From owner-p4-projects@FreeBSD.ORG Sun Mar 23 02:17:14 2008 Return-Path: Delivered-To: p4-projects@freebsd.org Received: by hub.freebsd.org (Postfix, from userid 32767) id B068F1065672; Sun, 23 Mar 2008 02:17:14 +0000 (UTC) Delivered-To: perforce@FreeBSD.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id 6E9D41065670 for ; Sun, 23 Mar 2008 02:17:14 +0000 (UTC) (envelope-from pgj@FreeBSD.org) Received: from repoman.freebsd.org (repoman.freebsd.org [IPv6:2001:4f8:fff6::29]) by mx1.freebsd.org (Postfix) with ESMTP id 609E68FC1B for ; Sun, 23 Mar 2008 02:17:14 +0000 (UTC) (envelope-from pgj@FreeBSD.org) Received: from repoman.freebsd.org (localhost [127.0.0.1]) by repoman.freebsd.org (8.14.1/8.14.1) with ESMTP id m2N2HDtI036469 for ; Sun, 23 Mar 2008 02:17:13 GMT (envelope-from pgj@FreeBSD.org) Received: (from perforce@localhost) by repoman.freebsd.org (8.14.1/8.14.1/Submit) id m2N2HDRP036466 for perforce@freebsd.org; Sun, 23 Mar 2008 02:17:13 GMT (envelope-from pgj@FreeBSD.org) Date: Sun, 23 Mar 2008 02:17:13 GMT Message-Id: <200803230217.m2N2HDRP036466@repoman.freebsd.org> X-Authentication-Warning: repoman.freebsd.org: perforce set sender to pgj@FreeBSD.org using -f From: Gabor Pali To: Perforce Change Reviews Cc: Subject: PERFORCE change 138317 for review X-BeenThere: p4-projects@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: p4 projects tree changes List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 23 Mar 2008 02:17:15 -0000 http://perforce.freebsd.org/chv.cgi?CH=138317 Change 138317 by pgj@disznohal on 2008/03/23 02:16:31 (security) MFen: 1.316 --> 1.320 Affected files ... .. //depot/projects/docproj_hu/books/handbook/security/chapter.sgml#5 edit Differences ... ==== //depot/projects/docproj_hu/books/handbook/security/chapter.sgml#5 (text+ko) ==== @@ -1,12 +1,12 @@ + Original Revision: 1.320 --> @@ -70,7 +70,7 @@ - hogyan burkoljunk az inetd + hogyan burkoljunk az >inetd> segítségével TCP kapcsolatokat @@ -490,9 +490,7 @@ rendszerkonzolon keresztül szabad tudnia bejelentkeznie. - - wheel - + wheel Természetesen egy rendszergazdának valahogy el kell érnie a root @@ -545,67 +543,45 @@ semmi, de kétségtelenül nem legbiztonságosabb. - A személyzeti hozzáférések - és ezáltal a root - hozzáférésének egyik közvetett - módja egy alternatív bejelentkezési - mód használata, ami lényegében a - személyzeti hozzáférések - titkosított jelszavainak - kicsillagozását jelenti. A - &man.vipw.8; parancs használatával a - titkosított jelszavakat ki tudjuk cserélni - egyetlen * karakterre. Ez a - parancs a jelszó alapú hitelesítések - letiltásához frissíteni fogja az - /etc/master.passwd állományt - valamint a felhasználókat és jelszavakat - tartalmazó adatbázist. + A hozzáférések teljes körû + letiltásához a &man.pw.8; parancsot érdemes + használni: + + &prompt.root; pw lock személyzet + + Ezzel meg tudjuk akadályozni, hogy a + felhasználó akármilyen módon, + beleértve az &man.ssh.1; használatát is, + hozzá tudjon férni a + rendszerünkhöz. - A személyzet egyik tagjának tehát - így néz ki a bejegyzése: + A hozzáférések + blokkolásának másik ilyen módszere a + titkosított jelszó átírása + egyetlen * karakterre. Mivel + ez a karakter egyetlen titkosított jelszóra sem + illeszkedik, ezért a felhasználó nem lesz + képes bejelentkezni. Ahogy például a + személyzet alábbi tagja sem: foobar:R9DT/Fa1/LV9U:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh - Amit erre cserélünk ki: + Amit tehát erre cserélünk ki: foobar:*:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh - Ez a változtatás meggátolja a - hagyományos bejelentkezéseket, mivel a - titkosított jelszó soha nem fog egyezni a - * karakterrel. Ezután - a személyzet tagjainak más módon kell - azonosítaniuk magukat, például a - &man.kerberos.1; segítségével vagy az - &man.ssh.1; nyilvános/privát - kulcspárjaival. Amikor egy Kerberoshoz hasonló - rendszert használunk, akkor általában a - Kerberos szervereit futtató gépeket és az - asztali munkaállomásunkat kell védeni. - Amikor az ssh-t használjuk nyilvános/privát - kulcspárokkal, általában azt a gépet - kell védenünk ahonnan - bejelentkezünk (ez többnyire egy - munkaállomás). A kulcspárokat bevonhatjuk - egy további védelmi réteggel is, ha a - &man.ssh-keygen.1; paranccsal történõ - létrehozásuk során jelszót is - megadunk. Ha kicsillagozzuk a személyzet - tagjainak jelszavait, akkor biztosra vehetjük, hogy - kizárólag csak az általunk - telepített biztonságos módokon fognak - bejelentkezni. Ennek köszönhetõen a - személyzet minden tagja biztonságos, - titkosított kapcsolatot fog használni, és - ezzel elzárunk egy olyan biztonsági rést, - amit a legtöbb behatoló kihasznál: a - gyengébb védelmû - számítógépek felõl - érkezõ forgalom lehallgatását. + Ezzel megakadályozzuk, hogy a + foobar nevû felhasználó a + hagyományos módszerekkel be tudjon jelentkezni. + Ez a megoldás azonban a + Kerberost alkalmazó rendszerek + esetén nem mûködik, illetve olyan helyezetekben + sem, amikor a felhasználó az &man.ssh.1; + paranccsal már létrehozott magának + kulcsokat. - Egy még közvetettebb védelmi mechanizmus - szerint mindig egy szigorúbb biztonsági szintû + Az ilyen védelmi mechanizmusok esetében mindig + egy szigorúbb biztonsági szintû géprõl jelentkezünk be egy kevésbé biztonságosabb gépre. Például ha a szerverünk mindenféle @@ -6960,8 +6936,9 @@ trhodes ttyp1 Ezzel megjelenik a trhodes nevû - felhasználó ttyp1 terminálon kiadott - összes ismert ls parancsa. + felhasználó ttyp1 + terminálon kiadott összes ismert + ls parancsa. Számos hasznos beállítást és hozzájuk tartozó leírást