > <file>/etc/lilo.conf</file> and add a <tt>password</tt> and > <tt>restricted</tt> line as in the example below." > msgstr "Für LILO müssen Sie die Konfigurationsdatei > <file>/etc/lilo.conf</file> editieren und eine <tt>password</tt> und > <tt>restricted</tt> Zeile, wie im folgenden Beispiel, einfügen:" s/editieren/bearbeiten/ s#</tt>#</tt>-#g > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:272 > msgid "Then, make sure that the configuration file is not world readable > to prevent local users from reading the password. When done, rerun lilo. > Omitting the <tt>restricted</tt> line causes lilo to always prompt for a > password, regardless of whether LILO was passed parameters. The default > permissions for <file>/etc/lilo.conf</file> grant read and write > permissions to root, and enable read-only access for > <file>lilo.conf</file>'s group, root." > msgstr "Stellen Sie danach sicher, dass die Konfigurationsdatei nicht > für alle lesbar ist, um zu verhindern, dass lokale Benutzer das Passwort > lesen können. Haben Sie dies getan, rufen Sie lilo auf. Wenn Sie die > <tt>restricted</tt>-Zeile weglassen, wird lilo immer nach dem Passwort > fragen, egal ob LILO Parameter übergeben wurden oder nicht. Die > Standard-Zugriffsrechte auf <file>/etc/lilo.conf</file> erlauben Root > das Lesen und Schreiben, und der Gruppe von lilo.conf, ebenfalls Root, > das Lesen." s/lilo/Lilo/g s/Standard-Zugriffsrechte auf/Standard-Zugriffsrechte von/ s/Schreiben, und/Schreiben und/ > #. type: <p><example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:279 > msgid "If you use GRUB instead of LILO, edit > <file>/boot/grub/menu.lst</file> and add the following two lines at the > top (substituting, of course <tt>hackme</tt> with the desired password). > This prevents users from editing the boot items. <tt>timeout 3</tt> > specifies a 3 second delay before <prgn>grub</prgn> boots the default item." > msgstr "Wenn Sie GRUB anstelle von LILO verwenden, editieren Sie > <file>/boot/grub/menu.lst</file> und fügen die folgenden zwei Zeilen am > Anfang an (dabei ersetzen Sie natürlich <tt>hackmich</tt> mit dem > vorgesehenen Passwort). Dies verhindert, dass Benutzer die Booteinträge > verändern können. <tt>timeout 3</tt> legt eine Wartedauer von 3 Sekunden > fest, bevor <prgn>Grub</prgn> den Standard-Eintrag bootet." s/editieren/bearbeiten/ s/fügen die/fügen Sie die/ s/Anfang an/Anfang ein/ > #. type: <p><example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:290 > msgid "To further harden the integrity of the password, you may store > the password in an encrypted form. The utility > <prgn>grub-md5-crypt</prgn> generates a hashed password which is > compatible with GRUB's encrypted password algorithm (MD5). To specify in > <prgn>grub</prgn> that an MD5 format password will be used, use the > following directive:" > msgstr "Um die Integrität Ihres Passwortes zusätzlich abzusichern, > sollten Sie Ihr Passwort verschlüsselt ablegen. Das Dienstprogramm > <prgn>grub-md5-crypt</prgn> erzeugt ein gehashtes Passwort, das > kompatibel mit GRUBs Verschlüsselungsalgorithmus (MD5) ist. Um > <prgn>Grub</prgn> mitzuteilen, dass ein Passwort im MD5-Format verwendet > wird, benutzen Sie die folgende Anweisung:" s/sollten Sie Ihr/können Sie Ihr/ s/das kompatibel … ist/das … kompatibel ist/ > #. type: <example></example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:293 > #, no-wrap > msgid "" > " timeout 3\n" > " password --md5 $1$bw0ez$tljnxxKLfMzmnDVaQWgjP0" > msgstr "" > " timeout 3\n" > " password --md5 $1$bw0ez$tljnxxKLfMzmnDVaQWgjP0" > > #. type: </example></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:301 > msgid "The --md5 parameter was added to instruct <prgn>grub</prgn> to > perform the MD5 authentication process. The provided password is the MD5 > encrypted version of hackme. Using the MD5 password method is preferable > to choosing its clear-text counterpart. More information about > <prgn>grub</prgn> passwords may be found in the > <package>grub-doc</package> package." > msgstr "Der Parameter --md5 wurde hinzugefügt, um bei <prgn>Grub</prgn> > einen MD5-Authentifizierungsprozess zu erzwingen. Das angegebene > Passwort ist die mit MD5 verschlüsselte Version von »hackmich«. > MD5-Passwörter sind Klartext-Passwörtern vorzuziehen. Weitere > Informationen über <prgn>Grub</prgn>-Passwörter können Sie im Paket > <package>grub-doc</package> finden." Du hast zwei mal den gleichen Hash angegeben. Ist der Hash für »hackme« und »hackmich« tatsächlich identisch? > #. type: <p><example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:312 > msgid "Linux 2.6 kernels provide a way to access a root shell while > booting which will be presented during loading the initramfs on error. > This is helpful to permit the administrator to enter a rescue shell with > root permissions. This shell can be used to manually load modules when > autodetection fails. This behavior is the default for > <prgn>initramfs-tools</prgn> generated initramfs. The following message > will appear:" > msgstr "Die Linux-Kernel 2.6 enthalten die Möglichkeit, während des > Bootvorgangs eine Root-Shell zu erhalten. Dies geschieht, wenn beim > Laden von Initramfs ein Fehler auftritt. Dadurch kann der Administrator > auf eine Rettungsshell mit Root-Rechten zugreifen. Mit dieser Shell > können von Hand Module geladen werden, falls eine automatische Erkennung > scheitern sollte. Dieses Verhalten ist Standard für ein von > <prgn>Initramfs-tools</prgn> erzeugtes Initramfs. Folgende Fehlermeldung > wird auftreten:" s/eine Root-Shell zu erhalten/auf eine Root-Shell zuzugreifen/ s/Rettungsshell/Rettungs-Shell/ > #. type: <example></example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:314 > #, no-wrap > msgid " \"ALERT! /dev/sda1 does not exist. Dropping to a shell!" > msgstr " \"ALERT! /dev/sda1 does not exist. Dropping to a shell! <!-- > SB: keine deutsche Übersetzung? -->" Keine Ahnung, wahrscheinlich in Initramfs keine Locale gesetzt? > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:321 > msgid "In order to remove this behavior you need to set the following > boot argument:<em>panic=0</em>. Either add it to the kopt section of > <file>/boot/grub/menu.lst</file> and issue <prgn>update-grub</prgn> or > to the append section of <file>/etc/lilo.conf</file>." > msgstr "Um dieses Verhalten abzuschalten, müssen Sie folgenden > Boot-Parameter setzen: <em>panic=0</em>. Sie können ihn entweder in den > Abschnitt kopt in <file>/boot/grub/menu.lst</file> eintragen und > <prgn>update-grub</prgn> ausführen oder ihn dem Abschnitt append von > <file>/etc/lilo.conf</file> hinzufügen. <!-- SB: in grub2 in > /etc/default/grub -->" s/kopt/»kopt«/ s/append/»append«/ > #. type: <p><example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:332 > msgid "Linux 2.4 kernels provide a way to access a root shell while > booting which will be presented just after loading the cramfs file > system. A message will appear to permit the administrator to enter an > executable shell with root permissions, this shell can be used to > manually load modules when autodetection fails. This behavior is the > default for <prgn>initrd</prgn>'s <file>linuxrc</file>. The following > message will appear:" > msgstr "Linux 2.4 Kernel bieten kurz nach dem Laden des cramfs einen > Weg, Zugriff auf eine Root-Shell zu bekommen, also während das System > bootet. Es erscheint eine Meldung, die dem Administrator erlaubt, eine > auszuführende Shell mit Root-Privilegien zu öffnen. Diese Shell kann > dazu benutzt werden, manuell Module zu laden, falls die automatische > Erkennung fehlschlägt. Dies ist das Standard-Verhalten bei > <prgn>initrd</prgn>'s <file>linuxrc</file>. Die folgende Meldung wird > erscheinen:" s/2.4 Kernel/2.4-Kernel/ s/cramfs/Cramfs/ s/auszuführende/auführbare/ > #. type: <example></example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:334 > #, no-wrap > msgid " Press ENTER to obtain a shell (waits 5 seconds)" > msgstr " Press ENTER to obtain a shell (waits 5 seconds) <!-- SB: keine > deutsche Übersetzung? -->" Keine Ahnung, s.o. > #. type: <p><example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:338 > msgid "In order to remove this behavior you need to change > <file>/etc/mkinitrd/mkinitrd.conf</file> and set:" > msgstr "Um dieses Verhalten zu entfernen, müssen Sie > <file>/etc/mkinitrd/mkinitrd.conf</file> editieren und folgenden Eintrag > setzen:" s/editieren/bearbeiten/ > #. type: <p><list> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:363 > msgid "Some security policies might force administrators to log in to > the system through the console with their user/password and then become > superuser (with <prgn>su</prgn> or <prgn>sudo</prgn>). This policy is > implemented in Debian by editing the <file>/etc/pam.d/login</file> and > the <file>/etc/securetty</file> when using PAM:" > msgstr "Manche Sicherheitsrichtlinien können Administratoren dazu > zwingen, sich erst als Benutzer mit ihrem Passwort auf dem System > einzuloggen und dann Superuser zu werden (mit <prgn>Su</prgn> oder > <prgn>Sudo</prgn>). Solche eine Richtlinie ist in Debian in den Dateien > <file>/etc/pam.d/login</file> und <file>/etc/securetty</file> (falls Sie > PAM verwenden) implementiert." Policy wird jetzt (leider) oft mit »politiken« übersetzt. Ich würde aber bei Deiner Fassung bleiben wollen. s/Solche eine Richtlinie/Eine solche Richtlinie/ s/ist in Debian in den/wird in Debian durch Bearbeitung der / > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:405 > msgid "<file>securetty</file> <footnote><p>The > <file>/etc/securetty</file> is a configuration file that belongs to the > <package>login</package> package.</p></footnote> by adding/removing the > terminals to which root access will be allowed. If you wish to allow > only local console access then you need <em>console</em>, > <em>ttyX</em><footnote><p>Or <em>ttyvX</em> in GNU/FreeBSD, and > <em>ttyE0</em> in GNU/KNetBSD.</p></footnote> and <em>vc/X</em> (if > using <em>devfs</em> devices), you might want to add also > <em>ttySX</em><footnote><p>Or <em>comX</em> in GNU/Hurd, <em>cuaaX</em> > in GNU/FreeBSD, and <em>ttyXX</em> in GNU/KNetBSD.</p></footnote> if you > are using a serial console for local access (where X is an integer, you > might want to have multiple instances. The default configuration for > <em>Wheezy</em> <footnote><p>The default configuration in <em>woody</em> > includes 12 local tty and vc consoles, as well as the <em>console</em> > device but does not allow remote logins. In <em>sarge</em> the default > configuration provides 64 consoles for tty and vc > consoles.</p></footnote> includes many tty devices, serial ports, vc > consoles as well as the X server and the <em>console</em> device. You > can safely adjust this if you are not using that many consoles. You can > confirm the virtual consoles and the tty devices you have by reviewing > <file>/etc/inittab</file> <footnote><p>Look for the <em>getty</em> > calls.</p></footnote> . For more information on terminal devices read > the <url id=\"http://tldp.org/HOWTO/Text-Terminal-HOWTO-6.html\" > name=\"Text-Terminal-HOWTO\">." > msgstr "In <file>securetty</file><footnote> Die Datei > <file>/etc/securetty</file> ist eine Konfigurationsdatei, die zum Paket > <package>login</package> gehört. </footnote> entfernen Sie oder fügen > Sie Terminals hinzu, auf denen sich Root anmelden darf. Falls Sie nur > lokalen Zugang zur Konsole erlauben wollen, benötigen Sie > <em>console</em>, <em>ttyX</em> <footnote> Oder <em>ttyvX</em> in > GNU/FreeBSD und <em>ttyE0</em> in GNU/KNetBSD. </footnote> und > <em>vc/X</em> (falls Sie die <em>devfs</em>-Schnittstelle verwenden). > Sie sollten auch <em>ttySX</em> <footnote> Oder <em>comX</em> in > GNU/Hurd, <em>cuaaX</em> in GNU/FreeBSD und <em>ttyXX</em> in > GNU/KNetBSD. </footnote> hinzufügen, wenn Sie eine serielle Konsole für > den lokalen Zugang verwenden (wobei X eine ganze Zahl ist; es kann > wünschenswert sein, mehrere Instanzen zu verwenden). Die > Standardeinstellung in <em>Wheezy</em> <footnote> Die > Standardeinstellung in <em>Woody</em> beinhaltet zwölf lokale tty- und > virtuelle Konsolen und die <em>console</em>-Schnittstelle. Anmeldungen > von entfernten Orten sind nicht erlaubt. In <em>Sarge</em> stellt die > Standardeinstellung 64 Konsolen für tty- und virtuelle Konsolen zu > Verfügung. </footnote> beinhaltet viele tty-Konsolen, serielle > Schnittstellen und vc-Konsolen sowie den X-Server und die > <em>console</em>-Schnittstelle. Sie können das ohne Probleme anpassen, > wenn Sie nicht derartige viele Konsolen benutzen. Sie können die Anzahl > der Konsolen und Schnittstellen in <file>/etc/inittab</file> überprüfen > <footnote> Achten Sie auf die <em>getty</em> Einträge. </footnote>. > Weiterführende Informationen zu Terminal-Schnittstellen finden Sie im > <url id=\"http://tldp.org/HOWTO/Text-Terminal-HOWTO-6.html\" > name=\"Text-Terminal-HOWTO\">." s# Die Datei#<p>Die Datei# s#gehört. </footnote>#gehört.</p></footnote># s#<footnote> Oder#<footnote><p>Oder# s#in GNU/FreeBSD#unter GNU/FreeBSD#g #in GNU/KNetBSD. </footnote>#unter GNU/KNetBSD.</p></footnote>#g s#<footnote> Oder#<footnote><p>Oder# s#in GNU/Hurd,#unter GNU/Hurd,# Fehlt im Orignal eine schließende Klammmer? Du hast eine bei »verwenden« verwandt. s#<footnote> Die#<footnote><p>Die# s#entfernten Orten#aus der Ferne# s#Verfügung. </footnote>#Verfügung.</p></footnote># In der Fußnote hast Du »vc« mit »virtuelle Konsole« übersetzt, außerhalb als »vc« stehengelassen. Ggf. einheitlich? s#die <em>console</em>-Schnittstelle#das <em>console</em>-Gerät# s#<footnote> Achten#<footnote><p>Achten# s#<em>getty</em> Einträge </footnote>#<em>getty</em>-Einträge</p></footnote># > #. type: <p><example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:414 > msgid "When using PAM, other changes to the login process, which might > include restrictions to users and groups at given times, can be > configured in <file>/etc/pam.d/login</file>. An interesting feature that > can be disabled is the possibility to login with null (blank) passwords. > This feature can be limited by removing <em>nullok</em> from the line:" > msgstr "Wenn Sie PAM benutzen, können Sie auch andere Änderungen am > Login-Prozess, die auch Einschränkungen für einzelne Benutzer oder > Gruppen zu bestimmten Zeiten enthalten können, durch Konfiguration der > Datei <file>/etc/pam.d/login</file> vornehmen. Eine interessante > Eigenschaft, die man auch abschalten kann, ist die Möglichkeit, sich mit > einem leeren Passwort (Null-Passwort) anzumelden. Diese Eigenschaft kann > eingeschränkt werden, indem sie <em>nullok</em> aus folgender Zeile > entfernen:" s/indem sie/indem Sie/ > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:433 > msgid "This is aggravated in environments in which the operating system > is running virtualised. In these environments, the possibility extends > to users that have access to the virtual console (which might be > accessed over the network). Also note that, in these environments, this > keyboard combination is used constantly (to open a login shell in some > GUI operating systems) and an administrator might <em>virtually</em> > send it and force a system reboot." > msgstr "Dies ist schwerwiegender, wenn das Betriebssystem in einer > virtuellen Umgebung läuft. Dann erstreckt sich diese Fähigkeit auch auf > Benutzer, die Zugriff auf die virtuelle Konsole haben (was auch über das > Netzwerk geschehen könnte). Beachten Sie zudem, dass in einer solchen > Umgebung diese Tastenkombination ständig verwendet wird (um in einigen > grafischen Benutzeroberflächen eine Login-Shell zu öffnen). Ein > Systemadministrator kann sie auch dazu verwenden, <em>virtuell</em> das > System neu zu starten." Den letzten Satz würde ich noch mal prüfen. In der Übersetzung klingt es nach Absicht, im Original nach Versehen (für mich). > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:460 > msgid "The <tt>-a</tt> switch, as the <manref name=\"shutdown\" > section=\"8\"> manpage describes,makes it possible to allow > <em>some</em> users to shutdown the system. For this the file > <file>/etc/shutdown.allow</file> must be created and the administrator > has to include there the name of users which can boot the system. When > the <em>three finger salute</em> combination is pressed in a console the > program will check if any of the users listed in the file are logged in. > If none of them is, <prgn>shutdown</prgn> will <em>not</em> reboot the > system." > msgstr "Die Option <tt>-a</tt> ermöglicht es, <em>einigen</em> Benutzern > zu erlauben, das System neu zu starten (vgl. die Handbuchseite <manref > section=\"8\" name=\"shutdown\">). Dazu müssen Sie die Datei > <file>/etc/shutdown.allow</file> erstellen und die Namen der Benutzer, > die das System neu booten dürfen, eintragen. Wenn der > <em>Affengriff</em> in einer Konsole ausgeführt wird, wird geprüft, ob > irgendeiner der Benutzer, die in der Datei aufgelistet sind, angemeldet > ist. Wenn es keiner von ihnen ist, wird <prgn>Shutdown</prgn> das System > <em>nicht</em> neu starten." Fehler im Original: s/describes,makes/describes, makes/ (Hinweis: Sprachliche »Merkwürdigkeiten« im Original merke ich nicht an) > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:464 > msgid "If you want to disable the Ctrl+Alt+Del combination you just need > to comment the line with the <em>ctrlaltdel</em> definition in the > <file>/etc/inittab</file>." > msgstr "Wenn Sie die Tastenkombination Ctrl+Alt+Del deaktivieren > möchten, müssen Sie nur die Zeile mit <em>ctrlaltdel</em> in > <file>/etc/inittab</file> auskommentieren." s/Ctrl+Alt+Del/Strg+Alt+Entf/ > #. type: <p><list> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:528 > msgid "You see the difference in the options sections. The option > <tt>nosuid</tt> ignores the setuid and setgid bits completely, while > <tt>noexec</tt> forbids execution of any program on that mount point, > and <tt>nodev</tt> ignores device files. This sounds great, but it:" > msgstr "Achten Sie auf den Abschnitt mit den Optionen. Die Option > <tt>nosuid</tt> ignoriert komplett alle setuid- und setgid-Bits, während > <tt>noexec</tt> das Ausführen von Programmen unterhalb des > Einhängepunkts verbietet und <tt>nodev</tt> Gerätedateien ignoriert. Das > hört sich toll an, aber:" Ich würde global für »mount« die Übersetzung »einhängen« verwenden, aber z.B. verwendest Du »hängen«, während Du in den Absätzen davor »einbinden« verwendest. > #. type: <p><example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:536 > msgid "The <tt>noexec</tt> option prevents binaries from being executed > directly, but was easily circumvented in earlier versions of the kernel:" > msgstr "Die Option <tt>noexec</tt>, die verhindert, dass Binarys > ausgeführt werden können, ließe sich in früheren Kernelversionen leicht > umgehen:" s/Binarys/Programme/ s/ließe/ließ/ > #. type: <example></example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:543 > #, no-wrap > msgid "" > " alex@joker:/tmp# mount | grep tmp\n" > " /dev/hda7 on /tmp type ext2 (rw,noexec,nosuid,nodev)\n" > " alex@joker:/tmp# ./date\n" > " bash: ./date: Permission denied\n" > " alex@joker:/tmp# /lib/ld-linux.so.2 ./date\n" > " Sun Dec 3 17:49:23 CET 2000" > msgstr "" > " alex@joker:/tmp# mount | grep tmp\n" > " /dev/hda7 on /tmp type ext2 (rw,noexec,nosuid,nodev)\n" > " alex@joker:/tmp# ./date\n" > " bash: ./date: Permission denied\n" > " alex@joker:/tmp# /lib/ld-linux.so.2 ./date\n" > " Sun Dec 3 17:49:23 CET 2000" s/Permission denied/Keine Berechtigung/ s/Sun Dec 3 17:49:23 CET 2000/So 3. Dez 17:49:23 CET 2000/ > #. type: <example></example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:556 > #, no-wrap > msgid "" > " angrist:/tmp# mount | grep /tmp\n" > " /dev/hda3 on /tmp type ext3 (rw,noexec,nosuid,nodev)\n" > " angrist:/tmp# ./date\n" > " bash: ./tmp: Permission denied \n" > " angrist:/tmp# /lib/ld-linux.so.2 ./date \n" > " ./date: error while loading shared libraries: ./date: failed to map > segment \n" > " from shared object: Operation not permitted" > msgstr "" > " angrist:/tmp# mount | grep /tmp\n" > " /dev/hda3 on /tmp type ext3 (rw,noexec,nosuid,nodev)\n" > " angrist:/tmp# ./date\n" > " bash: ./tmp: Permission denied \n" > " angrist:/tmp# /lib/ld-linux.so.2 ./date \n" > " ./date: error while loading shared libraries: ./date: failed to map > segment \n" > " from shared object: Operation not permitted" s/Permission denied/Keine Berechtigung/ // Auf meinem System lautet die letzte Fehlermeldung: // ./date: error while loading shared libraries: ./date: wrong ELF class: ELFCLASS64 // ggf. mit dem Autor klären? > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:564 > msgid "However, many script kiddies have exploits which try to create > and execute files in <file>/tmp</file>. If they do not have a clue, they > will fall into this pit. In other words, a user cannot be tricked into > executing a trojanized binary in <file>/tmp</file> e.g. when he > incidentally adds <file>/tmp</file> into his PATH." > msgstr "Wie auch immer, viele Skript-Kiddies haben Exploits, die > versuchen, eine Datei in <file>/tmp</file> zu erstellen und auszuführen. > Falls sie keine Ahnung haben, werden sie in dieser Grube hängen bleiben. > Mit anderen Worten: Ein Benutzer kann nicht hereingelegt werden, einen > ausführbaren Trojaner in <file>/tmp</file> laufen zu lassen, zum > Beispiel, indem er zufällig <file>/tmp</file> in seinen Suchpfad aufnimmt." s/Suchpfad/Suchpfad (PATH)/ > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:569 > msgid "Also be forewarned, some script might depend on <file>/tmp</file> > being executable. Most notably, Debconf has (had?) some issues regarding > this, for more information see Bug <url > id=\"http://bugs.debian.org/116448\" name=\"116448\">." > msgstr "Seien Sie sich auch bewusst, dass manche Skripte darauf > aufbauen, dass <file>/tmp</file> ausführbare Rechte hat. > Bemerkenswerterweise hatte (oder hat?) Debconf Probleme bei dieser > Sache, weitere Informationen enthält Fehler <url > id=\"http://bugs.debian.org/116448\" name=\"116448\">." // Mmh, dieser Fehler wurde 2003 (ja, 2003) geschlossen, Seufz > #. type: <p><example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:578 > msgid "The following is a more thorough example. A note, though: > <file>/var</file> could be set noexec, but some software > <footnote><p>Some of this includes the package manager > <package>dpkg</package> since the installation (post,pre) and removal > (post,pre) scripts are at <file>/var/lib/dpkg/</file> and > Smartlist</p></footnote> keeps its programs under in <file>/var</file>. > The same applies to the nosuid option." > msgstr "Nachfolgend ein gründlicheres Beispiel. Eine Anmerkung dazu: > <file>/var</file> könnte auch noexec enthalten, aber manche Software > <footnote>Einiges davon trifft auf den Paketverwalter > <package>Dpkg</package> zu, da die Installations- oder > Deinstallationsanweisungen (post, pre) unter <file>/var/lib/dpkg/</file> > liegen, und auch auf Smartlist.</footnote> verwahrt ihre Programme > unterhalb von <file>/var</file>. Dasselbe gilt für die Option nosuid." s/<footnote>Einiges/<footnote><p>Einiges/ s#Smartlist.</footnote>#Smartlist.</p></footnote># > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:624 > msgid "If you set <file>/usr</file> read-only you will not be able to > install new packages on your Debian GNU/Linux system. You will have to > first remount it read-write, install the packages and then remount it > read-only. <package>apt</package> can be configured to run commands > before and after installing packages, so you might want to configure it > properly." > msgstr "Wenn Sie auf <file>/usr</file> nur lesenden Zugriff erlauben, > werden Sie nicht in der Lage sein, neue Pakete auf Ihrem Debian > GNU/Linux System zu installieren. Sie werden es erst mit Schreibzugriff > erneut mounten müssen, die Pakete installieren und dann wieder nur mit > lesendem Zugriff mounten. <package>Apt</package> kann so konfiguriert > werden, dass Befehle vor und nach dem Installieren von Paketen > ausgeführt werden. Daher müssen Sie es passend konfigurieren." s#Debian GNU/Linux System#Debian-GNU/Linux-System# s/erneut mounten/erneut einhängen/ s/lesendem Zugriff mounten/lesendem Zugriff einhängen/ > #. type: <p><example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:636 > msgid "Note that the Post-Invoke may fail with a \"/usr busy\" error > message. This happens mainly when you are using files during the update > that got updated. You can find these programs by running" > msgstr "Beachten Sie, dass das Post-Invoke mit der Fehlermeldung »/usr > ist belegt« scheitern kann. Dies passiert vorwiegend, wenn Sie eine > Datei benutzen, die aktualisiert wurde. Sie können diese Programme > finden, indem Sie Folgendes ausführen:" Ist die Übersetzung der Fehlermeldung von Dir oder aus (welchem?) Programm? > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:662 > msgid "PAM (Pluggable Authentication Modules) allows system > administrators to choose how applications authenticate users. Note that > PAM can do nothing unless an application is compiled with support for > PAM. Most of the applications that are shipped with Debian have this > support built in (Debian did not have PAM support before 2.2). The > current default configuration for any PAM-enabled service is to emulate > UNIX authentication (read > <file>/usr/share/doc/libpam0g/Debian-PAM-MiniPolicy.gz</file> for more > information on how PAM services <em>should</em> work in Debian)." > msgstr "PAM (Pluggable Authentication Modules) erlaubt > Systemadministratoren auszuwählen, wie Anwendungen Benutzer > authentifizieren. Beachten Sie, dass PAM nichts machen kann, solange die > Anwendung nicht mit Unterstützung für PAM kompiliert wurde. Die meisten > Anwendungen, die mit Debian geliefert werden, haben diese Unterstützung > eingebaut. Vor Version 2.2 hatte Debian keine Unterstützung für PAM. Die > derzeitige Standardkonfiguration für jeden Dienst, der PAM benutzt, ist > es, UNIX-Authentifizierung zu emulieren (lesen Sie > <file>/usr/share/doc/libpam0g/Debian-PAM-MiniPolicy.gz</file>, um mehr > darüber zu erfahren, wie PAM-Dienste unter Debian arbeiten > <em>sollten</em>)." s/Systemadministratoren/Systemadministratoren,/ > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:688 > msgid "PAM offers you the possibility to go through several > authentication steps at once, without the user's knowledge. You could > authenticate against a Berkeley database and against the normal > <file>passwd</file> file, and the user only logs in if he authenticates > correct in both. You can restrict a lot with PAM, just as you can open > your system doors very wide. So be careful. A typical configuration line > has a control field as its second element. Generally it should be set to > <tt>requisite</tt>, which returns a login failure if one module fails." > msgstr "PAM bieten Ihnen die Möglichkeit, durch mehrere > Authentifizierungsschritte auf einmal zu gehen, ohne dass der Benutzer > es weiß. Sie können gegen eine Berkeley-Datenbank und gegen die normale > <file>passwd</file>-Datei authentifizieren, und der Benutzer kann sich > nur anmelden, wenn er beide Male korrekt authentifiziert wurde. Sie > können viel einschränken mit PAM, genauso wie Sie Ihr System weit öffnen > können. Seien Sie also vorsichtig. Eine typische Konfigurationszeile hat > ein Kontrollfeld als zweites Element. Generell sollte es auf > <tt>requisite</tt> gesetzt werden, so wird ein Anmeldefehler erzeugt, > wenn eines der Module versagt." s/viel einschränken mit PAM/viel mit PAM einschränken/ s/Kontrollfeld/Steuerfeld/ > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:700 > msgid "Review the <file>/etc/pam.d/common-password</file>, included by > <file>/etc/pam.d/passwd</file> <footnote><p>In old Debian releases the > configuration of the modules was defined directly in > <file>/etc/pam.d/passwd</file>.</p></footnote> . This file is included > by other files in <file>/etc/pam.d/</file> to define the behaviour of > password use in subsystems that grant access to services in the machine, > like the console login (<tt>login</tt>), graphical login managers (such > as <tt>gdm</tt> or <tt>lightdm</tt>), and remote login (such as > <tt>sshd</tt>). This definition is" > msgstr "Sehen Sie sich <file>/etc/pam.d/common-password</file> an, die > von <file>/etc/pam.d/passwd</file> eingebunden wird. <footnote>In > früheren Debian-Veröffentlichungen befand sich die Konfiguration der > Module direkt in <file>/etc/pam.d/passwd</file>.</footnote> Andere > Dateien in <file>/etc/pam.d/</file> lesen diese Datei ein, um die > Verwendung eines Passworts durch Programme, die einen Zugriff auf das > System erlauben, wie etwa das Konsolen-Login (<tt>Login</tt>), grafische > Login-Manager (z.B. <tt>Gdm</tt> oder <tt>Lightdm</tt>) und Login aus > der Ferne (etwa mit <tt>Sshd</tt>), zu definieren." Hier noch einmal, bitte global ändern: s#<footnote>#<footnote><p># und s#</footnote>#</p></footnote># s/definieren./definieren. Diese Definition lautet/ > #. type: <heading></heading> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:787 > msgid "User access control in PAM" > msgstr "Kontrolle des Benutzerzugangs in PAM" s/Kontrolle/Steuerung/ > #. type: <p><example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:791 > msgid "To make sure that the user root can only log into the system from > local terminals, the following line should be enabled in > <file>/etc/pam.d/login</file>:" > msgstr "Um sicher zu stellen, dass sich der Benutzer Root nur an lokalen > Terminals anmelden kann, sollten Sie die folgende Zeile in > <file>/etc/pam.d/login</file> eingefügt werden:" s/eingefügt werden/einfügen/ > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:805 > msgid "Then you should modify the list of terminals on which direct root > login is allowed in <file>/etc/securetty</file> (as described in <ref > id=\"restrict-console-login\">). Alternatively, you could enable the > <tt>pam_access</tt> module and modify > <file>/etc/security/access.conf</file> which allows for a more general > and fine-tuned access control, but (unfortunately) lacks decent log > messages (logging within PAM is not standardized and is particularly > unrewarding problem to deal with). We'll return to > <file>access.conf</file> a little later." > msgstr "Danach sollten Sie die Liste der Terminals in > <file>/etc/securetty</file> ändern, auf denen sich Root unmittelbar > anmelden darf. Alternativ dazu können Sie auch das > <tt>pam_access</tt>-Modul aktivieren und > <file>/etc/security/access.conf</file> bearbeiten. Dieses Vorgehen > erlaubt eine allgemeinere und feiner abgestimmte Zugangskontrolle, > leider fehlen aber vernünftige Protokollmeldungen (diese sind in PAM > nicht standardisiert und sind ein besonders unbefriedigendes Problem). > Wir werden zu <file>access.conf</file> in Kürze zurückkehren." Es fehlt: (»as described in <ref id=\"restrict-console-login\">) s/Zugangskontrolle/Zugangssteuerung/ … wäre es hier nicht eher »Zugriff«? > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:820 > msgid "This restricts the system resources that users are allowed (see > below in <ref id=\"user-limits\">). For example, you could restrict the > number of concurrent logins (of a given group of users, or system-wide), > number of processes, memory size etc." > msgstr "Dies schränkt die Systemressourcen ein, die ein Benutzer nutzen > darf (siehe <ref id=\"user-limits\">). Sie können zum Beispiel die > Anzahl der Logins, die man haben kann, einschränken (für eine Gruppe von > Benutzern oder systemweit), die Anzahl der Prozesse, den belegten > Speicher etc." s#<ref id=\"user-limits\">#<ref id=\"user-limits\"> weiter unten# > #. type: <heading></heading> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:822 > msgid "Control of su in PAM" > msgstr "Kontrolle von su in PAM" s/Kontrolle/Steuerung/ > #. type: <p><example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:829 > msgid "If you want to protect <prgn>su</prgn>, so that only some people > can use it to become root on your system, you need to add a new group > \"wheel\" to your system (that is the cleanest way, since no file has > such a group permission yet). Add root and the other users that should > be able to <prgn>su</prgn> to the root user to this group. Then add the > following line to <file>/etc/pam.d/su</file>:" > msgstr "Wenn Sie <prgn>Su</prgn> schützen möchten, so dass nur manche > Leute es benutzen können, um Root auf Ihrem System zu werden, müssen Sie > eine neue Gruppe »wheel« zu Ihrem System hinzufügen (das ist der > sauberste Weg, da keine Datei solche Gruppenrechte bisher benutzt). > Fügen Sie Root und die anderen Benutzer, die zu Root <prgn>su</prgn>en > können sollen, zu dieser Gruppe. Fügen Sie anschließend die folgende > Zeile zu <file>/etc/pam.d/su/</file> hinzu:" s/zu dieser Gruppe/zu dieser Gruppe hinzu./ Ggf. im letzen Satz: statt »fügen hinzu« das Verb »ergänzen um« > #. type: <p><example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:845 > msgid "If you want only certain users to authenticate at a PAM service, > this is quite easy to achieve by using files where the users who are > allowed to login (or not) are stored. Imagine you only want to allow > user 'ref' to log in via <prgn>ssh</prgn>. So you put him into > <file>/etc/sshusers-allowed</file> and write the following into > <file>/etc/pam.d/ssh</file>:" > msgstr "Wenn Sie es nur bestimmten Benutzern erlauben wollen, sich bei > einem PAM-Dienst zu authentifizieren, ist dies sehr leicht zu erreichen, > indem Sie Dateien benutzen, in denen die Nutzer, denen es erlaubt ist, > sich einzuloggen (oder nicht), gespeichert sind. Stellen Sie sich vor, > Sie möchten lediglich dem Nutzer »ref« erlauben, sich mittels > <prgn>ssh</prgn> einzuloggen. Sie schreiben ihn also in eine Datei > <file>/etc/ssh-users-allowed</file> und schreiben das Folgende in > <file>/etc/pam.d/ssh</file>:" s/Nutzer/Benutzer/g > #. type: <p><example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:858 > msgid "Since there have been a number of so called insecure tempfile > vulnerabilities, thttpd is one example (see <url > id=\"http://www.debian.org/security/2005/dsa-883\" name=\"DSA-883-1\">), > the <package>libpam-tmpdir</package> is a good package to install. All > you have to do is add the following to > <file>/etc/pam.d/common-session</file>:" > msgstr "Da es eine Reihe von Sicherheitslücken mit so genannten > unsicheren temporären Dateien zum Beispiel in thttpd (vgl. <url > id=\"http://www.debian.org/security/2005/dsa-883\" name=\"DSA-883-1\">) > gab, lohnt es sich, das Paket <package>libpam-tmpdir</package> zu > installieren. Alles, was Sie machen müssen, ist, Folgendes zu > <file>/etc/pam.d/common-session</file> hinzuzufügen:" ggf. s/thttpd/Thttpd/ Ich würde die verschachtelten Sätze des Originals nicht unbeding übernehmen, z.B. im letzen Satz: Sie müssen dann lediglich Folgendes zu ... > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:867 > msgid "There has also been a discussion about adding this by default in > Debian configuration, but it s. See <url > id=\"http://lists.debian.org/debian-devel/2005/11/msg00297.html\"> for > more information." > msgstr "Es gab auch eine Diskussion, dies standardmäßig in Debian > einzufügen. Sehen Sie sich <url > id=\"http://lists.debian.org/debian-devel/2005/11/msg00297.html\"> für > weitere Informationen an." Hier fehlt was im Original? Ich würde nachfragen, was »but it s« werden sollte. > #. type: <heading></heading> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:869 > msgid "Configuration for undefined PAM applications" > msgstr "Konfiguration für sonstige PAM-Anwendungen" Das finde ich zu frei. s/sonstige/nicht definierte/ > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:892 > msgid "These lines will provide a good default configuration for all > applications that support PAM (access is denied by default)." > msgstr "Diese Zeilen stellen für alle Anwendungen, die PAM unterstützen, > eine gute Standard-Konfiguration dar (Zugriff wird standardmäßig > verweigert)." s/Standard-Konfiguration/Standardkonfiguration/ > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:929 > msgid "Commonly, <file>login</file>, <file>ssh</file> and the graphic > session managers (<file>gdm</file>, <file>kdm</file> or > <file>xdm</file>) should enforce user limits but you might want to do > this in other PAM configuration files, such as <file>cron</file>, to > prevent system daemons from taking over all system resources." > msgstr "Für gewöhnlich setzen <file>Login</file>, <file>Ssh</file> und > die grafischen Sitzungsmanager (<file>Gdm</file>, <file>Kdm</file> und > <file>Xdm</file>) Benutzerhöchstgrenzen durch, aber Sie sollte dies auch > in anderen Konfigurationsdateien für PAM wie für <file>Cron</file> > vornehmen, um zu verhindern, dass Systemdaemonen alle Systemressourcen > aufbrauchen." Ist es nicht »System-Daemons«? > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:940 > msgid "For example, the configuration example below enforces a 100 > process limit for all users (to prevent <em>fork bombs</em>) as well as > a limit of 10MB of memory per process and a limit of 10 simultaneous > logins. Users in the <tt>adm</tt> group have higher limits and can > produce core files if they want to (there is only a <em>soft</em> limit)." > msgstr "So setzt die Konfiguration im Beispiel unten eine Begrenzung von > 100 Prozessen für alle Benutzer (um <em>Fork-Bomben</em> > <footnote>Programme, die immer mehr Prozesse erzeugen, um so das System > zum Absturz zu bringen, d.Ü.</footnote> zu vermeiden), eine Begrenzung > auf 10MB Speicher pro Prozess und ein Höchstgrenze von 10 gleichzeitigen > Logins durch. Benutzer in der Gruppe <tt>adm</tt> haben höhere > Begrenzungen und können Dateien mit einem Speicherabbild schreiben, wenn > sie das <!-- SB (20050421): \"can produce core files if they want to\" > --> wollen (es gibt also nur eine <em>weiche</em> Begrenzung)." s/10MB/10 MB/ den englischen Einschub bitte streichen, Du kannst Übersetzungsanmerkungen in dieser Datei einfügen, falls notwendig. > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:961 > msgid "These would be the limits a default user (including system > daemons) would have:" > msgstr "Dies könnten die Höchstgrenzen eines Standardbenutzers > (einschließlich der Systemdaemonen) sein:" Ist es nicht »System-Daemons«? > #. type: <example></example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:974 > #, no-wrap > msgid "" > "$ ulimit -a\n" > "core file size (blocks, -c) 0\n" > "data seg size (kbytes, -d) 102400\n" > "file size (blocks, -f) 2048\n" > "max locked memory (kbytes, -l) 10000\n" > "max memory size (kbytes, -m) 10000\n" > "open files (-n) 1024\n" > "pipe size (512 bytes, -p) 8\n" > "stack size (kbytes, -s) 8192\n" > "cpu time (seconds, -t) unlimited\n" > "max user processes (-u) 100\n" > "virtual memory (kbytes, -v) unlimited" > msgstr "" > "$ ulimit -a\n" > "core file size (blocks, -c) 0\n" > "data seg size (kbytes, -d) 102400\n" > "file size (blocks, -f) 2048\n" > "max locked memory (kbytes, -l) 10000\n" > "max memory size (kbytes, -m) 10000\n" > "open files (-n) 1024\n" > "pipe size (512 bytes, -p) 8\n" > "stack size (kbytes, -s) 8192\n" > "cpu time (seconds, -t) unlimited\n" > "max user processes (-u) 100\n" > "virtual memory (kbytes, -v) unlimited" Ist das ins Deutsche übersetzt (ich kann es gerade nicht prüfen)? > #. type: <example></example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:991 > #, no-wrap > msgid "" > "$ ulimit -a\n" > "core file size (blocks, -c) 0\n" > "data seg size (kbytes, -d) 102400\n" > "file size (blocks, -f) 100000\n" > "max locked memory (kbytes, -l) 100000\n" > "max memory size (kbytes, -m) 100000\n" > "open files (-n) 1024\n" > "pipe size (512 bytes, -p) 8\n" > "stack size (kbytes, -s) 8192\n" > "cpu time (seconds, -t) unlimited\n" > "max user processes (-u) 2000\n" > "virtual memory (kbytes, -v) unlimited" > msgstr "" > "$ ulimit -a\n" > "core file size (blocks, -c) 0\n" > "data seg size (kbytes, -d) 102400\n" > "file size (blocks, -f) 100000\n" > "max locked memory (kbytes, -l) 100000\n" > "max memory size (kbytes, -m) 100000\n" > "open files (-n) 1024\n" > "pipe size (512 bytes, -p) 8\n" > "stack size (kbytes, -s) 8192\n" > "cpu time (seconds, -t) unlimited\n" > "max user processes (-u) 2000\n" > "virtual memory (kbytes, -v) unlimited" Ist das ins Deutsche übersetzt (ich kann es gerade nicht prüfen)? > #. type: <p><list> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:995 > msgid "For more information read:" > msgstr "Für mehr Informationen hierzu lesen Sie:" s/Für mehr Informationen hierzu lesen Sie:/Lesen Sie für weitere Informationen (und Satzpunkt bei der folgenden Zeichenkette wie im Original). > #. type: <heading></heading> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1016 > msgid "User login actions: edit <file>/etc/login.defs</file>" > msgstr "Aktionen bei der Benutzeranmeldung: Editieren von > <file>/etc/login.defs</file>" s/Editieren/Bearbeiten/ > #. type: <p><example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1025 > msgid "The next step is to edit the basic configuration and action upon > user login. Note that this file is not part of the PAM configuration, > it's a configuration file honored by <tt>login</tt> and <tt>su</tt> > programs, so it doesn't make sense tuning it for cases where neither of > the two programs are at least indirectly called (the <prgn>getty</prgn> > program which sits on the consoles and offers the initial login prompt > <em>does</em> invoke <prgn>login</prgn>)." > msgstr "Der nächste Schritt ist es, die grundlegende Konfiguration und > die Aktionen bei der Benutzeranmeldung zu editieren. Beachten Sie, dass > diese Datei kein Bestandteil der PAM-Konfiguration ist. Sie ist eine > Konfigurationsdatei, die von den Programmen <tt>Login</tt> und > <tt>Su</tt> berücksichtigt wird. Es ist also wenig sinnvoll, sie auf > Fälle abzustimmen, in denen keines der beiden Programme wenigstens > indirekt aufgerufen wird (Das Programm <prgn>Getty</prgn>, welches auf > der Konsole läuft und die anfängliche Anmeldeaufforderung zu Verfügung > stellt, <em>ruft</em> <prgn>Login</prgn> auf)." s/zu editieren/zu bearbeiten/ > #. type: </example><example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1032 > msgid "If you enable this variable, failed logins will be logged. It is > important to keep track of them to catch someone who tries a brute force > attack." > msgstr "Wenn Sie diese Variable einschalten, werden fehlgeschlagene > Anmeldeversuche protokolliert. Es ist wichtig, hier auf dem Laufendem zu > bleiben, um jemanden zu fassen, der eine Brute-Force-Attacke versucht." s/zu fassen/zu ermitteln/ Brute-Force nicht übersetzt? s/eine ... -Atacke/einen ...-Angriff/ > #. type: <p><example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1044 > msgid "If you set this variable to 'yes' it will record unknown > usernames if the login failed. It is best if you use 'no' (the default) > since, otherwise, user passwords might be inadvertenly logged here (if a > user mistypes and they enter their password as the username). If you set > it to 'yes', make sure the logs have the proper permissions (640 for > example, with an appropriate group setting such as adm)." > msgstr "Wenn Sie diese Variable auf »yes« setzen, werden auch unbekannte > Benutzernamen protokolliert, wenn eine Anmeldung scheitert. Es ist zu > empfehlen, sie auf »no« (den Standard) zu belassen, da anderenfalls das > Passwort eines Benutzers aufgezeichnet werden könnte (falls er nämlich > versehentlich anstatt seines Benutzernames sein Passwort eingibt). Falls > Sie sie dennoch auf »yes« setzen, müssen Sie sicher gehen, dass die > Protokolldateien angemessene Zugriffsrechte haben (zum Beispiel 640, mit > einer passenden Gruppen-Zugehörigkeit wie adm)." s/werden auch/werden/ s/sicher gehen/sicherstellen/ s/Gruppen-Zugehörigkeit/Gruppenzugehörigkeit/ > #. type: <p><example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1052 > msgid "This one enables logging of <prgn>su</prgn> attempts to > <file>syslog</file>. Quite important on serious machines but note that > this can create privacy issues as well." > msgstr "Dies schaltet das Mitprotokollieren von > <prgn>su</prgn>-Versuchen im <file>Syslog</file> ein. Sehr wichtig auf > ernsthaften Maschinen, aber beachten Sie, dass dies auch die > Privatsphäre verletzen kann." ggf. s/ernsthaften Maschinen/ernsthaft betriebenen Maschinen/ > #. type: <heading></heading> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1070 > msgid "User login actions: edit <file>/etc/pam.d/login</file>" > msgstr "Aktionen bei der Benutzeranmeldung: > <file>/etc/pam.d/login</file> editieren" s/editieren/bearbeiten/ > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1121 > msgid "print a message (<file>/etc/motd</file> and > <file>/run/motd.dynamic</file>) to users after login in (enabled by > default)," > msgstr "nach erfolgter Anmeldung den Benutzern eine Nachricht > (<file>/etc/motd</file> und <file>/run/motd.dynamic</file>) anzeigen > (standardmäßig aktiviert)." Fehler im Original: Komma statt Satzpunkt. > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1135 > msgid "FIXME (BUG): Is it a bug that the default <file>ftpusers</file> > in Debian does <em>not</em> include all the administrative users (in > <package>base-passwd</package>)." > msgstr "FIXME (FEHLER): Ist es ein Fehler, dass <file>ftpusers</file> in > Debian standardmäßig <em>nicht</em> die Benutzer mit > Administratorenrecht (in <package>base-passwd</package>) beinhaltet?" Warum formulierst Du die Aussage des Originals in eine Frage in der Übersetzung um? > #. type: <p><example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1139 > msgid "A convenient way to add all system accounts to the > <file>/etc/ftpusers</file> is to run" > msgstr "Folgender Befehl ist ein einfacher Weg, alle Systemkonten zu > <file>/etc/ftpusers</file> hinzuzufügen:" s/einfacher/bequemer/ > #. type: <example></example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1141 > #, no-wrap > msgid "$ awk -F : '{if ($3<1000) print $1}' /etc/passwd > /etc/ftpusers" > msgstr "$ awk -F : '{if ($3<1000) print $1}' /etc/passwd > /etc/ftpusers" Wäre hier (im Original) nicht s/>/>>/ sinnvoller? > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1167 > msgid "<prgn>sudo</prgn> allows the user to execute defined commands > under another user's identity, even as root. If the user is added to > <file>/etc/sudoers</file> and authenticates himself correctly, he is > able to run commands which have been defined in > <file>/etc/sudoers</file>. Violations, such as incorrect passwords or > trying to run a program you don't have permission for, are logged and > mailed to root." > msgstr "<prgn>Sudo</prgn> erlaubt es dem Benutzer, ein definiertes > Kommando unter einer anderen Benutzeridentität auszuführen, sogar als > Root. Wenn der Benutzer zu <file>/etc/sudoers</file> hinzugefügt ist und > sich korrekt authentifiziert, ist er in der Lage, Kommandos, die in > <file>/etc/sudoers</file> definiert wurden, auszuführen. > Sicherheitsverletzungen, wie ein inkorrektes Passwort oder der Versuch > ein Programm auszuführen, für das die Rechte nicht ausreichen, werden > protokolliert und an Root gemailt." s/ein definiertes Kommando/bestimmte Befehle/ s/Kommandos/Befehle/ > #. type: <p><example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1177 > msgid "You need to add the following line to > <file>/etc/security/access.conf</file>, the default Debian configuration > file has a sample line commented out:" > msgstr "Sie müssen die folgende Zeile zu Ihrer > <file>/etc/security/access.conf</file> hinzufügen, die Debians > Standardkonfigurationsdatei hat ein Beispiel auskommentiert:" s/die Debians/Debians/ ggfs. s/auskommentiert/kommentiert/ (Oder umschreiben) > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1186 > msgid "Remember to enable the <tt>pam_access</tt> module for every > service (or default configuration) in <file>/etc/pam.d/</file> if you > want your changes to <file>/etc/security/access.conf</file> honored." > msgstr "Vergessen Sie nicht, in <file>/etc/pam.d/</file> das > <tt>pam_access</tt>-Module für jeden Dienst (oder jede > Standardkonfiguration) anzuschalten, wenn Sie wollen, dass Ihre > Änderungen an <file>/etc/security/access.conf</file> berücksichtigt werden." s/oder jede/oder die/ > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1195 > msgid "Sometimes you might think you need to have users created in your > local system in order to provide a given service (pop3 mail service or > ftp). Before doing so, first remember that the PAM implementation in > Debian GNU/Linux allows you to validate users with a wide variety of > external directory services (radius, ldap, etc.) provided by the libpam > packages." > msgstr "Manchmal werden Sie denken, dass Sie einen Benutzer auf Ihrem > System erstellen müssen, um einen bestimmten Dienst (Pop3-Mail-Server > oder Ftp) anzubieten. Bevor Sie dies tun, denken Sie zuerst daran, dass > die PAM-Implementierung in Debian GNU/Linux Ihnen erlaubt, Benutzer mit > einer breiten Auswahl von externen Verzeichnisdiensten (Radius, Ldap > etc.) zu bestätigen. Dies wird vom Paket libpam bewerkstelligt." s/Mail/E-Mail/ s/Ldap/LDAP/ s/bestätigen/überprüfen/ > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1206 > msgid "If users need to be created and the system can be accessed > remotely take into account that users will be able to log in to the > system. You can fix this by giving users a null (<file>/dev/null</file>) > shell (it would need to be listed in <file>/etc/shells</file>). If you > want to allow users to access the system but limit their movements, you > can use the <file>/bin/rbash</file>, equivalent to adding the > <tt>-r</tt> option in <prgn>bash</prgn> (<em>RESTRICTED SHELL</em> see > <manref name=\"bash\" section=\"1\">). Please note that even with > restricted shell, a user that access an interactive program (that might > allow execution of a subshell) could be able to bypass the limits of the > shell." > msgstr "Wenn Sie einen Benutzer anlegen müssen und auf Ihr System aus > der Ferne zugegriffen werden kann, beachten Sie, dass es Benutzern > möglich sein wird, sich einzuloggen. Sie können dies beheben, indem Sie > diesen Benutzern eine Null (<file>/dev/null</file>) als Shell (sie muss > in <file>/etc/shells</file> aufgelistet sein) zuweisen. Wenn Sie den > Benutzern erlauben wollen, auf das System zuzugreifen, aber ihre > Bewegungen einschränken wollen, können Sie <file>/bin/rbash</file> > benutzen. Dies hat das gleiche Ergebnis, wie wenn Sie die <tt>-r</tt> > Option der <prgn>Bash</prgn> (<em>RESTRICTED SHELL</em>, siehe <manref > name=\"bash\" section=\"1\">) verwendet hätten. Beachten Sie bitte, dass > sogar mit einer beschränkten Shell ein Benutzer, der auf ein > interaktives Programm zugreifen kann (das ihm erlaubt, eine Subshell > auszuführen), diese Limitierung der Shell umgehen kann." s/einzuloggen/anzumelden/ s/eine Null/Null/ s#<tt>-r</tt> Option#Option <tt>-r</tt># > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1214 > msgid "Debian currently provides in the unstable release (and might be > included in the next stable releases) the <file>pam_chroot</file> module > (in the <package>libpam-chroot</package>). An alternative to it is to > <prgn>chroot</prgn> the service that provides remote logging > (<prgn>ssh</prgn>, <prgn>telnet</prgn>). > <footnote><p><package>libpam-chroot</package> has not been yet > thoroughly tested, it does work for <prgn>login</prgn> but it might not > be easy to set up the environment for other programs</p></footnote>" > msgstr "Debian bietet zurzeit in seiner Unstable-Veröffentlichung (und > wird es vielleicht der nächsten Stable-Veröffentlichung hinzufügen) das > Modul <file>pam_chroot</file> (in <package>libpam-chroot</package>) an. > Eine Alternative hierzu ist es, die Dienste, die eine Fernanmeldung > ermöglichen (<prgn>Ssh</prgn> und <prgn>Telnet</prgn>), in einer > <prgn>Chroot</prgn>-Umgebung laufen zu lassen. > <footnote><package>libpam-chroot</package> wurden noch nicht vollständig > getestet. Es funktioniert mit <prgn>Login</prgn>, aber es dürfte nicht > leicht sein, diese Umgebung für andere Programme einzurichten.</footnote>" An den Originalautor: Lt. Website ist das PAM-Modul sowohl in Stable als auch in Oldstable ...; auch hat Ssh IMHO jetzt eine eigene Chroot integriert? > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1222 > msgid "Information on how to <prgn>chroot</prgn> users accessing the > system through the <prgn>ssh</prgn> service is described in <ref > id=\"chroot-ssh-env\">." > msgstr "Informationen, wie man Benutzer, die auf das System mittels dem > <prgn>Ssh</prgn>-Dienst zugreifen, in eine <prgn>Chroot</prgn>-Umgebung > einsperrt, wird in <ref id=\"chroot-ssh-env\"> beschrieben." s#dem <prgn>Ssh</prgn>-Dienst#des Dienstes <prgn>Ssh</prgn># > #. type: <p><example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1236 > msgid "You can use the <prgn>script</prgn> command to audit both what > the users run and what are the results of those commands. You cannot > setup <prgn>script</prgn> as a shell (even if you add it to > <file>/etc/shells</file>). But you can have the shell initialization > file run the following:" > msgstr "Um sowohl die von den Benutzern ausführten Programme als auch > deren Ergebnisse zu überwachen, können Sie den Befehl > <prgn>script</prgn> verwenden. Sie können <prgn>script</prgn> nicht als > eine Shell einsetzen (auch dann nicht, wenn Sie es zu > <file>/etc/shells</file> hinzufügen). Aber Sie können in die Datei, > welche den Startvorgang der Shell steuert, folgendes eintragen:" s/ausführten/ausgeführten/ > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1246 > msgid "Of course, if you do this system wide it means that the shell > would not continue reading personal initialization files (since the > shell gets overwritten by <prgn>script</prgn>). An alternative is to do > this in the user's initialization files (but then the user could remove > this, see the comments about this below)" > msgstr "Wenn Sie systemweit vornehmen, bedeutet dies natürlich, dass die > Shell die weiteren persönlichen Startdateien nicht abarbeitet (weil die > Shell von <prgn>script</prgn> überschrieben wird). Eine Alternative ist, > die in den Startdateien des Benutzers vorzunehmen (dann kann der > Benutzer aber dies entfernen, vgl. dazu die Anmerkungen unten)." s/Sie systemweit/Sie dies systemweit/ s/die in /dies in/ > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1253 > msgid "You also need to setup the files in the audit directory (in the > example <file>/var/log/sessions/</file>) so that users can write to it > but cannot remove the file. This could be done, for example, by creating > the user session files in advance and setting them with the > <em>append-only</em> flag using <prgn>chattr</prgn>." > msgstr "Sie müssen auch die Dateien im Audit-Verzeichnis (im Beispiel > <file>/var/log/sessions/</file>) so einrichten, dass die Benutzer in sie > schreiben können, sie aber nicht löschen können. Dies kann zum Beispiel > bewerkstelligt werden, indem die Sitzungsdateien der Benutzer vorab > erstellt werden und mit <prgn>chattr</prgn> auf <em>append-only</em> > (nur anfügen) gesetzt werden." s/können, sie/, sie/ s/erstellt werden und/erstellt und/ > #. type: <heading></heading> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1265 > msgid "Using the shell history file" > msgstr "Die Verlaufsdatei der Shell benutzen" Ich persönlich finde s/Verlauf/Chronik/ besser, aber beides ist in der Wortliste. > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1272 > msgid "If you want to review what does the user type in the shell (but > not what the result of that is) you can setup a system-wide > <file>/etc/profile</file> that configures the environment so that all > commands are saved into a history file. The system-wide configuration > needs to be setup in such a way that users cannot remove audit > capabilities from their shell. This is somewhat shell specific so make > sure that all users are using a shell that supports this." > msgstr "Wenn Sie auswerten wollen, was die Benutzer in die Shell > eingeben (aber nicht was das Ergebnis ist), können Sie eine systemweite > <file>/etc/profile</file> so einrichten, dass alle Befehle in der > <tt>Verlaufsdatei</tt> gespeichert werden. Die systemweite Einstellung > muss so eingerichtet werden, dass Benutzer die Auditmöglichkeit nicht > aus ihrer Shell entfernen können. Ob dies möglich ist, hängt von der Art > der Shell ab. Sie müssen also sicherstellen, dass alle Benutzer eine > Shell verwenden, die das unterstützt." s/Befehle in der/Befehle in einer/ Warum hast Du »Verlaufsdatei« mit <tt> ausgezeichnet? Weiter oben hast Du »audit« mit »überwachen« übersetzt (was ich nicht optimal, aber noch machbar fand), seit ein paar Absätzen (und auch hier) übersetzt Du es mit »audit«, was ich zwar besser finde, aber ich auch weiss, dass nicht allen Listenteilnehmern der Begriff was sagt und in diesem Kontext ggf. es nicht die beste Übersetzung ist. Wie dem auch sei, es sollte ggf. einheit(licher) sein. s/...möglichkeit/...fähigkeit/ > #. type: <p><example> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1285 > msgid "For example, for bash, the <file>/etc/profile</file> could be set > as follows <footnote><p>Setting HISTSIZE to a very large number can > cause issues under some shells since the history is kept in memory for > every user session. You might be safer if you set this to a high-enough > value and backup user's history files (if you need all of the user's > history for some reason)</p></footnote> :" > msgstr "Für die Bash zum Beispiel könnte <file>/etc/profile</file> > folgendermaßen aufgebaut werden <footnote> Wenn HISTSIZE eine sehr große > Zahl zugewiesen wird, kann dies bei einigen Shells zu Problemen führen, > da der Verlauf für jede Sitzung eines Benutzers im Speicher abgelegt > wird. Sie sind auf der sichereren Seite, wenn Sie HISTSIZE auf einen > ausreichend großen Wert setzen und eine Kopie der History-Datei des > Benutzers anlegen (falls Sie aus irgendwelchen Gründen den ganzen > Verlauf von einem Benutzer benötigen). </footnote>:" s/History-Datei/Verlaufsdatei/ (oder »der Datei <file>.history</file>«) > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1310 > msgid "For this to work, the user can only append information to > <file>.bash_history</file> file. You need <em>also</em> to set the > <em>append-only</em> option using <prgn>chattr</prgn> program for > <file>.bash_history</file> for all users. <footnote><p>Without the > append-only flag users would be able to empty the contents of the > history file running <tt> > .bash_history</tt></p></footnote>." > msgstr "Damit dies funktioniert, dürfen die Benutzer nur Informationen > zur <file>.bash_history</file>-Datei hinzufügen. Sie müssen daher > <em>zusätzlich</em> die <em>append-only</em>-Option (nur anfügen) > mittels des Programms <prgn>Chattr</prgn> für die > <file>.bash_history</file> aller Benutzer setzen <footnote> Ohne das > Append-Only-Flag wäre es den Benutzern möglich, den Inhalt des Verlaufs > zu löschen, indem sie <tt>> .bash_history</tt> ausführen. </footnote>." s/> .bash_history/ > .bash_history/ > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1321 > msgid "Note that you could introduce the configuration above in the > user's <file>.profile</file>. But then you would need to setup > permissions properly in such a way that prevents the user from modifying > this file. This includes: having the user's home directories > <em>not</em> belong to the user (since he would be able to remove the > file otherwise) but at the same time enable them to read the > <file>.profile</file> configuration file and write on the > <file>.bash_history</file>. It would be good to set the > <em>immutable</em> flag (also using <prgn>chattr</prgn>) for > <file>.profile</file> too if you do it this way." > msgstr "Beachten Sie, dass Sie obige Konfiguration auch in > <file>.profile</file> des Benutzers eintragen können. Dann müssten Sie > aber die Rechte korrekt vergeben, so dass der Benutzer daran gehindert > ist, diese Datei zu verändern. Dies schließt ein, dass das > Home-Verzeichnis des Benutzers diesem <em>nicht</em> gehört (sonst > könnte er die Datei einfach löschen). Gleichzeitig müsste ihm ermöglicht > werden, die Konfigurationsdatei <file>.profile</file> zu lesen und in > <file>.bash_history</file> zu schreiben. Falls Sie diesen Weg gehen > wollen, wäre es auch gut, das Flag <em>immutable</em> (unveränderbar) > für <file>.profile</file> zu setzen (auch dazu verwenden Sie > <prgn>Chattr</prgn>)." s/diesen Weg gehen/diese Variante wählen/ s/das Flag/den Schalter/ > #. type: <heading></heading> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1323 > msgid "Complete user audit with accounting utilities" > msgstr "Vervollständigung der Benutzerüberwachung durch > Accounting-Werkzeuge" Weiter unten hast Du »accounting« übersetzt, bewusst? (Falls ja, dann ggf. bei Audit weiter oben ebenfalls in der Überschrift unübersetzt lassen und dann im Text vorstellen) > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1330 > msgid "The previous example is a simple way to configure user auditing > but might be not useful for complex systems or for those in which users > do not run shells at all (or exclusively). If this is your case, you > need to look at <package>acct</package>, the accounting utilities. These > utilities will log all the commands run by users or processes in the > system, at the expense of disk space." > msgstr "Die vorherigen Beispiele sind ein einfacher Weg, um die > Überwachung von Benutzern einzurichten. Sie eignen sich aber nicht > unbedingt für komplexe Systeme oder für solche, auf denen die Benutzer > überhaupt keine (oder ausschließlich) Shells am Laufen haben. Sollte > dies der Fall sein, schauen Sie sich das Paket <package>acct</package> > an, das Werkzeuge zur Auswertung (accounting utilities) enthält. Diese > werden alle Kommandos, die ein Benutzer oder ein Prozess auf dem System > ausführt, – auf die Kosten von Plattenplatz – aufzeichnen." s/sind ein enfacher Weg/stellen eine einfache Art dar/ s/Kommandos/Befehle/ > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1336 > msgid "When activating accounting, all the information on processes and > users is kept under <file>/var/account/</file>, more specifically in the > <file>pacct</file>. The accounting package includes some tools > (<prgn>sa</prgn>, <prgn>ac</prgn> and <prgn>lastcomm</prgn>) to analyse > this data." > msgstr "Wenn Sie diese Auswertung aktivieren, werden alle Informationen > über Prozesse und Benutzer unter <file>/var/account/</file> gespeichert, > genauer gesagt in <file>pacct</file>. Das Accounting-Paket schließt > einige Werkzeuge (<prgn>Sa</prgn>, <prgn>Ac</prgn> und > <prgn>Lastcomm</prgn>) zur Analyse dieser Daten ein." s/Accounting-Paket/Auswertepaket/ (ggf.) s/schließt ... ein/enthält .../ > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1350 > msgid "If you are completely paranoid and want to audit every user's > command, you could take <prgn>bash</prgn> source code, edit it and have > it send all that the user typed into another file. Or have > <package>ttysnoop</package> constantly monitor any new ttys > <footnote><p>Ttys are spawned for local logins and remote logins through > ssh and telnet</p></footnote> and dump the output into a file. Other > useful program is <package>snoopy</package> (see also <url > id=\"http://sourceforge.net/projects/snoopylogger/\" name=\"the project > page\">) which is a user-transparent program that hooks in as a library > providing a wrapper around <var>execve()</var> calls, any command > executed is logged to <prgn>syslogd</prgn> using the <tt>authpriv</tt> > facility (usually stored at <file>/var/log/auth.log</file>)." > msgstr "Wenn Sie wirklich paranoid sind und jedes Kommando des Benutzers > protokollieren wollen, können Sie den Quellcode der <prgn>Bash</prgn> so > ändern, dass sie alles, was der Benutzer eingibt, in einer anderen Datei > ablegt. Oder Sie lassen <package>Ttysnoop</package> ununterbrochen jedes > neue tty<footnote>Ttys werden für lokale und entfernte Anmeldungen mit > Ssh und Telnet erzeugt. </footnote> überwachen und die Ausgaben in einer > Datei speichern. Ein anderes nützliches Programm ist > <package>snoopy</package> (vergleichen Sie auch <url > id=\"http://sourceforge.net/projects/snoopylogger/\" name=\"the project > page\">). Dies ist ein für den Benutzer transparentes Programm, das sich > als eine Bibliothek einhängt und eine Hülle um > <var>execve()</var>-Aufrufe bildet. Jedes ausgeführte Kommando wird im > <prgn>syslogd</prgn> aufgezeichnet, indem die > <tt>authpriv</tt>-Möglichkeit benutzt wird (üblicherweise wird dies > unter <file>/var/log/auth.log</file> gespeichert)." s/jedes Kommando/jeden Befehl/ s/des Benutzers/jedes Benutzers/ s/entfernte Anmeldungen/Anmeldungen aus der Ferne/ s/Jedes ausgeführte Kommando/Jeder ausgeführte Befehl/ Hast Du die Übersetzung von »facility« aus der (rs)syslog-Doku? > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1363 > msgid "In case you have accounting activated, you can also use the tools > provided by it in order to determine when the users access the system > and what do they execute." > msgstr "Für den Fall, dass Sie Accounting aktiviert haben, können Sie > auch die mitgelieferten Werkzeuge verwenden, um festzustellen, wann > Benutzer auf das System zugreifen und was sie ausführen." Hier »Accounting« wieder unübersetzt? > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1369 > msgid "Depending on your user policy you might want to change how > information is shared between users, that is, what the default > permissions of new files created by users are." > msgstr "Abhängig von Ihren Richtlinien möchten Sie ändern, wie Benutzer > Informationen untereinander teilen können. Dabei geht es um die > Standardrechte von neu erstellten Dateien." s/Richtlinien/Benutzerrichtlinien/ s/untereinander teilen können/gemeinsam benutzen können/ > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1375 > msgid "Debian's default <tt>umask</tt> setting is <em>022</em> this > means that files (and directories) can be read and accessed by the > user's group and by any other users in the system. This definition is > set in the standard configuration file <file>/etc/profile</file> which > is used by all shells." > msgstr "Das Standardwert von <tt>Umask</tt> ist in Debian <em>022</em>. > Das bedeutet, dass die Gruppe des Benutzers und alle anderen Benutzers > auf dem System die Dateien (und Verzeichnisse) lesen und darauf > zugreifen kann. Dieser Wert wird in der Standardkonfigurationsdatei > <file>/etc/profile</file> gesetzt, die von allen Shells verwendet wird." Fehler im Original s/other users/other user/ > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1401 > msgid "This change is set by defining a proper <tt>umask</tt> setting > for all users. You can change this by introducing an <prgn>umask</prgn> > call in the shell configuration files: <file>/etc/profile</file> (source > by all Bourne-compatible shells), <file>/etc/csh.cshrc</file>, > <file>/etc/csh.login</file>, <file>/etc/zshrc</file> and probably some > others (depending on the shells you have installed on your system). You > can also change the <var>UMASK</var> setting in > <file>/etc/login.defs</file>, Of all of these the last one that gets > loaded by the shell takes precedence. The order is: the default system > configuration for the user's shell (i.e. <file>/etc/profile</file> and > other system-wide configuration files) and then the user's shell (his > <file>~/.profile</file>, <file>~/.bash_profile</file>, etc...). Some > shells, however, can be executed with a <em>nologin</em> value which > might skip sourcing some of those files. See your shell's manpage for > additional information." > msgstr "Dies ändern Sie, indem Sie eine passende <tt>Umask</tt> für alle > Benutzer einstellen. Dazu müssen Sie einen <prgn>umask</prgn>-Aufruf in > den Konfigurationsdateien aller Shells einfügen: > <file>/etc/profile</file> (wird von allen Shells beachtet, die > kompatibel mit Bourne sind), <file>/etc/csh.cshrc</file>, > <file>/etc/csh.login</file>, <file>/etc/zshrc</file> und wahrscheinlich > noch ein paar andere (je nachdem, welche Shells Sie auf Ihrem System > installiert haben). Sie können auch die <var>UMASK</var>-Einstellung in > <file>/etc/login.defs</file> verändern. Von all diesen Dateien erlangt > die letzte, die von der Shell geladen wird, Vorrang. Die Reihenfolge > lautet: die Standard-System-Konfiguration für die Shell des Benutzers > (d.h. <file>/etc/profile</file> und andere systemweite > Konfigurationsdateien) und dann die Shell des Benutzers (seine > <file>~/.profile</file>) und <file>~/.bash_profile</file> etc.). > Allerdings können einige Shells mit dem <em>nologin</em>-Wert ausgeführt > werden, was verhindern kann, dass einige dieser Dateien ausgewertet > werden. Sehen Sie in der Handbuchseite Ihrer Shell für weitere > Informationen nach." s/System-Konfiguration/Systemkonfiguration/ s/) und/, / > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1413 > msgid "Don't forget to review and maybe modify the dotfiles under > <file>/etc/skel/</file> since these will be new user's defaults when > created with the <prgn>adduser</prgn> command. Debian default dotfiles > do not include any <prgn>umask</prgn> call but if there is any in the > dotfiles newly created users might a different value." > msgstr "Vergessen Sie nicht, die Dateien unter <file>/etc/skel/</file> > zu überprüfen und gegebenenfalls anzupassen, da dort die Standards für > Benutzer festgelegt werden, die mit dem Befehl <prgn>adduser</prgn> > erstellt werden. Standardmäßig enthalten die Dateien in Debian keinen > Aufruf von <prgn>umask</prgn>. Wenn sich aber ein solcher in > Konfigurationsdateien befindet, sind neue Benutzer eher geneigt, ihn > ihren Bedürfnissen anzupassen." Den letzten Satz im Original verstehe ich nicht, Deine Übersetzung klingt aber logisch. Sollte ggf. mit dem Originalautor abgeklärt werden (ist der Satz im Original ggf. unvollständig?) > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1451 > msgid "some configuration files in <file>/etc</file>. However, Debian's > default permissions for some sensitive files (which might, for example, > contain passwords), will prevent access to critical information. To see > which files are only accessible by the root user for example <tt>find > /etc -type f -a -perm 600 -a -uid 0</tt> as superuser." > msgstr "Einige Konfigurationsdateien unter <file>/etc</file>. Jedoch > werden Debians Standardrechte für sensible Dateien (die zum Beispiel > Passwörter enthalten könnten) den Zugriff auf kritische Informationen > verhindern. Um zu sehen, auf welche Dateien nur der Root-Benutzer > zugreifen kann, führen Sie zum Beispiel <tt>find /etc -type f -a -perm > 600 -a -uid 0</tt> als Superuser aus." Fehler im Original: Im letzten Satz fehlt ein Verb wie "run" oder "execute" > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1455 > msgid "your installed packages, either by looking at the package > database, at the <file>/usr/share/doc</file> directory or by guessing by > looking at the binaries and libraries installed in your system." > msgstr "Ihre installierten Pakete. Indem man die Paket-Datenbank und das > <file>/usr/share/doc</file>-Verzeichnis ansieht, oder indem man mit > Hilfe der auf Ihrem System installierten Binaries und Bibliotheken > versucht zu raten." 1. Ich würde »man« eher vermeiden zu versuchen. 2. Entweder oder. Somit würde ich den zweiten Satz wie folgt schreiben (enthält weitere Änderungen!): Indem entweder die Paketdatenbank und das Verzeichnis <file>/usr/share/doc/</file> angesehen wird oder indem versucht wird, dies durch Anschauen der auf Ihrem System installierten Programme und Bibliotheken zu raten. > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1490 > msgid "In Debian each user is created with one associated group, and no > two users belong to the same group. This is the default behavior: when > an user account is created, a group of the same name is created too, and > the user is assigned to it. This avoids the concept of a common > <em>users</em> group which might make it more difficult for users to > hide information from other users." > msgstr "In Debian wird jeder Benutzer mit einer zugehörigen Gruppe > erstellt. Verschiedene Benutzer gehören dabei nie zur selben Gruppe. > Folgendes ist das Standardverhalten: Wenn ein Benutzerkonto angelegt > wird, wird auch eine Gruppe mit dem gleichen Namen erstellt. Dieser > Gruppe wird der Benutzer zugewiesen. Damit wird die Idee einer > allgemeinen <em>users</em>-Gruppe überflüssig, die es Benutzern > erschweren könnte, Informationen vor anderen Benutzern zu verstecken." s/In Debian/Unter Debian/ > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1517 > msgid "Note that disabling world-readable home directories will prevent > users from creating their personal web pages in the > <file>~/public_html</file> directory, since the web server will not be > able to read one component in the path - namely their <var>$HOME</var> > directory. If you want to permit users to publish HTML pages in their > <file>~/public_html</file>, then change <em>DIR_MODE</em> to 0751. This > will allow the web server to access the final <file>public_html</file> > directory (which itself should have a mode of 0755) and provide the > content published by users. Of course, we are only talking about a > default configuration here; users can generally tune modes of their own > files completely to their liking, or you could keep content intended for > the web in a separate location which is not a subdirectory of user's > <var>$HOME</var> directory." > msgstr "Wenn Sie den Lesezugriff auf die Home-Verzeichnisse für die Welt > verhindert, sollten Sie beachten, dass dann Benutzer ihre persönlichen > Webseiten nicht unter <file>~/public_html</file> erstellen können, da > der Webserver einen Teil des Pfads nicht lesen kann – und zwar das > <var>$HOME</var>-Verzeichnis. Wenn Sie es Benutzern erlauben wollen, > ihre HTML-Seiten in ihrem <file>~/public_html</file> zu veröffentlichen, > sollten Sie <em>DIR_MODE</em> auf 0751 setzen. Das ermöglicht dem > Webserver Zugang zum <file>public_html</file>-Verzeichnis <!--SB > (20050304): Übersetzung von \"the final <file>public_html</file> > directory\"? Final=endgültig? --> (welches selber die Rechte 0755 haben > sollte). So kann er den von den Benutzern veröffentlichten Inhalt > anbieten. Natürlich sprechen wir hier nur über die Standardeinstellung. > Benutzer können grundsätzlich die Rechte für ihre eigenen Dateien nach > ihrem Gutdünken vergeben. Oder Sie können die Dinge, die für das Web > bestimmt sind, in einem getrennten Ort ablegen, der kein > Unterverzeichnis vom <var>$HOME</var>-Verzeichnis des Benutzers ist." Auch auf Deine Frage (bitte im Text entfernen) s/Zugang zum/Zugriff auf das eigentliche/ (Ich würde beim Deutschen in der Übersetzung wenn möglich zwischen Zugang, Zugriff und Zutritt unterscheiden, siehe auch oben) > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1550 > msgid "<prgn>Passwd</prgn> does not allow non-interactive assignation of > passwords (since it uses direct tty access). If you want to change > passwords when creating a large number of users you can create them > using <prgn>adduser</prgn> with the <tt>--disabled-login</tt> option and > then use <prgn>usermod</prgn> or <prgn>chpasswd</prgn> > <footnote><p><prgn>Chpasswd</prgn> cannot handle MD5 password generation > so it needs to be given the password in encrypted form before using it, > with the <tt>-e</tt> option.</p></footnote> (both from the > <package>passwd</package> package so you already have them installed). > If you want to use a file with all the information to make users as a > batch process you might be better off using <prgn>newusers</prgn>." > msgstr "<prgn>Passwd</prgn> erlaubt nur die interaktive Zuweisung von > Passwörtern (da es direkt den tty-Zugang benutzt). Wenn Sie Passwörter > ändern wollen, wenn Sie eine große Anzahl von Benutzern erstellen, > können Sie diese unter der Verwendung von <prgn>adduser</prgn> mit der > <tt>--disabled-login</tt>-Option erstellen, und danach > <prgn>usermod</prgn> oder <prgn>chpasswd</prgn> <footnote> > <prgn>Chpasswd</prgn> kann keine MD5-Passwörter erzeugen. Daher muss ihm > das Passwort in verschlüsselter Form übergeben werden, bevor es mit der > <tt>-e</tt>-Option verwendet werden kann. </footnote> benutzen (beide > Programme stammen aus dem <package>passwd</package>-Paket. Sie haben sie > also schon installiert). Wenn Sie lieber eine Datei verwenden, die alle > Informationen zur Erstellung von Benutzern als Batch-Prozess enthält, > sind Sie vielleicht mit <prgn>newusers</prgn> besser dran." s#übergeben werden, bevor es mit der <tt>-e</tt>-Option verwendet werden kann.#der Option <tt>-e</tt> übergeben werden.# > #. type: <heading></heading> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1552 > msgid "Checking user passwords" > msgstr "Kontrolle der Benutzerpasswörter" s/Kontrolle/Überprüfung/ > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1564 > msgid "User passwords can sometimes become the <em>weakest link</em> in > the security of a given system. This is due to some users choosing weak > passwords for their accounts (and the more of them that have access to > it the greater the chances of this happening). Even if you established > checks with the cracklib PAM module and password limits as described in > <ref id=\"auth-pam\"> users will still be able to use weak passwords. > Since user access might include remote shell access (over > <prgn>ssh</prgn>, hopefully) it's important to make password guessing as > hard as possible for the remote attackers, especially if they were > somehow able to collect important information such as usernames or even > the <file>passwd</file> and <file>shadow</file> files themselves." > msgstr "Die Passwörter der Benutzer sind manchmal die <em>schwächste > Stelle</em> der Sicherheit eines Systems. Das liegt daran, dass manche > Benutzer schwache Passwörter für ihr Konto wählen (und je mehr Benutzer > Zugang zum System haben, umso größer die Chance, dass das passiert). > Selbst wenn Sie Überprüfungen mit dem PAM-Module cracklib und Grenzen > für Passwörter einsetzen, wie in <ref id=\"auth-pam\"> beschrieben wird, > ist es Benutzern immer noch möglich, schwache Passwörter zu verwenden. > Da der Zugang der Benutzer auch den Zugang aus der Ferne (hoffentlich > über <prgn>Ssh</prgn>) umfassen kann, ist es wichtig, dass das Erraten > von Passwörtern für entfernte Angreifer so schwierig wie möglich ist. > Dies gilt insbesondere dann, wenn es ihnen gelungen sein sollte, Zugang > zu wichtigen Informationen wie den Benutzernamen oder sogar den Dateien > <file>passwd</file> und <file>shadow</file> selbst zu bekommen." s/Zugang zum/Zugriff auf/ (s.o.) s/entfernte Angreifer/Angreifer aus der Ferne/ > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1579 > msgid "An administrator can use <package>john</package> or > <package>crack</package> (both are brute force password crackers) > together with an appropriate wordlist to check users' passwords and take > appropriate action when a weak password is detected. You can search for > Debian GNU packages that contain word lists using <prgn>apt-cache search > wordlist</prgn>, or visit the classic Internet wordlist sites such as > <url id=\"ftp://ftp.ox.ac.uk/pub/wordlists\"> or <url > id=\"ftp://ftp.cerias.purdue.edu/pub/dict\">." > msgstr "Ein Administrator kann <package>john</package> oder > <package>crack</package> (beide benutzen Brute-Force (rohe Gewalt) zum > Knacken von Passwörtern) zusammen mit einer passenden Wörterliste > verwenden, um die Passwörter der Benutzer zu überprüfen, und falls ein > schlechtes Passwort entdeckt wird, geeignete Schritte unternehmen. Sie > können mit <prgn>apt-cache search wordlist</prgn> nach > Debian/GNU-Paketen suchen, die Wörterlisten enthalten, oder Sie besuchen > die klassischen Internetseiten mit Wörterlisten wie <url > id=\"ftp://ftp.ox.ac.uk/pub/wordlists\"> oder <url > id=\"ftp://ftp.cerias.purdue.edu/pub/dict\">." Gibt es da auch deutsche Varianten, die als Beispiel verwandt werden können? Ansonsten ggf. ein Satz dazu? > #. type: <p><list> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1586 > msgid "Idle users are usually a security problem, a user might be idle > maybe because he's out to lunch or because a remote connection hung and > was not re-established. For whatever the reason, idle users might lead > to a compromise:" > msgstr "Untätige (idle) Benutzer stellen für gewöhnlich ein > Sicherheitsproblem dar. Ein Benutzer kann untätig sein, da er > Mittagessen ist, oder weil eine entfernte Verbindung hängen blieb und > nicht wieder hergestellt wurde. Unabhängig von den Gründen können > untätige Benutzer zu einer Kompromittierung führen:" s/entfernte Verbindung/Verbindung aus der Ferne/ > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1594 > msgid "because an attacker might be able to re-attach himself to a > closed network connection and send commands to the remote shell (this is > fairly easy if the remote shell is not encrypted as in the case of > <prgn>telnet</prgn>)." > msgstr "weil ein Angreifer an eine schon beendete Netzwerkverbindung > anknüpfen und Befehle an die entfernte Shell schicken kann (das ist > ziemlich einfach, wenn die entfernte Shell, wie bei <prgn>Telnet</prgn>, > nicht verschlüsselt ist)." s/entfernte Shell/Shell in der Ferne/g > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1599 > msgid "Some remote systems have even been compromised through an idle > (and detached) <prgn>screen</prgn>." > msgstr "In einige entfernte System wurde sogar schon durch ein untätiges > (und abgelöstes) <prgn>Screen</prgn> eingedrungen." s/entfernte Systeme/System in der Ferne/ > #. type: <p><list> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1602 > msgid "Automatic disconnection of idle users is usually a part of the > local security policy that must be enforced. There are several ways to > do this:" > msgstr "Die automatische Trennung von untätigen Benutzern ist gewöhnlich > ein Teil der lokalen Sicherheitsrichtlinie, die durchgesetzt werden > muss. Es gibt mehrere Wege, dies zu tun:" s/Es gibt mehrere Wege, dies zu tun:/Es gibt mehrere Arten, dies zu erreichen:/ > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1609 > msgid "If <prgn>bash</prgn> is the user shell, a system administrator > can set a default <tt>TMOUT</tt> value (see <manref name=\"bash\" > section=\"1\">) which will make the shell automatically log off remote > idle users. Note that it must be set with the <tt>-o</tt> option or > users will be able to change (or unset) it." > msgstr "Wenn die Shell des Benutzers die <prgn>Bash</prgn> ist, kann ein > Systemadministrator <tt>TMOUT</tt> einen Standardwert zuweisen > (vergleich <manref section=\"1\" name=\"bash\">). Das hat zur Folge, > dass die Shell automatisch entferne untätige Benutzer abmeldet. Beachten > Sie, dass der Wert mit der Option <tt>-o</tt> gesetzt werden muss. > Ansonsten ist es den Benutzern möglich, ihn zu verändern (oder zu löschen)." s/entfernte untätige Benutzer/untätige Benutzer aus der Ferne/ > #. type: <p></p> > #: securing-debian-howto.en.sgml:52 > #: en/after-install.sgml:1616 > msgid "Install <package>timeoutd</package> and configure > <file>/etc/timeouts</file> according to your local security policy. The > daemon will watch for idle users and time out their shells accordingly." > msgstr "Installieren Sie <package>Timeoutd</package> und konfigurieren > Sie <file>/etc/timeouts</file> passend zu Ihren lokalen > Sicherheitsrichtlinien. Der Daemon achtet auf untätige Benutzer und > beendet gegebenenfalls ihre Shells." s/gegebenenfalls/entsprechend/ So, dass war dieser Teil. Du/Wir (=Liste) müssen überlegen, wie wir jetzt weiter vorgehen. Das Dokument ist sehr wichtig und vielen Dank, dass Du Dich ihm angenommen hast. Allerdings ist es auch teilweise veraltet (ein paar Anmerkungen konnte ich mir ja nicht verkneifen), könnten auch sprachlich einer Korrektur (des englischen Originals) gut vertragen. Und gerade dieser Abschnitt (Überwachung der Benutzer) ist aus deutscher Sicht zudem kritisch zu sehen (Thema Datenschutz), hier müsste meiner Meinung nach auf jeden Fall noch eine entsprechende Anmerkung rein. Da mich die Korrektur sehr viel Zeit kostet (ich habe über die letzten Wochen an diesem Teil immer wieder gearbeitet) und vor dem Hintergrund der im letzten Absatz angesprochenen Punkte werde ich weitere Teile voraussichtlich erst mal nicht (mehr) korrekturlesen, was ausdrücklich *nicht* gegen Dich und Deine Übersetzung gerichtet ist. Sofern sich weitere Korrekturleser finden will ich natürlich nicht ausschließen, dass ich später auch noch mal Teile übernehme. Zm Schluss möchte ich auch noch mal anmerken, dass ein paar Korrekturen genereller Natur sind (z.T. habe ich das auch an den Stellen angemerkt), z.B. zum Thema "remote", "footnote mit <p>", die Du unabhängig von der weiteren Korrektur auf jeden Fall schon mal für den Rest des Dokuments auch anwenden kannst, falls Du mit meinen Anmerkungen überenstimmst. An dieser Stelle nochmals mein Dank, dass Du die Übersetzung übernommen hast. Viele Grüße Helge -- Dr. Helge Kreutzmann debian@helgefjell.de Dipl.-Phys. http://www.helgefjell.de/debian.php 64bit GNU powered gpg signed mail preferred Help keep free software "libre": http://www.ffii.de/ -- Dr. Helge Kreutzmann debian@helgefjell.de Dipl.-Phys. http://www.helgefjell.de/debian.php 64bit GNU powered gpg signed mail preferred Help keep free software "libre": http://www.ffii.de/
Attachment:
signature.asc
Description: Digital signature