From owner-svn-doc-all@freebsd.org Fri May 20 21:54:54 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 05E9CB42B89; Fri, 20 May 2016 21:54:54 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id AE0091AA2; Fri, 20 May 2016 21:54:53 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u4KLsqUJ067383; Fri, 20 May 2016 21:54:52 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u4KLsqgh067382; Fri, 20 May 2016 21:54:52 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201605202154.u4KLsqgh067382@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Fri, 20 May 2016 21:54:52 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48836 - head/de_DE.ISO8859-1/books/handbook/security X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees \(except for " user" , " projects" , and " translations" \)" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 20 May 2016 21:54:54 -0000 Author: bhd Date: Fri May 20 21:54:52 2016 New Revision: 48836 URL: https://svnweb.freebsd.org/changeset/doc/48836 Log: Update to r44593: Editorial review of TCP Wrapper chapter. Change application name to singular. Reviewed by: bcr Differential Revision: https://reviews.freebsd.org/D6476 Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Fri May 20 13:12:02 2016 (r48835) +++ head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Fri May 20 21:54:52 2016 (r48836) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $ - basiert auf: r44530 + basiert auf: r44593 --> Sicherheit @@ -62,7 +62,7 @@ - TCP-Wrapper für &man.inetd.8; + TCP Wrapper für &man.inetd.8; einrichten können. @@ -999,59 +999,64 @@ Enter secret pass phrase: < - TCP-Wrapper + TCP Wrapper TomRhodesBeigetragen von - - - TCP-Wrapper + TCP Wrapper - TCP-Wrapper erweitern die Fähigkeiten von - . Beispielsweise können - Verbindungen protokolliert, Nachrichten zurückgesandt oder nur - interne Verbindungen angenommen werden. Einige dieser - Fähigkeiten können auch über eine Firewall implementiert werden, - TCP-Wrapper fügen jedoch noch eine weitere - Sicherheitsschicht und Kontrollmöglichkeiten hinzu, die eine - Firewall nicht bieten kann. - - TCP-Wrapper sollten nicht als Ersatz für - eine ordentlich konfigurierte Firewall angesehen werden, sondern - stattdessen in Verbindung mit einer Firewall und anderen - Sicherheitsmechanismen eingesetzt werden. - - - TCP-Wrapper einrichten - - Um TCP-Wrapper unter &os; zu benutzen, - muss der &man.inetd.8;-Server aus rc.conf - mit den Optionen gestartet werden. - Anschließend muss /etc/hosts.allow + TCP Wrapper ist ein + rechnerbasiertes Zugriffskontrollsystem, das die Fähigkeiten von + erweitert. Beispielsweise + können Verbindungen protokolliert, Nachrichten zurückgesandt + oder nur interne Verbindungen angenommen werden. Weitere + Informationen über TCP Wrapper und + dessen Funktionen finden Sie in &man.tcpd.8;. + + TCP Wrapper sollten nicht als + Ersatz für eine ordentlich konfigurierte Firewall angesehen + werden. Stattdessen sollten + TCP Wrapper in Verbindung mit einer + Firewall und anderen Sicherheitsmechanismen eingesetzt werden, + um bei der Umsetzung einer Sicherheitsrichtlinie eine weitere + Sicherheitsschicht zu bieten. + + + Konfiguration + + Um TCP Wrapper unter &os; zu + aktivieren, fügen Sie die folgenden Zeilen in + /etc/rc.conf ein: + + inetd_enable="YES" +inetd_flags="-Ww" + + Anschließend muss /etc/hosts.allow richtig konfiguriert werden. Im Gegensatz zu anderen Implementierungen der - TCP-Wrapper wird vom Gebrauch - der Datei hosts.deny abgeraten. - Die Konfiguration sollte sich vollständig in der - Datei /etc/hosts.allow befinden. + TCP Wrapper wird unter &os; vom + Gebrauch der Datei hosts.deny + abgeraten. Die Konfiguration sollte sich vollständig in + /etc/hosts.allow befinden. In der einfachsten Konfiguration werden Dienste - abhängig vom Inhalt der Datei + abhängig von den Optionen in /etc/hosts.allow erlaubt oder gesperrt. Unter &os; wird in der Voreinstellung - jeder von &man.inetd.8; gestartete Dienst + jeder von inetd gestartete Dienst erlaubt. Eine Konfigurationszeile ist wie folgt aufgebaut: Dienst : Adresse : Aktion. - Dienst ist der von &man.inetd.8; + Dienst ist der von + inetd gestartete Dienst (auch Daemon genannt). Die Adresse ist ein gültiger Rechnername, eine IP-Adresse oder @@ -1075,8 +1080,8 @@ Enter secret pass phrase: < # This line is required for POP3 connections: qpopper : ALL : allow - Nachdem Sie die Zeile hinzugefügt haben, muss - &man.inetd.8; neu gestartet werden: + Jedes Mal, wenn diese Datei bearbeitet wird, muss + inetd neu gestartet werden: &prompt.root; service inetd restart @@ -1084,7 +1089,7 @@ qpopper : ALL : allow Erweiterte Konfiguration - TCP-Wrapper besitzen + TCP Wrapper besitzen weitere Optionen, die bestimmen, wie Verbindungen behandelt werden. In einigen Fällen ist es gut, wenn bestimmten Rechnern oder Diensten eine @@ -1096,11 +1101,8 @@ qpopper : ALL : allow Wildcards, Metazeichen und der Ausführung externer Programme möglich. - - Externe Kommandos - Stellen Sie sich vor, eine Verbindung soll - verhindert werden und gleichzeitig soll demjenigen, + verhindert werden und gleichzeitig soll dem Rechner, der die Verbindung aufgebaut hat, eine Nachricht geschickt werden. Solch eine Aktion ist mit möglich. @@ -1116,8 +1118,8 @@ ALL : ALL \ Für jeden Dienst, der nicht vorher in hosts.allow konfiguriert wurde, wird die Meldung You are not allowed to use - daemon from - hostname. zurückgegeben. + daemon name from + hostname. zurückgegeben. Dies ist nützlich, wenn die Gegenstelle sofort benachrichtigt werden soll, nachdem die Verbindung getrennt wurde. Der Text der Meldung muss in @@ -1133,7 +1135,7 @@ ALL : ALL \ Eine weitere Möglichkeit bietet . Wie verbietet die Verbindung und führt externe Kommandos aus. Allerdings - sendet der Gegenstelle keine + sendet dem Rechner keine Rückmeldung. Sehen Sie sich die nachstehende Konfigurationsdatei an: @@ -1149,16 +1151,10 @@ ALL : .example.com \ /var/log/connections.log protokolliert. Das Protokoll enthält den Rechnernamen, die IP-Adresse - und den Dienst, der angesprochen wurde. - - In diesem Beispiel wurden die Metazeichen - %a und %h verwendet. - Eine vollständige Liste der Metazeichen finden Sie in - &man.hosts.access.5;. - - - - Wildcards + und den Dienst, der angesprochen wurde. In diesem Beispiel + wurden die Metazeichen %a und + %h verwendet. Eine vollständige Liste + der Metazeichen finden Sie in &man.hosts.access.5;. Die Wildcard ALL passt auf jeden Dienst, jede Domain oder jede IP-Adresse. @@ -1168,7 +1164,7 @@ ALL : .example.com \ Dies ist beispielsweise der Fall, wenn der Verbindungsaufbau von einer IP-Adresse erfolgt, die nicht zu dem übermittelten Rechnernamen passt. In diesem Beispiel - werden alle Verbindungsanfragen zu &man.sendmail.8; + werden alle Verbindungsanfragen zu Sendmail abgelehnt, wenn die IP-Adresse nicht zum Rechnernamen passt: @@ -1176,22 +1172,21 @@ ALL : .example.com \ sendmail : PARANOID : deny - Die Wildcard PARANOID - kann einen Dienst unbrauchbar machen, wenn der + Die Wildcard PARANOID wird + Verbindungen ablehnen, wenn der Client oder der Server eine fehlerhafte - DNS-Konfiguration besitzt. - Seien Sie daher besonders vorsichtig, wenn Sie diese Wildcard - in Ihre Konfiguration aufnehmen wollen. + DNS-Konfiguration besitzt. Weitere Informationen über Wildcards und deren Funktion finden Sie in &man.hosts.access.5;. - Damit die gezeigten Beispiele funktionieren, muss die - erste Konfigurationszeile in - hosts.allow auskommentiert - werden. - + + Wenn Sie neue Einträge zur Konfiguration hinzufügen, + sollten Sie sicherstellen, dass nicht benötigte Einträge + in hosts.allow auskommentiert + werden. +