KDE on FreeBSD

From owner-svn-doc-all@freebsd.org Sun May 1 00:05:42 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 1F800B225C8; Sun, 1 May 2016 00:05:42 +0000 (UTC) (envelope-from jonathan@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id AACBB1BA4; Sun, 1 May 2016 00:05:41 +0000 (UTC) (envelope-from jonathan@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u4105eUk020531; Sun, 1 May 2016 00:05:40 GMT (envelope-from jonathan@FreeBSD.org) Received: (from jonathan@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u4105eZq020530; Sun, 1 May 2016 00:05:40 GMT (envelope-from jonathan@FreeBSD.org) Message-Id: <201605010005.u4105eZq020530@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: jonathan set sender to jonathan@FreeBSD.org using -f From: Jonathan Anderson Date: Sun, 1 May 2016 00:05:40 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48751 - head/share/pgpkeys X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 01 May 2016 00:05:42 -0000 Author: jonathan (src committer) Date: Sun May 1 00:05:40 2016 New Revision: 48751 URL: https://svnweb.freebsd.org/changeset/doc/48751 Log: Update my GPG key: add subkey created in Jan 2016. Modified: head/share/pgpkeys/jonathan.key Modified: head/share/pgpkeys/jonathan.key ============================================================================== --- head/share/pgpkeys/jonathan.key Sat Apr 30 16:01:17 2016 (r48750) +++ head/share/pgpkeys/jonathan.key Sun May 1 00:05:40 2016 (r48751) @@ -1,20 +1,21 @@ -uid Jonathan Anderson (MUN) -uid Jonathan Anderson (Cambridge) -uid Jonathan Anderson (FreeBSD) -sub 2048R/2E0832D2 2014-03-07 [expires: 2024-03-04] -sub 2048R/EC6BB1E5 2014-03-07 [expires: 2019-03-06] +uid Jonathan Anderson +uid Jonathan Anderson (MUN) +uid Jonathan Anderson (Cambridge) +uid Jonathan Anderson (FreeBSD) +sub 2048R/8ADEF87F2E0832D2 2014-03-07 [expires: 2024-03-04] +sub 2048R/2743CDB8EC6BB1E5 2014-03-07 [expires: 2019-03-06] +sub 4096R/3BACB816937C55DC 2016-01-04 [expires: 2017-01-03] + ]]> From owner-svn-doc-all@freebsd.org Sun May 1 02:31:21 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 2A5D5AD9E19; Sun, 1 May 2016 02:31:21 +0000 (UTC) (envelope-from bjk@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id D5B4A12B6; Sun, 1 May 2016 02:31:20 +0000 (UTC) (envelope-from bjk@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u412VK9D065769; Sun, 1 May 2016 02:31:20 GMT (envelope-from bjk@FreeBSD.org) Received: (from bjk@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u412VKC8065768; Sun, 1 May 2016 02:31:20 GMT (envelope-from bjk@FreeBSD.org) Message-Id: <201605010231.u412VKC8065768@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bjk set sender to bjk@FreeBSD.org using -f From: Benjamin Kaduk Date: Sun, 1 May 2016 02:31:20 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48752 - head/en_US.ISO8859-1/htdocs/news/status X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 01 May 2016 02:31:21 -0000 Author: bjk Date: Sun May 1 02:31:19 2016 New Revision: 48752 URL: https://svnweb.freebsd.org/changeset/doc/48752 Log: Belatedly finish my editing pass through the 2016Q1 report Modified: head/en_US.ISO8859-1/htdocs/news/status/report-2016-01-2016-03.xml Modified: head/en_US.ISO8859-1/htdocs/news/status/report-2016-01-2016-03.xml ============================================================================== --- head/en_US.ISO8859-1/htdocs/news/status/report-2016-01-2016-03.xml Sun May 1 00:05:40 2016 (r48751) +++ head/en_US.ISO8859-1/htdocs/news/status/report-2016-01-2016-03.xml Sun May 1 02:31:19 2016 (r48752) @@ -671,16 +671,16 @@ -

A new implementation for support of native PCI-express +

A new implementation of support for native PCI-express hotplug is present at the URL above. Much of the new code lives in the PCI-PCI bridge driver to handle hotplug events and manage the PCI-express slot registers. Additional changes in the branch include adding new rescan and - delete commands to devctl(8) as well as + delete commands to devctl(8), as well as support for rescanning PCI busses.

The current implementation has been tested on systems with - ExpressCard but could use additional testing, especially on + ExpressCard slots but could use additional testing, especially on systems with other PCI-express HotPlug features such as mechanical latches, attention buttons, indicators, and so on.

@@ -688,7 +688,7 @@ -

Split branch into separate logical changes as commit +

Split the branch into separate logical changes as commit candidates.

@@ -699,11 +699,11 @@ - KDE on FreeBSD + KDE on &os; - KDE on FreeBSD team + KDE on &os; team kde@FreeBSD.org @@ -717,8 +717,8 @@ -

The KDE on FreeBSD team focuses on packaging and making sure - that the experience of KDE and Qt on FreeBSD is as good as +

The KDE on &os; team focuses on packaging and making sure + that the experience of KDE and Qt on &os; is as good as possible.

While the list of updates is shorter than that for the @@ -732,7 +732,7 @@ highlight in the beginning of this year is the (re)addition of another committer to our experimental repository: Adriaan de Groot, a longtime KDE contributor who also used to work on KDE - and FreeBSD almost a decade ago when our team was first + and &os; almost a decade ago when our team was first formed. Welcome back, Ade!

The following big updates were landed in the ports tree this @@ -760,7 +760,7 @@

Work on Qt 5.6.0 is under way in our experimental repositories. At - the time of writing, it also contains KDE Frameworks 5.20.0, + the time of this writing, it also contains KDE Frameworks 5.20.0, Plasma 5.6.1, and KDE Applications 16.03.80.

Users interested in testing those ports are encouraged to @@ -802,7 +802,7 @@

POSIX specifies several kinds of pthread locks. For this report, the private and process-shared variants are considered. Private locks can be used only by the threads of - the same process, which share the address space. + the same process, which share a single common address space. Process-shared locks can be used by threads from any process, assuming the process can map the lock memory into its address space.

@@ -813,7 +813,7 @@ address of the actual structure carrying the lock. This has unfortunate consequences for implementing the PTHREAD_PROCESS_SHARED attribute for locks, since - really only the pointer is shared when the lock is mapped into + really only the pointer is shared when a lock is mapped into distinct address spaces.

A common opinion was that we have no choice but to break the @@ -825,12 +825,12 @@

Instead, I proposed and implemented a scheme where process-shared locks can be implemented without breaking the - ABI. The lock memory is used as a key into the system-global - hash of the shared memory objects (off-pages), which carry the - real lock structures.

+ ABI. The lock memory is used as a key into a system-global + hash of shared memory objects (off-pages), which contain the + actual lock structures.

New umtx operations to create or look up the shared - object, by the memory key were added. libthr is +

New umtx operations to create or look up a shared + object by memory key were added. libthr is modified to look up the object and use it for shared locks, instead of using malloc() as for private locks.

@@ -840,13 +840,13 @@

The proposal of inlining the lock structures, besides the drawbacks of breaking ABI, has its merits. Most important, - the inlining avoids the need of indirection. Another - important advantage over the off-page page approach is that no + the inlining avoids the need for indirection. Another + important advantage over the off-page approach is that no off-page object needs to be maintained, and the lifecycle of the shared lock naturally finishes with the destruction of the - shared memory without explicit cleanup. Right now, off-pages + shared memory, without need for explicit cleanup. Right now, off-pages hook into vm object termination to avoid leakage, but - long-livedness of the vnode vm object prolonges the off-page + long-livedness of the vnode vm object prolonges the off-page's existence for shared locks backed by files, however unlikely they may be.

@@ -882,33 +882,33 @@ -

migrated services out of the hosting space in ISC - (peter, sbruno)

This quarter, we:

migrated services out of the hosting space in ISC + (peter, sbruno)
began migration of services into RootBSD hosting space - (peter, sbruno)
began migration of services into the RootBSD hosting space + (peter, sbruno)
collaborated with phabricator admin team to migrate to - new and improved host in NYI. (AllanJude, peter, - sbruno)
collaborated with the phabricator admin team to migrate to + a new and improved host in NYI. (allanjude, peter, + sbruno)
installed new and beefier Jenkins machine(gnn, lwshu, - sbruno)
installed a new and beefier Jenkins machine (gnn, lwshu, + sbruno)
still looking for more Asian mirrors for pkg,svn,ftp - (Japan, India). (sbruno)
are still looking for more Asian mirrors for pkg, svn, and ftp + (Japan, India). (sbruno)
migration of Taiwanese mirror to new location completed. - (lwshu)
completed the migration of the Taiwanese mirror to its new location. + (lwshu)
clang/llvm buildbbot now hosted in the FreeBSD cluster - at NYI (sbruno, emaste)
started hosting a clang/llvm buildbbot in the &os; cluster + at NYI (sbruno, emaste)
resolved UK mirror outage with Bytemark (gavin, - peter)

resolved a UK mirror outage with Bytemark (gavin, + peter)

@@ -928,17 +928,17 @@

Ruby on Rails is the base for most of the rubygems in the - portstree. Currently version 3.2 and 4.2 coexists, but since - Rails 3.2 runs out of support, the time has come to + Ports Collection. Currently, versions 3.2 and 4.2 coexist, but since + Rails 3.2 is running out of support, the time has come to switch.

There is an ongoing progress to remove Rails 3.2 from the ports tree. While many gems already work with the new - version, there are some exceptions. For example www/redmine - needs a big update (which is currently tested) because it - depends on gems which therefore depends on Rails 3.2.

+ version, there are some exceptions. For example, www/redmine + needs a big update (which is currently being tested) because it + depends on gems that depends on Rails 3.2.

If you want to help porting or testing, feel free to contact +

If you want to help with porting or testing, feel free to contact me or the mailinglist ruby@FreeBSD.org.

@@ -960,7 +960,7 @@

After nearly a year of work on this project, GitLab 8.5.5 was committed into the ports tree. A big thanks to the enormous - number of people involved! Since GitLab is a fast moving + number of people involved! Since GitLab is a fast-moving project, there is also ongoing work to stay in sync with upstream. Have fun!

@@ -981,15 +981,15 @@ -

Build improvements for buildworld on head continue. +

Build improvements for buildworld on &os; head continue. Some highlights include:

WITH_FAST_DEPEND was made default in r296668 and +
WITH_FAST_DEPEND was made the default in r296668, and later made the only option in r297434. The new depend code avoids a make depend tree walk and generates - .depend files during build as a side-effect of - compiling. This is using the -MF flags of the + .depend files during the build as a side-effect of + compilation. This is done by using the -MF flags of the compiler. This speeds up the build by 15-35%.
PR 196193: @@ -1055,18 +1055,18 @@ bmake stores filemon's output in a .meta file along with the build command and later uses this to trigger a rebuild of the target if any of the files referenced - are missing or modified or if the build command changes. It - provides the same functionality as compiler -MF flags + are missing or modified, or if the build command changes. It + provides the same functionality as the compiler's -MF flag, but for everything. It will be critical for buildworld's WITH_META_MODE (which is the normal buildworld but - just using filemon) to provide a reliable incremental build - without even the need of .depend files or compiler + only using filemon) to provide a reliable incremental build + without even the need for .depend files or compiler -MF flags. This allows -DNO_CLEAN to work all of the time.

Filemon on -HEAD was improved for stability and performance over this quarter. It no longer causes every syscall it hooks - into to loop on processes looking for a matching filemon + into to loop over processes looking for a matching filemon struct. It now just attaches directly to the struct proc with its own pointer. This improves performance by reducing lock contention during a build. Much other work went into @@ -1082,15 +1082,15 @@ -
Improving credential handling
+
Improve credential handling.
-
Improving EVENTHANDLER performance
+
Improve EVENTHANDLER performance.
-
Possibly providing a framework for syscallenter/syscallret +
Possibly provide a framework for syscallenter/syscallret hooking to avoid the need to hook syscalls as Filemon does.
@@ -1115,24 +1115,23 @@ -
A continuation of the Book-E QorIQ support enhancements by - Semihalf dating back to 2012.
+
This project is a continuation of the Book-E QorIQ support + enhancements by Semihalf dating back to 2012.
-
The AmigaOne X5000 series of AmigaOS compatible systems uses +
The AmigaOne X5000 series of AmigaOS-compatible systems uses the Freescale QorIQ series of SoCs for a desktop-class form factor. The work here entails adding support for the e5500 core itself, in addition to support for the SoC peripherals.
-
Currently most code is checked in to enable basic support: - dTSEC (ethernet), core support (e500mc, e5500). As part of +
Currently, most of the code to enable basic support is checked + in: dTSEC (ethernet), core support (e500mc, e5500). As part of this, rman, the kernel resource manager, was enhanced - to use uintmax_t for resources. This allows devices - to be physically above the 4GB boundary on 32-bit systems. - With a statically compiled device tree, it boots to multiuser - mode with nfsroot, and can be used as normal (serial and SSH - logins once configured).
- + to use uintmax_t for resources. This allows devices to + be physically above the 4GB boundary on 32-bit systems. With a + statically compiled device tree, it boots to multiuser mode with + nfsroot, and can be used as normal (serial and SSH logins once + configured).
Alex Perez (Inertial Computing) @@ -1155,7 +1154,7 @@
Local console (VGA) support: It currently boots with a - serial console. vgapci0 is seen if there is a PCIe graphics + serial console. vgapci0 is seen if there is a PCIe graphics card, but vt(4) does not attach to it yet.
@@ -1220,14 +1219,14 @@ -
The FreeBSD German Documentation Project translates FreeBSD's +
The FreeBSD German Documentation Project translates &os;'s documentation (handbook, articles, website, etc.) into the German language.

Due to the tireless effort of Björn Heidotting, we made huge improvements in catching up with the translation of the German handbook. Benedict helped with reviewing the changes using - FreeBSD's review system Phabricator, which helped a lot. We + &os;'s review system Phabricator, which helped a lot. We now have the following handbook chapters in sync with the latest version in the English tree:
@@ -1291,14 +1290,14 @@ projects, even if we do not require it in order to update &os;.
-
In the first quarter of 2016 The ELF Tool Chain tools were - updated to a snapshot of upstream SVN revision 3400, which +
In the first quarter of 2016, the ELF Tool Chain tools were + updated to a snapshot of upstream Subversion revision 3400, which is close to the 0.7.1 release. Additional bug fixes were - committed to FreeBSD and subsequently merged into the upstream + committed to &os; and subsequently merged into the upstream repository.

ELF Tool Chain's elfcopy(1) is now installed as - objcopy(1) by default as it is a viable replacement + objcopy(1) by default, as it is a viable replacement for the base system and ports tree.

Significant improvements were made to the @@ -1307,7 +1306,7 @@ AArch64 support.
- The &os; Foundation + The FreeBSD Foundation @@ -1319,8 +1318,8 @@ -
Investigate replacement objdump, ld and as - implementations.
+
Investigate replacement objdump, ld and + as implementations.
@@ -1345,7 +1344,7 @@
Mellanox is working on a big infiniband update towards Mellanox OFED v3.2 of the infiniband stack in &os;. The - updates include both userland and kernel. + updates include both userland and kernel components. Infiniband patches for &os; are available in the link above which can be downloaded and applied to a recent &os;-head checkout.
@@ -1402,35 +1401,35 @@ Hyper-V synthetic devices is recommended to get the best network and storage performance and make full use of all the benefits that Hyper-V provides. The collection of drivers - that are required to use Hyper-V synthetic devices in FreeBSD + that are required to use Hyper-V synthetic devices in &os; are known as FreeBSD Integration Services (BIS). Some of the BIS drivers (like network and storage drivers) have existed in FreeBSD 9.x and 10.x for years, but there are still some performance and stability issues and bugs. Compared with Windows and Linux VMs, the current BIS lacks some useful features, e.g., live virtual machine backup, TRIM/Unmap, the - support for UEFI VM (boot from UEFI), etc.
+ support for UEFI VMs (boot from UEFI), etc.

During the past quarter, we made a great progress on the performance tuning for Hyper-V network driver. We also refactored and cleaned up the VMBus driver, and fixed some - important bugs. All the work makes FreeBSD VMs run even + important bugs. All the work makes &os; VMs run even better on Hyper-V and the Hyper-V based cloud platform Azure!

Our work during 2016Q1 is documented below:
-
Optimizing the performance of Hyper-V network driver
+
Optimizing the performance of Hyper-V network driver:
- We added the LRO (Large Receive Offloading) support to the - driver and properly handled the ACK packets. This - effectively reduced the CPU cycles used in the TCP/IP stack - and dramatically boosted the network performance!
- We added LRO (Large Receive Offloading) support to the + driver and properly handle ACK packets. This + effectively reduces the CPU cycles used in the TCP/IP stack + and dramatically boosts network performance!
- We enabled the vRSS (virtual Receive Side Scaling) support +
- We enabled vRSS (virtual Receive Side Scaling) support for the driver. This greatly improved the network - performance for SMP virtual machine (VM).
- We used a separate Tx kernel thread to relieve the Rx thread of transmitting packets (the Rx thread tried to @@ -1438,82 +1437,87 @@ receive packets and send ACKs faster.
- Now we can reach a VM-to-VM throughput of 9.1Gbps on a - host with 10Gbps physical NIC, and over 20Gbps on a host - with 40Gbps NIC, and meanwhile the CPUs still have plenty of - cycles for applications.
- We also enabled IP header checksum offloading, and RX +
- We also enabled IP header checksum offloading, and Rx checksum offloading for UDP.
- Further performance tuning is working in progress.
-
Refactoring and Cleaning up the VMBus driver code
+
Refactoring and cleaning up the VMBus driver code:
- Instead of using swi threads directly, now we use per-CPU - taskqueue_create_fast() threads for event and message - handling, making the code more FreeBSD conventional.
- Instead of using swi threads directly, we now use per-CPU + taskqueue_create_fast() threads for event and message + handling, making the code more conventional for &os;.
- Made a lot of cleanup to the hv_utils code (HeartBeat, +
- We did a lot of cleanup to the hv_utils code (HeartBeat, TimeSync and Shutdown) and we are further cleaning up the KVP code.
- Used a new message/interrupt slot for Hyper-V timer, so +
- We used a new message/interrupt slot for the Hyper-V timer, so the handling of timer and non-timer messages can be distinguished, fixing a potential issue.
- Instead of finding an available IDT vector by hacking, - we are changing to use the normal method, that is, + we are changing to use the normal method, lapic_ipi_alloc().
- We are modularizing the Hyper-V modules: 1) they will be - loaded in the loader; 2) we are going to enhance - devd(8) to improve the hot plug case.
- We are modularizing the Hyper-V modules: +
  1. they will be loaded in the loader;
  2. we are going to enhance devd(8) to improve + the hot plug case.
  +
-
Bug Fixing
+
Bug Fixing:
- Fixed the "spurious multiple disks" issue (PR 206630 ??? - FreeBSD 10.2 on Windows 10 and 2016 server may not boot due - to multiple invalid disks issue) in the Hyper-V storage - driver and now FreeBSD VM can reliably boot on Win10 and - 2016 hosts.
- Fixed the "spurious multiple disks" issue (PR + 206630 — &os; 10.2 on Windows 10 and 2016 server may not + boot due to multiple invalid disks) in the Hyper-V storage + driver and now &os; VMs can reliably boot on Win10 and 2016 + hosts.
- Fixed the OACTIVE issue (PR 207297 - [Hyper-V] FreeBSD +
- Fixed the OACTIVE issue (PR 207297 — [Hyper-V] FreeBSD 10.2 on hyperv lost network under heavy load for OACTIVE).
- Fixed TSC calibration issue (PR 208238 - [Hyper-V] TSC - frequency is not correctly detected: "calcru: runtime went - backwards") and we will not see the "runtime went backwards" - messages any more!
- Fixed a TSC calibration issue (PR 208238 — [Hyper-V] TSC + frequency is not correctly detected: "calcru: runtime went + backwards") and we will not see the "runtime went + backwards" messages any more!
- Fixed the "very slow terminal" issue of 11-CURRENT by +
- Fixed the "very slow terminal" issue of 11-CURRENT by enabling text mode when we are running on hypervisors.
- Fixed the "unknown dhcp option value 0xf5" issue in +
- Fixed the "unknown dhcp option value 0xf5" issue in dhclient(8) by asking dhclient(8) to - ignore the option and &os; VM on Azure can reliably get IP - now.
+ ignore the option, and &os; VMs on Azure can now reliably get + IP addresses.

Found a workaround for PR 20824 ([Hyper-V] VM network may not - work over virtual switch based on wireless NIC): add - "net.link.ether.inet.max_age=60" in /etc/sysctl.conf.

Found a workaround for PR 20824 ([Hyper-V] VM network may not + work over virtual switch based on wireless NIC): add + "net.link.ether.inet.max_age=60" in + /etc/sysctl.conf.

We plan to add support for live virtual machine backup, TRIM/Unmap, and UEFI VMs (Hyper-V Generation-2 VMs).

We published errata (FreeBSD-EN-16:04.hyperv, FreeBSD-EN-16:05.hv_netvsc) with the Release Engineering team, - so 10.1 and 10.2 users can easily get the fixes of KVP and TCP - checksum by upgrading the system.

+ so 10.1 and 10.2 users can easily get the fixes for KVP and TCP + checksums by upgrading the system.

We published BIS test cases for Hyper-V on github: - https://github.com/FreeBSDonHyper-V/Test-BIS and we are going - to publish the test cases for Azure soon.

+ https://github.com/FreeBSDonHyper-V/Test-BIS + and we are going to publish the test cases for Azure soon.

Microsoft @@ -1632,7 +1636,7 @@ testing.

With this change, randomization is applied to all non-fixed - mappings. By randomization I mean the base address for the + mappings. By randomization, I mean that the base address for the mapping is selected with a guaranteed amount of entropy (bits). If the mapping was requested to be superpage aligned, the randomization honors the superpage attributes.

@@ -1641,18 +1645,18 @@ the allocator falls back to a first fit strategy if fragmentation prevents entropy injection. It is trivial to implement a strong mode where failure to guarantee the - requested amount of entropy results in mapping request - failure, but I do not consider that to be usable.

+ requested amount of entropy results in failure of the mapping + request failure, but I do not consider that to be usable.

I have not fine-tuned the amount of entropy injected right - now. It is only a quantitive change that will not change the + now, but that is only a quantitive change that will not change the implementation. The current amount is controlled by aslr_pages_rnd.

To not spoil coalescing optimizations, to reduce the page - table fragmentation inherent to ASLR, and to keep the - transient superpage promotion for the malloced - memory, the locality is implemented for anonymous private + table fragmentation inherent to ASLR, and to retain + transient superpage promotion for malloced + memory, locality is implemented for anonymous private mappings, which are automatically grouped until fragmentation kicks in. The initial location for the anon group range is, of course, randomized. After some additional tuning, the @@ -1663,24 +1667,25 @@

The default mode keeps the sbrk area unpopulated by other mappings, but this can be turned off, which gives much - more breathing bits on the small AS architectures (funny that - 32 bits is considered small). This is tied with the question + more breathing room on the small address-space architectures + (it is funny that + 32 bits is now considered small). This is tied with the question of following an application's hint about the mmap(2) base address. Testing shows that ignoring the hint does not - affect the function of common applications, but I would expect + affect the function of common applications, but I would expect that more demanding code could break. By default sbrk is preserved and mmap hints are satisfied, which can be changed by using the kern.elf{32,64}.aslr_care_sbrk - sysctl (currently enabled by default for wider testing).

+ sysctls (currently enabled by default for wider testing).

Stack gap, W^X, shared page randomization, KASLR and other - techniques are explicitly out of scope of this work.

+ techniques are explicitly out of scope for this work.

The paxtest results for the run with the previous version 5 of the patch applied and aggressively tuned can be seen at paxtest.log. - For comparison, the run on Fedora 23 on the same machine is at + For comparison, a run on Fedora 23 on the same machine is at fedora.log.

ASLR is enabled on a per-ABI basis, and currently is only @@ -1688,7 +1693,7 @@ ARMv6 ABIs. I expect to test and enable ASLR for arm64 as well, later.

The procctl(2) control for ASLR is implemented, but +

A procctl(2) control for ASLR is implemented, but I have not provided a userspace wrapper around the syscall. In fact, the most reasonable control needed is per-image and not per-process, but we have no tradition to put the @@ -1732,7 +1737,7 @@ This project aims to fill that hole by making it possible to add RCTL rules for read bytes per second (BPS), write BPS, read I/O operations per second (IOPS), and write IOPS, and - adding a new throttling mechanism, to slow down offending + adding a new throttling mechanism to slow down offending processes when a limit gets hit.

The code has been committed and will ship with &os; @@ -1745,13 +1750,13 @@ -

Simplify locking, getting rid of rctl_lock altogether

Simplify locking, getting rid of rctl_lock altogether

Improve statistics gathering by make it possible for +

Improve statistics gathering by making it possible for rctl -u to retrieve usage counters at a fixed point - of time

+ in time

@@ -1780,21 +1785,21 @@ -

Qt 5.6 is a great framework to build embedded GUI +

Qt 5.6 is a great framework for building embedded GUI applications, so when Qt 5.6 was released it was natural to - bring it up on Raspberry Pi. Current Qt support in ports is - very Xorg-centric so as a proof of concept I created an - experimental qt56-base and qt56-multimedia.

- -

qt56-base can be configured for a generic ARM device with the - scfb video driver and specifically for Raspberry Pi in which - case it supports eglfs mode with hardware OpenGL + bring it up on the Raspberry Pi. The current Qt support in ports is + very Xorg-centric, so as a proof of concept I created an + experimental qt56-base and qt56-multimedia.

+ +

qt56-base can be configured for a generic ARM device with the + scfb video driver, and specifically for Raspberry Pi in which + case it supports EGLFS mode with hardware OpenGL acceleration.

Check how embedded use cases can be fit into current +

Check how embedded use cases can be fit into the current bsd.qt.mk or whether a new port should be introduced.

@@ -1825,7 +1830,7 @@ and the kernel instantiates and attaches drivers according to the information in the blob.

This approach does not work when hardware is expandable. For +

This approach does not work when the hardware is expandable. For example, the Raspberry Pi and Beaglebone Black have the concept of capes or shields: snap-on PCBs that are connected to IO headers on the main board and provide additional @@ -1834,13 +1839,12 @@ trees can be overlaid on the base tree by the boot loader, thus providing an accurate description to the kernel.

The proposed patch add this functionality to ubldr. The user - can specify a comma-separated list of overlays as U-Boot or - the loader fdt_overlays variable and ubldr will load +

The proposed patch adds this functionality to ubldr. The user + can specify a comma-separated list of overlays to U-Boot or + the loader fdt_overlays variable and ubldr will load them from the /boot/dtb/ directory and do the overlaying.

- @@ -1865,16 +1869,16 @@

The goal of this project is to reimplement the existing MMC/SD stack using the CAM framework. This will permit - utilizing the well-tested CAM locking model and debug + utilizing the well-tested CAM locking model and debugging features. It will also be possible to process interrupts generated by the inserted card, which is a prerequisite for implementing the SDIO interface. SDIO support is necessary - for communicating with WiFi/BT modules found on many + for communicating with the WiFi/BT modules found on many development boards, like Wan Raspberry Pi 3.

Another feature that the new stack will have is support for - sending SD commands from the userland applications using - cam(3). This will allow building device drivers in + sending SD commands from userland applications using + cam(3). This will allow for building device drivers in userland and make debugging much easier.

The first version of the code was uploaded to Phabricator for @@ -2015,9 +2019,9 @@

lld currently lacks comprehensive linker script expression evaluation support, and therefore cannot yet be - used to link the FreeBSD kernel. It also lacks versioned + used to link the &os; kernel. It also lacks versioned symbol support, and does not implement some options used in - the FreeBSD boot loader components.

+ the &os; boot loader components.

Ed has been running experimental world builds of FreeBSD/amd64 with lld installed in place of @@ -2043,7 +2047,7 @@ -

Add or improve support for remaining FreeBSD +

Add or improve support for the remaining &os; architectures.

@@ -2094,7 +2098,7 @@

Object Storage

Ceph provides seamless access to objects using native - language bindings or radosgw, a REST interface that is + language bindings or radosgw, a REST interface that is compatible with applications written for S3 and Swift.

@@ -2121,22 +2125,20 @@ nodes that are running ZFS. The end station would be running bhyve on RBD disk that are stored in Ceph.

The FreeBSD build will build most of the tools in Ceph. Note - that the RBD-dependent items will not work since FreeBSD does +

The &os; build will build most of the tools in Ceph. Note + that the RBD-dependent items will not work since &os; does not have RBD yet.

Build Prerequisites

Compiling and building Ceph is tested on 11-CURRENT. It uses - the CLANG toolset that is available, which needs to be at + the Clang toolset that is available, which needs to be at least 3.7. Clang 3.4 (on 10.2-STABLE) does not have all the required capabilities to compile everything.

This setup will get things running for FreeBSD:

This setup will get things running for &os;:

-
Install bash and link it in /bin (requires root +
Install bash and link it in /bin (requires root privileges):

sudo pkg install bash
@@ -2157,7 +2159,7 @@

Parts Not Yet Included

Parts Not Yet Included:

@@ -2174,9 +2176,9 @@
BlueStore
-
FreeBSD and Linux have a different AIO API, and that +
&os; and Linux have a different AIO API, and that needs to be made compatible. Next to that is the - discussion in FreeBSD about aio_cancel not + discussion in &os; about aio_cancel not working for all device types.

Tests that verify the correct working of the above are also excluded from the test set.

Tests Not Yet Included

Tests Not Yet Included:

ceph-detect-init/run-tox.sh

Because the current implementation does not know anything - about FreeBSD rc-init.
+ about &os;'s rc/init.
-
Tests that make use of nosestests
+
Tests that make use of nosestests

Calling these does not really work since nosetests is not in /usr/bin, and - calling through /usr/bin/env/nosetests does not + calling through /usr/bin/env nosetests does not work on FreeBSD.

Things To Investigate

Things To Investigate:

@@ -2239,11 +2241,11 @@
-
Current and foremost task is to get the test set to +
The current and foremost task is to get the test set to complete without errors. This includes fixing several coredumps.
-
Run integration tests to see if the FreeBSD daemons will +
Run integration tests to see if the &os; daemons will work with a Linux Ceph platform.
@@ -2257,11 +2259,11 @@ Device).

Investigate and see if an in-kernel RBD device could be - developed a la ggate.
+ developed akin to ggate.
-
Integrate the FreeBSD /etc/rc.d init scripts in +
Integrate the &os; /etc/rc.d init scripts in the Ceph stack for testing and running Ceph on production machines.
@@ -2288,15 +2290,15 @@
The FreeBSD GNOME Team maintains the GNOME, MATE, and CINNAMON desktop environments and graphical user interfaces for - FreeBSD. GNOME 3 is part of the GNU Project. MATE is a fork of + &os;. GNOME 3 is part of the GNU Project. MATE is a fork of the GNOME 2 desktop. CINNAMON is a desktop environment using GNOME 3 technologies but with a GNOME 2 look and feel.
-
This quarter, GNOME 3.18 and MATE 1.12 was committed to the +
This quarter, GNOME 3.18 and MATE 1.12 were committed to the ports tree.
-
The bsd.gnome.mk and bsd.mate.mk framework - was replaced by the simpler Uses/gnome.mk and +
The bsd.gnome.mk and bsd.mate.mk frameworks + were replaced by the simpler Uses/gnome.mk and Uses/mate.mk style.
@@ -2353,14 +2355,14 @@ corporate donations and is used to fund and manage development projects, conferences and developer summits, and provide travel grants to FreeBSD developers. The Foundation purchases - hardware to improve and maintain FreeBSD infrastructure and - publishes FreeBSD white papers and marketing material to + hardware to improve and maintain &os; infrastructure and + publishes &os; white papers and marketing material to promote, educate, and advocate for the FreeBSD Project. The Foundation also represents the FreeBSD Project in executing contracts, license agreements, and other legal arrangements that require a recognized legal entity.
-
Here are some highlights of what we did to help FreeBSD last +
Here are some highlights of what we did to help &os; last quarter:

Fundraising Efforts
@@ -2373,11 +2375,11 @@
OS Improvements
-
The Foundation improves FreeBSD by funding software +
The Foundation improves &os; by funding software development projects approved through our proposal submission - process and our three software developer staff members. Two + process, and our three software developer staff members. Two Foundation-funded projects were started last quarter, the - first to improve stability of the vnet network stack + first to improve the stability of the vnet network stack virtualization infrastructure, and the second for phase two of the FreeBSD/arm64 port project.
@@ -2387,7 +2389,7 @@ bandwidth limits, porting libunwind to FreeBSD/arm, bug fixes in the autofs automount daemon, an updated version of the ELF Tool Chain, investigation of the - lld linker, improved X86 hardware support, and VM + lld linker, improved x86 hardware support, and VM subsystem stability improvements. Several of these projects are described elsewhere in this quarterly report.
@@ -2397,18 +2399,18 @@ on packaging the base system with pkg(8), separating debug files from the default base system so they can be selected or deselected during an install, supporting - preparations, testing for the on-time release of FreeBSD + preparations, testing for the on-time release of &os; 10.3, and producing 11-CURRENT and 10-STABLE snapshot builds.
-
FreeBSD Advocacy
+
&os; Advocacy

Anne Dickison, our Marketing Director, focused on creating and updating marketing material to promote and teach people - about FreeBSD. + about &os;. This material is available - for FreeBSD advocates to hand out at conferences and events to - promote FreeBSD. She also worked on promoting FreeBSD work + for &os; advocates to hand out at conferences and events to + promote &os;. She also worked on promoting &os; work being done over social media, blog posts, and articles.

Last quarter, we continued our Faces of FreeBSD series by @@ -2416,23 +2418,24 @@ Scott Long and Sean Bruno. - This is an opportunity to put a face to a name in the FreeBSD + This is an opportunity to put a face to a name in the &os; community and get to know more about the people who - contribute to FreeBSD.
+ contribute to &os;.
-
Work began on updating the FreeBSD 10.X brochure to +
Work began on updating the &os; 10.X brochure to include the new 10.3 features.

We love getting stories from companies who are successfully - using FreeBSD. Testimonials were received last quarter from + using &os;. Testimonials were received last quarter from Chelsio and Acceleration Systems.

ZFS was making some headlines, so we wrote a blog entry on - the longstanding relationship between FreeBSD and ZFS.
+ the + longstanding relationship between &os; and ZFS.

We helped promote - the FreeBSD RISC-V - work being done.
+ the + &os; RISC-V work being done.

Assistance was provided to Mellanox for their press release highlighting @@ -2446,22 +2449,22 @@ underrepresented groups. We provide financial support to the *** DIFF OUTPUT TRUNCATED AT 1000 LINES *** From owner-svn-doc-all@freebsd.org Sun May 1 11:03:40 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 90C3CB221DB; Sun, 1 May 2016 11:03:40 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 604F61E03; Sun, 1 May 2016 11:03:40 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u41B3dW4021547; Sun, 1 May 2016 11:03:39 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u41B3d3v021546; Sun, 1 May 2016 11:03:39 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201605011103.u41B3d3v021546@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Sun, 1 May 2016 11:03:39 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48753 - head/de_DE.ISO8859-1/books/handbook/jails X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 01 May 2016 11:03:40 -0000 Author: bhd Date: Sun May 1 11:03:39 2016 New Revision: 48753 URL: https://svnweb.freebsd.org/changeset/doc/48753 Log: Update to r46732: Update instructions for manually creating a jail Remove unneeded subshell Remove csh examples, and explicitly use sh everywhere Remove the GAMES set which on longer exists Remove the DOCS set that may be removed in the future, it is not needed inside a jail Modified: head/de_DE.ISO8859-1/books/handbook/jails/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/jails/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/jails/chapter.xml Sun May 1 02:31:19 2016 (r48752) +++ head/de_DE.ISO8859-1/books/handbook/jails/chapter.xml Sun May 1 11:03:39 2016 (r48753) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/jails/chapter.xml,v 1.23 2011/05/25 20:42:25 jkois Exp $ - basiert auf: r45980 + basiert auf: r46732 --> Jails @@ -239,16 +239,13 @@ Um das Userland von Installationsmedien zu installieren, erstellen Sie zun�chst das Rootverzeichnis f�r die Jail. Dazu setzen Sie DESTDIR auf das entsprechende - Verzeichnis. Das hierf�r ben�tigte Kommando h�ngt von der - verwendeten Shell ab. + Verzeichnis. - F�r &man.sh.1;: + Starten Sie eine Shell und legen Sie + DESTDIR fest: - &prompt.root; export DESTDIR=/hier/ist/die/jail - - F�r csh/tcsh: - - &prompt.root; setenv DESTDIR /hier/ist/die/jail + &prompt.root; sh +&prompt.root; export DESTDIR=/hier/ist/die/jail H�ngen Sie das Installationsmedium ein, wenn Sie von einem Abbild installieren: @@ -269,14 +266,7 @@ F�hren Sie folgendes Kommando in &man.sh.1; aus, um alles au�er den Kernel zu installieren: - &prompt.root; for sets in BASE DOC GAMES PORTS; do tar -xf /mnt/FREEBSD_INSTALL/USR/FREEBSD_DIST/$sets.TXZ -C $DESTDIR ; done - - F�hren Sie folgendes Kommando aus, wenn Sie - csh/tcsh benutzen: - - &prompt.root; foreach sets ( BASE DOC GAMES PORTS ) -tar -xf /mnt/FREEBSD_INSTALL/USR/FREEBSD_DIST/$sets.TXZ -C $DESTDIR -done + &prompt.root; for sets in BASE PORTS; do tar -xf /mnt/FREEBSD_INSTALL/USR/FREEBSD_DIST/$sets.TXZ -C $DESTDIR ; done Die Manualpage &man.jail.8; beschreibt die Erstellung einer Jail wie folgt: @@ -407,15 +397,16 @@ jail_www_devf &prompt.root; service jail start www &prompt.root; service jail stop www - Es gibt momentan keinen sauberen Weg, eine &man.jail.8; zu - stoppen. Dies liegt daran, dass die Kommandos zum sauberen - Herunterfahren eines Systems innerhalb einer Jail nicht - ausgef�hrt werden k�nnen. Der beste Weg eine Jail zu - beenden ist es daher, innerhalb der Jail den folgenden Befehl - auszuf�hren (alternativ k�nnen Sie auch &man.jexec.8; - von au�erhalb der Jail aufrufen): + Jails k�nnen mit &man.jexec.8; heruntergefahren werden. + F�hren Sie zun�chst &man.jls.8; aus, um die + JID der Jail ausfindig zu machen. + Anschlie�end k�nnen Sie &man.jexec.8; benutzen, um das + Shutdown-Skript in der Jail auszuf�hren. - &prompt.root; sh /etc/rc.shutdown + &prompt.root; jls + JID IP Address Hostname Path + 3 192.168.0.10 www /usr/jail/www +&prompt.root; jexec 3 /etc/rc.shutdown Weitere Informationen zu diesem Thema finden Sie in der Manualpage &man.jail.8;. From owner-svn-doc-all@freebsd.org Sun May 1 11:10:57 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id F0C83B22379; Sun, 1 May 2016 11:10:57 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id BEA0C1EE8; Sun, 1 May 2016 11:10:57 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u41BAuF9024395; Sun, 1 May 2016 11:10:56 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u41BAuea024394; Sun, 1 May 2016 11:10:56 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201605011110.u41BAuea024394@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Sun, 1 May 2016 11:10:56 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48754 - head/de_DE.ISO8859-1/books/handbook/jails X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 01 May 2016 11:10:58 -0000 Author: bhd Date: Sun May 1 11:10:56 2016 New Revision: 48754 URL: https://svnweb.freebsd.org/changeset/doc/48754 Log: Update to r47089: Fix redundancy. Modified: head/de_DE.ISO8859-1/books/handbook/jails/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/jails/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/jails/chapter.xml Sun May 1 11:03:39 2016 (r48753) +++ head/de_DE.ISO8859-1/books/handbook/jails/chapter.xml Sun May 1 11:10:56 2016 (r48754) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/jails/chapter.xml,v 1.23 2011/05/25 20:42:25 jkois Exp $ - basiert auf: r46732 + basiert auf: r47089 --> Jails @@ -287,10 +287,10 @@ M�glichkeit w�re etwa /usr/jail/name_der_jail, wobei name_der_jail den Hostname darstellt, �ber den die Jail identifiziert werden - soll. Das Dateisystem unterhalb von /usr/ stellt normalerweise - aussreichend Platz f�r eine Jail zur Verf�gung - (bedenken Sie, dass eine komplette Jail - ein Replikat einer jeden Datei der Standardinstallation des + soll. /usr/ stellt normalerweise + aussreichend Platz f�r eine Jail zur Verf�gung. Bedenken + Sie, dass eine komplette Jail ein Replikat + einer jeden Datei der Standardinstallation des &os;-Basissystems enth�lt. From owner-svn-doc-all@freebsd.org Sun May 1 11:19:32 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 42278B22527; Sun, 1 May 2016 11:19:32 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 12FCD1206; Sun, 1 May 2016 11:19:32 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u41BJVSg024706; Sun, 1 May 2016 11:19:31 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u41BJVMs024705; Sun, 1 May 2016 11:19:31 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201605011119.u41BJVMs024705@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Sun, 1 May 2016 11:19:31 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48755 - head/de_DE.ISO8859-1/books/handbook/jails X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 01 May 2016 11:19:32 -0000 Author: bhd Date: Sun May 1 11:19:31 2016 New Revision: 48755 URL: https://svnweb.freebsd.org/changeset/doc/48755 Log: Update to r47442: Fix grammar in the jails handbook section Modified: head/de_DE.ISO8859-1/books/handbook/jails/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/jails/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/jails/chapter.xml Sun May 1 11:10:56 2016 (r48754) +++ head/de_DE.ISO8859-1/books/handbook/jails/chapter.xml Sun May 1 11:19:31 2016 (r48755) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/jails/chapter.xml,v 1.23 2011/05/25 20:42:25 jkois Exp $ - basiert auf: r47089 + basiert auf: r47442 --> Jails @@ -100,10 +100,10 @@ Operationen am System au�erhalb der angebundenen Jail-Umgebung durchzuf�hren. - Dieses Kapitel erkl�rt, was &os;-Jails sind und wie sie - eingesetzt werden. Jails sind ein sehr m�chtiges Werkzeug f�r - Administratoren, jedoch kann deren grundlegende Verwendung - auch f�r fortgeschrittene Anwender n�tzlich sein. + Dieses Kapitel bietet einen �berblick �ber die + Terminologie und die Kommandos zur Verwaltung von &os; Jails. + Jails sind ein sehr m�chtiges Werkzeug f�r Administratoren + und fortgeschrittene Anwender. Jails @@ -236,7 +236,7 @@ Installationsmedien enthalten) oder die Kompilierung aus dem Quelltext. - Um das Userland von Installationsmedien zu installieren, + Um das Basissystem von Installationsmedien zu installieren, erstellen Sie zun�chst das Rootverzeichnis f�r die Jail. Dazu setzen Sie DESTDIR auf das entsprechende Verzeichnis. @@ -261,7 +261,7 @@ Um lediglich das Basissystem zu installiren, f�hren Sie die nachstehenden Kommandos aus: - &prompt.root; tar -xf /mnt/freebsd_install/usr/freebsd_dist/base.txz -C $DESTDIR + &prompt.root; tar -xf /mnt/freebsd_install/usr/freebsd-dist/base.txz -C $DESTDIR F�hren Sie folgendes Kommando in &man.sh.1; aus, um alles au�er den Kernel zu installieren: From owner-svn-doc-all@freebsd.org Sun May 1 17:19:55 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 62E9FB29054; Sun, 1 May 2016 17:19:55 +0000 (UTC) (envelope-from wblock@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 268B11EF5; Sun, 1 May 2016 17:19:55 +0000 (UTC) (envelope-from wblock@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u41HJs0G032968; Sun, 1 May 2016 17:19:54 GMT (envelope-from wblock@FreeBSD.org) Received: (from wblock@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u41HJsr7032967; Sun, 1 May 2016 17:19:54 GMT (envelope-from wblock@FreeBSD.org) Message-Id: <201605011719.u41HJsr7032967@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: wblock set sender to wblock@FreeBSD.org using -f From: Warren Block Date: Sun, 1 May 2016 17:19:54 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48757 - head/share/mk X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 01 May 2016 17:19:55 -0000 Author: wblock Date: Sun May 1 17:19:54 2016 New Revision: 48757 URL: https://svnweb.freebsd.org/changeset/doc/48757 Log: Stop putting PDF contents in .ps and .rtf files. Modified: head/share/mk/doc.docbook.mk Modified: head/share/mk/doc.docbook.mk ============================================================================== --- head/share/mk/doc.docbook.mk Sun May 1 11:29:21 2016 (r48756) +++ head/share/mk/doc.docbook.mk Sun May 1 17:19:54 2016 (r48757) @@ -412,20 +412,20 @@ ${DOC}.fo: ${DOC}.xml ${LOCAL_IMAGES_LIB .if ${RENDERENGINE} == "fop" ${DOC}.pdf: ${DOC}.fo ${LOCAL_IMAGES_LIB} ${LOCAL_IMAGES_PNG} - ${SETENV} FOP_OPTS="${FOPJAVAOPTS}" ${FOP} ${FOPOPTS} ${DOC}.fo ${.TARGET} + ${SETENV} FOP_OPTS="${FOPJAVAOPTS}" ${FOP} ${FOPOPTS} ${DOC}.fo -pdf ${.TARGET} ${DOC}.ps: ${DOC}.fo ${LOCAL_IMAGES_LIB} ${LOCAL_IMAGES_PNG} - ${SETENV} FOP_OPTS="${FOPJAVAOPTS}" ${FOP} ${FOPOPTS} ${DOC}.fo ${.TARGET} + ${SETENV} FOP_OPTS="${FOPJAVAOPTS}" ${FOP} ${FOPOPTS} ${DOC}.fo -ps ${.TARGET} ${DOC}.rtf: ${DOC}.fo ${LOCAL_IMAGES_LIB} ${LOCAL_IMAGES_PNG} - ${SETENV} FOP_OPTS="${FOPJAVAOPTS}" ${FOP} ${FOPOPTS} ${DOC}.fo ${.TARGET} + ${SETENV} FOP_OPTS="${FOPJAVAOPTS}" ${FOP} ${FOPOPTS} ${DOC}.fo -rtf ${.TARGET} .else # Default is dblatex ${DOC}.pdf: ${DOC}.parsed.xml ${LOCAL_IMAGES_LIB} ${LOCAL_IMAGES_PNG} - ${DBLATEX} ${DOC}.parsed.print.xml ${DBLATEXOPTS} -o ${.TARGET} + ${DBLATEX} ${DOC}.parsed.print.xml ${DBLATEXOPTS} -tpdf -o ${.TARGET} ${DOC}.ps: ${DOC}.parsed.xml ${LOCAL_IMAGES_LIB} ${LOCAL_IMAGES_PNG} - ${DBLATEX} ${DOC}.parsed.print.xml ${DBLATEXOPTS} -o ${.TARGET} + ${DBLATEX} ${DOC}.parsed.print.xml ${DBLATEXOPTS} -tps -o ${.TARGET} .endif From owner-svn-doc-all@freebsd.org Sun May 1 18:11:05 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id B900BB29C58; Sun, 1 May 2016 18:11:05 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 8A1E01C65; Sun, 1 May 2016 18:11:05 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u41IB4jX049225; Sun, 1 May 2016 18:11:04 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u41IB4cs049224; Sun, 1 May 2016 18:11:04 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201605011811.u41IB4cs049224@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Sun, 1 May 2016 18:11:04 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48758 - head/de_DE.ISO8859-1/books/handbook/jails X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 01 May 2016 18:11:05 -0000 Author: bhd Date: Sun May 1 18:11:04 2016 New Revision: 48758 URL: https://svnweb.freebsd.org/changeset/doc/48758 Log: Update to r48693: Add a tip on setting ezjail to download packages using HTTP rather than FTP. Modified: head/de_DE.ISO8859-1/books/handbook/jails/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/jails/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/jails/chapter.xml Sun May 1 17:19:54 2016 (r48757) +++ head/de_DE.ISO8859-1/books/handbook/jails/chapter.xml Sun May 1 18:11:04 2016 (r48758) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/jails/chapter.xml,v 1.23 2011/05/25 20:42:25 jkois Exp $ - basiert auf: r47914 + basiert auf: r48693 --> Jails @@ -1210,6 +1210,24 @@ Created clone interfaces: lo1. /var/ports im Jail als Arbeitsverzeichnis genutzt. + + + Zum herunterladen der Pakete, f�r die Installation in + der Basejail, wird in der Voreinstellung das + FTP-Protokoll verwendet. Firewalls und + Proxies k�nnen jedoch bei der + FTP-�bertragung Probleme verursachen. + Das HTTP-Protokoll arbeitet anderes und + vermeidet diese Probleme. Sie k�nnen eine + URL f�r einen bestimmten Spiegel in + /usr/local/etc/ezjail.conf + eintragen: + + ezjail_ftphost=http://ftp.FreeBSD.org + + Im finden Sie + eine Liste mit Spiegeln. + From owner-svn-doc-all@freebsd.org Sun May 1 19:07:43 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 26A43B295B8; Sun, 1 May 2016 19:07:43 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id BB6F4125C; Sun, 1 May 2016 19:07:42 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u41J7gtV066480; Sun, 1 May 2016 19:07:42 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u41J7guf066479; Sun, 1 May 2016 19:07:42 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201605011907.u41J7guf066479@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Sun, 1 May 2016 19:07:42 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48759 - head/de_DE.ISO8859-1/books/handbook/jails X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 01 May 2016 19:07:43 -0000 Author: bhd Date: Sun May 1 19:07:41 2016 New Revision: 48759 URL: https://svnweb.freebsd.org/changeset/doc/48759 Log: Fix issues found by igor(1) Modified: head/de_DE.ISO8859-1/books/handbook/jails/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/jails/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/jails/chapter.xml Sun May 1 18:11:04 2016 (r48758) +++ head/de_DE.ISO8859-1/books/handbook/jails/chapter.xml Sun May 1 19:07:41 2016 (r48759) @@ -7,19 +7,44 @@ $FreeBSDde: de-docproj/books/handbook/jails/chapter.xml,v 1.23 2011/05/25 20:42:25 jkois Exp $ basiert auf: r48693 --> - - Jails + + + Jails + - MatteoRiondatoBeigetragen von + + + Matteo + Riondato + + Beigetragen von + - OliverPeter�bersetzt von - DirkArlt - JohannKois + + + Oliver + Peter + + �bersetzt von + + + + Dirk + Arlt + + + + + Johann + Kois + + - jails @@ -88,22 +113,21 @@ innerhalb der Jail ausgef�hrt werden soll. Dieser Pfad wird relativ zum root-Verzeichnis der Jail-Umgebung angegeben. - - + + - Jails haben einen eigenen Satz von Benutzern und ihren - eigenen root-Konto. Die Rechte - dieser Benutzer sind nur auf die Jail-Umgebung beschr�nkt. - Der Benutzer root - der Jail-Umgebung ist nicht dazu berechtigt, kritische - Operationen am System au�erhalb der angebundenen - Jail-Umgebung durchzuf�hren. - - Dieses Kapitel bietet einen �berblick �ber die - Terminologie und die Kommandos zur Verwaltung von &os; Jails. - Jails sind ein sehr m�chtiges Werkzeug f�r Administratoren - und fortgeschrittene Anwender. + Jails haben einen eigenen Satz von Benutzern und ihren + eigenen root-Konto. + Die Rechte dieser Benutzer sind nur auf die Jail-Umgebung + beschr�nkt. Der Benutzer root der Jail-Umgebung ist nicht + dazu berechtigt, kritische Operationen am System au�erhalb der + angebundenen Jail-Umgebung durchzuf�hren. + + Dieses Kapitel bietet einen �berblick �ber die Terminologie + und die Kommandos zur Verwaltung von &os; Jails. Jails sind ein + sehr m�chtiges Werkzeug f�r Administratoren und fortgeschrittene + Anwender. - - Erstellen der Vorlage + + Erstellen der Vorlage + + Dieser Abschnitt beschreibt die Schritte, die zum + Erstellen der Hauptvorlage notwendig sind. - Dieser Abschnitt beschreibt die Schritte, die zum - Erstellen der Hauptvorlage notwendig sind. + Es wird empfohlen, zun�chst das &os; Host-System nach + den Anweisungen in auf den + aktuellen -RELEASE-Zweig zu aktualisieren. Dar�ber hinaus + verwendet diese Vorlage sysutils/cpdup, + sowie portsnap zum herunterladen + der &os; Ports-Sammlung. - Es wird empfohlen, zun�chst das &os; Host-System nach - den Anweisungen in auf den - aktuellen -RELEASE-Zweig zu aktualisieren. Dar�ber hinaus - verwendet diese Vorlage sysutils/cpdup, - sowie portsnap zum herunterladen - der &os; Ports-Sammlung. - - - - Zuerst erstellen wir eine Verzeichnissstruktur - f�r das read-only-Dateisystem, das die - &os;-Bin�rdateien f�r die Jails enthalten - wird. Anschlie�end wechseln wir in den - &os;-Quellcodebaum und installieren das - read-only-Dateisystem in die (Vorlage-)Jail. + + + Zuerst erstellen wir eine Verzeichnissstruktur f�r das + read-only-Dateisystem, das die &os;-Bin�rdateien f�r die + Jails enthalten wird. Anschlie�end wechseln wir in den + &os;-Quellcodebaum und installieren das + read-only-Dateisystem in die (Vorlage-)Jail. - &prompt.root; mkdir /home/j /home/j/mroot + &prompt.root; mkdir /home/j /home/j/mroot &prompt.root; cd /usr/src &prompt.root; make installworld DESTDIR=/home/j/mroot - + - - Als n�chstes bereiten wir die Ports-Sammlung - f� die Jails vor und kopieren den &os; Quellcodebaum - in die Jail, da dieser f�r - mergemaster ben�tigt wird: + + Als n�chstes bereiten wir die Ports-Sammlung f�r die + Jails vor und kopieren den &os; Quellcodebaum + in die Jail, da dieser f�r + mergemaster ben�tigt + wird: - &prompt.root; cd /home/j/mroot + &prompt.root; cd /home/j/mroot &prompt.root; mkdir usr/ports &prompt.root; portsnap -p /home/j/mroot/usr/ports fetch extract &prompt.root; cpdup /usr/src /home/j/mroot/usr/src - + - - Danach wird die Struktur f�r den - read/write-Bereich des Systems erstellt: + + Danach wird die Struktur f�r den + read/write-Bereich des Systems erstellt: - &prompt.root; mkdir /home/j/skel /home/j/skel/home /home/j/skel/usr-X11R6 /home/j/skel/distfiles + &prompt.root; mkdir /home/j/skel /home/j/skel/home /home/j/skel/usr-X11R6 /home/j/skel/distfiles &prompt.root; mv etc /home/j/skel &prompt.root; mv usr/local /home/j/skel/usr-local &prompt.root; mv tmp /home/j/skel &prompt.root; mv var /home/j/skel &prompt.root; mv root /home/j/skel - + - - Nutzen Sie mergemaster, um - fehlende Konfigurationsdateien zu installieren. - Anschlie�end werden die von - mergemaster erstellten - Extra-Verzeichnisse entfernt: + + Nutzen Sie mergemaster, um + fehlende Konfigurationsdateien zu installieren. + Anschlie�end werden die von + mergemaster erstellten + Extra-Verzeichnisse entfernt: - &prompt.root; mergemaster -t /home/j/skel/var/tmp/temproot -D /home/j/skel -i + &prompt.root; mergemaster -t /home/j/skel/var/tmp/temproot -D /home/j/skel -i &prompt.root; cd /home/j/skel &prompt.root; rm -R bin boot lib libexec mnt proc rescue sbin sys usr dev - + - - Nun wird das read/write-Dateisystem mit dem - read-only-Dateisystem verlinkt. Vergewissern Sie - sich, dass die symbolischen Links an den korrekten - s/ Positionen erstellt werden, weil - echte Verzeichnisse oder an falschen Positionen - erstellte Verzeichnisse die Installation fehlschlagen - lassen. + + Nun wird das read/write-Dateisystem mit dem + read-only-Dateisystem verlinkt. Vergewissern Sie + sich, dass die symbolischen Links an den korrekten + s/ Positionen erstellt werden, weil + echte Verzeichnisse oder an falschen Positionen + erstellte Verzeichnisse die Installation fehlschlagen + lassen. - &prompt.root; cd /home/j/mroot + &prompt.root; cd /home/j/mroot &prompt.root; mkdir s &prompt.root; ln -s s/etc etc &prompt.root; ln -s s/home home @@ -786,62 +819,61 @@ jail_www_devf &prompt.root; ln -s s/distfiles usr/ports/distfiles &prompt.root; ln -s s/tmp tmp &prompt.root; ln -s s/var var - + - - Zuletzt erstellen Sie eine allgemeine - /home/j/skel/etc/make.conf mit - folgendem Inhalt: - - WRKDIRPREFIX?= /s/portbuild - - Dies erlaubt es, die &os;-Ports innerhalb jeder Jail - zu kompilieren. Das Ports-Verzeichnis ist Teil des - read-only System. Der angepasste Pfad des - WRKDIRPREFIX macht es m�glich, - innerhalb des read/write-Bereichs der Jail Ports zu - bauen. - - - - - - Jails erstellen - - Die Jailvorlage kann nun verwendet werden, um die Jails - einzurichten und in /etc/rc.conf zu - konfigurieren. In diesem Beispiel werden drei Jails - erstellt: NS, MAIL - und WWW. - - - - F�gen Sie die folgenden Zeilen in - /etc/fstab ein, damit die - read-only-Vorlage und der read/write-Bereich f�r - alle Jails verf�gbar sind: + + Zuletzt erstellen Sie eine allgemeine + /home/j/skel/etc/make.conf mit + folgendem Inhalt: + + WRKDIRPREFIX?= /s/portbuild + + Dies erlaubt es, die &os;-Ports innerhalb jeder Jail + zu kompilieren. Das Ports-Verzeichnis ist Teil des + read-only System. Der angepasste Pfad des + WRKDIRPREFIX macht es m�glich, + innerhalb des read/write-Bereichs der Jail Ports zu + bauen. + + + + + + Jails erstellen - /home/j/mroot /home/j/ns nullfs ro 0 0 + Die Jailvorlage kann nun verwendet werden, um die Jails + einzurichten und in /etc/rc.conf zu + konfigurieren. In diesem Beispiel werden drei Jails + erstellt: NS, MAIL + und WWW. + + + + F�gen Sie die folgenden Zeilen in + /etc/fstab ein, damit die + read-only-Vorlage und der read/write-Bereich f�r + alle Jails verf�gbar sind: + + /home/j/mroot /home/j/ns nullfs ro 0 0 /home/j/mroot /home/j/mail nullfs ro 0 0 /home/j/mroot /home/j/www nullfs ro 0 0 /home/js/ns /home/j/ns/s nullfs rw 0 0 /home/js/mail /home/j/mail/s nullfs rw 0 0 /home/js/www /home/j/www/s nullfs rw 0 0 - Um zu verhindern, dass - fsck die - nullfs-Mounts w�hrend des - Bootens �berpr�ft oder dass - dump die Mounts sichert, - m�ssen die letzten beiden Spalten auf - 0 gesetzt werden. - - - - Konfigurieren Sie die Jails in - /etc/rc.conf: + Um zu verhindern, dass fsck + die nullfs-Mounts w�hrend des + Bootens �berpr�ft oder dass + dump die Mounts sichert, m�ssen + die letzten beiden Spalten auf 0 + gesetzt werden. + + + + Konfigurieren Sie die Jails in + /etc/rc.conf: - jail_enable="YES" + jail_enable="YES" jail_set_hostname_allow="NO" jail_list="ns mail www" jail_ns_hostname="ns.example.org" @@ -857,170 +889,170 @@ jail_www_ip="62.123.43.14" jail_www_rootdir="/usr/home/j/www" jail_www_devfs_enable="YES" - Die Variable - jail_name_rootdir - zeigt nach /usr/home statt nach - /home, da der physikalische Pfad - von /home unter &os; - /usr/home lautet. Die Variable - jail_name_rootdir - darf im Pfad aber - keinen symbolischen Link - enthalten, weil das Jail ansonsten nicht gestartet - werden kann. - - - - Erstellen Sie die notwendigen Mountpunkte f�r - die nur lesbaren Bereiche jeder Jail: - - &prompt.root; mkdir /home/j/ns /home/j/mail /home/j/www - - - - Installieren Sie mit - sysutils/cpdup die read/write-Vorlage - in jede Jail: + Die Variable + jail_name_rootdir + zeigt nach /usr/home statt nach + /home, da der physikalische Pfad + von /home unter &os; + /usr/home lautet. Die Variable + jail_name_rootdir + darf im Pfad aber + keinen symbolischen Link enthalten, + weil die Jail ansonsten nicht gestartet werden + kann. + + + + Erstellen Sie die notwendigen Mountpunkte f�r + die nur lesbaren Bereiche jeder Jail: + + &prompt.root; mkdir /home/j/ns /home/j/mail /home/j/www + + + + Installieren Sie mit + sysutils/cpdup die read/write-Vorlage + in jede Jail: - &prompt.root; mkdir /home/js + &prompt.root; mkdir /home/js &prompt.root; cpdup /home/j/skel /home/js/ns &prompt.root; cpdup /home/j/skel /home/js/mail &prompt.root; cpdup /home/j/skel /home/js/www - + - - An dieser Stelle werden die Jails erstellt und - f� den Betrieb vorbereitet. Mounten Sie zuerst die - notwendigen Dateisysteme f�r jede Jail. Danach starten - Sie die Jails: + + An dieser Stelle werden die Jails erstellt und + f�r den Betrieb vorbereitet. Mounten Sie zuerst die + notwendigen Dateisysteme f�r jede Jail. Danach starten + Sie die Jails: - &prompt.root; mount -a + &prompt.root; mount -a &prompt.root; service jail start - - + + - Die Jails sollten nun laufen. Um zu pr�fen, ob sie - korrekt gestartet wurden, verwenden Sie - jls. Die Ausgabe sollte �hnlich der - folgenden sein: + Die Jails sollten nun laufen. Um zu pr�fen, ob sie + korrekt gestartet wurden, verwenden Sie + jls. Die Ausgabe sollte �hnlich der + folgenden sein: - &prompt.root; jls + &prompt.root; jls JID IP Address Hostname Path 3 192.168.3.17 ns.example.org /home/j/ns 2 192.168.3.18 mail.example.org /home/j/mail 1 62.123.43.14 www.example.org /home/j/www - An diesem Punkt sollte es m�glich sein, sich an - jeder Jail anzumelden, Benutzer anzulegen und Dienste zu - konfigurieren. Die Spalte JID gibt die - Jail-Identifikationsnummer jeder laufenden Jail an. Nutzen Sie - den folgenden Befehl, um administrative Aufgaben in der Jail - mit der JID 3 + An diesem Punkt sollte es m�glich sein, sich an jeder Jail + anzumelden, Benutzer anzulegen und Dienste zu konfigurieren. + Die Spalte JID gibt die + Jail-Identifikationsnummer jeder laufenden Jail an. Nutzen + Sie den folgenden Befehl, um administrative Aufgaben in der + Jail mit der JID 3 durchzuf�hren: - &prompt.root; jexec 3 tcsh - + &prompt.root; jexec 3 tcsh + - - Jails aktualisieren + + Jails aktualisieren - Das Design dieses Aufbaus bietet einen einfachen Weg, - bestehende Jails zu aktualisieren, w�hrend die Ausfallzeiten - minimiert werden. Au�erdem bietet es die M�glichkeit, zu - �lteren Versionen zur�ckzukehren, falls irgendwelche - Probleme auftreten. - - - - Im ersten Schritt wird das Host-System aktualisiert. - Anschlie�end wird eine tempor�re neue read-only Vorlage - /home/j/mroot2 erstellt. + Das Design dieses Aufbaus bietet einen einfachen Weg, + bestehende Jails zu aktualisieren, w�hrend die Ausfallzeiten + minimiert werden. Au�erdem bietet es die M�glichkeit, zu + �lteren Versionen zur�ckzukehren, falls irgendwelche + Probleme auftreten. - &prompt.root; mkdir /home/j/mroot2 + + + Im ersten Schritt wird das Host-System aktualisiert. + Anschlie�end wird eine tempor�re neue read-only Vorlage + /home/j/mroot2 erstellt. + + &prompt.root; mkdir /home/j/mroot2 &prompt.root; cd /usr/src &prompt.root; make installworld DESTDIR=/home/j/mroot2 &prompt.root; cd /home/j/mroot2 &prompt.root; cpdup /usr/src usr/src &prompt.root; mkdir s - installworld erzeugt - einige unn�tige Verzeichnisse, die nun entfernt werden - sollten: + installworld erzeugt + einige unn�tige Verzeichnisse, die nun entfernt werden + sollten: *** DIFF OUTPUT TRUNCATED AT 1000 LINES *** From owner-svn-doc-all@freebsd.org Sun May 1 20:00:49 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id C833FB2922C; Sun, 1 May 2016 20:00:49 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 8BDE11CB7; Sun, 1 May 2016 20:00:49 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u41K0mKb082254; Sun, 1 May 2016 20:00:48 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u41K0mSh082253; Sun, 1 May 2016 20:00:48 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201605012000.u41K0mSh082253@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Sun, 1 May 2016 20:00:48 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48760 - head/de_DE.ISO8859-1/books/handbook/disks X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 01 May 2016 20:00:49 -0000 Author: bhd Date: Sun May 1 20:00:48 2016 New Revision: 48760 URL: https://svnweb.freebsd.org/changeset/doc/48760 Log: Update to r44645: Rename chapter to Memory Disks as NFS is mentioned, but not covered, and vnconfig was deprecated in 5.0. Adjust Synopsis to match topics covered in Disks chapter. Modified: head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Sun May 1 19:07:41 2016 (r48759) +++ head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Sun May 1 20:00:48 2016 (r48760) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/disks/chapter.xml,v 1.187 2012/04/26 19:32:48 bcr Exp $ - basiert auf: r44644 + basiert auf: r44645 --> Speichermedien @@ -19,24 +19,23 @@ �bersicht Dieses Kapitel behandelt die Benutzung von Laufwerken unter - &os;. Hierzu z�hlen speichergest�tzte Laufwerke, Netzlaufwerke, - SCSI/IDE-Ger�te und - Ger�te, die die USB-Schnittstelle - benutzen. + &os;. Hierzu z�hlen SCSI- und + IDE-Ger�te, CD- und + DVD-Medien, speicherbasierte Laufwerke und + USB-Ger�te. Nachdem Sie dieses Kapitel gelesen haben, werden Sie Folgendes wissen: - Die Begriffe, die &os; verwendet, um die - Organisation der Daten auf einem physikalischen Laufwerk - zu beschreiben. + Wie Sie zus�tzliche Laufwerke zu einem &os;-System + hinzuf�gen. - Wie Sie zus�tzliche Laufwerke zu einem &os;-System - hinzuf�gen. + Wie Sie unter &os; die Partition einer Festplatte + vergr��ern. @@ -45,32 +44,37 @@ - Wie virtuelle Dateisysteme, zum Beispiel RAM-Disks, - eingerichtet werden. + Wie Sie CD- und + DVD-Medien unter &os; benutzen. - Wie Sie mit Quotas die Benutzung von Laufwerken - einschr�nken k�nnen. + Wie Sie die unter &os; erh�ltlichen Backup-Programme + benutzen. - Wie Sie Partitionen verschl�sseln, um Ihre Daten - zu sch�tzen. + Wie Sie RAM-Disks einrichten. - Wie unter &os; CDs und - DVDs gebrannt werden. + Was Dateisystem-Schnappsch�sse sind und wie sie + effizient eingesetzt werden. - Wie Sie die unter &os; erh�ltlichen - Backup-Programme benutzen. + Wie Sie mit Quotas die Benutzung von Laufwerken + einschr�nken k�nnen. + - Was Dateisystem-Schnappsch�sse sind und wie sie - eingesetzt werden. + Wie Sie Festplatten und Swap verschl�sseln, um Daten + vor Angreifern zu sch�tzen. + + + + Wie Sie ein hochverf�gbares Speichernetzwerk + konfigurieren. @@ -2049,46 +2053,23 @@ IMAGES/&rel2.current;/&os;-&rel2.current - Netzwerk-, speicher- und dateibasierte Dateisysteme + Speicherbasierte Laufwerke MarcFonvieilleVerbessert und neu strukturiert von - - - Laufwerke - virtuelle - - Neben physikalischen Laufwerken, wie Disketten, - CDs und Festplatten, unterst�tzt &os; - auch virtuelle Laufwerke. + Neben physikalischen Laufwerken unterst�tzt &os; + auch speicherbasierte Laufwerke. - NFS Laufwerke speicherbasierte - - Laufwerke - RAM-Disks - - - Dazu z�hlen Netzwerkdateisysteme wie - Network Filesystem, sowie - speicher- und dateibasierte Dateisysteme. - - Abh�ngig von der verwendeten &os; Version werden - speicher- und dateibasierte Dateisysteme mit unterschiedlichen - Werkzeugen angelegt. - - - Ger�tedateien werden unter &os; automatisch - von &man.devfs.5; angelegt. - - Dateibasierte Laufwerke unter FreeBSD + Ein- und Aush�ngen von bestehenden Abbildern + Laufwerke dateibasierte @@ -2116,7 +2097,7 @@ IMAGES/&rel2.current;/&os;-&rel2.current Einh�ngen eines existierenden Abbildes unter &os; - &prompt.root; mdconfig -a -t vnode -f diskimage -u 0 + &prompt.root; mdconfig -f diskimage -u 0 &prompt.root; mount /dev/md0 /mnt @@ -2176,10 +2157,31 @@ Filesystem 1K-blocks Used Avail Capacity w�hlt &man.md.4; automatisch ein ungenutztes Ger�t aus. Weitere Einzelheiten entnehmen Sie bitte der Hilfeseite &man.mdmfs.8;. + + + Laufwerke + speicherbasiertes Laufwerk aush�ngen + + + Wenn ein speicher- oder dateibasiertes Dateisystem nicht + mehr in Gebrauch ist, sollten seine belegten Ressourcen wieder + an das System zur�ckgegeben werden. H�ngen Sie zuerst das + Dateisystem aus, dann verwenden Sie &man.mdconfig.8;, um die + Platte vom System zu trennen und die Ressourcen + freizugeben. + + Um beispielsweise /dev/md4 zu trennen + und all seine Ressourcen freizugeben: + + &prompt.root; mdconfig -d -u 4 + + Informationen �ber alle konfigurierten &man.md.4;-Ger�te + k�nnen mit mdconfig -l angezeigt + werden. - Speicherbasierte Laufwerke unter FreeBSD + Ein speicherbasiertes Laufwerk erzeugen Laufwerke @@ -2224,28 +2226,6 @@ Filesystem 1K-blocks Used Avail Capacity /dev/md2 4846 2 4458 0% /mnt - - - Virtuelle Laufwerke freigeben - - Laufwerke - Freigabe von virtuellen Laufwerken - - - Wenn ein virtuelles Laufwerk nicht mehr in Gebrauch ist, - sollten seine belegten Ressourcen an das System zur�ckgegeben - werden. Zuerst wird das Dateisystem abgeh�ngt und dann die - benutzten Ressourcen mit &man.mdconfig.8; freigegeben. - - Alle von /dev/md4 belegten Ressourcen - werden mit dem nachstehenden Kommando freigegeben: - - &prompt.root; mdconfig -d -u 4 - - Informationen zu eingerichteten &man.md.4;-Ger�ten werden - mit mdconfig -l angezeigt. - - From owner-svn-doc-all@freebsd.org Sun May 1 20:07:21 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id C0519B293D5; Sun, 1 May 2016 20:07:21 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 737FE1018; Sun, 1 May 2016 20:07:21 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u41K7K7o085173; Sun, 1 May 2016 20:07:20 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u41K7Kv0085172; Sun, 1 May 2016 20:07:20 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201605012007.u41K7Kv0085172@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Sun, 1 May 2016 20:07:20 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48761 - head/de_DE.ISO8859-1/books/handbook/network-servers X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 01 May 2016 20:07:21 -0000 Author: bhd Date: Sun May 1 20:07:20 2016 New Revision: 48761 URL: https://svnweb.freebsd.org/changeset/doc/48761 Log: Update to r43384: Update Samba version to 3.6. Modified: head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml Sun May 1 20:00:48 2016 (r48760) +++ head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml Sun May 1 20:07:20 2016 (r48761) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/network-servers/chapter.xml,v 1.103 2011/12/24 15:51:18 bcr Exp $ - basiert auf: r43077 + basiert auf: r43384 --> @@ -5217,7 +5217,7 @@ DocumentRoot /www/someotherdomain.tld Die Standardkonfigurationsdatei von Samba hei�t - /usr/local/share/examples/samba34/smb.conf.default. + /usr/local/share/examples/samba36/smb.conf.default. Diese Datei muss nach /usr/local/etc/smb.conf kopiert und angepasst werden, bevor Samba verwendet werden kann. @@ -5407,7 +5407,7 @@ DocumentRoot /www/someotherdomain.tld <application>Samba</application> starten - Der Port net/samba34 + Der Port net/samba36 legt ein neues Startskript an, mit dem Samba gesteuert (also etwa gestartet oder beendet) werden kann. Um dieses Skript From owner-svn-doc-all@freebsd.org Sun May 1 21:24:59 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 4BD57B29CD0; Sun, 1 May 2016 21:24:59 +0000 (UTC) (envelope-from wblock@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 1D2F1139C; Sun, 1 May 2016 21:24:59 +0000 (UTC) (envelope-from wblock@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u41LOwCx010220; Sun, 1 May 2016 21:24:58 GMT (envelope-from wblock@FreeBSD.org) Received: (from wblock@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u41LOwav010219; Sun, 1 May 2016 21:24:58 GMT (envelope-from wblock@FreeBSD.org) Message-Id: <201605012124.u41LOwav010219@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: wblock set sender to wblock@FreeBSD.org using -f From: Warren Block Date: Sun, 1 May 2016 21:24:58 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48762 - head/share/xml X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 01 May 2016 21:24:59 -0000 Author: wblock Date: Sun May 1 21:24:58 2016 New Revision: 48762 URL: https://svnweb.freebsd.org/changeset/doc/48762 Log: Set the image source path to "./" to keep absolute paths from breaking image display. Modified: head/share/xml/freebsd-epub.xsl Modified: head/share/xml/freebsd-epub.xsl ============================================================================== --- head/share/xml/freebsd-epub.xsl Sun May 1 20:07:20 2016 (r48761) +++ head/share/xml/freebsd-epub.xsl Sun May 1 21:24:58 2016 (r48762) @@ -21,6 +21,7 @@ + ../xml/docbook-epub.css.xml From owner-svn-doc-all@freebsd.org Mon May 2 00:40:10 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id C0C1BAD9864; Mon, 2 May 2016 00:40:10 +0000 (UTC) (envelope-from wblock@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 8DE5F1F6C; Mon, 2 May 2016 00:40:10 +0000 (UTC) (envelope-from wblock@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u420e9rs066866; Mon, 2 May 2016 00:40:09 GMT (envelope-from wblock@FreeBSD.org) Received: (from wblock@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u420e98q066865; Mon, 2 May 2016 00:40:09 GMT (envelope-from wblock@FreeBSD.org) Message-Id: <201605020040.u420e98q066865@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: wblock set sender to wblock@FreeBSD.org using -f From: Warren Block Date: Mon, 2 May 2016 00:40:09 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48763 - head/en_US.ISO8859-1/htdocs/news/status X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 02 May 2016 00:40:10 -0000 Author: wblock Date: Mon May 2 00:40:09 2016 New Revision: 48763 URL: https://svnweb.freebsd.org/changeset/doc/48763 Log: Spelling fix. Modified: head/en_US.ISO8859-1/htdocs/news/status/report-2016-01-2016-03.xml Modified: head/en_US.ISO8859-1/htdocs/news/status/report-2016-01-2016-03.xml ============================================================================== --- head/en_US.ISO8859-1/htdocs/news/status/report-2016-01-2016-03.xml Sun May 1 21:24:58 2016 (r48762) +++ head/en_US.ISO8859-1/htdocs/news/status/report-2016-01-2016-03.xml Mon May 2 00:40:09 2016 (r48763) @@ -846,7 +846,7 @@ the shared lock naturally finishes with the destruction of the shared memory, without need for explicit cleanup. Right now, off-pages hook into vm object termination to avoid leakage, but - long-livedness of the vnode vm object prolonges the off-page's + long-livedness of the vnode vm object prolongs the off-page's existence for shared locks backed by files, however unlikely they may be.
From owner-svn-doc-all@freebsd.org Mon May 2 00:45:13 2016 Return-Path:
Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 0ABCAAD9B14; Mon, 2 May 2016 00:45:13 +0000 (UTC) (envelope-from wblock@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id CC7BF167E; Mon, 2 May 2016 00:45:12 +0000 (UTC) (envelope-from wblock@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u420jBfH069812; Mon, 2 May 2016 00:45:11 GMT (envelope-from wblock@FreeBSD.org) Received: (from wblock@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u420jB2f069811; Mon, 2 May 2016 00:45:11 GMT (envelope-from wblock@FreeBSD.org) Message-Id: <201605020045.u420jB2f069811@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: wblock set sender to wblock@FreeBSD.org using -f From: Warren Block
Date: Mon, 2 May 2016 00:45:11 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48764 - head/share/xml X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $"
List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 02 May 2016 00:45:13 -0000 Author: wblock Date: Mon May 2 00:45:11 2016 New Revision: 48764 URL: https://svnweb.freebsd.org/changeset/doc/48764 Log: Announce the quarterly reports on the main page. Modified: head/share/xml/news.xml Modified: head/share/xml/news.xml ============================================================================== --- head/share/xml/news.xml Mon May 2 00:40:09 2016 (r48763) +++ head/share/xml/news.xml Mon May 2 00:45:11 2016 (r48764) @@ -32,6 +32,22 @@ 2016 + 5 + + + 1 + + + January-March 2016 Status Report + +
The January to March 2016 Status Report + is now available.
+ + + + + 4 From owner-svn-doc-all@freebsd.org Mon May 2 00:47:10 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id CB3ADAD9C31; Mon, 2 May 2016 00:47:10 +0000 (UTC) (envelope-from wblock@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 9AED21898; Mon, 2 May 2016 00:47:10 +0000 (UTC) (envelope-from wblock@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u420l92N069962; Mon, 2 May 2016 00:47:09 GMT (envelope-from wblock@FreeBSD.org) Received: (from wblock@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u420l903069961; Mon, 2 May 2016 00:47:09 GMT (envelope-from wblock@FreeBSD.org) Message-Id: <201605020047.u420l903069961@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: wblock set sender to wblock@FreeBSD.org using -f From: Warren Block Date: Mon, 2 May 2016 00:47:09 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48765 - head/en_US.ISO8859-1/htdocs/news/status X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 02 May 2016 00:47:10 -0000 Author: wblock Date: Mon May 2 00:47:09 2016 New Revision: 48765 URL: https://svnweb.freebsd.org/changeset/doc/48765 Log: Update the next due date. Modified: head/en_US.ISO8859-1/htdocs/news/status/status.xml Modified: head/en_US.ISO8859-1/htdocs/news/status/status.xml ============================================================================== --- head/en_US.ISO8859-1/htdocs/news/status/status.xml Mon May 2 00:45:11 2016 (r48764) +++ head/en_US.ISO8859-1/htdocs/news/status/status.xml Mon May 2 00:47:09 2016 (r48765) @@ -13,8 +13,8 @@ -
Next Quarterly Status Report submissions (January – - March) due: April 7th, 2016
+
Next Quarterly Status Report submissions (April – + June) due: July 7th, 2016

Use the xml generator or download and edit the From owner-svn-doc-all@freebsd.org Mon May 2 02:06:11 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 1A7FEB2993D; Mon, 2 May 2016 02:06:11 +0000 (UTC) (envelope-from wblock@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id E06A619BA; Mon, 2 May 2016 02:06:10 +0000 (UTC) (envelope-from wblock@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u4226AX5094068; Mon, 2 May 2016 02:06:10 GMT (envelope-from wblock@FreeBSD.org) Received: (from wblock@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u4226AWl094067; Mon, 2 May 2016 02:06:10 GMT (envelope-from wblock@FreeBSD.org) Message-Id: <201605020206.u4226AWl094067@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: wblock set sender to wblock@FreeBSD.org using -f From: Warren Block Date: Mon, 2 May 2016 02:06:10 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48766 - head/en_US.ISO8859-1/htdocs/news/status X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 02 May 2016 02:06:11 -0000 Author: wblock Date: Mon May 2 02:06:09 2016 New Revision: 48766 URL: https://svnweb.freebsd.org/changeset/doc/48766 Log: Add a link to the new quarterly report. Modified: head/en_US.ISO8859-1/htdocs/news/status/status.xml Modified: head/en_US.ISO8859-1/htdocs/news/status/status.xml ============================================================================== --- head/en_US.ISO8859-1/htdocs/news/status/status.xml Mon May 2 00:47:09 2016 (r48765) +++ head/en_US.ISO8859-1/htdocs/news/status/status.xml Mon May 2 02:06:09 2016 (r48766) @@ -55,6 +55,13 @@
These status reports may be reproduced in whole or in part, as long as the source is clearly identified and appropriate credit given.
+
2016
+ +
+
January, 2016 - + March, 2016
+
+
2015

From owner-svn-doc-all@freebsd.org Mon May 2 02:08:31 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 351ECB2999B; Mon, 2 May 2016 02:08:31 +0000 (UTC) (envelope-from wblock@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id EBC671A21; Mon, 2 May 2016 02:08:30 +0000 (UTC) (envelope-from wblock@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u4228UdU094178; Mon, 2 May 2016 02:08:30 GMT (envelope-from wblock@FreeBSD.org) Received: (from wblock@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u4228UTi094177; Mon, 2 May 2016 02:08:30 GMT (envelope-from wblock@FreeBSD.org) Message-Id: <201605020208.u4228UTi094177@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: wblock set sender to wblock@FreeBSD.org using -f From: Warren Block Date: Mon, 2 May 2016 02:08:30 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48767 - head/en_US.ISO8859-1/htdocs/news/status X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 02 May 2016 02:08:31 -0000 Author: wblock Date: Mon May 2 02:08:29 2016 New Revision: 48767 URL: https://svnweb.freebsd.org/changeset/doc/48767 Log: Clarify the README somewhat. Modified: head/en_US.ISO8859-1/htdocs/news/status/README Modified: head/en_US.ISO8859-1/htdocs/news/status/README ============================================================================== --- head/en_US.ISO8859-1/htdocs/news/status/README Mon May 2 02:06:09 2016 (r48766) +++ head/en_US.ISO8859-1/htdocs/news/status/README Mon May 2 02:08:29 2016 (r48767) @@ -181,19 +181,43 @@ Report//EN" But should be usually the last step in the process; a good introduction can be only written once the report is considered finished. -6) Sending it out: - - After a few days, collate and commit the changes. Also update the - next due date in status.xml and link to the new report. - - Add a news entry to head/share/xml/news.xml. Template: - - June-October 2006 Status Report + - wblock suggests that we ask different people to write introductions to + add variety. Different people will bring different viewpoints and help + keep it fresh. + +6) Committing it: + + - Files to edit and commit: + + In doc/en_US.ISO8859-1/htdocs/news/status/ : + The quarterly report itself: + report-yyyy-mm-yyyy-mm.xml + + Update the next due date on the status report page and + add a link to the new report below that: + status.xml + + In doc/share/xml/ : + The news entry for the main website page: + news.xml + + Sample: + + June-October 2006 Status Report
The June to October 2006 Status Report - is now available with 49 entries.
+ href="&enbase;/news/status/report-2006-06-2006-10.html">June to October 2006 Status Report + is now available with 49 entries.
+ - Extract a text version with the command - lynx -dump -nolist report.html > report.txt and prettify it. + + /usr/local/bin/lynx -dump -nolist ./report-yyyy-mm-yyyy-mm.html \ + | /usr/bin/iconv -f ISO-8859-1 -t UTF-8 \ + | sed -e 's%Napieral/a%Napierała%g' > report.txt + + and prettify it. + lynx defaults to a width of 80 and will forcibly wrap URLs to fit within that size. The prettification process includes undoing that wrapping of URLS, and also fixing any cases where the name and email @@ -202,8 +226,17 @@ Report//EN" as the U+0142 LATIN SMALL LETTER L WITH STROKE found in trasz's surname), instead using an ASCII transliteration; these should be returned to the UTF-8 form. - - Send out To: hackers, CC: current, stable, BCC: developers. New email - to: announce@. This last one needs to be approved, so find someone - (mail postmaster) who can do that before you start. + + - Send out + To: announce@ + + This one must be approved, so find someone (mail postmaster) who can do + that before starting. + + Send a separate mail: + + To: hackers + CC: current, stable + BCC: developers 7) Repeat. From owner-svn-doc-all@freebsd.org Mon May 2 10:53:12 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 2C88DB1DCD2; Mon, 2 May 2016 10:53:12 +0000 (UTC) (envelope-from ryusuke@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id F1C0510C0; Mon, 2 May 2016 10:53:11 +0000 (UTC) (envelope-from ryusuke@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u42ArBoa053069; Mon, 2 May 2016 10:53:11 GMT (envelope-from ryusuke@FreeBSD.org) Received: (from ryusuke@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u42ArBa9053068; Mon, 2 May 2016 10:53:11 GMT (envelope-from ryusuke@FreeBSD.org) Message-Id: <201605021053.u42ArBa9053068@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: ryusuke set sender to ryusuke@FreeBSD.org using -f From: Ryusuke SUZUKI Date: Mon, 2 May 2016 10:53:11 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48768 - head/ja_JP.eucJP/share/xml X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 02 May 2016 10:53:12 -0000 Author: ryusuke Date: Mon May 2 10:53:10 2016 New Revision: 48768 URL: https://svnweb.freebsd.org/changeset/doc/48768 Log: - Merge the following from the English version: r48732 -> r48764 head/ja_JP.eucJP/share/xml/news.xml Modified: head/ja_JP.eucJP/share/xml/news.xml Modified: head/ja_JP.eucJP/share/xml/news.xml ============================================================================== --- head/ja_JP.eucJP/share/xml/news.xml Mon May 2 02:08:29 2016 (r48767) +++ head/ja_JP.eucJP/share/xml/news.xml Mon May 2 10:53:10 2016 (r48768) @@ -23,7 +23,7 @@ would like to work on. *** $FreeBSD$ - Original revision: r48732 + Original revision: r48764 --> @@ -34,6 +34,23 @@ 2016 + 5 + + + 1 + + + ��ȯ��Ľ��ݡ�� (2016 ǯ 1 �� – 3 ��) �� + +
2016 ǯ + 1 �� – 3 �ȯ��Ľ��ݡ�� + ��ޤ��
+ + + + + 4 From owner-svn-doc-all@freebsd.org Mon May 2 14:21:26 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 120E6B283EA; Mon, 2 May 2016 14:21:26 +0000 (UTC) (envelope-from wblock@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id D46301520; Mon, 2 May 2016 14:21:25 +0000 (UTC) (envelope-from wblock@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u42ELPtw015101; Mon, 2 May 2016 14:21:25 GMT (envelope-from wblock@FreeBSD.org) Received: (from wblock@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u42ELPoh015100; Mon, 2 May 2016 14:21:25 GMT (envelope-from wblock@FreeBSD.org) Message-Id: <201605021421.u42ELPoh015100@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: wblock set sender to wblock@FreeBSD.org using -f From: Warren Block Date: Mon, 2 May 2016 14:21:25 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48769 - head/en_US.ISO8859-1/htdocs/news/status X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 02 May 2016 14:21:26 -0000 Author: wblock Date: Mon May 2 14:21:24 2016 New Revision: 48769 URL: https://svnweb.freebsd.org/changeset/doc/48769 Log: Fix a typo in the SemiHalf report. Submitted by: Zbigniew Bodek Modified: head/en_US.ISO8859-1/htdocs/news/status/report-2016-01-2016-03.xml Modified: head/en_US.ISO8859-1/htdocs/news/status/report-2016-01-2016-03.xml ============================================================================== --- head/en_US.ISO8859-1/htdocs/news/status/report-2016-01-2016-03.xml Mon May 2 10:53:10 2016 (r48768) +++ head/en_US.ISO8859-1/htdocs/news/status/report-2016-01-2016-03.xml Mon May 2 14:21:24 2016 (r48769) @@ -565,7 +565,7 @@

The driver supports all available Ethernet connections (1, - 10, 30 Gbps) and the system can saturate a 10 Gbps link (on + 10, 40 Gbps) and the system can saturate a 10 Gbps link (on Tx) using 4 CPU cores.

From owner-svn-doc-all@freebsd.org Mon May 2 14:26:17 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id A8A8CB28676; Mon, 2 May 2016 14:26:17 +0000 (UTC) (envelope-from wblock@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 79E711A47; Mon, 2 May 2016 14:26:17 +0000 (UTC) (envelope-from wblock@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u42EQGDg017379; Mon, 2 May 2016 14:26:16 GMT (envelope-from wblock@FreeBSD.org) Received: (from wblock@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u42EQGM3017378; Mon, 2 May 2016 14:26:16 GMT (envelope-from wblock@FreeBSD.org) Message-Id: <201605021426.u42EQGM3017378@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: wblock set sender to wblock@FreeBSD.org using -f From: Warren Block Date: Mon, 2 May 2016 14:26:16 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48770 - head/en_US.ISO8859-1/htdocs/news/status X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 02 May 2016 14:26:17 -0000 Author: wblock Date: Mon May 2 14:26:16 2016 New Revision: 48770 URL: https://svnweb.freebsd.org/changeset/doc/48770 Log: Fix the category of the German documentation entry so it will be shown. Submitted by: bcr Modified: head/en_US.ISO8859-1/htdocs/news/status/report-2016-01-2016-03.xml Modified: head/en_US.ISO8859-1/htdocs/news/status/report-2016-01-2016-03.xml ============================================================================== --- head/en_US.ISO8859-1/htdocs/news/status/report-2016-01-2016-03.xml Mon May 2 14:21:24 2016 (r48769) +++ head/en_US.ISO8859-1/htdocs/news/status/report-2016-01-2016-03.xml Mon May 2 14:26:16 2016 (r48770) @@ -1185,7 +1185,7 @@ - + The FreeBSD German Documentation Project From owner-svn-doc-all@freebsd.org Mon May 2 14:34:14 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id B2D95B288C2; Mon, 2 May 2016 14:34:14 +0000 (UTC) (envelope-from wblock@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 83AF41F10; Mon, 2 May 2016 14:34:14 +0000 (UTC) (envelope-from wblock@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u42EYD2k020404; Mon, 2 May 2016 14:34:13 GMT (envelope-from wblock@FreeBSD.org) Received: (from wblock@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u42EYDwZ020403; Mon, 2 May 2016 14:34:13 GMT (envelope-from wblock@FreeBSD.org) Message-Id: <201605021434.u42EYDwZ020403@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: wblock set sender to wblock@FreeBSD.org using -f From: Warren Block Date: Mon, 2 May 2016 14:34:13 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48771 - head/en_US.ISO8859-1/htdocs/cgi X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 02 May 2016 14:34:14 -0000 Author: wblock Date: Mon May 2 14:34:13 2016 New Revision: 48771 URL: https://svnweb.freebsd.org/changeset/doc/48771 Log: Use the correct "doc" category (not "docs") in generated monthly reports. Modified: head/en_US.ISO8859-1/htdocs/cgi/monthly.cgi Modified: head/en_US.ISO8859-1/htdocs/cgi/monthly.cgi ============================================================================== --- head/en_US.ISO8859-1/htdocs/cgi/monthly.cgi Mon May 2 14:26:16 2016 (r48770) +++ head/en_US.ISO8859-1/htdocs/cgi/monthly.cgi Mon May 2 14:34:13 2016 (r48771) @@ -224,7 +224,7 @@ print h3("Category:"), popup_menu(-name => "Category", - -values => ['proj', 'docs', 'kern', 'bin', 'arch', 'ports', 'vendor', + -values => ['proj', 'doc', 'kern', 'bin', 'arch', 'ports', 'vendor', 'misc', 'soc', 'team'], -default => 'proj'), h3("Developers:"), From owner-svn-doc-all@freebsd.org Mon May 2 18:00:32 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 940F7B2AFF3; Mon, 2 May 2016 18:00:32 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 535491E79; Mon, 2 May 2016 18:00:32 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u42I0Vur084195; Mon, 2 May 2016 18:00:31 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u42I0VYu084194; Mon, 2 May 2016 18:00:31 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201605021800.u42I0VYu084194@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Mon, 2 May 2016 18:00:31 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48772 - head/de_DE.ISO8859-1/books/handbook/disks X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 02 May 2016 18:00:32 -0000 Author: bhd Date: Mon May 2 18:00:31 2016 New Revision: 48772 URL: https://svnweb.freebsd.org/changeset/doc/48772 Log: Update to r44647: Editorial review of Attaching and Detaching Existing Images. Reviewed by: bcr Differential Revision: https://reviews.freebsd.org/D6174 Modified: head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Mon May 2 14:34:13 2016 (r48771) +++ head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Mon May 2 18:00:31 2016 (r48772) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/disks/chapter.xml,v 1.187 2012/04/26 19:32:48 bcr Exp $ - basiert auf: r44645 + basiert auf: r44647 --> Speichermedien @@ -2060,49 +2060,75 @@ IMAGES/&rel2.current;/&os;-&rel2.current Neben physikalischen Laufwerken unterst�tzt &os; - auch speicherbasierte Laufwerke. + auch speicherbasierte Laufwerke. Eine m�gliche Verwendung f�r + ein speicherbarsiertes Laufwerk ist der Zugriff auf ein + ISO-Dateisystem, jedoch ohne vorher + die Daten auf eine CD oder + DVD zu brennen und dann das Medium + einzuh�ngen. + + &os; verwendet den &man.md.4; Treiber um Unterst�tzung f�r + speicherbasierte Laufwerke bereitzustellen. Dieser Treiber ist + bereits im GENERIC-Kernel enthalten. Wenn + Sie eine angepasste Kernelkonfigurationsdatei verwenden, stellen + Sie sicher, dass folgende Zeile enthalten ist: - - Laufwerke - speicherbasierte - + device md Ein- und Aush�ngen von bestehenden Abbildern Laufwerke - dateibasierte + speicherbasierte - Unter &os; werden virtuelle Laufwerke, &man.md.4;, - mit &man.mdconfig.8; erzeugt. Dazu muss das Modul - &man.md.4; geladen sein. Bei der Verwendung einer eigenen - Kernelkonfiguration, muss diese Zeile enthalten sein: - - device md - - &man.mdconfig.8; unterst�tzt verschiedene Arten von - speicherbasierten virtuellen Laufwerken: speicherbasierte - Laufwerke, deren Speicher von &man.malloc.9; zur Verf�gung - gestellt wird, und dateibasierte Laufwerke, deren Speicher von - einer Datei oder dem Swap-Bereich zur Verf�gung gestellt wird. - Eine m�gliche Anwendung ist das Einh�ngen von - CDs. + Um ein bestehendes Abbild eines Dateisystems einzuh�ngen, + verwenden Sie mdconfig zusammen mit dem + Namen der ISO-Datei und einer freien + Ger�tenummer. Benutzen Sie dann diese Ger�tenummer, um das + Abbild in einen existierenden Mountpunkt einzuh�ngen. Sobald + dies erledigt ist, erscheinen die Dateien des Abbildes + unterhalb des Mountpunktes. Dieses Beispiel wird + diskimage.iso an das speicherbasierte + Laufwerk /dev/md0 binden und dann in + /mnt einh�ngen: - Das Abbild eines Dateisystems wird wie folgt - eingehangen: + &prompt.root; mdconfig -f diskimage.iso -u 0 +&prompt.root; mount /dev/md0 /mnt - - Einh�ngen eines existierenden Abbildes unter - &os; + Wenn keine Ger�tenummer mit angegeben + ist, wird von &man.md.4; automatisch eine + ungenutzte Ger�tenummer zugewiesen. Das zugewiesene Ger�t + wird auf der Standardausgabe ausgegeben (zum Beispiel + md4). Weitere Informationen zu diesem + Kommando und dessen Optionen finden Sie in + &man.mdconfig.8;. + + Wenn ein speicherbasiertes Laufwerk nicht mehr in Gebrauch + ist, sollten seine belegten Ressourcen wieder an das System + zur�ckgegeben werden. H�ngen Sie zuerst das Dateisystem aus, + dann verwenden Sie mdconfig, um die Platte + vom System zu trennen und die Ressourcen freizugeben. + + &prompt.root; umount /mnt +&prompt.root; mdconfig -d -u 0 + + Um festzustellen, ob noch irgendwelche speicherbasierten + Laufwerke am System angeschlossen sind, benutzen Sie + mdconfig -l. + - &prompt.root; mdconfig -f diskimage -u 0 -&prompt.root; mount /dev/md0 /mnt - + + Ein speicherbasiertes Laufwerk erzeugen + + + Laufwerke + speicherbasierte + Ein neues Dateisystem-Abbild erstellen Sie mit - &man.mdconfig.8; wie folgt: + &man.mdconfig.8; wie folgt: Erstellen eines dateibasierten Laufwerks mit @@ -2124,12 +2150,33 @@ Filesystem 1K-blocks Used Avail Capacity /dev/md0a 4710 4 4330 0% /mnt</screen> </example> - <para>Wenn keine Ger�tenummer mit <option>-u</option> angegeben - ist, wird von &man.md.4; automatisch eine - ungenutzte Ger�tenummer zugewiesen. Das zugewiesene Ger�t - wird auf der Standardausgabe ausgegeben (zum Beispiel - <filename>md4</filename>). Weitere Informationen finden Sie - in &man.mdconfig.8;.</para> + <para>Bei einem speicherbasierten Dateisystem sollte + <quote>swap backing</quote> aktiviert werden. Das hei�t + allerdings nicht, dass das speicherbasierte Laufwerk + automatisch auf die Festplatte ausgelagert wird, vielmehr + wird der Speicherplatz danach aus einem Speicherpool + angefordert, der bei Bedarf auf die Platte ausgelagert werden + kann. Zus�tzlich ist es m�glich, &man.malloc.9;-gest�tzte + speicherbasierte Laufwerke zu erstellen. Das Anlegen solcher + Laufwerke kann allerdings zu einer System-Panic f�hren, wenn + der Kernel danach �ber zu wenig Speicher verf�gt.</para> + + <example> + <title>Erstellen eines speicherbasierten Laufwerks mit + <command>mdconfig</command> + + &prompt.root; mdconfig -a -t swap -s 5m -u 1 +&prompt.root; newfs -U md1 +/dev/md1: 5.0MB (10240 sectors) block size 16384, fragment size 2048 + using 4 cylinder groups of 1.27MB, 81 blks, 192 inodes. + with soft updates +super-block backups (for fsck -b #) at: + 160, 2752, 5344, 7936 +&prompt.root; mount /dev/md1 /mnt +&prompt.root; df /mnt +Filesystem 1K-blocks Used Avail Capacity Mounted on +/dev/md1 4718 4 4338 0% /mnt + Obwohl &man.mdconfig.8; sehr n�tzlich ist, ben�tigt es einige Kommandos, um ein dateibasiertes Dateisystem zu @@ -2163,59 +2210,6 @@ Filesystem 1K-blocks Used Avail Capacity speicherbasiertes Laufwerk aush�ngen - Wenn ein speicher- oder dateibasiertes Dateisystem nicht - mehr in Gebrauch ist, sollten seine belegten Ressourcen wieder - an das System zur�ckgegeben werden. H�ngen Sie zuerst das - Dateisystem aus, dann verwenden Sie &man.mdconfig.8;, um die - Platte vom System zu trennen und die Ressourcen - freizugeben. - - Um beispielsweise /dev/md4 zu trennen - und all seine Ressourcen freizugeben: - - &prompt.root; mdconfig -d -u 4 - - Informationen �ber alle konfigurierten &man.md.4;-Ger�te - k�nnen mit mdconfig -l angezeigt - werden. - - - - Ein speicherbasiertes Laufwerk erzeugen - - - Laufwerke - speicherbasierte - - - Bei einem speicherbasierten Dateisystem sollte - swap backing aktiviert werden. Das hei�t - allerdings nicht, dass das speicherbasierte Laufwerk - automatisch auf die Festplatte ausgelagert wird, vielmehr - wird der Speicherplatz danach aus einem Speicherpool - angefordert, der bei Bedarf auf die Platte ausgelagert werden - kann. Zus�tzlich ist es m�glich, &man.malloc.9;-gest�tzte - speicherbasierte Laufwerke zu erstellen. Das Anlegen solcher - Laufwerke kann allerdings zu einer System-Panic f�hren, wenn - der Kernel danach �ber zu wenig Speicher verf�gt. - - - Erstellen eines speicherbasierten Laufwerks mit - <command>mdconfig</command> - - &prompt.root; mdconfig -a -t swap -s 5m -u 1 -&prompt.root; newfs -U md1 -/dev/md1: 5.0MB (10240 sectors) block size 16384, fragment size 2048 - using 4 cylinder groups of 1.27MB, 81 blks, 192 inodes. - with soft updates -super-block backups (for fsck -b #) at: - 160, 2752, 5344, 7936 -&prompt.root; mount /dev/md1 /mnt -&prompt.root; df /mnt -Filesystem 1K-blocks Used Avail Capacity Mounted on -/dev/md1 4718 4 4338 0% /mnt - - Erstellen eines speicherbasierten Laufwerks mit <command>mdmfs</command> From owner-svn-doc-all@freebsd.org Mon May 2 18:04:07 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 644B6B2A212; Mon, 2 May 2016 18:04:07 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 1CA531398; Mon, 2 May 2016 18:04:07 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u42I46bP087002; Mon, 2 May 2016 18:04:06 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u42I46sG087001; Mon, 2 May 2016 18:04:06 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201605021804.u42I46sG087001@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Mon, 2 May 2016 18:04:06 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48773 - head/de_DE.ISO8859-1/books/handbook/security X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 02 May 2016 18:04:07 -0000 Author: bhd Date: Mon May 2 18:04:06 2016 New Revision: 48773 URL: https://svnweb.freebsd.org/changeset/doc/48773 Log: Update to r43764: Rewrite the front of the security section. This version adds a small discussion on using sudo, shows and example of using an IDS rather than just discussing what they are, update of threats, discussion on rootkits and back doors, adds more sysctls and more. Add a section on password policy and password policy enforcement (with pam, pw, login.conf). Reviewed by: bcr Differential Revision: https://reviews.freebsd.org/D6175 Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Mon May 2 18:00:31 2016 (r48772) +++ head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Mon May 2 18:04:06 2016 (r48773) @@ -5,13 +5,18 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $ - basiert auf: r43278 + basiert auf: r43764 --> Sicherheit - MatthewDillonViel von diesem Kapitel stammt aus der security(7) - Manualpage von + + + Tom + Rhodes + + Neu verfasst von + MartinHeinen�bersetzt von @@ -24,18 +29,19 @@ �bersicht - Dieses Kapitel bietet eine Einf�hrung in die Konzepte - der Systemsicherheit. Des weiteren werden einige allgemeine - Daumenregeln und einige fortgeschrittene Themen unter &os; - behandelt. Viele der hier besprochenen Punkte treffen sowohl - auf die Systemsicherheit als auch auf die Internetsicherheit zu. - Die Absicherung eines Systems ist unumg�nglich, um Daten, - geistiges Eigentum, Zeit und vieles mehr vor Hackern und - dergleichen zu sch�tzen. - - &os; besitzt eine Reihe von Werkzeugen und Mechanismen, um - die Integrit�t und die Sicherheit des Systems und des Netzwerks - zu sch�tzen. + Sicherheit, ob nun physisch oder virtuell, ist ein so breit + gef�chertes Thema, dass sich eine ganze Industrie darum gebildet + hat. Es wurden bereits hunderte Verfahren zur Sicherung von + Systemen und Netzwerken verfasst, und als Benutzer von &os; ist + es unumg�nglich zu verstehen, wie Sie sich gegen Angreifer und + Eindringlinge sch�tzen k�nnen. + + + In diesem Kapitel werden einige Grundlagen und Techniken + diskutiert. Ein &os;-System implementiert Sicherheit in + mehreren Schichten, und viele weitere Programme von + Drittanbietern k�nnen zur Verbesserung der Sicherheit + beitragen. Nachdem Sie dieses Kapitel gelesen haben, werden Sie: @@ -120,903 +126,598 @@ Einf�hrung - Sicherheit ist ein Konzept, das beim Systemadministrator - anf�ngt und aufh�rt. Obwohl &os; �ber Sicherheitsfunktionen - verf�gt, ist die Erstellung und Pflege von zus�tzlichen - Sicherheitsmechanismen wohl eine der gr��ten Aufgaben eines - Systemadministrators. - - Zur Systemsicherheit geh�rt auch die Besch�ftigung mit - verschiedenen Arten von Angriffen, auch solchen, die versuchen, - ein System still zu legen, oder sonst unbrauchbar zu machen ohne - root zu - kompromittieren. Sicherheitsaspekte lassen sich in mehrere - Kategorien unterteilen: - - - - Denial-of-Service Angriffe. - - - - Kompromittierte Accounts. - - - - Kompromittierter root-Account durch - zug�ngliche Server. - - - - Kompromittierter root-Account durch - kompromittierte Accounts. - - - - Einrichten von Hintert�ren. - - - - - DoS-Angriffe - Denial-of-Service (DoS) - - - Sicherheit - DoS-AAngriffe - Denial-of-Service (DoS) - - Denial-of-Service (DoS) - - Ein Denial-of-Service DoS-Angriff - entzieht einer Maschine Ressourcen, die sie zur Bereitstellung - von Diensten ben�tigt. Meist versuchen - DoS-Angriffe die Dienste oder den - Netzwerkstack einer Maschine zu �berlasten, um so die Maschine - auszuschalten oder nicht nutzbar zu machen. Oft k�nnen - Angriffe auf Dienste durch die Angabe von Optionen verhindert - werden, die die Last, die ein Dienst auf das System unter - widrigen Umst�nden aus�ben kann, begrenzt. Angriffen auf das - Netzwerk ist schwerer zu begegnen. Au�er durch Trennen der - Internetverbindung ist zum Beispiel einem Angriff mit - gef�lschten Paketen nicht zu begegnen. Diese Art von Angriff - wird das System zwar nicht unbrauchbar machen, kann aber die - Internetverbindung s�ttigen. - - - Sicherheit - kompromittierte Accounts - - - Kompromittierte Accounts kommen noch h�ufiger als - DoS-Angriffe vor. Viele - Systemadministratoren lassen immer noch unverschl�sselte Dienste - laufen, was zur Folge hat, dass das Passwort von Benutzern, die - sich von einem entfernten Standort anmelden, leicht ausgesp�ht - werden kann. Ein aufmerksamer Systemadministrator wird die - Logdateien �ber Anmeldungen von entfernten Systemen auf - verd�chtige Quelladressen, auch f�r erfolgreiche Anmeldungen, - untersuchen. - - Allerdings gibt der Zugriff auf einen Account auf einem gut - gesicherten und gepflegten System nicht notwendig Zugriff auf - den root-Account. - Diese Unterscheidung ist wichtig, da ein Angreifer, der keinen - Zugang zu root - besitzt, seine Spuren nicht verwischen kann. Er kann h�chstens - die Dateien des betreffenden Benutzers ver�ndern oder die - Maschine stilllegen. Kompromittierte Accounts sind sehr - h�ufig, da Benutzer meist nicht dieselben Vorsichtsma�nahmen - wie Administratoren treffen. - - - Sicherheit - Hintert�ren - - - Es gibt viele Wege, Zugang zum root-Account - eines Systems zu bekommen: Ein Angreifer kann das Passwort von - root kennen, er kann einen Fehler in einem - Server entdecken, der unter root l�uft und - dann �ber eine Netzwerkverbindung zu diesem Server einbrechen. - Oder er kennt einen - Fehler in einem SUID-root Programm, der es - ihm erlaubt, root zu werden, wenn er einmal - einen Account kompromittiert hat. Wenn ein Angreifer einen - Weg gefunden hat, root zu werden, braucht er - vielleicht keine Hintert�r auf dem System installieren. - - Sicherheitsma�nahmen sollten immer in mehreren Schichten - angelegt werden. Die Schichten k�nnen wie folgt eingeteilt - werden: - - - - Absichern von root-Accounts. - - - - Absichern von unter root laufenden - Servern und SUID/SGID Programmen. - - - - Absichern von Benutzer-Accounts. - - - - Absichern der Passwort-Datei. - - - - Absichern des Kernels, der Ger�te und von - Dateisystemen. - - - - Schnelles Aufdecken von unbefugten Ver�nderungen des - Systems. - - - - Paranoia. - - - - Die einzelnen Punkte der obigen Liste werden im n�chsten - Abschnitt genauer behandelt. - - - - Absichern von &os; - - - Sicherheit - &os; absichern - + Sicherheit ist die Verantwortung eines jeden Einzelnen. Ein + schwacher Einstiegspunkt in einem System kann einem + Eindringling Zugriff auf wichtige Informationen verschaffen, was + sich verheerend auf das gesamte Netzwerk auswirken kann. Eines + der Grundprinzipien der Informationssicherheit sind die + Vertraulichkeit, Integrit�t und Verf�gbarkeit von + Informationssystemen. + + Diese Grundprinzipien sind ein fundamentales Konzept der + Computer-Sicherheit, da Kunden und Benutzer erwarten, dass ihre + Daten gesch�tzt sind. Zum Beispiel erwartet ein Kunde, dass + seine Kreditkarteninformationen sicher gespeichert werden + (Vertraulichkeit), dass seine Auftr�ge nicht hinter den Kulissen + ge�ndert werden (Integrit�t) und dass er zu jeder Zeit Zugang zu + seinen Informationen hat (Verf�gbarkeit). + + Um diese Grundprinzipien zu implementieren, wenden + Sicherheitsexperten das sogenannte + Defense-in-Depth-Konzept an. Die + Idee dahinter ist, mehrere Sicherheitsschichten zu addieren, so + dass nicht die gesamte Systemsicherheit gef�hrdet ist, wenn + eine einzelne Sicherheitsschicht kompromittiert wird. + Beispielsweise ist es nicht ausreichend, ein Netzwerk oder ein + System nur mit einer Firewall zu sichern. Der + Systemadministrator muss auch Benutzerkonten �berwachen, die + Integrit�t von Bin�rdateien pr�fen und sicherstellen, dass keine + b�sartigen Programme installiert sind. Um eine effektive + Sicherheitsstrategie zu implementieren, muss man Bedrohungen + verstehen und wissen, wie man sich dagegen verteidigen + kann. + + Was ist eine Bedrohung, wenn es um Computer-Sicherheit geht? + Bedrohungen beschr�nken sich nicht nur auf entfernte Angreifer, + die sich unerlaubten Zugriff auf ein System verschaffen wollen. + Zu den Bedrohungen z�hlen auch Mitarbeiter, b�sartige Software, + nicht autorisierte Netzwerkger�te, Naturkatastrophen, + Sicherheitsl�cken und sogar konkurrierende Unternehmen. + + Der Zugriff auf Netzwerke und Systeme erfolgt ohne + Erlaubnis, manchmal durch Zufall, oder von entfernten + Angreifern, und in einigen F�llen durch Industriespionage oder + ehemalige Mitarbeiter. Als Anwender m�ssen Sie vorbereitet sein + und auch zugeben, wenn ein Fehler zu einer Sicherheitsverletzung + gef�hrt hat. Melden Sie Probleme umgehend dem verantwortlichen + Sicherheitspersonal. Als Administrator ist es wichtig, + Bedrohungen zu kennen und darauf vorbereitet zu sein, m�gliche + Sch�den zu mildern. + + Wenn Sicherheit auf Systeme angewendet wird, empfiehlt es + sich mit der Sicherung der Benutzerkonten zu beginnen und dann + die Netzwerkschicht zu sichern. Dabei ist zu beachten, dass die + Sicherheitsrichtlinien des Systems und des Unternehmens + eingehalten werden. Viele Unternehmen haben bereits eine + Sicherheitsrichtlinie, welche die Konfiguration von technischen + Ger�ten abdeckt. Die Richtlinie sollte die Konfiguration von + Arbeitsplatzrechnern, Desktops, mobilen Ger�ten, Mobiltelefonen, + Produktions- und Entwicklungsservern umfassen. In einigen + F�llen ist bereits eine Standardvorgehensweise vorhanden. + Fragen Sie im Zweifelsfall das Sicherheitspersonal. + + Der �brige Teil dieser Einf�hrung beschreibt, wie einige + dieser grundlegenden Sicherheitskonfigurationen auf einem + &os;-System durchgef�hrt werden. Der Rest dieses Kapitels + beschreibt einige spezifische Werkzeuge, die verwendet werden + k�nnen, um eine Sicherheitsrichtlinie auf einem &os;-System zu + implementieren. + + + Anmeldungen am System verhindern + + Ein guter Ausgangspunkt f�r die Absicherung des Systems + ist die Pr�fung der Benutzerkonten. Stellen Sie sicher, dass + root ein starkes + Passwort besitzt und dass dieses Passwort nicht weitergegeben + wird. Deaktivieren Sie alle Konten, die keinen Zugang zum + System ben�tigen. + + Es existieren zwei Methoden, um die Anmeldung �ber ein + Benutzerkonto zu verweigern. Die erste Methode ist, das + Konto zu sperren. Dieses Beispiel sperrt das Benutzerkonto + toor: + + &prompt.root; pw lock toor + + Bei der zweiten Methode wird der Anmeldevorgang + verhindert, indem die Shell auf + /sbin/nologin gesetzt wird. Nur der + Superuser kann die Shell f�r andere Benutzer �ndern: + + &prompt.root; chsh -s /usr/sbin/nologin toor + + Die Shell /usr/sbin/nologin + verhindert, dass dem Benutzer bei der Anmeldung am System eine + Shell zugeordnet wird. + + + + Gemeinsame Nutzung von Benutzerkonten + + In manchen F�llen wird die Systemadministration auf + mehrere Benutzer aufgeteilt. &os; bietet zwei Methoden, um + solche Situationen zu handhaben. Bei der ersten und nicht + empfohlenen Methode wird ein gemeinsames root Passwort der + Mitglieder der Gruppe wheel verwendet. Hier gibt + der Benutzer su und das Passwort f�r + wheel ein, wenn er + die Rechte des Superusers ben�tigt. Der Benutzer sollte dann + nach der Beendigung der administrativen Aufgaben + exit eingeben. Um einen Benutzer zu dieser + Gruppe hinzuzuf�gen, bearbeiten Sie + /etc/group und f�gen Sie den Benutzer an + das Ende des Eintrags wheel hinzu. Die + Benutzer m�ssen durch Komma und ohne Leerzeichen getrennt + werden. - Dieser Abschnitt behandelt die im - letzten Abschnitt - erw�hnten Methoden zur Absicherung eines &os;-Systems. - - - Absichern von <systemitem class="username">root</systemitem> und - Accounts - - - &man.su.1; - - - Auf den meisten Systemen ist root ein Passwort zugewiesen. - Sie sollten immer davon ausgehen, dass - dieses Passwort kompromittiert ist. Das hei�t nicht, dass Sie - das Passwort entfernen sollten, da es meist f�r den - Konsolenzugriff notwendig ist. Vielmehr hei�t es, dass Sie - das Passwort nicht au�erhalb der Konsole, auch nicht zusammen - mit &man.su.1;, verwenden sollten. Stellen Sie sicher, dass - die PTYs in ttys als - insecure markiert sind und damit - Anmeldungen von root - verboten sind. In &os; ist die Anmeldung f�r root �ber &man.ssh.1; in der - Voreinstellung deaktiviert, da in - /etc/ssh/sshd_config - PermitRootLogin auf no - gesetzt ist. Beachten Sie jede Zugriffsmethode – - Dienste wie FTP werden oft vergessen. Nur an der - Systemkonsole sollte ein direktes Anmelden als root m�glich sein. - - - wheel - - - Nat�rlich muss ein Systemadministrator - root-Zugriff - erlangen k�nnen. Dieser sollte aber durch zus�tzliche - Passw�rter gesch�tzt sein. Ein Weg, Zugang zu root zu erm�glichen, ist es, - berechtigte Mitarbeiter in /etc/group in - die Gruppe wheel - aufzunehmen. Die Personen dieser Gruppe k�nnen mit - su zu root wechseln. Nur die - Mitarbeiter, die tats�chlich root-Zugriff ben�tigen, - sollten in die Gruppe wheel aufgenommen werden. - Wenn Sie Kerberos f�r die Authentifizierung benutzen, - erstellen Sie .k5login im - Heimatverzeichnis von root, damit &man.su.1; - verwendet werden kann, ohne jemanden in wheel aufnehmen zu - m�ssen. - - Um ein Konto komplett zu sperren, verwenden Sie - &man.pw.8;: - - &prompt.root;pw lock staff - - Danach ist es diesem Benutzer nicht mehr m�glich (auch - nicht mit &man.ssh.1;), sich anzumelden. - - Eine weitere M�glichkeit, bestimmte Benutzer zu sperren, - ist es, das verschl�sselte Passwort durch das Zeichen - * zu ersetzen. Da ein - verschl�sseltes Passwort niemals diesem Zeichen entsprechen - kann, kann sich der betroffene Benutzer ebenfalls nicht mehr - anmelden. Beispielsweise m�sste dazu das Konto - - foobar:R9DT/Fa1/LV9U:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh - - mit &man.vipw.8; wie folgt abge�ndert werden: - - foobar:*:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh - - Diese �nderung hindert den Benutzer foobar daran, sich auf - konventionellem Wege am System anzumelden. Diese Ma�nahmen - greifen allerdings nicht, wenn das betroffene System auch - eine Anmeldung �ber Kerberos oder - &man.ssh.1; erlaubt. - - Diese Sicherheitsmechanismen setzen voraus, dass sich - Benutzer von einer restriktiven Maschine auf einer weniger - restriktiven Maschine anmelden. Wenn zum Beispiel auf dem - Hauptrechner alle m�glichen Arten von Servern laufen, so - sollten auf der Workstation keine Server laufen. Um die - Workstation vern�nftig abzusichern, sollten darauf so wenig - Server wie m�glich bis hin zu keinem Server laufen. Sie - sollten zudem �ber einen Bildschirmschoner verf�gen, der mit - einem Passwort gesichert ist. Nat�rlich kann ein Angreifer, - der physikalischen Zugang zu einer Maschine hat, jede Art von - Sicherheitsmechanismen umgehen. Beachten Sie, dass der - Gro�teil der Einbr�che �ber das Netzwerk erfolgt und die - Einbrecher keinen Zugang zu der Maschine besitzen. - - Mit Kerberos k�nnen Sie das - Passwort eines Mitarbeiters an einer Stelle �ndern - und alle Maschinen, auf denen der Mitarbeiter einen Account hat, - beachten die �nderung sofort. Wird der Account eines - Mitarbeiters einmal kompromittiert, so sollte die F�higkeit, das - Passwort mit einem Schlag auf allen Maschinen zu �ndern, - nicht untersch�tzt werden. Mit einzelnen Passw�rtern - wird es schwierig, das Passwort auf N Maschinen zu �ndern. - Mit Kerberos k�nnen Sie auch - Beschr�nkungen f�r Passw�rter festlegen: - Nicht nur das Ticket kann nach einiger Zeit ung�ltig werden, - Sie k�nnen auch festlegen, dass ein Benutzer nach einer - bestimmten Zeit das Passwort wechseln muss. - - - - Absichern von unter <systemitem class="username">root</systemitem> laufenden - Servern und SUID/SGID Programmen - - - Sandk�sten - - - &man.sshd.8; - - - Ein kluger Systemadministrator l�sst nur die wirklich - ben�tigten Dienste laufen und ist sich dar�ber im Klaren, dass - Server von Dritten oft die fehleranf�lligsten sind. Lassen - Sie keine Server laufen, die Sie vorher nicht genau �berpr�ft - haben. Denken Sie zweimal dar�ber nach, bevor Sie einen - Dienst als root - laufen lassen. Viele Daemonen k�nnen unter einem separaten - Dienstkonto, oder in einem Sandkasten ausgef�hrt werden. - Aktivieren Sie keine unsicheren Dienste, wie &man.telnetd.8; - oder &man.rlogind.8;. - - Ein weiteres potentielles Risiko sind SUID- und - SGID-Programme. Die meisten dieser Programme, wie - &man.rlogin.1; stehen in /bin, - /sbin, /usr/bin, - oder /usr/sbin zur Verf�gung. Obwohl - nichts 100% sicher ist, k�nnen Sie davon ausgehen, dass die - SUID- und SGID-Programme des Basissystems ausreichend - sicher sind. Es wird empfohlen, den Zugriff auf - SUID-Programme mit einer Gruppe, auf die nur Mitarbeiter - zugreifen k�nnen, zu beschr�nken. SUID-Programme, die niemand - benutzt, sollten gel�scht werden. SGID-Programme sind - vergleichbar gef�hrlich. Wenn ein Einbrecher Zugriff auf - SGID-kmem Programm - erh�lt, kann er vielleicht /dev/kmem und - damit die verschl�sselte Passwortdatei lesen. Dies - kompromittiert unter Umst�nden jeden Account, der mit einem Passwort - gesch�tzt ist. Alternativ kann ein Einbrecher, der in die - Gruppe kmem eingebrochen ist, die - Tastendr�cke auf PTYs verfolgen. Dies schlie�t - auch PTYs mit ein, auf denen sich ein Benutzer mit sicheren - Methoden anmeldet. Ein Einbrecher, der Zugriff auf die - tty Gruppe hat, kann auf fast jeden Terminal - anderer Benutzer schreiben. Wenn der Benutzer einen Terminal-Emulator - benutzt, der �ber eine Tastatur-Simulation verf�gt, - k�nnte der Angreifer Daten generieren, die den Terminal - veranlassen, ein Kommando unter diesem Benutzer laufen zu lassen. - - - - Absichern von Benutzer-Accounts - - Accounts sind f�r gew�hnlich sehr schwierig - abzusichern. Seien Sie daher aufmerksam bei der �berwachung - der Benutzerkonten. Die Verwendung von &man.ssh.1; und - Kerberos erfordert zwar zus�tzliche - Administration und technische Unterst�tzung, ist aber - verglichen mit der verschl�sselten Passwort-Datei die bessere - L�sung. - - - - Absichern der Passwort-Datei - - Der einzig sichere Weg ist, so viele Accounts wie m�glich - als ung�ltig zu markieren und &man.ssh.1; oder - Kerberos zu benutzen, um auf sie - zuzugreifen. Obwohl die Datei /etc/spwd.db, - die die verschl�sselten Passw�rter enth�lt, - nur von root gelesen werden kann, mag ein - Angreifer lesenden Zugriff auf diese Datei erlangen, ohne die - F�higkeit sie auch zu beschreiben. - - �berwachungsskripten sollten �nderungen - an der Passwort-Datei melden. Dies wird in �berpr�fen der Integrit�t von - Dateien beschrieben. - - - - Absichern des Kernels, der Ger�te und von - Dateisystemen - - Die meisten modernen Kernel haben einen Ger�tetreiber, - der es erlaubt, Pakete abzuh�ren. Unter &os; wird das Ger�t - bpf genannt. Dieses Ger�t ist f�r - DHCP erforderlich, kann aber in der - Kernelkonfigurationsdatei entfernt werden, wenn das System - kein DHCP anbietet. - - - &man.sysctl.8; - - - Auch wenn bpf deaktiviert ist, - m�ssen Sie sich immer noch um /dev/mem - und /dev/kmem sorgen. Au�erdem - kann der Angreifer immer noch auf die rohen Ger�te - (raw devices) - schreiben. Ein Angreifer k�nnte &man.kldload.8; benutzen, um - sein eigenes - bpf oder ein anderes zum Abh�ren - geeignetes Ger�t in den laufenden Kernel einzubringen. Um - diese Probleme zu vermeiden, lassen Sie den Kernel auf - einem h�heren Sicherheitslevel laufen, mindestens - auf securelevel 1. - - Das Securelevel des Kernels kann auf verschiedene Wege - gesetzt werden. Der einfachste Weg, den Securelevel des - laufenden Kernels zu erh�hen, ist das Setzen von - kern.securelevel: - - &prompt.root; sysctl kern.securelevel=1 - - In der Voreinstellung bootet der &os; Kernel mit einem - Securelevel von -1. Der Securelevel wird solange bei -1 bleiben, - bis er entweder durch den Administrator oder von &man.init.8; - durch einen Eintrag im Startskript ver�ndert wird. Der - Securelevel kann w�hrend des Systemstarts durch das Setzen - von kern_securelevel_enable auf - YES und der Wert der Variable - kern_securelevel auf den gew�nschten - Securelevel in der /etc/rc.conf - erh�ht werden. - - Sobald der Securelevel auf den Wert 1 oder h�her gesetzt - ist, werden die append-only und die unver�nderlichen Dateien - gesch�tzt, die Flags k�nnen nicht abgeschaltet werden - und der Zugriff auf raw Devices ist verboten. H�here Levels - verbieten sogar noch weitere Aktionen. Eine vollst�ndige - Beschreibung aller Securelevels finden Sie in &man.security.7; - und &man.init.8;. + Die zweite und empfohlene Methode ein Benutzerkonto zu + teilen wird �ber den Port oder das Paket + security/sudo realisiert. Dieses Programm + bietet zus�tzliche Pr�fungen, bessere Benutzerkontrolle und + es kann auch konfiguriert werden, einzelnen Benutzern Zugriff + auf bestimme, privilegierte Befehle zu gestatten. + + Benutzen Sie nach der Installation + visudo, um + /usr/local/etc/sudoers zu bearbeiten. + Dieses Beispiel erstellt eine neue Gruppe webadmin und f�gt das + Benutzerkonto trhodes dieser Gruppe hinzu. + Anschlie�end wird die Gruppe so konfiguriert, dass es + Gruppenmitgliedern gestattet wird apache24 + neu zu starten: + + &prompt.root; pw groupadd webadmin -M trhodes -g 6000 +&prompt.root; visudo +%webadmin ALL=(ALL) /usr/sbin/service apache24 * + + + + Passwort-Hashes + + Passw�rter sind ein notwendiges �bel. Wenn sie verwendet + werden m�ssen, sollten sie sehr komplex sein und dazu sollte + eine leistungsf�hige Hash-Funktion gew�hlt werden, um die + Version des Passworts zu verschl�sseln, die in der + Passwortdatenbank gespeichert wird. &os; unterst�tzt die + Hash-Funktionen DES, MD5, + SHA256, SHA512, sowie + Blowfish Hash-Funktionen in seiner + crypt()-Bibliothek. Das in der + Voreinstellung verwendete SHA512 sollte + nicht durch eine weniger sichere Hash-Funktion getauscht + werden. Es kann jedoch durch den besseren Blowfish-Algorithmus + ersetzt werden. - Das Erh�hen des Securelevels auf 1 oder h�her - kann einige Probleme mit &xorg;, - verursachen, da der Zugriff auf /dev/io - geblockt wird, ebenso die Installation von &os; aus den - Quellen, da der installworld - Teil zeitweilig die append-only und die unver�nderlichen - Flags einiger Dateien zur�cksetzen muss. Manchmal kann es, - wie bei &xorg;, durch das sehr - fr�he Starten von &man.xdm.1; im Boot Prozess m�glich sein, - dies zu umgehen, wenn der Securelevel noch niedrig genug - ist. Workarounds wie dieser sind nicht f�r alle - Securelevels und f�r alle Einschr�nkungen, die sie schaffen, - m�glich. Ein bisschen Vorausplanung ist eine gute - Idee. Das Verst�ndnis f�r die Beschr�nkungen, - die durch jedes Securelevel verursacht werden, ist wichtig, da sie - die einfache Benutzung des Systems verschlechtern. Es vereinfacht - auch die Wahl einer Standardeinstellung und sch�tzt vor - �berraschungen. + Blowfish ist nicht Bestandteil von + AES und ist nicht kompatibel mit allen + Federal Information Processing Standards + (FIPS). Die Verwendung wird in einigen + Umgebungen vielleicht nicht gestattet. - Wenn das Securelevel des Kernel auf einen Wert von 1 oder - h�her gesetzt ist, kann es sinnvoll sein das - schg Flag auf kritische Startdateien, - Verzeichnisse und Skripte zu setzen. Ein weniger strenger - Kompromiss ist es, das System auf einem h�heren Securelevel - laufen zu lassen, aber keine schg Flags f�r - alle Systemdateien und Verzeichnisse zu setzen. Eine andere - M�glichkeit ist es, die Verzeichnisse / - und /usr read-only zu mounten. Es sei - darauf hingewiesen, dass Sie nicht vor lauter �berlegen das - Wichtigste, n�mlich die Entdeckung eines Eindringens, - vergessen. - - - - �berpr�fen der Integrit�t von Dateien - - Sie k�nnen die Systemkonfiguration und die Dateien - nur so weit sch�tzen, wie es die Benutzbarkeit des - Systems nicht einschr�nkt. Wenn Sie zum Beispiel - mit chflags die Option schg - auf die meisten Dateien in / und - /usr setzen, kann das Ihre - Arbeit mehr behindern - als n�tzen. Die Ma�nahme sch�tzt zwar die - Dateien, schlie�t aber auch eine M�glichkeit, - Ver�nderungen zu entdecken, aus. Sicherheitsma�nahmen - sind nutzlos, oder schlimmer noch, vermitteln ein falsches - Gef�hl von Sicherheit, wenn der potentielle Angreifer nicht - entdeckt wird. Die Aufgabe besteht nicht darin, den Angreifer - aufzuhalten, sondern seine Angriffe zu verz�gern, um ihn dann - auf frischer Tat zu ertappen. - - Der beste Weg, einen Einbruch zu entdecken, ist es, nach - ver�nderten, fehlenden oder unerwarteten Dateien zu suchen. - Der wiederum beste Weg, nach ver�nderten Dateien zu suchen, ist - es, die Suche von einem anderen (oft zentralen) besonders - gesch�tzten System durchzuf�hren. Es ist wichtig, dass - Ihre Sicherheits�berpr�fungen vor einem Angreifer - verborgen bleiben und daher sind sie auf einem besonders - gesch�tzten System gut aufgehoben. Um dies optimal auszunutzen, - m�ssen Sie dem besonders gesch�tzten System Zugriffsrechte - auf die zu sch�tzenden Systeme geben. Sie k�nnen die - Dateisysteme der zu sch�tzenden Systeme schreibgesch�tzt - f�r das besonders gesch�tzte System exportieren, oder - Sie k�nnen der besonders gesch�tzten Maschine - SSH auf die anderen Maschinen erlauben, - indem Sie SSH-Schl�sselpaare - installieren. Mit Ausnahme des verursachten Netzwerkverkehrs - ist die NFS-Methode die am wenigsten sichtbare. Sie erlaubt es Ihnen, - nahezu unentdeckt die Dateisysteme der Clients zu beobachten. Wenn - Ihr besonders gesch�tztes System mit den Clients �ber - einen Switch verbunden ist, ist die NFS-Methode oft das Mittel der - Wahl. Wenn das besonders gesch�tzte System allerdings - mit einem Hub verbunden ist, oder der Zugriff �ber mehrere - Router geschieht, ist die NFS-Methode aus der Netzwerksicht zu - unsicher. In einem solchen Fall ist SSH - besser geeignet, auch wenn es deutliche Spuren - hinterl�sst. - - Wenn das besonders gesch�tzte System lesenden Zugriff - auf die Clients hat, m�ssen Sie Skripten schreiben, die die - �berwachung durchf�hren. Wenn Sie die NFS-Methode - verwenden, k�nnen Sie dazu einfache Systemwerkzeuge wie - &man.find.1; und &man.md5.1; benutzen. Am besten berechnen - Sie einmal am Tag MD5-Pr�fsummen der Dateien, Konfigurationsdateien - in /etc und - /usr/local/etc - sollten �fter �berpr�ft werden. Wenn Unstimmigkeiten - zwischen den auf der besonders gesch�tzten Maschine gehaltenen - MD5-Pr�fsummen und den ermittelten Pr�fsummen festgestellt - werden, sollte Ihr System einen Systemadministrator benachrichtigen, - der den Unstimmigkeiten dann nachgehen sollte. Ein gutes Skript - �berpr�ft das System auch auf verd�chtige - SUID-Programme sowie gel�schte oder neue Dateien in - / und - /usr. - - Wenn Sie SSH anstelle von NFS - benutzen, wird das Erstellen der Skripten schwieriger. Sie m�ssen - die Skripten und die Programme wie find mit - scp auf den Client kopieren. Damit machen - Sie die �berpr�fung f�r einen Angreifer sichtbar. - Au�erdem kann der SSH-Client auf dem - Zielsystem schon kompromittiert sein. Zusammenfassend kann der - Einsatz von SSH n�tig sein, - wenn Sie �ber ungesicherte Verbindungen arbeiten, aber - der Umgang mit dieser Methode ist auch sehr viel schwieriger. - - Ein gutes Sicherheitsskript wird auch Dateien von Benutzern, - die den Zugriff auf ein System erm�glichen, wie - .rhosts, .shosts, - .ssh/authorized_keys usw., auf - Ver�nderungen untersuchen, die �ber die M�glichkeiten - einer �berpr�fung mit MD5 - (die ja nur Ver�nderungen erkennen kann) hinausgehen. - - Wenn Sie �ber gro�e Partitionen verf�gen, kann - es zu lange dauern, jede Datei zu �berpr�fen. In diesem - Fall sollten Sie beim Einh�ngen des Dateisystems Optionen - setzen, die das Ausf�hren von SUID-Programmen verbieten. - &man.mount.8; stellt dazu nosuid - zur Verf�gung. Sie sollten diese Dateien aber trotzdem - mindestens einmal die Woche �berpr�fen, da das Ziel - dieser Schicht das Aufdecken eines Einbruchs, auch wenn er nicht - erfolgreich war, ist. - - Die Prozess�berwachung (siehe &man.accton.8;) - des Betriebssystems steht ein g�nstiges Werkzeug zur - Verf�gung, dass sich bei der Analyse eines Einbruchs - als n�tzlich erweisen kann. Insbesondere k�nnen Sie - damit herausfinden, wie der Einbrecher in das System eingedrungen ist, - vorausgesetzt die Dateien der Prozess�berwachung sind - noch alle intakt. - - Schlie�lich sollten die Sicherheitsskripten die Logdateien - analysieren. Dies sollte so sicher wie m�glich durchgef�hrt - werden, n�tzlich ist das Schreiben von Logdateien auf - entfernte Systeme mit syslog. Ein Einbrecher - wird versuchen, seine Spuren zu verwischen. Die Logdateien - sind wichtig f�r den Systemadministrator, da er aus ihnen - den Zeitpunkt und die Art des Einbruchs bestimmen kann. Eine - M�glichkeit, die Logdateien unver�ndert aufzuheben, - ist es, die Systemkonsole auf einen seriellen Port zu legen - und die Informationen dort von einer gesicherten Maschine - auszulesen. - - - - Paranoia - - Es schadet nicht, ein bisschen paranoid zu sein. - Grunds�tzlich darf ein Systemadministrator jede - Sicherheitsma�nahme treffen, die die Bedienbarkeit des - Systems nicht einschr�nkt. Er kann auch Ma�nahmen - treffen, die die Bedienbarkeit einschr�nken, - wenn er diese vorher genau durchdacht hat. Was noch wichtiger - ist: Halten Sie sich nicht sklavisch an dieses Dokument, sondern - f�hren Sie eigene Ma�nahmen ein, um nicht einem - k�nftigen Angreifer, der auch Zugriff auf dieses Dokument - hat, alle Ihre Methoden zu verraten. - - - - Denial-of-Service Angriffe - Denial-of-Service (DoS) - - Dieser Abschnitt behandelt Denial-of-Service Angriffe (DoS). - Ein DoS-Angriff findet typischerweise auf der Paketebene statt. - W�hrend Sie nicht viel gegen moderne Angriffe mit falschen - Paketen, die das Netzwerk s�ttigen, ausrichten k�nnen, - k�nnen Sie sehr wohl den Schaden begrenzen, den solche - Angriffe verursachen k�nnen und insbesondere einen kompletten - Serverausfall verhindern, indem Sie beispielsweise folgende - Vorkehrungen treffen: - - - - Begrenzen von fork() Aufrufen. - - - - Begrenzen von Sprungbrett-Angriffen (ICMP response Angriffen, - ping zu Broadcast-Adressen usw.). - + Um zu bestimmen, welche Hash-Funktion das Passwort eines + Benutzers verschl�sselt, kann der Superuser den Hash f�r den + Benutzer in der Passwortdatenbank von &os; nachsehen. Jeder + Hash beginnt mit einem Zeichen, mit dem die verwendete + Hash-Funktion identifiziert werden kann. Bei + DES gibt es allerdings kein f�hrendes + Zeichen. MD5 benutzt das Zeichen + $. SHA256 und + SHA512 verwenden das Zeichen + $6$. Blowfish benutzt das Zeichen + $2a$. In diesem Beispiel wird das Passwort + von dru mit dem + Hash-Algorithmus SHA512 verschl�sselt, da + der Hash mit $6$ beginnt. Beachten Sie, + dass der verschl�sselte Hash und nicht das Passwort selbst, in + der Passwortdatenbank gespeichert wird: + + &prompt.root; grep dru /etc/master.passwd +dru:$6$pzIjSvCAn.PBYQBA$PXpSeWPx3g5kscj3IMiM7tUEUSPmGexxta.8Lt9TGSi2lNQqYGKszsBPuGME0:1001:1001::0:0:dru:/usr/home/dru:/bin/csh + + Der Hash-Mechanismus wird in der Login-Klasse des + Benutzers festgelegt. In diesem Beispiel wird die + voreingestellte Login-Klasse f�r den Benutzer verwendet. Der + Hash-Algorithmus wird mit dieser Zeile in + /etc/login.conf gesetzt: + + :passwd_format=sha512:\ + + Um den Algorithmus auf Blowfish zu �ndern, passen Sie die + Zeile wie folgt an: + + :passwd_format=blf:\ + + F�hren Sie anschlie�end cap_mkdb + /etc/login.conf aus, wie in beschrieben. Beachten Sie, dass + vorhandene Passwort-Hashes durch diese �nderung nicht + beeintr�chtigt werden. Das bedeutet, dass alle Passw�rter neu + gehasht werden sollten, indem die Benutzer mit + passwd ihr Passwort �ndern. + + F�r die Anmeldung auf entfernten Rechnern sollte eine + Zwei-Faktor-Authentifizierung verwendet werden. Ein Beispiel + f�r eine Zwei-Faktor-Authentifizierung ist + etwas, was Sie besitzen (bspw. einen Schl�ssel) + und etwas, was Sie wissen (bspw. das Passwort + f�r diesen Schl�ssel). Da OpenSSH + Teil des &os;-Basissystems ist, sollten alle Anmeldungen �ber + das Netzwerk �ber eine verschl�sselte Verbindung mit einer + schl�sselbasierten Authentifizierung stattfinden. Passw�rter + sollten hier nicht verwendet werden. Weitere Informationen + finden Sie in . Kerberos-Benutzer + m�ssen eventuell zus�tzliche �nderungen vornehmen, um + OpenSSH in Ihrem Netzwerk zu + implementieren. Diese �nderungen sind in beschrieben. + + + + Durchsetzung einer Passwort-Richtlinie + + Die Durchsetzung einer starken Passwort-Richtlinie f�r + lokale Benutzerkonten ist ein wesentlicher Aspekt der + Systemsicherheit. In &os; kann die L�nge, St�rke und + Komplexit�t des Passworts mit den + Pluggable Authentication Modules + (PAM) implementiert werden. + + In diesem Abschnitt wird gezeigt, wie Sie die minimale und + maximale Passwortl�nge und die Durchsetzung von gemischten + Zeichen mit dem Modul pam_passwdqc.so + konfigurieren. Dieses Modul wird aufgerufen, wenn ein + Benutzer sein Passwort �ndert. + + Um dieses Modul zu konfigurieren, m�ssen Sie als Superuser + die Zeile mit pam_passwdqc.so in + /etc/pam.d/passwd auskommentieren. + Anschlie�end bearbeiten Sie die Zeile, so dass sie den + vorliegenden Passwort-Richtlinien entspricht: + + password requisite pam_passwdqc.so min=disabled,disabled,disabled,12,10 similar=deny retry=3 enforce=users + + Dieses Beispiel legt gleich mehrere Anforderungen f�r neue + Passw�rter fest. Die Einstellung min + kontrolliert die Passwortl�nge. Es verf�gt �ber f�nf Werte, + weil dieses Modul f�nf verschiedene Arten von Passw�rtern + definiert, basierend auf der Komplexit�t. Die Komplexit�t + wird durch die Art von Zeichen definiert, die in einem + Passwort vorhanden sind, wie zum Beispiel Buchstaben, Zahlen + und Sonderzeichen. Die verschiedenen Arten von Passw�rtern + werden in &man.pam.passwdqc.8; beschrieben. In diesem + Beispiel sind die ersten drei Arten von Passw�rtern + deaktiviert, was bedeutet, dass Passw�rter, die dieser + Komplexit�tsstufe entsprechen, nicht akzeptiert werden, + unabh�ngig von der L�nge des Passworts. Die + 12 legt eine Richtlinie von mindestens + zw�lf Zeichen fest, wenn das Passwort auch drei Arten von + Komplexit�t aufweist. Die 10 legt eine + Richtlinie fest, die auch Passw�rter mit mindestens zehn + Zeichen zulassen, wenn das Passwort Zeichen mit vier Arten + von Komplexit�t aufweist. + + Die Einstellung similar verbietet + Passw�rter, die dem vorherigen Passwort des Benutzers �hnlich + sind. Die Einstellung retry bietet dem + Benutzer drei M�glichkeiten, ein neues Passwort + einzugeben. + + Sobald diese Datei gespeichert wird, sehen Benutzer bei + der �nderung ihres Passworts die folgende Meldung: + + &prompt.user; passwd +Changing local password for trhodes +Old Password: + +You can now choose the new password. +A valid password should be a mix of upper and lower case letters, +digits and other characters. You can use a 12 character long +password with characters from at least 3 of these 4 classes, or +a 10 character long password containing characters from all the +classes. Characters that form a common pattern are discarded by +the check. +Alternatively, if noone else can see your terminal now, you can +pick this as your password: "trait-useful&knob". +Enter new password: + + Wenn ein Passwort nicht den Richtlinien entspricht, wird + es mit einer Warnung abgelehnt und der Benutzer bekommt die + M�glichkeit, es erneut zu versuchen, bis die Anzahl an + Wiederholungen erreicht ist. + + Die meisten Passwort-Richtlinien erzwingen, dass + Passw�rter nach einer bestimmten Anzahl von Tagen ablaufen. + Um dieses Limit in &os; zu konfigurieren, setzen Sie es f�r + die Login-Klasse des Benutzers in + /etc/login.conf. Die voreingestellte + Login-Klasse enth�lt dazu ein Beispiel: + + # :passwordtime=90d:\ + + Um f�r diese Login-Klasse das Passwort nach 90 Tagen + ablaufen zu lassen, entfernen Sie das Kommentarzeichen + (#), speichern Sie die �nderungen und + f�hren Sie cap_mkdb /etc/login.conf + aus. - - Kernel-Cache f�r Routen. - - + Um das Passwort f�r einzelne Benutzer ablaufen zu lassen, + geben Sie pw ein Ablaufdatum oder die + Anzahl von Tagen, zusammen mit dem Benutzer an: + + &prompt.root; pw usermod -p 30-apr-2015 -n trhodes + + Wie zu sehen ist, wird das Ablaufdatum in der Form von + Tag, Monat und Jahr angegeben. Weitere Informationen finden + Sie in &man.pw.8;. + + + + Erkennen von Rootkits + + Ein Rootkit ist eine nicht + autorisierte Software die versucht, Root-Zugriff auf ein + System zu erlangen. Einmal installiert, wird diese b�sartige + Software normalerweise eine Hintert�r f�r den Angreifer + installieren. Realistisch betrachtet sollte ein durch ein + Rootkit kompromittiertes System nach der Untersuchung von + Grund auf neu installiert werden. Es besteht jedoch die + enorme Gefahr, dass sogar das Sicherheitspersonal oder + Systemingenieure etwas �bersehen, was ein Angreifer dort + platziert hat. + + Wird ein Rootkit erkannt, ist dies bereits ein Zeichen + daf�r, dass das System an einem bestimmten Zeitpunkt + kompromittiert wurde. Meist neigen diese Art von Anwendungen + dazu, sehr gut versteckt zu sein. Dieser Abschnitt zeigt ein + Werkzeug, mit dem Rootkits erkannt werden k�nnen: + security/rkhunter. + + Nach der Installation dieses Ports oder Pakets kann das + System mit dem folgenden Kommando �berpr�ft werden. Das + Programm generiert eine ganze Menge Informationen und Sie + werden diverse Male ENTER dr�cken + m�ssen: + *** DIFF OUTPUT TRUNCATED AT 1000 LINES *** From owner-svn-doc-all@freebsd.org Tue May 3 17:32:08 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 4E6F4B2C67E; Tue, 3 May 2016 17:32:08 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 25DC31795; Tue, 3 May 2016 17:32:08 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u43HW7Mx021316; Tue, 3 May 2016 17:32:07 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u43HW7ZS021315; Tue, 3 May 2016 17:32:07 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201605031732.u43HW7ZS021315@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Tue, 3 May 2016 17:32:07 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48774 - head/de_DE.ISO8859-1/books/handbook/disks X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 03 May 2016 17:32:08 -0000 Author: bhd Date: Tue May 3 17:32:07 2016 New Revision: 48774 URL: https://svnweb.freebsd.org/changeset/doc/48774 Log: Update to r44648: Finish editorial review of Memory Disks chapter. Reviewed by: bcr Differential Revision: https://reviews.freebsd.org/D6181 Modified: head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Mon May 2 18:04:06 2016 (r48773) +++ head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Tue May 3 17:32:07 2016 (r48774) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/disks/chapter.xml,v 1.187 2012/04/26 19:32:48 bcr Exp $ - basiert auf: r44647 + basiert auf: r44648 --> Speichermedien @@ -2105,6 +2105,11 @@ IMAGES/&rel2.current;/&os;-&rel2.current Kommando und dessen Optionen finden Sie in &man.mdconfig.8;. + + Laufwerke + speicherbasiertes Laufwerk aush�ngen + + Wenn ein speicherbasiertes Laufwerk nicht mehr in Gebrauch ist, sollten seine belegten Ressourcen wieder an das System zur�ckgegeben werden. H�ngen Sie zuerst das Dateisystem aus, @@ -2120,50 +2125,27 @@ IMAGES/&rel2.current;/&os;-&rel2.current - Ein speicherbasiertes Laufwerk erzeugen + Ein datei- oder speicherbasiertes Laufwerk + erzeugen Laufwerke speicherbasierte - Ein neues Dateisystem-Abbild erstellen Sie mit - &man.mdconfig.8; wie folgt: - - - Erstellen eines dateibasierten Laufwerks mit - <command>mdconfig</command> - - &prompt.root; dd if=/dev/zero of=newimage bs=1k count=5k -5120+0 records in -5120+0 records out -&prompt.root; mdconfig -a -t vnode -f newimage -u 0 -&prompt.root; bsdlabel -w md0 auto -&prompt.root; newfs md0a -/dev/md0a: 5.0MB (10224 sectors) block size 16384, fragment size 2048 - using 4 cylinder groups of 1.25MB, 80 blks, 192 inodes. -super-block backups (for fsck -b #) at: - 160, 2720, 5280, 7840 -&prompt.root; mount /dev/md0a /mnt -&prompt.root; df /mnt -Filesystem 1K-blocks Used Avail Capacity Mounted on -/dev/md0a 4710 4 4330 0% /mnt - - - Bei einem speicherbasierten Dateisystem sollte - swap backing aktiviert werden. Das hei�t - allerdings nicht, dass das speicherbasierte Laufwerk - automatisch auf die Festplatte ausgelagert wird, vielmehr - wird der Speicherplatz danach aus einem Speicherpool - angefordert, der bei Bedarf auf die Platte ausgelagert werden - kann. Zus�tzlich ist es m�glich, &man.malloc.9;-gest�tzte - speicherbasierte Laufwerke zu erstellen. Das Anlegen solcher - Laufwerke kann allerdings zu einer System-Panic f�hren, wenn - der Kernel danach �ber zu wenig Speicher verf�gt. - - - Erstellen eines speicherbasierten Laufwerks mit - <command>mdconfig</command> + &os; unterst�tzt auch speicherbasierte Laufwerke, bei + denen der verwendete Speicher entweder einer Festplatte, oder + einem Bereich im Arbeitsspeicher zugewiesen wird. Die erste + Methode ist gemeinhin als dateibasiertes Dateisystem, die + zweite als speicherbasiertes Dateisystem bekannt. Beide Typen + k�nnen mit mdconfig erzeugt werden. + + Um ein speicherbasiertes Dateisystem zu erstellen, geben + Sie den Typ swap sowie die gew�nschte Gr��e + des Laufwerks an. Dieses Beispiel erzeugt ein 5 MB + gro�es Laufwerk an der Ger�tenummer 1. Das + Laufwerk wird mit dem UFS-Dateisystem + formatiert, bevor es eingeh�ngt wird: &prompt.root; mdconfig -a -t swap -s 5m -u 1 &prompt.root; newfs -U md1 @@ -2176,49 +2158,57 @@ super-block backups (for fsck -b #) at: &prompt.root; df /mnt Filesystem 1K-blocks Used Avail Capacity Mounted on /dev/md1 4718 4 4338 0% /mnt - - Obwohl &man.mdconfig.8; sehr n�tzlich ist, ben�tigt es - einige Kommandos, um ein dateibasiertes Dateisystem zu - erstellen. &os; enth�lt auch &man.mdmfs.8;, das die - notwendigen Schritte in einem Befehl zusammenfasst. Es - konfiguriert mit &man.mdconfig.8; ein &man.md.4;-Laufwerk, - erstellt darauf mit &man.newfs.8; ein UFS-Dateisystem und - h�ngt es anschlie�end mit &man.mount.8; ein. Das virtuelle - Laufwerk aus dem obigen Beispiel kann mit den nachstehenden - Befehlen erstellt werden: + Um ein dateibasiertes Dateisystem zu erstellen, + muss zun�chst ein St�ck Speicher auf der Festplatte reserviert + werden. Dieses Beispiel erzeugt eine 5 KB gro�e Datei + namens newimage: - - Mit <command>mdmfs</command> ein dateibasiertes - Dateisystem erstellen &prompt.root; dd if=/dev/zero of=newimage bs=1k count=5k 5120+0 records in -5120+0 records out -&prompt.root; mdmfs -F newimage -s 5m md0 /mnt -&prompt.root; df /mnt -Filesystem 1K-blocks Used Avail Capacity Mounted on -/dev/md0 4718 4 4338 0% /mnt - - - Wenn ohne Ger�tenummer verwendet wird, - w�hlt &man.md.4; automatisch ein ungenutztes - Ger�t aus. Weitere Einzelheiten entnehmen Sie bitte der - Hilfeseite &man.mdmfs.8;. - - - Laufwerke - speicherbasiertes Laufwerk aush�ngen - +5120+0 records out - - Erstellen eines speicherbasierten Laufwerks mit - <command>mdmfs</command> + Als n�chstes muss diese Datei an ein speicherbasiertes + Laufwerk gebunden, gelabelt und mit dem + UFS-Dateisystem formatiert werden. Danach + k�nnen Sie das Laufwerk einh�ngen und die Gr��e + �berpr�fen: - &prompt.root; mdmfs -s 5m md2 /mnt + &prompt.root; mdconfig -f newimage -u 0 +&prompt.root; bsdlabel -w md0 auto +&prompt.root; newfs md0a +/dev/md0a: 5.0MB (10224 sectors) block size 16384, fragment size 2048 + using 4 cylinder groups of 1.25MB, 80 blks, 192 inodes. +super-block backups (for fsck -b #) at: + 160, 2720, 5280, 7840 +&prompt.root; mount /dev/md0a /mnt &prompt.root; df /mnt Filesystem 1K-blocks Used Avail Capacity Mounted on -/dev/md2 4846 2 4458 0% /mnt - +/dev/md0a 4710 4 4330 0% /mnt + + Es ben�tigt mehrere Befehle, um ein datei- oder + speicherbasiertes Dateisystem mit mdconfig + zu erstellen. &os; enth�lt auch mdmfs, das + ein speicherbasiertes Laufwerk automatisch konfigurieren, + formatieren und einh�ngen kann. Nachdem beispielsweise + newimage mit dd + erstellt wurde, h�tte auch der folgende Befehl benutzt werden + k�nnen, anstelle der oben verwendeten Kommandos + bsdlabel, newfs und + mount: + + &prompt.root; mdmfs -F newimage -s 5m md0 /mnt + + Um hingegen ein speicherbasiertes Laufwerk mit + mdmfs zu erstellen, wird dieser Befehl + benutzt: + + &prompt.root; mdmfs -s 5m md1 /mnt + + Wenn die Ger�tenummer nicht angegeben wird, w�hlt + mdmfs automatisch ein ungenutztes + Ger�t aus. Weitere Einzelheiten �ber mdmfs + finden Sie in &man.mdmfs.8;. From owner-svn-doc-all@freebsd.org Tue May 3 18:27:27 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 2A6BBB2AAAE; Tue, 3 May 2016 18:27:27 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id DC7CA19C0; Tue, 3 May 2016 18:27:26 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u43IRQlA037405; Tue, 3 May 2016 18:27:26 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u43IRQ7s037404; Tue, 3 May 2016 18:27:26 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201605031827.u43IRQ7s037404@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Tue, 3 May 2016 18:27:26 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48775 - head/de_DE.ISO8859-1/books/handbook/security X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 03 May 2016 18:27:27 -0000 Author: bhd Date: Tue May 3 18:27:25 2016 New Revision: 48775 URL: https://svnweb.freebsd.org/changeset/doc/48775 Log: Update to r44302: Editorial review of first 1/2 of OPIE chapter. Reviewed by: bcr Differential Revision: https://reviews.freebsd.org/D6189 Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Tue May 3 17:32:07 2016 (r48774) +++ head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Tue May 3 18:27:25 2016 (r48775) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $ - basiert auf: r43764 + basiert auf: r44302 --> Sicherheit @@ -732,32 +732,27 @@ cat changed In der Voreinstellung unterst�tzt &os; One-time Passwords in Everything - (OPIE), das in der Voreinstellung - MD5-Hash-Funktionen einsetzt. + (OPIE). OPIE wurde + konzipiert um Replay-Angriffe zu verhindern, bei dem ein + Angreifer das Passwort eines Benutzers aussp�ht und es + benutzt, um Zugriff auf ein System zu erlangen. Da ein Passwort + unter OPIE nur einmal benutzt wird, ist ein + ausgesp�htes Passwort f�r einen Angreifer nur von geringem + Nutzen. OPIE verwendet eine sichere + Hash-Funktion und ein Challenge/Response-System, um Passw�rter + zu verwalten. Die &os;-Implementation verwendet in der + Voreinstellung die MD5-Hash-Funktion. + + OPIE verwendet drei verschiedene Arten + von Passw�rtern. Das erste ist das normale &unix;- oder + Kerberos-Passwort. Das zweite ist das Einmalpasswort, das von + opiekey generiert wird. Das dritte Passwort + ist das geheime Passwort, das zum Erstellen der + Einmalpassw�rter verwendet wird. Das geheime Passwort steht in + keiner Beziehung zum &unix;-Passwort und beide Passw�rter + sollten unterschiedlich sein. - Es gibt drei verschiedene Arten von Passw�rtern. Das erste - ist das normales &unix;- oder Kerberos-Passwort. Das zweite ist - das Einmalpasswort, das von opiekey generiert - und von opiepasswd und dem Anmeldeprompt - akzeptiert wird. Das dritte Passwort ist das - geheime Passwort, das mit - opiekey (manchmal auch mit - opiepasswd) zum Erstellen der - Einmalpassw�rter verwendet wird. - - Das geheime Passwort steht in keiner Beziehung zum - &unix;-Passwort. Beide k�nnen gleich sein, obwohl das nicht - empfohlen wird. Die geheimen Passw�rter von - OPIE sind nicht auf eine L�nge von 8 Zeichen, - wie alte &unix; Passw�rter - Unter &os; darf das System-Passwort maximal - 128 Zeichen lang sein., beschr�nkt. - Gebr�uchlich sind Passw�rter, die sich aus sechs bis sieben - W�rtern zusammensetzen. Das OPIE-System - arbeitet vollst�ndig unabh�ngig von den auf &unix;-Systemen - verwendeten Passwort-Mechanismen. - - Neben dem Passwort gibt es noch zwei Werte, die f�r + Es gibt noch zwei weitere Werte, die f�r OPIE wichtig sind. Der erste ist der Initialwert (engl. seed oder @@ -766,9 +761,9 @@ cat changed Iterationsz�hler, eine Zahl zwischen 1 und 100. OPIE generiert das Einmalpasswort, indem es den Initialwert und das geheime Passwort aneinander h�ngt - und dann die MD5-Hash-Funktion so oft, wie durch den - Iterationsz�hler gegeben, anwendet. Das Ergebnis wird in - sechs englische W�rter umgewandelt, die das Einmalpasswort + und dann die MD5-Hash-Funktion so oft, wie + durch den Iterationsz�hler gegeben, anwendet. Das Ergebnis wird + in sechs englische W�rter umgewandelt, die das Einmalpasswort ergeben. Das Authentifizierungssystem (meistens PAM) merkt sich das zuletzt benutzte Einmalpasswort und der Benutzer ist authentifiziert, wenn die Hash-Funktion des Passworts dem @@ -778,42 +773,37 @@ cat changed berechnen. Der Iterationsz�hler wird nach jeder erfolgreichen Anmeldung um eins verringert und stellt so die Synchronisation zwischen Benutzer und Login-Programm sicher. Wenn der - Iterationsz�hler den Wert 1 erreicht, muss + Iterationsz�hler den Wert 1 erreicht, muss OPIE neu initialisiert werden. Es gibt ein paar Programme, die in diesen Prozess einbezogen - werden. &man.opiekey.1; akzeptiert einen Iterationsz�hler, - einen Initialwert und ein geheimes Passwort. Daraus generiert - es ein Einmalpasswort oder eine Liste von Einmalpassw�rtern. - &man.opiepasswd.1; wird benutzt, um Passw�rter, Iterationsz�hler - oder Initialwerte zu �ndern. Als Parameter verlangt es - entweder ein geheimes Passwort oder einen Iterationsz�hler - oder einen Initialwert und ein Einmalpasswort. + werden. Ein Einmalpasswort oder eine Liste von + Einmalpassw�rtern, die von &man.opiekey.1; durch Angabe eines + Iterationsz�hlers, eines Initalwertes und einem geheimen + Passwort generiert wird. &man.opiepasswd.1; wird benutzt, um + Passw�rter, Iterationsz�hler oder Initialwerte zu �ndern. &man.opieinfo.1; hingegen gibt den momentanen Iterationsz�hler und Initialwert eines Benutzers aus, den es aus /etc/opiekeys ermittelt. - Es gibt vier verschiedene Arten von T�tigkeiten. Zuerst - wird erl�utert, wie &man.opiepasswd.1; �ber eine gesicherte - Verbindung eingesetzt werden, um Einmalpassw�rter das erste Mal - zu konfigurieren oder das Passwort oder den Initialwert zu - �ndern. Als n�chstes wird erkl�rt, wie &man.opiepasswd.1; �ber - eine nicht gesicherte Verbindung, oder zusammen mit - &man.opiekey.1; �ber eine gesicherte Verbindung eingesetzt - werden, um dasselbe zu erreichen. Als drittes wird beschrieben, - wie &man.opiekey.1; genutzt wird, um sich �ber eine nicht - gesicherte Verbindung anzumelden. Die vierte T�tigkeit - beschreibt, wie mit &man.opiekey.1; eine Reihe von Schl�sseln - generiert wird, die Sie sich aufschreiben oder ausdrucken - k�nnen, um sich von Orten anzumelden, die �ber keine gesicherten - Verbindungen verf�gen. + Dieser Abschnitt beschreibt vier verschiedene Arten von + T�tigkeiten. Zuerst wird erl�utert, wie Einmalpassw�rter �ber + eine gesicherte Verbindung konfiguriert werden. Als n�chstes + wird erkl�rt, wie opiepasswd �ber + eine nicht gesicherte Verbindung eingesetzt wird. Als drittes + wird beschrieben, wie man sich �ber eine nicht gesicherte + Verbindung anmeldet. Die vierte T�tigkeit beschreibt, wie man + eine Reihe von Schl�sseln generiert, die man sich aufschreiben + oder ausdrucken kann, um sich von Orten anzumelden, die �ber + keine gesicherten Verbindungen verf�gen. - Einrichten �ber eine gesicherte Verbindung + <acronym>OPIE</acronym> initialisieren Um OPIE erstmals zu initialisieren, - rufen Sie &man.opiepasswd.1; auf: + rufen Sie &man.opiepasswd.1; �ber eine gesicherte Verbindung + auf: &prompt.user; opiepasswd -c [grimreaper] ~ $ opiepasswd -f -c @@ -829,27 +819,39 @@ ID unfurl OTP key is 499 to4268 MOS MALL GOAT ARM AVID COED - Nach der Aufforderung Enter new secret pass phrase: - oder Enter secret password: geben Sie bitte Ihr - Passwort ein. Dies ist nicht das Passwort, mit dem Sie sich - anmelden, sondern es wird genutzt, um das Einmalpasswort - zu generieren. Die Zeile, die mit ID anf�ngt, - enth�lt Ihren Login-Namen, den Iterationsz�hler und den - Initialwert. Diese Werte m�ssen Sie sich nicht merken, da - das System sie zeigen wird, wenn Sie sich anmelden. In der letzten - Zeile steht das Einmalpasswort, das aus diesen Parametern - und Ihrem geheimen Passwort ermittelt wurde. Bei der n�chsten - Anmeldung m�ssen Sie dann dieses Einmalpasswort - benutzen. + Die Option startet den Konsolen-Modus, + der davon ausgeht, dass der Befehl von einem sicherem Ort + ausgef�hrt wird. Dies kann beispielsweise der eigene Rechner + sein, oder �ber eine mit SSH gesicherte + Verbindung zum eigenen Rechner. + + Geben Sie das geheime Passwort ein, wenn Sie danach + gefragt werden. Damit werden die Einmalpassw�rter generiert. + Dieses Passwort sollte schwer zu erraten sein und sich + ebenfalls vom Passwort des Bentuzerkontos unterscheiden. Es + muss zwischen 10 und 127 Zeichen lang sein. Pr�gen Sie sich + dieses Passwort gut ein! + + Die Zeile, die mit ID beginnt, enth�lt den + Login-Namen (unfrul), den voreingestellten + Iterationsz�hler (499) und den Initialwert + (to4268). Das System erinnert sich an + diese Parameter und wird sie bei einem Anmeldeversuch + anzeigen. Sie brauchen sich diese Dinge also nicht merken. + Die letzte Zeile enth�lt das generierte Einmalpasswort, das + aus den Parametern und dem geheimen Passwort ermittelt wurde. + Bei der n�chsten Anmeldung muss dann diese Einmalpasswort + benutzt werden. - Einrichten �ber eine nicht gesicherte Verbindung + Initialisierung �ber eine nicht gesicherte + Verbindung Um Einmalpassw�rter �ber eine nicht gesicherte Verbindung - einzurichten, oder das geheime Passwort zu �ndern, m�ssen Sie - �ber eine gesicherte Verbindung zu einer Stelle verf�gen, an - der Sie &man.opiekey.1; ausf�hren k�nnen. Dies kann etwa die + zu initialisieren, oder das geheime Passwort zu �ndern, m�ssen + Sie �ber eine gesicherte Verbindung zu einer Stelle verf�gen, + an der Sie opiekey ausf�hren k�nnen. Dies kann etwa die Eingabeaufforderung auf einer Maschine sein, der Sie vertrauen. Zudem m�ssen Sie einen Iterationsz�hler vorgeben (100 ist ein guter Wert) und einen Initialwert w�hlen, wobei From owner-svn-doc-all@freebsd.org Wed May 4 21:35:13 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 61C7DB2DC8B; Wed, 4 May 2016 21:35:13 +0000 (UTC) (envelope-from wblock@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 3206A11E3; Wed, 4 May 2016 21:35:13 +0000 (UTC) (envelope-from wblock@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u44LZCap036387; Wed, 4 May 2016 21:35:12 GMT (envelope-from wblock@FreeBSD.org) Received: (from wblock@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u44LZCL2036386; Wed, 4 May 2016 21:35:12 GMT (envelope-from wblock@FreeBSD.org) Message-Id: <201605042135.u44LZCL2036386@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: wblock set sender to wblock@FreeBSD.org using -f From: Warren Block Date: Wed, 4 May 2016 21:35:12 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48776 - head/share/mk X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 04 May 2016 21:35:13 -0000 Author: wblock Date: Wed May 4 21:35:12 2016 New Revision: 48776 URL: https://svnweb.freebsd.org/changeset/doc/48776 Log: Generate the correct paths to images in epub documents. Modified: head/share/mk/doc.docbook.mk Modified: head/share/mk/doc.docbook.mk ============================================================================== --- head/share/mk/doc.docbook.mk Tue May 3 18:27:25 2016 (r48775) +++ head/share/mk/doc.docbook.mk Wed May 4 21:35:12 2016 (r48776) @@ -371,9 +371,16 @@ ${DOC}.html.tar: ${DOC}.html ${LOCAL_IMA ${DOC}.epub: ${DOC}.parsed.xml ${LOCAL_IMAGES_LIB} ${LOCAL_IMAGES_PNG} \ ${CSS_SHEET} ${XML_INCLUDES} ${XSLTPROC} ${XSLTPROCOPTS} ${XSLEPUB} ${DOC}.parsed.xml -.if defined(LOCAL_IMAGES_LIB) || defined(LOCAL_IMAGES_PNG) -.for f in ${LOCAL_IMAGES_LIB} ${LOCAL_IMAGES_PNG} - ${CP} ${f} OEBPS/ +.if defined(LOCAL_IMAGES_LIB) +.for f in ${LOCAL_IMAGES_LIB} + [ -d "OEBPS/${f:H}" ] || ${MKDIR} -pv "OEBPS/${f:H}" + ${CP} ${f} OEBPS/${f} +.endfor +.endif +.if defined(LOCAL_IMAGES_PNG) +.for f in ${LOCAL_IMAGES_PNG} + [ -d "OEBPS/${f:H:T}" ] || ${MKDIR} -pv "OEBPS/${f:H:T}" + ${CP} -v ${f} OEBPS/${f:H:T}/${f:T} .endfor .endif ${ZIP} ${ZIPOPTS} -r -X ${DOC}.epub mimetype OEBPS META-INF From owner-svn-doc-all@freebsd.org Wed May 4 21:38:29 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 9F1EAB2DCFB; Wed, 4 May 2016 21:38:29 +0000 (UTC) (envelope-from wblock@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 686011289; Wed, 4 May 2016 21:38:29 +0000 (UTC) (envelope-from wblock@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u44LcSQ4036524; Wed, 4 May 2016 21:38:28 GMT (envelope-from wblock@FreeBSD.org) Received: (from wblock@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u44LcSCj036523; Wed, 4 May 2016 21:38:28 GMT (envelope-from wblock@FreeBSD.org) Message-Id: <201605042138.u44LcSCj036523@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: wblock set sender to wblock@FreeBSD.org using -f From: Warren Block Date: Wed, 4 May 2016 21:38:28 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48777 - head/en_US.ISO8859-1/htdocs/cgi X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 04 May 2016 21:38:29 -0000 Author: wblock Date: Wed May 4 21:38:28 2016 New Revision: 48777 URL: https://svnweb.freebsd.org/changeset/doc/48777 Log: Include ports in the default set of man pages to search. Modified: head/en_US.ISO8859-1/htdocs/cgi/man.cgi Modified: head/en_US.ISO8859-1/htdocs/cgi/man.cgi ============================================================================== --- head/en_US.ISO8859-1/htdocs/cgi/man.cgi Wed May 4 21:35:12 2016 (r48776) +++ head/en_US.ISO8859-1/htdocs/cgi/man.cgi Wed May 4 21:38:28 2016 (r48777) @@ -222,7 +222,8 @@ foreach my $os ( keys %$sectionpath ) { ); $manLocalDir = '/usr/local/www/bsddoc/man'; -$manPathDefault = 'FreeBSD 10.3-RELEASE'; +# this should be the latest "release and ports" +$manPathDefault = 'FreeBSD 10.3-RELEASE and Ports'; %manPath = ( 'FreeBSD 10.3-RELEASE and Ports', From owner-svn-doc-all@freebsd.org Wed May 4 22:04:58 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 0C719B2D2A1; Wed, 4 May 2016 22:04:58 +0000 (UTC) (envelope-from wblock@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id DBDF81DCD; Wed, 4 May 2016 22:04:57 +0000 (UTC) (envelope-from wblock@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u44M4vHE045280; Wed, 4 May 2016 22:04:57 GMT (envelope-from wblock@FreeBSD.org) Received: (from wblock@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u44M4ulN045275; Wed, 4 May 2016 22:04:56 GMT (envelope-from wblock@FreeBSD.org) Message-Id: <201605042204.u44M4ulN045275@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: wblock set sender to wblock@FreeBSD.org using -f From: Warren Block Date: Wed, 4 May 2016 22:04:56 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48778 - in head/share: mk xml X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 04 May 2016 22:04:58 -0000 Author: wblock Date: Wed May 4 22:04:56 2016 New Revision: 48778 URL: https://svnweb.freebsd.org/changeset/doc/48778 Log: Replace revision and publication date in generated documentation with the actual date of last update. This fixes the problems with misleading "last update" dates that only reflect the change in a single rarely-changed file. Note that hrs had reservations about doing this in the Makefile rather than with a stylesheet. However, not all our source files are XML. For now, this change works, and can be replaced by a more elegant solution later. We should also consider checking dates on other files that affect the content or appearance of documents, like images. Submitted by: grembo Modified: head/share/mk/doc.commands.mk head/share/mk/doc.docbook.mk head/share/xml/freebsd-common.xsl head/share/xml/freebsd-xhtml-common.xsl Modified: head/share/mk/doc.commands.mk ============================================================================== --- head/share/mk/doc.commands.mk Wed May 4 21:38:28 2016 (r48777) +++ head/share/mk/doc.commands.mk Wed May 4 22:04:56 2016 (r48778) @@ -32,6 +32,7 @@ SED?= /usr/bin/sed SETENV?= /usr/bin/env SH?= /bin/sh SORT?= /usr/bin/sort +TAIL?= /usr/bin/tail TOUCH?= /usr/bin/touch TRUE?= /usr/bin/true XARGS?= /usr/bin/xargs Modified: head/share/mk/doc.docbook.mk ============================================================================== --- head/share/mk/doc.docbook.mk Wed May 4 21:38:28 2016 (r48777) +++ head/share/mk/doc.docbook.mk Wed May 4 22:04:56 2016 (r48778) @@ -84,6 +84,18 @@ CSS_SHEET?= ${DOC_PREFIX}/share/misc/doc # NO_SUBDIR= YES +# +# Determine latest revision +# +LATESTREVISION!=${GREP} -Ehos '\$$[F]reeBSD: ([^\$$ ]+ ){5}\$$' ${SRCS} | \ + ${AWK} '{ print \ + " --param latestrevision.timestamp \"'\''"$$4" "$$5"'\''\"" \ + " --param latestrevision.committer \"'\''"$$6"'\''\"" \ + " --param latestrevision.number \"'\''"$$3"'\''\"" \ + }' | ${SORT} | ${TAIL} -n1 + +XSLTPROCOPTS+= ${LATESTREVISION} + # ------------------------------------------------------------------------ # # Look at ${FORMATS} and work out which documents need to be generated. Modified: head/share/xml/freebsd-common.xsl ============================================================================== --- head/share/xml/freebsd-common.xsl Wed May 4 21:38:28 2016 (r48777) +++ head/share/xml/freebsd-common.xsl Wed May 4 22:04:56 2016 (r48778) @@ -53,7 +53,7 @@ - + @@ -64,7 +64,7 @@ - + @@ -91,7 +91,7 @@ - + Modified: head/share/xml/freebsd-xhtml-common.xsl ============================================================================== --- head/share/xml/freebsd-xhtml-common.xsl Wed May 4 21:38:28 2016 (r48777) +++ head/share/xml/freebsd-xhtml-common.xsl Wed May 4 22:04:56 2016 (r48778) @@ -264,7 +264,7 @@ - + From owner-svn-doc-all@freebsd.org Wed May 4 22:52:57 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 1EF74B2DD4C; Wed, 4 May 2016 22:52:57 +0000 (UTC) (envelope-from glebius@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id DB8841486; Wed, 4 May 2016 22:52:56 +0000 (UTC) (envelope-from glebius@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u44MquEQ060445; Wed, 4 May 2016 22:52:56 GMT (envelope-from glebius@FreeBSD.org) Received: (from glebius@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u44Mqs6O060430; Wed, 4 May 2016 22:52:54 GMT (envelope-from glebius@FreeBSD.org) Message-Id: <201605042252.u44Mqs6O060430@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: glebius set sender to glebius@FreeBSD.org using -f From: Gleb Smirnoff Date: Wed, 4 May 2016 22:52:54 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48779 - in head/share: security/advisories security/patches/EN-16:06 security/patches/EN-16:07 security/patches/EN-16:08 security/patches/SA-16:06 security/patches/SA-16:17 xml X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 04 May 2016 22:52:57 -0000 Author: glebius (src committer) Date: Wed May 4 22:52:54 2016 New Revision: 48779 URL: https://svnweb.freebsd.org/changeset/doc/48779 Log: Publish todays advisory and notices: - SA-16:17.openssl - EN-16:06.libc - EN-16:07.ipi - EN-16:08.zfs Approved by: so Added: head/share/security/advisories/FreeBSD-EN-16:06.libc.asc (contents, props changed) head/share/security/advisories/FreeBSD-EN-16:07.ipi.asc (contents, props changed) head/share/security/advisories/FreeBSD-EN-16:08.zfs.asc (contents, props changed) head/share/security/advisories/FreeBSD-SA-16:17.openssl.asc (contents, props changed) head/share/security/patches/EN-16:06/ head/share/security/patches/EN-16:07/ head/share/security/patches/EN-16:07/ipi.patch (contents, props changed) head/share/security/patches/EN-16:07/ipi.patch.asc (contents, props changed) head/share/security/patches/EN-16:08/ head/share/security/patches/EN-16:08/zfs.patch (contents, props changed) head/share/security/patches/EN-16:08/zfs.patch.asc (contents, props changed) head/share/security/patches/SA-16:06/libc.patch (contents, props changed) head/share/security/patches/SA-16:06/libc.patch.asc (contents, props changed) head/share/security/patches/SA-16:17/ head/share/security/patches/SA-16:17/openssl-10.patch (contents, props changed) head/share/security/patches/SA-16:17/openssl-10.patch.asc (contents, props changed) head/share/security/patches/SA-16:17/openssl-9.patch (contents, props changed) head/share/security/patches/SA-16:17/openssl-9.patch.asc (contents, props changed) Modified: head/share/xml/advisories.xml head/share/xml/notices.xml Added: head/share/security/advisories/FreeBSD-EN-16:06.libc.asc ============================================================================== --- /dev/null 00:00:00 1970 (empty, because file is newly added) +++ head/share/security/advisories/FreeBSD-EN-16:06.libc.asc Wed May 4 22:52:54 2016 (r48779) @@ -0,0 +1,128 @@ +-----BEGIN PGP SIGNED MESSAGE----- +Hash: SHA512 + +============================================================================= +FreeBSD-EN-16:06.libc Errata Notice + The FreeBSD Project + +Topic: Performance regression in libc hash(3) + +Category: core +Module: libc / hash(3) +Announced: 2016-05-04 +Credits: Bryan Drewery, Baptiste Daroussin +Affects: FreeBSD 10.3-RELEASE +Corrected: 2016-04-13 01:54:36 UTC (stable/10, 10.3-STABLE) + 2016-05-04 15:25:47 UTC (releng/10.3, 10.3-RELEASE-p2) + +For general information regarding FreeBSD Errata Notices and Security +Advisories, including descriptions of the fields above, security branches, +and the following sections, please visit +. + +I. Background + +The dbopen(3) with DB_HASH allows reading and writing to database files +in the hash(3) format. Examples of such files are the system master +passwd and services databases in /etc. In FreeBSD 10.3 operations +using dbopen(3) were fixed to always call fsync(2) on their files when +writing to ensure they were consistent after a power loss. This was +mostly noticeable for the user and group database files after using +pw, vipw, chpass, etc. + +II. Problem Description + +The changes in FreeBSD 10.3 to use fsync(2) were improperly extended to +operations that were read-only. + +III. Impact + +This could manifest as extreme slowdowns in operations that read from one +of these files, such as the user database. It was especially noticeable +during the use of "pkg install" since it reads from the user database. It +could also incur excessive I/O writes to these files if the file system +was not mounted with noatime which could lessen the lifetime of SSD. + +IV. Workaround + +No workaround is available. + +V. Solution + +Perform one of the following: + +1) Upgrade your system to a supported FreeBSD stable or release / security +branch (releng) dated after the correction date. + +2) To update your present system via a binary patch: + +Systems running a RELEASE version of FreeBSD on the i386 or amd64 +platforms can be updated via the freebsd-update(8) utility: + +# freebsd-update fetch +# freebsd-update install + +3) To update your present system via a source code patch: + +The following patches have been verified to apply to the applicable +FreeBSD release branches. + +a) Download the relevant patch from the location below, and verify the +detached PGP signature using your PGP utility. + +[FreeBSD 10.3] +# fetch https://security.FreeBSD.org/patches/EN-16:06/libc.patch +# fetch https://security.FreeBSD.org/patches/EN-16:06/libc.patch.asc +# gpg --verify libc.patch.asc + +b) Apply the patch. Execute the following commands as root: + +# cd /usr/src +# patch < /path/to/patch + +c) Recompile the operating system using buildworld and installworld as +described in . + +Restart all daemons that use the library, or reboot the system. + +VI. Correction details + +The following list contains the correction revision numbers for each +affected branch. + +Branch/path Revision +- ------------------------------------------------------------------------- +stable/10/ r297904 +releng/10.3/ r299066 +- ------------------------------------------------------------------------- + +To see which files were modified by a particular revision, run the +following command, replacing NNNNNN with the revision number, on a +machine with Subversion installed: + +# svn diff -cNNNNNN --summarize svn://svn.freebsd.org/base + +Or visit the following URL, replacing NNNNNN with the revision number: + + + +VII. References + +The latest revision of this Errata Notice is available at +https://security.FreeBSD.org/advisories/FreeBSD-EN-16:06.libc.asc +-----BEGIN PGP SIGNATURE----- + +iQIcBAEBCgAGBQJXKj2JAAoJEO1n7NZdz2rnAqUQAKQmHsqyFPwl+yva/Is8U0Z+ +iuMnGAa9zp422ESLF8wczAYIQxv2wNuPAupuZGdDD5vnt8AJNEhs84xq9RW63AxM +V1YQAsNzMTeP4xhGJbrLXPgS5tgB59Rwj0OmIjrbyi4rmDMVGl0Ok0XRr+L+c9KV +dZhUSTmtlR005887aEoUe7Ujnqn4TljijaK/mD2YhGoE5Xkx5yOzJoO3ajCkyY61 +qSFVDqKP+pGgazt9gXpf7vtj4tw+TUqCMH3lj+LF4I7QfbAATYqwXo6pPVxSdZAY +D8qFR7h31Rpb7ImnSLiULGkZvV5cJrbHJQR63ty1WF6y5qur1La4EfTDDhqqkz3I +hvC8PCgAu11E55TsDeFUAFibjWZZvcqoYG3taWAKc9JlOHd5+cKoXVAzGTX4a/B7 +V0r5WH9AmmcodE7oRo90yFhUuv28G9T/z7a7bihaD6Cu2+3C7ez9f8cyD2x/FYJV +Y7wF3Ey4faybuaXBmxrbq3aJQYPe4knfvigmLoJNbCgIutvCiDVue/BxXaZ97Zc3 +RxPx7+SQo18R83u/iGgYIgs5MAsLLDphwETQhAi8ZUsSO/YVb4Od0ScCHaHC/byp +CdSC7DW56wiqYYyFjAe5/MQIIv8cvNLtekiaiUhAf36DrstglbSwOTw7x2kMcguk +KLNONz99Am4A/sIHhizX +=p2R6 +-----END PGP SIGNATURE----- Added: head/share/security/advisories/FreeBSD-EN-16:07.ipi.asc ============================================================================== --- /dev/null 00:00:00 1970 (empty, because file is newly added) +++ head/share/security/advisories/FreeBSD-EN-16:07.ipi.asc Wed May 4 22:52:54 2016 (r48779) @@ -0,0 +1,125 @@ +-----BEGIN PGP SIGNED MESSAGE----- +Hash: SHA512 + +============================================================================= +FreeBSD-EN-16:07.ipi Errata Notice + The FreeBSD Project + +Topic: Excessive latency in x86 IPI delivery + +Category: core +Module: kernel +Announced: 2016-05-04 +Credits: Stanislav Sedov +Affects: FreeBSD 10.2 and 10.3 +Corrected: 2016-04-27 19:12:49 UTC (stable/10, 10.3-STABLE) + 2016-05-04 15:25:47 UTC (releng/10.3, 10.3-RELEASE-p2) + 2016-05-04 15:26:23 UTC (releng/10.2, 10.2-RELEASE-p16) + +For general information regarding FreeBSD Errata Notices and Security +Advisories, including descriptions of the fields above, security branches, +and the following sections, please visit +. + +I. Background + +Each CPU in an x86 system contains an interrupt controller (local APIC) +used to handle both external interrupts and inter-processor-interrupts +(IPIs). + +II. Problem Description + +In xAPIC mode, the local APIC can only queue a single IPI at a time. If +a previously queued IPI is still pending when a CPU attempts to send an +IPI, it spins waiting for the previous IPI to complete. A change merged +prior to 10.2-RELEASE altered this loop to check the state of the previous +IPI once every 5 microseconds rather than constantly polling. + +III. Impact + +Checking the status of the previous IPI once every 5 microseconds could +introduce 5 microsecond delays when sending IPIs. This could increase the +latency of various scheduling operations reducing performance. + +IV. Workaround + +No workaround is available, but non-x86 systems are not affected. + +V. Solution + +Perform one of the following: + +1) Upgrade your system to a supported FreeBSD stable or release / security +branch (releng) dated after the correction date. + +2) To update your present system via a binary patch: + +Systems running a RELEASE version of FreeBSD on the i386 or amd64 +platforms can be updated via the freebsd-update(8) utility: + +# freebsd-update fetch +# freebsd-update install + +3) To update your present system via a source code patch: + +The following patches have been verified to apply to the applicable +FreeBSD release branches. + +a) Download the relevant patch from the location below, and verify the +detached PGP signature using your PGP utility. + +# fetch https://security.FreeBSD.org/patches/EN-16:07/ipi.patch +# fetch https://security.FreeBSD.org/patches/EN-16:07/ipi.patch.asc +# gpg --verify ipi.patch.asc + +b) Apply the patch. Execute the following commands as root: + +# cd /usr/src +# patch < /path/to/patch + +c) Recompile your kernel as described in + and reboot the +system. + +VI. Correction details + +The following list contains the correction revision numbers for each +affected branch. + +Branch/path Revision +- ------------------------------------------------------------------------- +stable/10/ r298715 +releng/10.2/ r299067 +releng/10.3/ r299066 +- ------------------------------------------------------------------------- + +To see which files were modified by a particular revision, run the +following command, replacing NNNNNN with the revision number, on a +machine with Subversion installed: + +# svn diff -cNNNNNN --summarize svn://svn.freebsd.org/base + +Or visit the following URL, replacing NNNNNN with the revision number: + + + +VII. References + +The latest revision of this Errata Notice is available at +https://security.FreeBSD.org/advisories/FreeBSD-EN-16:07.ipi.asc +-----BEGIN PGP SIGNATURE----- + +iQIcBAEBCgAGBQJXKj3tAAoJEO1n7NZdz2rnbpMP/R/Xetx8IFIeP4Ez9IYvQPXM +ylnDZiLn0AP2AW5Wn4Dxa6SyfrTGYOpjMSGFtxu6JqPczFYhYY0fYVkdwLqPu0DS +2Q9xGLJ0hedVa+aPbDyoS6Zafe2VElFjcpHm+y3qaaAhLoQNolMd+3bj0sezxzb/ +mVJZq1vHzFKU84vmiBXb6zF6lcwJgEqbdeLyLT+y+p42Sne9/k6QIUPUQPZKciu/ +gs3RH3/0NhNWyXRl8ISjU0uJB3SHFZTbbfRSoX/0pE0FGaaYue9UeOEAzsBi5O6x +apF5euq6o6QSzH1MQaPj1hApreUY4TCS+/2ZSjKGTOZAOP9CkIjm/U89G5cw+dH4 +Bs4jV4q0H1Pc3jHGP/Y0NyPDA7XrmNUjhw//8WodchqyeHkrSboy4K2Cd5AFS03e +dM4fUz1ybTWYTAuHejKIN7yPKo1MsI7tX55fYXZtZ9iA+JhTYGBuJEoBVqlDiSte +RcfYWjMY45srf5lPwTjauuHFjsfgvHwxuxyQyKPV+uysq9y7E2E6hypBYZ0SJNaz +W6fEAyUFv8rM6qMxtANuuOVDDrRTYq/FId5AhMMheK9AONA3XcvL9otMqw5HMBtg +kzOoQ0JJKUbDow8sy9mjtM0cOgoNvmfRlUuLXxV26swXEHZ4la0o16mNVEzo10Z9 +mlbeuHCqBP25eT/TzQG4 +=XoQ4 +-----END PGP SIGNATURE----- Added: head/share/security/advisories/FreeBSD-EN-16:08.zfs.asc ============================================================================== --- /dev/null 00:00:00 1970 (empty, because file is newly added) +++ head/share/security/advisories/FreeBSD-EN-16:08.zfs.asc Wed May 4 22:52:54 2016 (r48779) @@ -0,0 +1,137 @@ +-----BEGIN PGP SIGNED MESSAGE----- +Hash: SHA512 + +============================================================================= +FreeBSD-EN-16:08.zfs Errata Notice + The FreeBSD Project + +Topic: Memory leak in ZFS + +Category: contrib +Module: zfs +Announced: 2016-05-04 +Credits: Eric Borisch +Affects: All supported versions of FreeBSD. +Corrected: 2016-03-18 13:32:00 UTC (stable/10, 10.3-STABLE) + 2016-05-04 15:25:47 UTC (releng/10.3, 10.3-RELEASE-p2) + 2016-05-04 15:26:23 UTC (releng/10.2, 10.2-RELEASE-p16) + 2016-05-04 15:27:09 UTC (releng/10.1, 10.1-RELEASE-p33) + 2016-03-18 13:32:37 UTC (stable/9, 9.3-STABLE) + 2016-05-04 15:27:09 UTC (releng/9.3, 9.3-RELEASE-p41) + +For general information regarding FreeBSD Errata Notices and Security +Advisories, including descriptions of the fields above, security +branches, and the following sections, please visit +. + +I. Background + +ZFS is one of several filesystems available on FreeBSD. ZFS supports many +advanced features, including snapshots, which provides a frozen read-only +image of file system at a given time. + +File system snapshots can be accessed under the .zfs/snapshot directory +in the root of the file system. + +II. Problem Description + +There is a memory leak in the error path when mounting a snapshot via the +automatic .zfs/snapshot directory, which can be triggered when the snapshot +was once mounted, but later deleted by the system administrator. + +III. Impact + +A local user may be able to trigger the memory leak multiple times and +eventually exhaust kernel memory, if the user knows a snapshot and access +it before the system administrator deletes it. + +IV. Workaround + +No workaround is available, but systems that do not use ZFS snapshots are +not affected. + +V. Solution + +Perform one of the following: + +1) Upgrade your system to a supported FreeBSD stable or release / security +branch (releng) dated after the correction date. + +Reboot is required. + +2) To update your system via a binary patch: + +Systems running a RELEASE version of FreeBSD on the i386 or amd64 +platforms can be updated via the freebsd-update(8) utility: + +# freebsd-update fetch +# freebsd-update install + +Reboot is required. + +3) To update your system via a source code patch: + +The following patches have been verified to apply to the applicable +FreeBSD release branches. + +a) Download the relevant patch from the location below, and verify the +detached PGP signature using your PGP utility. + +# fetch https://security.FreeBSD.org/patches/EN-16:08/zfs.patch +# fetch https://security.FreeBSD.org/patches/EN-16:08/zfs.patch.asc +# gpg --verify zfs.patch.asc + +b) Apply the patch. Execute the following commands as root: + +# cd /usr/src +# patch < /path/to/patch + +c) Recompile your kernel as described in + and reboot the +system. + +VI. Correction details + +The following list contains the correction revision numbers for each +affected branch. + +Branch/path Revision +- ------------------------------------------------------------------------- +stable/9/ r297022 +releng/9.3/ r299068 +stable/10/ r297021 +releng/10.1/ r299068 +releng/10.2/ r299067 +releng/10.3/ r299066 +- ------------------------------------------------------------------------- + +To see which files were modified by a particular revision, run the +following command, replacing NNNNNN with the revision number, on a +machine with Subversion installed: + +# svn diff -cNNNNNN --summarize svn://svn.freebsd.org/base + +Or visit the following URL, replacing NNNNNN with the revision number: + + + +VII. References + +The latest revision of this advisory is available at + +-----BEGIN PGP SIGNATURE----- + +iQIcBAEBCgAGBQJXKk4dAAoJEO1n7NZdz2rnscQQAODmJLkUgi8YgTP32IuWyz+N +mX/g5HNKGWP7COTzsoIFrGZ1l+BqWwqcX9cSR1K3fFOYSDPPgug3qMHdfg63RIsm +G9sJRQ/XdsUC6436UYGe3ElZyqKUjrKSPW2pA95AYVWMiJTJwly+Vd6UqDadLKmA +HyebF2uh5HR7JpkTyw9lT6uN4FHTIF6NfKruap3m+NNCMw64w4bILwOLuylvxT+0 +fiPJRlZ5X+I9lRM7QqO8m/S4AYAHeFAu/GG8GDPR2kO6ZuW2iuIQg04tfv8JmHgG +4074OkCo7etJ6qq59EC1Y7k6TpuNDuiTNtTpn5DnOWVCaduZnGxZo0FhKhZg7b0K +D4uJkXF8aSTi4Y9rp4ynEP+d1NJD7B5dLnI5R3P3EGuGKhigymI0QlT+iDy/UGLT +rG1Hx9Tsq1CsrpUe6/Go6Daqt4VxW/WYtOULDZBoVaIhhKk5H4gV1Yj66MUAsPhZ +Fe+hMnehYdCcKlSYrlCaF6MTosAafhzyTgxDKehgc0K1RPxHXOME98NF76erU1Vx +62P7sdq3JrYFNg+9TUkyjaYnhc5XrHtShzCJxcMKm0NMNm7nWfyYYVwvBYpflSUI +AE1VGcgAAlnH/yLnJPJL1BY6hfjsA2wPO+vituxOGDKCvSuUdWCV1baAW9ySmG4K +Pgle9/Qvg/BNvtVL3dvv +=PzFd +-----END PGP SIGNATURE----- Added: head/share/security/advisories/FreeBSD-SA-16:17.openssl.asc ============================================================================== --- /dev/null 00:00:00 1970 (empty, because file is newly added) +++ head/share/security/advisories/FreeBSD-SA-16:17.openssl.asc Wed May 4 22:52:54 2016 (r48779) @@ -0,0 +1,178 @@ +-----BEGIN PGP SIGNED MESSAGE----- +Hash: SHA512 + +============================================================================= +FreeBSD-SA-16:17.openssl Security Advisory + The FreeBSD Project + +Topic: Multiple OpenSSL vulnerabilities + +Category: contrib +Module: openssl +Announced: 2016-05-04 +Credits: OpenSSL Project +Affects: All supported versions of FreeBSD. +Corrected: 2016-05-03 18:54:20 UTC (stable/10, 10.3-STABLE) + 2016-05-04 15:25:47 UTC (releng/10.3, 10.3-RELEASE-p2) + 2016-05-04 15:26:23 UTC (releng/10.2, 10.2-RELEASE-p16) + 2016-05-04 15:27:09 UTC (releng/10.1, 10.1-RELEASE-p33) + 2016-05-04 06:53:02 UTC (stable/9, 9.3-STABLE) + 2016-05-04 15:27:09 UTC (releng/9.3, 9.3-RELEASE-p41) +CVE Name: CVE-2016-2105, CVE-2016-2106, CVE-2016-2107, CVE-2016-2109, + CVE-2016-2176 + +For general information regarding FreeBSD Security Advisories, +including descriptions of the fields above, security branches, and the +following sections, please visit . + +I. Background + +FreeBSD includes software from the OpenSSL Project. The OpenSSL Project is +a collaborative effort to develop a robust, commercial-grade, full-featured +Open Source toolkit implementing the Secure Sockets Layer (SSL v2/v3) +and Transport Layer Security (TLS v1) protocols as well as a full-strength +general purpose cryptography library. + +II. Problem Description + +The padding check in AES-NI CBC MAC was rewritten to be in constant time +by making sure that always the same bytes are read and compared against +either the MAC or padding bytes. But it no longer checked that there was +enough data to have both the MAC and padding bytes. [CVE-2016-2107] + +An overflow can occur in the EVP_EncodeUpdate() function which is used for +Base64 encoding of binary data. [CVE-2016-2105] + +An overflow can occur in the EVP_EncryptUpdate() function, however it is +believed that there can be no overflows in internal code due to this problem. +[CVE-2016-2106] + +When ASN.1 data is read from a BIO using functions such as d2i_CMS_bio() +a short invalid encoding can casuse allocation of large amounts of memory +potentially consuming excessive resources or exhausting memory. +[CVE-2016-2109] + +ASN1 Strings that are over 1024 bytes can cause an overread in applications +using the X509_NAME_oneline() function on EBCDIC systems. [CVE-2016-2176] +FreeBSD does not run on any EBCDIC systems and therefore is not affected. + +III. Impact + +A MITM attacker can use a padding oracle attack to decrypt traffic +when the connection uses an AES CBC cipher and the server support +AES-NI. [CVE-2016-2107] + +If an attacker is able to supply very large amounts of input data then a +length check can overflow resulting in a heap corruption. [CVE-2016-2105] + +Any application parsing untrusted data through d2i BIO functions are vulnerable +to memory exhaustion attack. [CVE-2016-2109] TLS applications are not affected. + +IV. Workaround + +No workaround is available. + +V. Solution + +Perform one of the following: + +1) Upgrade your vulnerable system to a supported FreeBSD stable or +release / security branch (releng) dated after the correction date. + +Restart all daemons that use the library, or reboot the system. + +2) To update your vulnerable system via a binary patch: + +Systems running a RELEASE version of FreeBSD on the i386 or amd64 +platforms can be updated via the freebsd-update(8) utility: + +# freebsd-update fetch +# freebsd-update install + +Restart all daemons that use the library, or reboot the system. + +3) To update your vulnerable system via a source code patch: + +The following patches have been verified to apply to the applicable +FreeBSD release branches. + +a) Download the relevant patch from the location below, and verify the +detached PGP signature using your PGP utility. + +[FreeBSD 10.x] +# fetch https://security.FreeBSD.org/patches/SA-16:17/openssl-10.patch +# fetch https://security.FreeBSD.org/patches/SA-16:17/openssl-10.patch.asc +# gpg --verify openssl-10.patch.asc + +[FreeBSD 9.3] +# fetch https://security.FreeBSD.org/patches/SA-16:17/openssl-9.patc +# fetch https://security.FreeBSD.org/patches/SA-16:17/openssl-9.patch.asc +# gpg --verify openssl-9.patch.asc + +b) Apply the patch. Execute the following commands as root: + +# cd /usr/src +# patch < /path/to/patch + +c) Recompile the operating system using buildworld and installworld as +described in . + +Restart all daemons that use the library, or reboot the system. + +VI. Correction details + +The following list contains the correction revision numbers for each +affected branch. + +Branch/path Revision +- ------------------------------------------------------------------------- +stable/9/ r299053 +releng/9.3/ r299068 +stable/10/ r298999 +releng/10.1/ r299068 +releng/10.2/ r299067 +releng/10.3/ r299066 +- ------------------------------------------------------------------------- + +To see which files were modified by a particular revision, run the +following command, replacing NNNNNN with the revision number, on a +machine with Subversion installed: + +# svn diff -cNNNNNN --summarize svn://svn.freebsd.org/base + +Or visit the following URL, replacing NNNNNN with the revision number: + + + +VII. References + + + + + + + + + + + + + +The latest revision of this advisory is available at + +-----BEGIN PGP SIGNATURE----- + +iQIcBAEBCgAGBQJXKjuIAAoJEO1n7NZdz2rneZoP/jqsWr9q5MkCel2aZzfmSVhU +8CjzPwm3t48ibZqrkolAak4dbjJGhidUM/S83BvIcCdtKWyoG8D0fzemB7bBIP2L +fqvd1314vuy82CgZlAyJIqzokckUPfyHhTAz9FPZW46f8A+s8znzJcaaD81tt1Xe +qg9JZ61e2DZJ2NdZSJSjOpBl55gZqQq3tIwGYw027GKjiflJSvOG1n/531R4rppI +x0IZpLor7XBWuiC44hPc4yasC4khWzmdaRpqcUoWVEex8g6Il6xByS2o4AgX7kE/ +NBZ0mj4IMYZNQW4VUYbnkmLtWXJYYScboBKh4FRljNCG/t5u/YoSfOY8SbS9LT9K +KVj56C6tQRq+/frKbPt26HbqqRTFNVn3FKxJWNQ9CLzsebobXPUYATTN2NVC8gkj +S0A/lT2xnvA2YqB9HfmHOvlHS2LDv8SivJWNK4dCPOwhVm624H4qH/N+VFcwU7zc +ue+BPvDYU/czsyoJDdQoWxTdkreaOY6eLAWkYAh9dEDIkZSOxgsZR7C4th6THXMu +ybIy544elc3bf9vS4tGR552Wi9VntE0B1/LJ2la8l+MnYE6qZL1hbAYpvNyuPWVP +EDPjOc4inaMpV62fuL1UrKH1g1HMmFUnoWhC70iS+cuLeXWFdvwBFyL420Ixkd5H +zvcsfJCrazlcZ6j83Qfd +=PGTh +-----END PGP SIGNATURE----- Added: head/share/security/patches/EN-16:07/ipi.patch ============================================================================== --- /dev/null 00:00:00 1970 (empty, because file is newly added) +++ head/share/security/patches/EN-16:07/ipi.patch Wed May 4 22:52:54 2016 (r48779) @@ -0,0 +1,103 @@ +--- sys/x86/x86/local_apic.c.orig ++++ sys/x86/x86/local_apic.c +@@ -56,6 +56,7 @@ + #include + + #include ++#include + #include + #include + #include +@@ -158,6 +159,9 @@ + vm_paddr_t lapic_paddr; + static u_long lapic_timer_divisor; + static struct eventtimer lapic_et; ++#ifdef SMP ++static uint64_t lapic_ipi_wait_mult; ++#endif + + static void lapic_enable(void); + static void lapic_resume(struct pic *pic, bool suspend_cancelled); +@@ -221,6 +225,9 @@ + void + lapic_init(vm_paddr_t addr) + { ++#ifdef SMP ++ uint64_t r, r1, r2, rx; ++#endif + u_int regs[4]; + int i, arat; + +@@ -275,6 +282,38 @@ + lapic_et.et_priv = NULL; + et_register(&lapic_et); + } ++ ++#ifdef SMP ++#define LOOPS 1000000 ++ /* ++ * Calibrate the busy loop waiting for IPI ack in xAPIC mode. ++ * lapic_ipi_wait_mult contains the number of iterations which ++ * approximately delay execution for 1 microsecond (the ++ * argument to native_lapic_ipi_wait() is in microseconds). ++ * ++ * We assume that TSC is present and already measured. ++ * Possible TSC frequency jumps are irrelevant to the ++ * calibration loop below, the CPU clock management code is ++ * not yet started, and we do not enter sleep states. ++ */ ++ KASSERT((cpu_feature & CPUID_TSC) != 0 && tsc_freq != 0, ++ ("TSC not initialized")); ++ r = rdtsc(); ++ for (rx = 0; rx < LOOPS; rx++) { ++ (void)lapic->icr_lo; ++ ia32_pause(); ++ } ++ r = rdtsc() - r; ++ r1 = tsc_freq * LOOPS; ++ r2 = r * 1000000; ++ lapic_ipi_wait_mult = r1 >= r2 ? r1 / r2 : 1; ++ if (bootverbose) { ++ printf("LAPIC: ipi_wait() us multiplier %ju (r %ju tsc %ju)\n", ++ (uintmax_t)lapic_ipi_wait_mult, (uintmax_t)r, ++ (uintmax_t)tsc_freq); ++ } ++#undef LOOPS ++#endif /* SMP */ + } + + /* +@@ -1381,25 +1420,20 @@ + * private to the MD code. The public interface for the rest of the + * kernel is defined in mp_machdep.c. + */ ++ ++/* ++ * Wait delay microseconds for IPI to be sent. If delay is -1, we ++ * wait forever. ++ */ + int + lapic_ipi_wait(int delay) + { +- int x; ++ uint64_t rx; + +- /* +- * Wait delay microseconds for IPI to be sent. If delay is +- * -1, we wait forever. +- */ +- if (delay == -1) { +- while ((lapic->icr_lo & APIC_DELSTAT_MASK) != APIC_DELSTAT_IDLE) +- ia32_pause(); +- return (1); +- } +- +- for (x = 0; x < delay; x += 5) { ++ for (rx = 0; delay == -1 || rx < lapic_ipi_wait_mult * delay; rx++) { + if ((lapic->icr_lo & APIC_DELSTAT_MASK) == APIC_DELSTAT_IDLE) + return (1); +- DELAY(5); ++ ia32_pause(); + } + return (0); + } Added: head/share/security/patches/EN-16:07/ipi.patch.asc ============================================================================== --- /dev/null 00:00:00 1970 (empty, because file is newly added) +++ head/share/security/patches/EN-16:07/ipi.patch.asc Wed May 4 22:52:54 2016 (r48779) @@ -0,0 +1,16 @@ +-----BEGIN PGP SIGNATURE----- + +iQIcBAABCgAGBQJXKj3yAAoJEO1n7NZdz2rnv4kP/06mfaq4/iwxKgkmZ/YA1xr1 +OyeEURd20DU/z5IJrcOOM7I6t20tzTpITp4G4TirPAl+614ieFBEJLZtlLYCCnhd +02VfG9SEbqsM1ymfCrWg2FBx9YJtszL6bkWUSjlWA9dei2eomie6GyJeprfVDolD +Va+fp1FDVPmhcw8uXp9BNiCoBe/S1pd1ireMemXVwJCTwzJAcIrhMThDqTBKX9Rh +hxzd4gJBtAfppdPL0jcfjLMN3NUelRLs6AlT447lGJJeLJZTGnZNyaq6TKzHBE9E +witl2MOcaxm3SodaYq5e7CT4DZ+zfZHJ6Tc9r3RqoshlMgVk2DV6GXzcY8Z+GAjv +VeMY4shqEmApu3qIB3h/+PHN9RRPYtt4yNIAJjZt7sYWqEyAIIu4TH3UkUmdbLyg +v+Gf6CmDCoDmPsO0Yg1Ap5TrZy6NxoEXERzPOhgUaRBy7q0VKFrmLZoBw6UJ9GPu +DcS6aSxVoNgD7a/zUkrMezAtOsXD2OGcPpPOvco6JsbYqieoAZ4UGtCRSW+m7uJK +G1i1+c4sC5lqN/PxPvc05ci1RbtrjZFdYakg8Jz4rTegg44zU24ENZ+qW0k4uXUY +pm4ED1z1yozrMghOeTcFvq33j2fttfpHGtR24QCzoIMd6S9NNuCT5zTNf8PpU5aW +Tq2KDK20ywHxg8rBZdlW +=L412 +-----END PGP SIGNATURE----- Added: head/share/security/patches/EN-16:08/zfs.patch ============================================================================== --- /dev/null 00:00:00 1970 (empty, because file is newly added) +++ head/share/security/patches/EN-16:08/zfs.patch Wed May 4 22:52:54 2016 (r48779) @@ -0,0 +1,10 @@ +--- sys/cddl/compat/opensolaris/kern/opensolaris_vfs.c.orig ++++ sys/cddl/compat/opensolaris/kern/opensolaris_vfs.c +@@ -196,6 +196,7 @@ + VI_UNLOCK(vp); + vrele(vp); + vfs_unbusy(mp); ++ vfs_freeopts(mp->mnt_optnew); + vfs_mount_destroy(mp); + *vpp = NULL; + return (error); Added: head/share/security/patches/EN-16:08/zfs.patch.asc ============================================================================== --- /dev/null 00:00:00 1970 (empty, because file is newly added) +++ head/share/security/patches/EN-16:08/zfs.patch.asc Wed May 4 22:52:54 2016 (r48779) @@ -0,0 +1,16 @@ +-----BEGIN PGP SIGNATURE----- + +iQIcBAABCgAGBQJXKk4gAAoJEO1n7NZdz2rnJnsQAKcsAvrU96EYdeIHQnR2AJ88 +jCHXfXDnGN+dPpHXqBwjVCM4TLTHQVdsa47sw9wWOD5hhlP53qsKmsDohV68E+nc +HSbksbOWACuLtihtiR5bwlU2NuSUF+MKH+P35yqlIC6IFLJ41XrfbPXidJz4vUH0 +1FhKGiXgHMlaCDpOxRXVKtQ05O8BvKl3kh1G2u/wM0fbdTWmK98kscc8b/abysi9 +qV88b8cDYf9Dn57moFN0GySAKxPTnn4s0IKAu6BCko/bwH9cdwJmbbktpxTZrJuS +s2z0KKO15Wb/iD1SPTF9oxetXc8kok6nTQikLBVUNA6aXCpn69CeD6X7SL4198a0 +oCXCZM1cYJDrT7V1Z/JTncF7e66UViLdFxI3v9RnpcGmsz88xjhXKv7jtv5DD+L+ +tLsCCHZqfOtNEF7mTBdm0tfZP7B+quhXCnFs4qB945q0nJ1J8s5fLsWKSFgaeYUu +nEmNpjE3EbhxzUVa3xSdbs+hwtcOdMUaOelbO5sehaFOwblO6FDNLZ7TDpU2vfNk +noo9t2OqyK6hJvm+IIZgjwnQxTS64O4ehpd3S5HZit/3ExIt3SdsF7LUuGIHskfU +ucHvK763RsxjbwTyF2M6HV8TWbn8zKdLIJ9AlSF3B3hJIqwIpTKFBF6Sm/ovGe48 +kSE51i0jjr8eRC87SB0K +=wnPD +-----END PGP SIGNATURE----- Added: head/share/security/patches/SA-16:06/libc.patch ============================================================================== --- /dev/null 00:00:00 1970 (empty, because file is newly added) +++ head/share/security/patches/SA-16:06/libc.patch Wed May 4 22:52:54 2016 (r48779) @@ -0,0 +1,12 @@ +--- lib/libc/db/hash/hash.c.orig ++++ lib/libc/db/hash/hash.c +@@ -423,7 +423,8 @@ + free(hashp->tmp_buf); + + if (hashp->fp != -1) { +- (void)_fsync(hashp->fp); ++ if (hashp->save_file) ++ (void)_fsync(hashp->fp); + (void)_close(hashp->fp); + } + Added: head/share/security/patches/SA-16:06/libc.patch.asc ============================================================================== --- /dev/null 00:00:00 1970 (empty, because file is newly added) +++ head/share/security/patches/SA-16:06/libc.patch.asc Wed May 4 22:52:54 2016 (r48779) @@ -0,0 +1,16 @@ +-----BEGIN PGP SIGNATURE----- + +iQIcBAABCgAGBQJXKj1xAAoJEO1n7NZdz2rnBE4QALyliMFWZRH6HNFUOmUzpb82 +ukBfKSS7MA2xXoFAZAGcpStuHRVg8sl21s4tGtnSa7Q9VkDzr898BG4mFlf+ZNWc +qHZqaZcQbJAJofrywklu4XCss0V9pv5WQ5TPnIaddoQs/USbbx4nZFyiY7p3XFHc +D9U30O8/QAUJO//TwHcQftbhNRJiVINWiGaNlKzf/tW5LipkA+GuMrLjqodA0FjN +nTZo469DWm26YzVKx7QH0ZobqEhK+7P/4Uo+gMLhXfBXnh+EX4P1w+gsYPXOhy02 +bL0MsqG9F7tpcNI6tlxjNP0V6PjMCtuEuQ0Fk4rkPEZJDq9B6dc9wY9Vxas5hQ8n +IsNkMeIfNz9plK9WFTwfOiwu9IO84J0xhHgdp4cHqbvFcDSxU+GrtYU2zmPqoxJe +uT+KqdhfC533oN6CXzKzrn+kcxx2NuBt2lIjsg8K1V1Q/ovYpopdPfTOColDdBKZ +41XBo5AdDVS1liTNTiXtjUL9A5Eb8876Be4O+yvhQiXYsRFhQ7Kw2talGLiiJWlP +MOWEtBAvkFYZPedGNnIc+dmtBQ3G2uqEd/w4ZO0tgxkL0jt2b02s9xD0Y3YU9Xtp +f/sjoxT2kWNeQ8MS+zWh2dEj9OIxAerdOZsOSJmchqNHXD3Rv+99jmK/IY78LmbZ +5+hYuoGy4zOMHFXMJ8vm +=9bAQ +-----END PGP SIGNATURE----- Added: head/share/security/patches/SA-16:17/openssl-10.patch ============================================================================== --- /dev/null 00:00:00 1970 (empty, because file is newly added) +++ head/share/security/patches/SA-16:17/openssl-10.patch Wed May 4 22:52:54 2016 (r48779) @@ -0,0 +1,127 @@ +--- crypto/openssl/crypto/asn1/a_type.c.orig ++++ crypto/openssl/crypto/asn1/a_type.c +@@ -126,9 +126,7 @@ + result = 0; /* They do not have content. */ + break; + case V_ASN1_INTEGER: +- case V_ASN1_NEG_INTEGER: + case V_ASN1_ENUMERATED: +- case V_ASN1_NEG_ENUMERATED: + case V_ASN1_BIT_STRING: + case V_ASN1_OCTET_STRING: + case V_ASN1_SEQUENCE: +--- crypto/openssl/crypto/asn1/tasn_dec.c.orig ++++ crypto/openssl/crypto/asn1/tasn_dec.c +@@ -903,9 +903,7 @@ + break; + + case V_ASN1_INTEGER: +- case V_ASN1_NEG_INTEGER: + case V_ASN1_ENUMERATED: +- case V_ASN1_NEG_ENUMERATED: + tint = (ASN1_INTEGER **)pval; + if (!c2i_ASN1_INTEGER(tint, &cont, len)) + goto err; +--- crypto/openssl/crypto/asn1/tasn_enc.c.orig ++++ crypto/openssl/crypto/asn1/tasn_enc.c +@@ -611,9 +611,7 @@ + break; + + case V_ASN1_INTEGER: +- case V_ASN1_NEG_INTEGER: + case V_ASN1_ENUMERATED: +- case V_ASN1_NEG_ENUMERATED: + /* + * These are all have the same content format as ASN1_INTEGER + */ +--- crypto/openssl/crypto/evp/e_aes_cbc_hmac_sha1.c.orig ++++ crypto/openssl/crypto/evp/e_aes_cbc_hmac_sha1.c +@@ -59,6 +59,7 @@ + # include + # include + # include "evp_locl.h" ++# include "constant_time_locl.h" + + # ifndef EVP_CIPH_FLAG_AEAD_CIPHER + # define EVP_CIPH_FLAG_AEAD_CIPHER 0x200000 +@@ -286,6 +287,8 @@ + maxpad |= (255 - maxpad) >> (sizeof(maxpad) * 8 - 8); + maxpad &= 255; + ++ ret &= constant_time_ge(maxpad, pad); ++ + inp_len = len - (SHA_DIGEST_LENGTH + pad + 1); + mask = (0 - ((inp_len - len) >> (sizeof(inp_len) * 8 - 1))); + inp_len &= mask; +--- crypto/openssl/crypto/evp/encode.c.orig ++++ crypto/openssl/crypto/evp/encode.c +@@ -57,6 +57,7 @@ + */ + + #include ++#include + #include "cryptlib.h" + #include + +@@ -151,13 +152,13 @@ + const unsigned char *in, int inl) + { + int i, j; +- unsigned int total = 0; ++ size_t total = 0; + + *outl = 0; + if (inl <= 0) + return; + OPENSSL_assert(ctx->length <= (int)sizeof(ctx->enc_data)); +- if ((ctx->num + inl) < ctx->length) { ++ if (ctx->length - ctx->num > inl) { + memcpy(&(ctx->enc_data[ctx->num]), in, inl); + ctx->num += inl; + return; +@@ -174,7 +175,7 @@ + *out = '\0'; + total = j + 1; + } +- while (inl >= ctx->length) { ++ while (inl >= ctx->length && total <= INT_MAX) { + j = EVP_EncodeBlock(out, in, ctx->length); + in += ctx->length; + inl -= ctx->length; +@@ -183,6 +184,11 @@ + *out = '\0'; + total += j + 1; + } ++ if (total > INT_MAX) { ++ /* Too much output data! */ ++ *outl = 0; ++ return; ++ } + if (inl != 0) + memcpy(&(ctx->enc_data[0]), in, inl); + ctx->num = inl; +--- crypto/openssl/crypto/evp/evp_enc.c.orig ++++ crypto/openssl/crypto/evp/evp_enc.c +@@ -334,7 +334,7 @@ + bl = ctx->cipher->block_size; + OPENSSL_assert(bl <= (int)sizeof(ctx->buf)); + if (i != 0) { +- if (i + inl < bl) { ++ if (bl - i > inl) { + memcpy(&(ctx->buf[i]), in, inl); + ctx->buf_len += inl; + *outl = 0; +--- crypto/openssl/crypto/x509/x509_obj.c.orig ++++ crypto/openssl/crypto/x509/x509_obj.c +@@ -117,8 +117,9 @@ + type == V_ASN1_PRINTABLESTRING || + type == V_ASN1_TELETEXSTRING || + type == V_ASN1_VISIBLESTRING || type == V_ASN1_IA5STRING) { +- ascii2ebcdic(ebcdic_buf, q, (num > sizeof ebcdic_buf) +- ? sizeof ebcdic_buf : num); ++ if (num > (int)sizeof(ebcdic_buf)) ++ num = sizeof(ebcdic_buf); ++ ascii2ebcdic(ebcdic_buf, q, num); + q = ebcdic_buf; + } + #endif Added: head/share/security/patches/SA-16:17/openssl-10.patch.asc ============================================================================== --- /dev/null 00:00:00 1970 (empty, because file is newly added) +++ head/share/security/patches/SA-16:17/openssl-10.patch.asc Wed May 4 22:52:54 2016 (r48779) @@ -0,0 +1,16 @@ +-----BEGIN PGP SIGNATURE----- + +iQIcBAABCgAGBQJXKjysAAoJEO1n7NZdz2rnmqsP/AhTL40m2kb2Ccu8prEqw2XF +glaizsxpLE5fxARZm4V/MB5s2uQk1OvhN3/im6mzfIZhLwrVnIERtMXG5cZM3fUa +kSguKkP72U2agBivBXLQgsWXWzdzwLk+boS9idUhXj8MU4o9Irrpmm4N31l2K+3A +A853HSIHfOB1R/1U9hKUPTAYnz2SVrqjtcmxAC/0m7//v5mWotR4KE/BL9x8lzUm +ZmdNc/O8HsXkZdIrMt3l4K5va20sFUEFURVhUl2drd4FAv52RK1N36d4uZ09riyU +9/dEJdln4V1HWM48Smy/spqvNBzKUPidJPXw2lfFacKqMAM8h5micvAxfwD50iUy +8noKrZyT9CfeZPGxp9iua5F86Qgco7sRyDL5vgsZQDHLDzQFA4uFgnaW1qDlci+K +qEF5gJtXHw0bezjbiAr0Z/68bcYzcEz5j4/nUmFcd2+ZTzhGY/PKCdHKwoCdvoB9 +J+XLCsvM5TN8+OFFp7Mb42fW5BuaRlOjzk1G6zUPSeHVhI6mPcoyYRXDaBudh3KV +DoX6SUFQaqm12wyheFkj0n1tNUMmBd3L5JKPWRNEMbm3kFXVlwbPq4iqKjsMVryy +wxQsdv30WXUpfwtN0XYfAkAcYh99lZB7873qSGJ+MvFPWLi7M7HhHnP46A27zHF/ +yflt63U9yT6T/apz5LCa +=sQdP +-----END PGP SIGNATURE----- Added: head/share/security/patches/SA-16:17/openssl-9.patch ============================================================================== --- /dev/null 00:00:00 1970 (empty, because file is newly added) +++ head/share/security/patches/SA-16:17/openssl-9.patch Wed May 4 22:52:54 2016 (r48779) @@ -0,0 +1,108 @@ +--- crypto/openssl/crypto/asn1/a_type.c.orig ++++ crypto/openssl/crypto/asn1/a_type.c +@@ -123,9 +123,7 @@ + result = 0; /* They do not have content. */ + break; + case V_ASN1_INTEGER: +- case V_ASN1_NEG_INTEGER: + case V_ASN1_ENUMERATED: +- case V_ASN1_NEG_ENUMERATED: + case V_ASN1_BIT_STRING: + case V_ASN1_OCTET_STRING: + case V_ASN1_SEQUENCE: +--- crypto/openssl/crypto/asn1/tasn_dec.c.orig ++++ crypto/openssl/crypto/asn1/tasn_dec.c +@@ -901,9 +901,7 @@ + break; + + case V_ASN1_INTEGER: +- case V_ASN1_NEG_INTEGER: + case V_ASN1_ENUMERATED: +- case V_ASN1_NEG_ENUMERATED: + tint = (ASN1_INTEGER **)pval; + if (!c2i_ASN1_INTEGER(tint, &cont, len)) + goto err; +--- crypto/openssl/crypto/asn1/tasn_enc.c.orig ++++ crypto/openssl/crypto/asn1/tasn_enc.c +@@ -610,9 +610,7 @@ + break; + + case V_ASN1_INTEGER: +- case V_ASN1_NEG_INTEGER: + case V_ASN1_ENUMERATED: +- case V_ASN1_NEG_ENUMERATED: + /* + * These are all have the same content format as ASN1_INTEGER + */ +--- crypto/openssl/crypto/evp/encode.c.orig ++++ crypto/openssl/crypto/evp/encode.c +@@ -57,6 +57,7 @@ + */ + + #include ++#include + #include "cryptlib.h" + #include + +@@ -134,13 +135,13 @@ + const unsigned char *in, int inl) + { + int i, j; +- unsigned int total = 0; ++ size_t total = 0; + + *outl = 0; + if (inl == 0) + return; + OPENSSL_assert(ctx->length <= (int)sizeof(ctx->enc_data)); +- if ((ctx->num + inl) < ctx->length) { ++ if (ctx->length - ctx->num > inl) { + memcpy(&(ctx->enc_data[ctx->num]), in, inl); + ctx->num += inl; + return; +@@ -157,7 +158,7 @@ + *out = '\0'; + total = j + 1; + } +- while (inl >= ctx->length) { ++ while (inl >= ctx->length && total <= INT_MAX) { + j = EVP_EncodeBlock(out, in, ctx->length); + in += ctx->length; + inl -= ctx->length; +@@ -166,6 +167,11 @@ + *out = '\0'; + total += j + 1; + } ++ if (total > INT_MAX) { ++ /* Too much output data! */ *** DIFF OUTPUT TRUNCATED AT 1000 LINES *** From owner-svn-doc-all@freebsd.org Fri May 6 21:21:37 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id E6FB3B2D952; Fri, 6 May 2016 21:21:37 +0000 (UTC) (envelope-from glebius@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 9F4D41AF8; Fri, 6 May 2016 21:21:37 +0000 (UTC) (envelope-from glebius@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u46LLatb012996; Fri, 6 May 2016 21:21:36 GMT (envelope-from glebius@FreeBSD.org) Received: (from glebius@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u46LLanE012995; Fri, 6 May 2016 21:21:36 GMT (envelope-from glebius@FreeBSD.org) Message-Id: <201605062121.u46LLanE012995@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: glebius set sender to glebius@FreeBSD.org using -f From: Gleb Smirnoff Date: Fri, 6 May 2016 21:21:36 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48780 - head/share/security/patches/SA-16:17 X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 06 May 2016 21:21:38 -0000 Author: glebius (src committer) Date: Fri May 6 21:21:36 2016 New Revision: 48780 URL: https://svnweb.freebsd.org/changeset/doc/48780 Log: Fix bad signature. Reported by: Robert Ames Modified: head/share/security/patches/SA-16:17/openssl-9.patch.asc Modified: head/share/security/patches/SA-16:17/openssl-9.patch.asc ============================================================================== --- head/share/security/patches/SA-16:17/openssl-9.patch.asc Wed May 4 22:52:54 2016 (r48779) +++ head/share/security/patches/SA-16:17/openssl-9.patch.asc Fri May 6 21:21:36 2016 (r48780) @@ -1,16 +1,16 @@ -----BEGIN PGP SIGNATURE----- -iQIcBAABCgAGBQJXKjyhAAoJEO1n7NZdz2rnvqAP/2EwlDKVEvDlKjYf2jd/A9lk -MLM5bSKBkkOagn2k+ENCj6EK7qMutI7h4gYNfFQ4nMCxHoHQfpLFHrS5KkO6RiLb -yhUR3fmgBGXKo25Tij1w1kpGaiVva8DFe6eEVO4p98gYdezS/78XAaOeFHVxsxCt -BKzxDbGcdbJChLevR3gCSYSLCwbNTUqwc6syYV/334cHBwUOT1dzoUnagGML/zsA -TVVwH+tZoK+yEOk7vlvsSV6H20nQz0I3HFXjd27oXfnK98J9AXiYIGeIMnLJ0S3j -RmeXmB1SZcORQ3yK3cE6qQnHBOUy+xVLf1WFuV2oUX8RvSCAzZKopsOi048ZMxdm -S35j0gP/kf18l3ZzjiUGx34vNsAhG21xp3Ks+dz2ly6R15DLan5nLqVqRu3UIaOE -C56u/+zMBnw6T8TkFWmZcEwrXeYOPlZPdljLMX2Fb9RfT9+m+pEQInUYniyUHZ3r -a6prch27nIBGJwVDGzxugsONOOB524lC0NRisE55PfMahnnAUhXd5HznJ+6U5wdS -bI6mLIo7/vGyelVufZjpUdAT5Zq/ERWkfAMXoZz5SDIPDqbZUYMwPv6iD87k/Zze -Xy2aFwGqy4MRXYmsLAQlNfTGiGu78pYumDIH3odYFrmK6eLR1APhtSdxlvrkiN3V -RhJ4kKgn8Cf8I/Tu92Ah -=Lu+P +iQIcBAABCgAGBQJXLQqsAAoJEO1n7NZdz2rnDfAP/1WpsCP9Tx2wCNIDwCtElf4v +Y+RK6/gHYzmFefDnKKZd8RoMAXprPCA00WTP9crB2sgUwpZqItevL1IjsgLVWxN6 +mg5DxEZKcfvAkjCtsrOrrC4GapnxZpqlDlS7dVSesB5zbR6EoVD7qH8K4IJng5sT +r4OVgRGhzMXv/TH6xNbsxqFROYTegXdUM5BuI7CVgRGEqWltufYiTQBfe2deLHKP +sraOr0dnbRoQLJq0ym9ajWLsesYT986RC2eKUiKC8yw/1DYq99C3EVPInqPQEBur +lMriSepuzSjbigMSZffoZ1MXb7FdqA2Njj6tYjrk4w5El3kf+ys/nOLwaH/KE43a +m+Yu6akZt0TXcnI9ZhCN1N5d64xyzXSVIQCM7SzjR9k+dsbQuj4fAdDez1sJRQqD +tLogrHJneevRaSWuKOEwn8clDUKkPSOeSmIVS5l+4Cyya53DudHmsqbq6FqDuGZa +LMKPQ71UkKuIP5n8ge2+XemPM0ZiCcuVsyeHSaHEVvP4lL3EKzZ43yniDyRsLG+Z +rfeEz0C+hn67jXQtFqq+C8RzUgfiuG2ka3QLnWt3xQ5gANuHt0T6whxg1wc9NAXv +vx4l0egjgRGcflcx0yhg4i5HrTeRJg26/eqzGqKwTKZyjRIlmnroZMBMIdanwRWm +wHm4SrSFyr1BnGCqDPEX +=YCAR -----END PGP SIGNATURE----- From owner-svn-doc-all@freebsd.org Fri May 6 21:34:08 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 35CE4B2DE9A; Fri, 6 May 2016 21:34:08 +0000 (UTC) (envelope-from glebius@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id DD66B1660; Fri, 6 May 2016 21:34:07 +0000 (UTC) (envelope-from glebius@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u46LY78q019379; Fri, 6 May 2016 21:34:07 GMT (envelope-from glebius@FreeBSD.org) Received: (from glebius@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u46LY6Va019377; Fri, 6 May 2016 21:34:06 GMT (envelope-from glebius@FreeBSD.org) Message-Id: <201605062134.u46LY6Va019377@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: glebius set sender to glebius@FreeBSD.org using -f From: Gleb Smirnoff Date: Fri, 6 May 2016 21:34:06 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48781 - head/share/security/patches/EN-16:06 X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 06 May 2016 21:34:08 -0000 Author: glebius (src committer) Date: Fri May 6 21:34:06 2016 New Revision: 48781 URL: https://svnweb.freebsd.org/changeset/doc/48781 Log: Commit the EN-16:06 patch. Reported by: Robert Ames Added: head/share/security/patches/EN-16:06/libc.patch (contents, props changed) head/share/security/patches/EN-16:06/libc.patch.asc (contents, props changed) Added: head/share/security/patches/EN-16:06/libc.patch ============================================================================== --- /dev/null 00:00:00 1970 (empty, because file is newly added) +++ head/share/security/patches/EN-16:06/libc.patch Fri May 6 21:34:06 2016 (r48781) @@ -0,0 +1,12 @@ +--- lib/libc/db/hash/hash.c.orig ++++ lib/libc/db/hash/hash.c +@@ -423,7 +423,8 @@ + free(hashp->tmp_buf); + + if (hashp->fp != -1) { +- (void)_fsync(hashp->fp); ++ if (hashp->save_file) ++ (void)_fsync(hashp->fp); + (void)_close(hashp->fp); + } + Added: head/share/security/patches/EN-16:06/libc.patch.asc ============================================================================== --- /dev/null 00:00:00 1970 (empty, because file is newly added) +++ head/share/security/patches/EN-16:06/libc.patch.asc Fri May 6 21:34:06 2016 (r48781) @@ -0,0 +1,16 @@ +-----BEGIN PGP SIGNATURE----- + +iQIcBAABCgAGBQJXLQ1aAAoJEO1n7NZdz2rnlOgP/it7gvb4cscRo92YXCNZTrOg +EOSKZD/b7/VKIE17bGIvtJvCjPNCgIbtgPrA49slNDtVEZMICO/JtaXgWQLhnv2h +06y1bwo89kCi0Hgmw7f7fIGiXxLe2AYWw/Rxgtnr4vO3zaOYqAu6qYB/1uvnZurw +JLgLOfIOpU+jsEEmf2xgeIHMjwP0D9jzECaugg8ZKMhEy2W9sq9GxGvja9OgHjFh +RjVfThxRLSVrS+SeAsCAAycGuEMDFSwW8BPWwvSV7hYvCENsscLqPsRCsg42L33O +ipy+PWqq0gQcqIcTXqFHtTiQPecQk8W/9v5s7b+cFg/kfMUqpQUZzoO0c6PL2K8f +33V/3UeWBo9rCtlLEMKXANdTBBW6jXawlSX2W6sYCnb8NR58mn9FjPqgvr2yc7HM +UTXpI51xdHCY06Q7CkkxvR/w7J5sqKx0hUuCz1HPyrO3ijYEKSrK+ql7b0nspDPK +4nZvdEcWuxtDWd6Zy6oMBhcGm8IpLnP1Uh5ZTWQrxDCFB1lX4JaivnXKjynOnL7m +05cqFHaEX7xTSUb0LQAl+Iuh9tVu5hdcfNB2bx8CvBgpo4t4lu9cdGFAPBX6puz7 +/gvv2i2N3WMXpwXcQcfDlwxAEBhGJWK+YIPC5DdNo8JydTgX2sFcinM6FBthGnj5 +D4ivgU9I4Pzrf2vpeimx +=9pfm +-----END PGP SIGNATURE----- From owner-svn-doc-all@freebsd.org Sat May 7 11:10:15 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id E6A99B2F5C9; Sat, 7 May 2016 11:10:15 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id B2D1A127D; Sat, 7 May 2016 11:10:15 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u47BAEE2069671; Sat, 7 May 2016 11:10:14 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u47BAE1b069670; Sat, 7 May 2016 11:10:14 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201605071110.u47BAE1b069670@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Sat, 7 May 2016 11:10:14 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48782 - head/de_DE.ISO8859-1/books/handbook/disks X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 07 May 2016 11:10:16 -0000 Author: bhd Date: Sat May 7 11:10:14 2016 New Revision: 48782 URL: https://svnweb.freebsd.org/changeset/doc/48782 Log: Update to r44686: Editorial review of gbde section. Reviewed by: bcr Differential Revision: https://reviews.freebsd.org/D6256 Modified: head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Fri May 6 21:34:06 2016 (r48781) +++ head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Sat May 7 11:10:14 2016 (r48782) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/disks/chapter.xml,v 1.187 2012/04/26 19:32:48 bcr Exp $ - basiert auf: r44648 + basiert auf: r44686 --> Speichermedien @@ -877,8 +877,8 @@ scsibus1: Es gibt einige Optionen, um die Beschr�nkungen dieses Standards zu �berwinden. Die unter &unix; Systemen �blichen Rock-Ridge-Erweiterungen werden durch - aktiviert und aktiviert die von Microsoft - Systemen benutzten Joliet-Erweiterungen. + aktiviert und aktiviert die von + µsoft; Systemen benutzten Joliet-Erweiterungen. F�r CDs, die nur auf &os;-Systemen verwendet werden sollen, kann genutzt werden, um alle @@ -2610,17 +2610,31 @@ Quotas for user test: sch�tzen, die �ber erhebliche Mittel verf�gen. Dieser Schutz ist unabh�ngig von der Art und Weise, durch die ein Angreifer Zugang zu einer Festplatte oder zu einem - Rechner erlangt hat. Im Gegensatz zu schwerf�lligen - Systemen, die einzelne Dateien verschl�sseln, - verschl�sseln gbde und - geli transparent ganze Dateisysteme. Auf der - Festplatte werden dabei keine Daten im Klartext gespeichert. + Rechner erlangt hat. Im Gegensatz zu anderen + Verschl�sselungsmethoden, bei denen einzelne Dateien + verschl�sselt werden, verschl�sseln + gbde und geli + transparent ganze Dateisysteme. Auf der Festplatte werden dabei + keine Daten im Klartext gespeichert. Plattenverschl�sselung mit <application>gbde</application> - &man.gbde.8; benutzt 128-Bit AES im + Das Ziel von &man.gbde.4; ist es, einen Angreifer vor eine + gro�e Herausforderung zu stellen, um an die Daten einer + Festplatte zu gelangen. Falls jedoch der Rechner + kompromittiert wurde, w�hrend er im Betrieb war und das + Speicherger�t aktiv verbunden war, oder wenn der Angreifer + eine g�ltige Passphrase kennt, bietet dieses System keinen + Schutz f�r die Daten der Festplatte. Daher ist es wichtig, + f�r die physische Sicherheit zu sorgen, w�hrend das System im + Betrieb ist. Au�erdem muss die Passphrase f�r den + Verschl�sselungsmechanismus gesch�tzt werden. + + &man.gbde.4; besitzt einige Funktionen um die Daten, + die in einem Sektor gespeichert sind, zu sch�tzen. Es benutzt + 128-Bit AES im CBC-Modus, um die Daten eines Sektors zu verschl�sseln. Jeder Sektor einer Festplatte wird mit einem anderen AES-Schl�ssel verschl�sselt. @@ -2628,18 +2642,6 @@ Quotas for user test: Schl�ssel f�r einen Sektor aus der gegebenen Passphrase ermittelt werden, finden Sie in &man.gbde.4;. - - &man.sysinstall.8; kann nicht mit verschl�sselten - gbde-Ger�ten umgehen. Vor - dem Start von &man.sysinstall.8; m�ssen alle - *.bde-Ger�te deaktiviert werden, da - &man.sysinstall.8; sonst bei der Suche nach abst�rzt. Das - im Beispiel verwendete Ger�t wird mit dem folgenden Befehl - deaktiviert: - - &prompt.root; gbde detach /dev/ad4s1c - - &os; enth�lt ein Kernelmodul f�r gbde, das wie folgt geladen werden kann: @@ -2654,14 +2656,13 @@ Quotas for user test: Das folgende Beispiel beschreibt, wie eine Partition auf einer neuen Festplatte verschl�sselt wird. Die - Partition wird in /private eingehangen. - Mit gbde k�nnten auch - /home und /var/mail - verschl�sselt werden. Die dazu n�tigen Schritte - k�nnen allerdings in dieser Einf�hrung - nicht behandelt werden. + Partition wird in /private + eingehangen. + Eine Partition mit <application>gbde</application> + verschl�sseln + Installieren der Festplatte @@ -2696,17 +2697,14 @@ Quotas for user test: Vorbereiten der gbde-Partition Eine von gbde benutzte - Partition muss einmalig vorbereitet werden: + Partition muss einmalig initialisiert werden, bevor + sie benutzt werden kann. Das Programm �ffnet eine Vorlage + im Standard-Editor, um verschiedene Optionen zu + konfigurieren. Setzen Sie sector_size + auf 2048, wenn Sie + UFS benutzen: - &prompt.root; gbde init /dev/ad4s1c -i -L /etc/gbde/ad4s1c.lock - - &man.gbde.8; �ffnet eine Vorlage im Standard-Editor, - um verschiedene Optionen einstellen zu k�nnen. - Setzen Sie sector_size auf - 2048, wenn Sie - UFS1 oder UFS2 benutzen. - - # $FreeBSD: src/sbin/gbde/template.txt,v 1.1.36.1 2009/08/03 08:13:06 kensmith Exp $ + &prompt.root; gbde init /dev/ad4s1c -i -L /etc/gbde/ad4s1c.lock# $FreeBSD: src/sbin/gbde/template.txt,v 1.1.36.1 2009/08/03 08:13:06 kensmith Exp $ # # Sector size is the smallest unit of data which can be read or written. # Making it too small decreases performance and decreases available space. @@ -2714,34 +2712,33 @@ Quotas for user test: # minimum and always safe. For UFS, use the fragment size # sector_size = 2048 -[...] +[...] - &man.gbde.8; fragt zweimal die Passphrase zum Schutz - der Daten ab. Die Passphrase muss beide Mal gleich + Sobald die �nderungen gespeichert werden, wird der + Benutzer zweimal aufgefordert, die zum Schutz der Daten + verwendete Passphrase einzugeben. Die Passphrase muss beide Mal gleich eingegeben werden. Die Sicherheit der Daten h�ngt allein von der Qualit�t der gew�hlten Passphrase ab. Die Auswahl einer sicheren und leicht zu merkenden Passphrase wird auf - der Webseite Diceware - Passphrase beschrieben. - - Mit gbde init wurde im Beispiel - auch die Lock-Datei /etc/gbde/ad4s1c.lock - angelegt. gbde-Lockdateien + der Webseite + http://world.std.com/~reinhold/diceware.html + beschrieben. + + Bei der Initialisierung wird eine Lock-Datei f�r die + gbde-Partition erstellt. In + diesem Beispiel + /etc/gbde/ad4s1c.lock. Lock-Dateien m�ssen die Dateiendung .lock aufweisen, damit sie von /etc/rc.d/gbde, dem Startskript von gbde, erkannt werden. - Sichern Sie die Lock-Dateien von - gbde immer zusammen mit den - verschl�sselten Dateisystemen. Ein entschlossener - Angreifer kann die Daten vielleicht auch ohne die - Lock-Datei entschl�sseln. Ohne die Lock-Datei - k�nnen Sie allerdings nicht auf die - verschl�sselten Daten zugreifen. Dies ist nur noch - mit erheblichem manuellen Aufwand m�glich, der nicht - &man.gbde.8; wird. + Lock-Dateien m�ssen immer zusammen mit den + verschl�sselten Dateisystemen gesichert werden. Ohne + die Lock-Datei k�nnen Sie allerdings nicht auf die + verschl�sselten Daten zugreifen. @@ -2768,42 +2765,34 @@ sector_size = 2048 anlegen Nachdem die verschl�sselte Partition im Kernel - eingebunden ist, kann mit &man.newfs.8; ein Dateisystem - erstellt werden. Dieses Beispiel erstellt ein - UFS2-Dateisystem mit aktivierten Soft Updates. + eingebunden ist, kann ein Dateisystem erstellt werden. + Dieses Beispiel erstellt ein + UFS-Dateisystem mit aktivierten Soft + Updates. Achten Sie darauf, die Partition mit der + Erweiterung + *.bde + zu benutzen: &prompt.root; newfs -U -O2 /dev/ad4s1c.bde - - - &man.newfs.8; muss auf einer eingebundenen - gbde-Partition ausgef�hrt - werden, welche durch das Suffix - *.bde - identifiziert wird. - Einh�ngen der verschl�sselten Partition Legen Sie einen Mountpunkt f�r das - verschl�sselte Dateisystem an: - - &prompt.root; mkdir /private + verschl�sselte Dateisystem an. H�ngen Sie anschlie�end + das Dateisystem ein: - H�ngen Sie das verschl�sselte Dateisystem - ein: - - &prompt.root; mount /dev/ad4s1c.bde /private + &prompt.root; mkdir /private +&prompt.root; mount /dev/ad4s1c.bde /private �berpr�fen des verschl�sselten Dateisystems - Das verschl�sselte Dateisystem sollte jetzt - von &man.df.1; erkannt werden und benutzt werden - k�nnen. + Das verschl�sselte Dateisystem sollte jetzt erkannt + und benutzt werden k�nnen: &prompt.user; df -H Filesystem Size Used Avail Capacity Mounted on @@ -2816,75 +2805,40 @@ Filesystem Size Used Avail Cap - - Einh�ngen eines existierenden verschl�sselten - Dateisystems - Nach jedem Neustart m�ssen verschl�sselte Dateisysteme dem Kernel wieder bekannt gemacht werden, auf Fehler �berpr�ft werden und eingehangen - werden. Die dazu n�tigen Befehle m�ssen als - root durchgef�hrt werden. - - - - gbde-Partition im Kernel bekannt geben - - &prompt.root; gbde attach /dev/ad4s1c -l /etc/gbde/ad4s1c.lock - - Dieses Kommando fragt nach der Passphrase, die - w�hrend der Initialisierung der verschl�sselten - gbde-Partition festgelegt - wurde. - + werden. F�r die dazu n�tigen Schritte f�gen Sie folgende + Zeilen in /etc/rc.conf hinzu: - - Pr�fen des Dateisystems - - Das verschl�sselte Dateisystem kann noch nicht - automatisch �ber /etc/fstab - eingehangen werden. Daher muss es vor dem Einh�ngen - mit &man.fsck.8; gepr�ft werden: - - &prompt.root; fsck -p -t ffs /dev/ad4s1c.bde - - - - Einh�ngen des verschl�sselten - Dateisystems + gbde_autoattach_all="YES" +gbde_devices="ad4s1c" +gbde_lockdir="/etc/gbde" - &prompt.root; mount /dev/ad4s1c.bde /private + Durch diese Argumente muss beim Systemstart auf der + Konsole die Passphrase eingegeben werden. Erst nach Eingabe + der korrekten Passphrase wird die verschl�sselte Partition + automatisch in den Verzeichnisbaum eingeh�ngt. Weitere + Bootoptionen von gbde finden Sie + in &man.rc.conf.5;. - Das verschl�sselte Dateisystem steht danach - zur Verf�gung. - - - - Mit einem Skript k�nnen verschl�sselte - Dateisysteme automatisch bekannt gegeben, gepr�ft - und eingehangen werden. Wir raten Ihnen allerdings - aus Sicherheitsgr�nden davon ab. Starten Sie das - Skript manuell an der Konsole oder in einer - &man.ssh.1;-Sitzung. - - Alternativ existiert ein - rc.d-Skript, an das �ber - Eintr�ge in &man.rc.conf.5; Argumente �bergeben werden - k�nnen: + - gbde_autoattach_all="YES" -gbde_devices="ad4s1c" -gbde_lockdir="/etc/gbde" + + sysinstall ist nicht + kompatibel mit + gbde-verschl�sselten Ger�ten. + Bevor sysinstall gestartet + wird, m�ssen alle *.bde Ger�te vom + Kernel getrennt werden, da sonst der Kernel bei der + ersten Suche nach Ger�ten abst�rzt. Um das verschl�sselte + Ger�t aus dem Beispiel zu trennen, benutzen Sie das + folgende Kommando: - Durch diese Argumente muss beim Systemstart die - gbde-Passphrase eingegeben werden. - Erst nach Eingabe der korrekten Passphrase wird die - gbde-verschl�sselte - Partition automatisch in den Verzeichnisbaum - eingeh�ngt. Dieses Vorgehen ist - n�tzlich, wenn gbde auf - einem Laptop eingesetzt wird. - + &prompt.root; gbde detach /dev/ad4s1c + From owner-svn-doc-all@freebsd.org Sat May 7 12:15:14 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 7BCCCB2B092; Sat, 7 May 2016 12:15:14 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 457D116A5; Sat, 7 May 2016 12:15:14 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u47CFDmE090805; Sat, 7 May 2016 12:15:13 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u47CFDuL090804; Sat, 7 May 2016 12:15:13 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201605071215.u47CFDuL090804@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Sat, 7 May 2016 12:15:13 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48783 - head/de_DE.ISO8859-1/books/handbook/security X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 07 May 2016 12:15:14 -0000 Author: bhd Date: Sat May 7 12:15:13 2016 New Revision: 48783 URL: https://svnweb.freebsd.org/changeset/doc/48783 Log: Update to r44311: Update example Security Advisory and its descriptions. Reviewed by: bcr Differential Revision: https://reviews.freebsd.org/D6258 Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Sat May 7 11:10:14 2016 (r48782) +++ head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Sat May 7 12:15:13 2016 (r48783) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $ - basiert auf: r44302 + basiert auf: r44311 --> Sicherheit @@ -3402,177 +3402,280 @@ You are advised to update or deinstall t Wie sieht ein Sicherheitshinweis aus? - &os; Sicherheitshinweise haben das folgende Format: + Hier ist ein Beispiel f�r einen &os; + Sicherheitshinweis: ============================================================================= -FreeBSD-SA-XX:XX.UTIL Security Advisory +-----BEGIN PGP SIGNED MESSAGE----- +Hash: SHA512 + +============================================================================= +FreeBSD-SA-14:04.bind Security Advisory The FreeBSD Project -Topic: denial of service due to some problem +Topic: BIND remote denial of service vulnerability -Category: core -Module: sys -Announced: 2003-09-23 -Credits: Person -Affects: All releases of &os; - &os; 4-STABLE prior to the correction date -Corrected: 2003-09-23 16:42:59 UTC (RELENG_4, 4.9-PRERELEASE) - 2003-09-23 20:08:42 UTC (RELENG_5_1, 5.1-RELEASE-p6) - 2003-09-23 20:07:06 UTC (RELENG_5_0, 5.0-RELEASE-p15) - 2003-09-23 16:44:58 UTC (RELENG_4_8, 4.8-RELEASE-p8) - 2003-09-23 16:47:34 UTC (RELENG_4_7, 4.7-RELEASE-p18) - 2003-09-23 16:49:46 UTC (RELENG_4_6, 4.6-RELEASE-p21) - 2003-09-23 16:51:24 UTC (RELENG_4_5, 4.5-RELEASE-p33) - 2003-09-23 16:52:45 UTC (RELENG_4_4, 4.4-RELEASE-p43) - 2003-09-23 16:54:39 UTC (RELENG_4_3, 4.3-RELEASE-p39) -CVE Name: CVE-XXXX-XXXX +Category: contrib +Module: bind +Announced: 2014-01-14 +Credits: ISC +Affects: FreeBSD 8.x and FreeBSD 9.x +Corrected: 2014-01-14 19:38:37 UTC (stable/9, 9.2-STABLE) + 2014-01-14 19:42:28 UTC (releng/9.2, 9.2-RELEASE-p3) + 2014-01-14 19:42:28 UTC (releng/9.1, 9.1-RELEASE-p10) + 2014-01-14 19:38:37 UTC (stable/8, 8.4-STABLE) + 2014-01-14 19:42:28 UTC (releng/8.4, 8.4-RELEASE-p7) + 2014-01-14 19:42:28 UTC (releng/8.3, 8.3-RELEASE-p14) +CVE Name: CVE-2014-0591 For general information regarding FreeBSD Security Advisories, including descriptions of the fields above, security branches, and the -following sections, please visit -http://www.FreeBSD.org/security/. +following sections, please visit <URL:http://security.FreeBSD.org/>. + +I. Background + +BIND 9 is an implementation of the Domain Name System (DNS) protocols. +The named(8) daemon is an Internet Domain Name Server. + +II. Problem Description + +Because of a defect in handling queries for NSEC3-signed zones, BIND can +crash with an "INSIST" failure in name.c when processing queries possessing +certain properties. This issue only affects authoritative nameservers with +at least one NSEC3-signed zone. Recursive-only servers are not at risk. + +III. Impact + +An attacker who can send a specially crafted query could cause named(8) +to crash, resulting in a denial of service. + +IV. Workaround + +No workaround is available, but systems not running authoritative DNS service +with at least one NSEC3-signed zone using named(8) are not vulnerable. + +V. Solution + +Perform one of the following: + +1) Upgrade your vulnerable system to a supported FreeBSD stable or +release / security branch (releng) dated after the correction date. + +2) To update your vulnerable system via a source code patch: + +The following patches have been verified to apply to the applicable +FreeBSD release branches. + +a) Download the relevant patch from the location below, and verify the +detached PGP signature using your PGP utility. + +[FreeBSD 8.3, 8.4, 9.1, 9.2-RELEASE and 8.4-STABLE] +# fetch http://security.FreeBSD.org/patches/SA-14:04/bind-release.patch +# fetch http://security.FreeBSD.org/patches/SA-14:04/bind-release.patch.asc +# gpg --verify bind-release.patch.asc -I. Background +[FreeBSD 9.2-STABLE] +# fetch http://security.FreeBSD.org/patches/SA-14:04/bind-stable-9.patch +# fetch http://security.FreeBSD.org/patches/SA-14:04/bind-stable-9.patch.asc +# gpg --verify bind-stable-9.patch.asc +b) Execute the following commands as root: -II. Problem Description +# cd /usr/src +# patch < /path/to/patch +Recompile the operating system using buildworld and installworld as +described in <URL:http://www.FreeBSD.org/handbook/makeworld.html>. -III. Impact +Restart the applicable daemons, or reboot the system. +3) To update your vulnerable system via a binary patch: -IV. Workaround +Systems running a RELEASE version of FreeBSD on the i386 or amd64 +platforms can be updated via the freebsd-update(8) utility: +# freebsd-update fetch +# freebsd-update install -V. Solution +VI. Correction details +The following list contains the correction revision numbers for each +affected branch. -VI. Correction details +Branch/path Revision +- ------------------------------------------------------------------------- +stable/8/ r260646 +releng/8.3/ r260647 +releng/8.4/ r260647 +stable/9/ r260646 +releng/9.1/ r260647 +releng/9.2/ r260647 +- ------------------------------------------------------------------------- +To see which files were modified by a particular revision, run the +following command, replacing NNNNNN with the revision number, on a +machine with Subversion installed: -VII. References +# svn diff -cNNNNNN --summarize svn://svn.freebsd.org/base +Or visit the following URL, replacing NNNNNN with the revision number: - - +<URL:http://svnweb.freebsd.org/base?view=revision&revision=NNNNNN> + +VII. References + +<URL:https://kb.isc.org/article/AA-01078> + +<URL:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0591> + +The latest revision of this advisory is available at +<URL:http://security.FreeBSD.org/advisories/FreeBSD-SA-14:04.bind.asc> +-----BEGIN PGP SIGNATURE----- + +iQIcBAEBCgAGBQJS1ZTYAAoJEO1n7NZdz2rnOvQP/2/68/s9Cu35PmqNtSZVVxVG +ZSQP5EGWx/lramNf9566iKxOrLRMq/h3XWcC4goVd+gZFrvITJSVOWSa7ntDQ7TO +XcinfRZ/iyiJbs/Rg2wLHc/t5oVSyeouyccqODYFbOwOlk35JjOTMUG1YcX+Zasg +ax8RV+7Zt1QSBkMlOz/myBLXUjlTZ3Xg2FXVsfFQW5/g2CjuHpRSFx1bVNX6ysoG +9DT58EQcYxIS8WfkHRbbXKh9I1nSfZ7/Hky/kTafRdRMrjAgbqFgHkYTYsBZeav5 +fYWKGQRJulYfeZQ90yMTvlpF42DjCC3uJYamJnwDIu8OhS1WRBI8fQfr9DRzmRua +OK3BK9hUiScDZOJB6OqeVzUTfe7MAA4/UwrDtTYQ+PqAenv1PK8DZqwXyxA9ThHb +zKO3OwuKOVHJnKvpOcr+eNwo7jbnHlis0oBksj/mrq2P9m2ueF9gzCiq5Ri5Syag +Wssb1HUoMGwqU0roS8+pRpNC8YgsWpsttvUWSZ8u6Vj/FLeHpiV3mYXPVMaKRhVm +067BA2uj4Th1JKtGleox+Em0R7OFbCc/9aWC67wiqI6KRyit9pYiF3npph+7D5Eq +7zPsUdDd+qc+UTiLp3liCRp5w6484wWdhZO6wRtmUgxGjNkxFoNnX8CitzF8AaqO +UWWemqWuz3lAZuORQ9KX +=OQzQ +-----END PGP SIGNATURE----- + + Jeder Sicherheitshinweis verwendet das folgende + Format: + + + + Jeder Sicherheitshinweis wird mit dem + PGP-Schl�ssel des + Sicherheitsbeauftragten unterzeichnet. Der �ffentliche + Schl�ssel des Sicherheitsbeauftragten kann in �berpr�ft werden. + + + + Der Name des Sicherheitshinweises beginnt immer mit + FreeBSD-SA- (f�r FreeBSD Security + Advisory), gefolgt vom Jahr im zweistelligen Format + (14:), gefolgt von der Anzahl von + Sicherheitshinweisen f�r dieses Jahr + (04.), gefolgt vom Namen der Anwendung + oder des betroffenen Subsystems (bind). + Der hier gezeigte Sicherheitshinweis ist der vierte + Hinweis f�r das Jahr 2014 und betrifft die Anwendung + BIND. + + + Das Feld Topic enth�lt eine - Beschreibung des Sicherheitsproblems und benennt das - betroffene Programm. - + Beschreibung der Schwachstelle. + - + Das Feld Category beschreibt den - betroffenen Systemteil. M�gliche Werte f�r dieses - Feld sind core, contrib + betroffenen Systemteil. M�gliche Werte f�r dieses Feld + sind core, contrib oder ports. Die Kategorie - core gilt f�r Kernkomponenten - des &os;-Betriebssystems, die Kategorie + core gilt f�r Komponenten des + &os;-Betriebssystems, die Kategorie contrib beschreibt zum Basissystem - geh�rende Software Dritter beispielsweise - Sendmail. Die Kategorie - ports beschreibt Software, die - Teil der Ports-Sammlung ist. - + geh�rende Software Dritter, beispielsweise + BIND. Die Kategorie + ports beschreibt Software, die Teil + der Ports-Sammlung ist. + - + Das Feld Module beschreibt die - betroffene Komponente. Im Beispiel ist - sys angegeben, das hei�t - dieses Problem betrifft eine Komponente, die vom - Kernel benutzt wird. - + betroffene Komponente. Im diesem Beispiel ist das + bind-Modul betroffen, dass hei�t + dieses Problem betrifft eine Anwendung aus dem + Betriebssystem. + - + Das Feld Announced gibt den Zeitpunkt der Bekanntgabe des Sicherheitshinweises - an. Damit existiert das Sicherheitsproblem, - ist vom Sicherheits-Team best�tigt worden - und eine entsprechende Korrektur wurde in das - Quellcode-Repository von &os; gestellt. - + an. Das bedeutet, dass das Sicherheitsteam das Problem + best�tigt hat und das eine entsprechende Korrektur bereits + im &os; Quellcode-Repository zur Verf�gung steht . + - + Das Feld Credits gibt die Person oder Organisation an, die das Sicherheitsproblem - bemerkte und gemeldet hat. - + bemerkt und gemeldet hat. + - - Welche &os;-Releases betroffen sind, ist im Feld - Affects angegeben. Die Version einer - Datei, die zum Kernel geh�rt, k�nnen Sie - schnell mit &man.ident.1; ermitteln. Bei Ports - ist die Versionsnummer angegeben, die Sie im Verzeichnis - /var/db/pkg finden. - Wenn Sie Ihr System nicht t�glich aktualisieren, - ist Ihr System wahrscheinlich betroffen. - - - - Wann das Problem in welchem Release behoben wurde, - steht im Feld Corrected. - + + Das Feld Affects listet die + &os;-Releases auf, die von dem Problem betroffen + sind. + + + + Das Feld Corrected zeigt an, + wann das Problem in welchem Release behoben wurde. + - + Reserviert f�r Informationen, �ber die - in der Common - Vulnerabilities Database nach Sicherheitsl�cken + auf + cve.mitre.org nach Sicherheitsl�cken gesucht werden kann. - + - + Im Feld Background wird - das betroffene Werkzeug beschrieben. Meist finden Sie - hier warum das Werkzeug Bestandteil von &os; ist, - wof�r es benutzt wird und eine kurze - Darstellung der Herkunft des Werkzeugs. - - - - Im Feld Problem Description befindet - sich eine genaue Darstellung des Sicherheitsproblems. - Hier wird fehlerhafter Code beschrieben oder geschildert, - wie ein Werkzeug ausgenutzt wird. - + das betroffene Modul beschrieben. + + + + Im Feld Problem Description wird + das Sicherheitsproblem beschrieben. Hier wird + fehlerhafter Code beschrieben oder geschildert, + wie ein Werkzeug ausgenutzt werden k�nnte. + - + Das Feld Impact beschreibt die - Auswirkungen des Sicherheitsproblems auf ein System, - beispielsweise erweiterte Rechte oder gar - Superuser-Rechte f�r normale Benutzer. - + Auswirkungen des Sicherheitsproblems auf ein + System. + - + Im Feld Workaround wird eine Umgehung des Sicherheitsproblems beschrieben. Die Umgehung ist f�r Administratoren gedacht, - die ihr System aus Zeitnot, Netzwerk-technischen oder - anderen Gr�nden nicht aktualisieren k�nnen. - Nehmen Sie Sicherheitsprobleme ernst: Auf einem - betroffenen System sollte das Problem entweder behoben - oder, wie hier beschrieben, umgangen werden. - + die das System aus Zeitnot, Netzwerk-technischen oder + anderen Gr�nden nicht aktualisieren k�nnen. + - - Im Feld Solution enth�lt eine + + Das Feld Solution enth�lt eine getestete Schritt-f�r-Schritt Anleitung, die das Sicherheitsproblem behebt. - + - + Das Feld Correction Details enth�lt die Subversion-Tags der betroffenen Dateien zusammen mit zugeh�rigen - Revisionsnummern. - + Revisionsnummern, in denen das Problem behoben + wurde. + - + Im Feld References finden sich - Verweise auf weitere Informationsquellen. Dies k�nnen - URLs zu Webseiten, B�cher, Mailinglisten und Newsgroups - sein. - - + Verweise auf weitere Informationsquellen. + + From owner-svn-doc-all@freebsd.org Sat May 7 16:50:40 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 795ADB31B49; Sat, 7 May 2016 16:50:40 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 50E471CC8; Sat, 7 May 2016 16:50:40 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u47GodvQ072992; Sat, 7 May 2016 16:50:39 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u47God7N072991; Sat, 7 May 2016 16:50:39 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201605071650.u47God7N072991@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Sat, 7 May 2016 16:50:39 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48784 - head/de_DE.ISO8859-1/books/handbook/disks X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 07 May 2016 16:50:40 -0000 Author: bhd Date: Sat May 7 16:50:39 2016 New Revision: 48784 URL: https://svnweb.freebsd.org/changeset/doc/48784 Log: Update to r44694: Editorial review of geli section. Reviewed by: bcr Differential Revision: https://reviews.freebsd.org/D6259 Modified: head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Sat May 7 12:15:13 2016 (r48783) +++ head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Sat May 7 16:50:39 2016 (r48784) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/disks/chapter.xml,v 1.187 2012/04/26 19:32:48 bcr Exp $ - basiert auf: r44686 + basiert auf: r44694 --> Speichermedien @@ -2604,7 +2604,7 @@ Quotas for user test: und dort die Daten analysieren. Die f�r &os; verf�gbaren kryptografischen Subsysteme, - GEOM Based Disk Encryption (gbde) + GEOM Based Disk Encryption (gbde) und geli sind in der Lage, Daten auf Dateisystemen auch vor hoch motivierten Angreifern zu sch�tzen, die �ber erhebliche Mittel verf�gen. @@ -2617,6 +2617,11 @@ Quotas for user test: transparent ganze Dateisysteme. Auf der Festplatte werden dabei keine Daten im Klartext gespeichert. + Dieses Kapitel zeigt, wie ein verschl�sseltes Dateisystem + unter &os; erstellt wird. Zun�chst wird der Ablauf f�r + gbde beschrieben und anschlie�end + das gleiche Beispiel f�r geli. + Plattenverschl�sselung mit <application>gbde</application> @@ -2848,15 +2853,12 @@ What about bsdinstall? - - - Mit geli ist eine alternative - kryptografische GEOM-Klasse verf�gbar. - geli unterscheidet sich von - gbde durch unterschiedliche F�higkeiten und - einen unterschiedlichen Ansatz f�r die Verschl�sselung. - - Die wichtigsten Merkmale von &man.geli.8; sind: + Mit geli steht eine alternative + kryptografische GEOM-Klasse zur Verf�gung. + Dieses Werkzeug unterst�tzt unterschiedliche F�higkeiten und + verfolgt einen anderen Ansatz f�r die Verschl�sselung. + geli bietet die folgenden + Funktionen: @@ -2867,8 +2869,8 @@ What about bsdinstall? Die Unterst�tzung verschiedener kryptografischer - Algorithmen, wie beispielsweise AES, Blowfish, und - 3DES. + Algorithmen, wie AES, Blowfish, und + 3DES. @@ -2879,15 +2881,13 @@ What about bsdinstall? - geli erlaubt den Einsatz von zwei - voneinander unabh�ngigen Schl�sseln, etwa einem - privaten Schl�ssel und einem - Unternehmens-Schl�ssel. + Erlaubt den Einsatz von zwei voneinander unabh�ngigen + Schl�sseln. - geli ist durch einfache - Sektor-zu-Sektor-Verschl�sselung sehr schnell. + Es ist durch einfache Sektor-zu-Sektor-Verschl�sselung + sehr schnell. @@ -2905,70 +2905,61 @@ What about bsdinstall? - Weitere Merkmale von - geli finden Sie in &man.geli.8;. + Weitere Funktionen und Anwendungsbeispiele finden Sie in + &man.geli.8;. - Dieser Abschnitt beschreibt, wie geli - im &os;-Kernel aktiviert wird und wie ein - geli-Verschl�sselungs-Provider - angelegt wird. - - Da der Kernel angepasst werden muss, werden - root-Privilegien - ben�tigt. + Das folgende Beispiel beschreibt, wie eine + Schl�sseldatei erzeugt wird, die als Teil des Master-Keys f�r + den Verschl�sselungs-Provider verwendet wird, der unter + /private in den Verzeichnisbaum + eingeh�ngt wird. Die Schl�sseldatei liefert zuf�llige Daten, + die f�r die Verschl�sselung des Master-Keys benutzt werden. + Zus�tzlich wird der Master-Key durch eine Passphrase + gesch�tzt. Die Sektorgr��e des Providers betr�gt 4 KB. + Das Beispiel beschreibt, wie Sie einen + geli-Provider aktivieren, ein vom ihm + verwaltetes Dateisystem erzeugen, es mounten, mit ihm arbeiten + und wie Sie es schlie�lich wieder unmounten und den Provider + deaktivieren. + Eine Partition mit <command>geli</command> + verschl�sseln + - Aufnahme der <command>geli</command>-Unterst�tzung - in Ihre Kernelkonfigurationsdatei + Laden der + <command>geli</command>-Unterst�tzung - Stellen Sie bei einer angepassten - Kernelkonfigurationsdatei sicher, dass diese Zeile - enthalten ist: + Die Unterst�tzung f�r geli ist + bereits im GENERIC enthalten. Damit + das Modul automatisch beim Booten geladen wird, f�gen Sie + folgende Zeile in /boot/loader.conf + ein: - options GEOM_ELI -device crypto + geom_eli_load="YES" - Alternativ kann auch das - geli-Kernelmodul beim Systemstart - geladen werden, indem folgende Zeile in - /boot/loader.conf eingef�gt - wird: + Um das Modul direkt zu laden: - geom_eli_load="YES" + &prompt.root; kldload geom_eli + + Stellen Sie bei einer angepassten + Kernelkonfigurationsdatei sicher, dass diese Zeilen + enthalten sind: - Ab sofort wird &man.geli.8; vom Kernel - unterst�tzt. + options GEOM_ELI +device crypto Erzeugen des Master-Keys - Das folgende Beispiel beschreibt, wie eine - Schl�sseldatei erzeugt wird, die als Teil des - Master-Keys f�r den Verschl�sselungs-Provider - verwendet wird, der unter /private - in den Verzeichnisbaum eingeh�ngt wird. Die - Schl�sseldatei liefert zuf�llige Daten, die f�r die - Verschl�sselung des Master-Keys benutzt werden. - Zus�tzlich wird der Master-Key durch eine Passphrase - gesch�tzt. Die Sektorgr��e des Providers betr�gt - 4 KB. Das Beispiel beschreibt, wie Sie einen - geli-Provider aktivieren, ein vom ihm - verwaltetes Dateisystem erzeugen, es mounten, mit ihm - arbeiten und wie Sie es schlie�lich wieder unmounten - und den Provider deaktivieren. - - Um eine bessere Leistung zu erzielen, wird eine - gr��ere Sektorgr��e, beispielsweise 4 KB, - empfohlen. - - Der Master-Key wird durch eine Passphrase sowie, den - Daten der Schl�sseldatei aus - /dev/random gesch�tzt. - Die Sektorgr��e des Providers - /dev/da2.eli - betr�gt 4 KB. + Die folgenden Befehle erzeugen einen Master-Key + (/root/da2.key), der durch eine + Passphrase gesch�tzt ist. Die Datenquelle f�r die + Schl�sseldatei ist /dev/random. Um + eine bessere Leistung zu erzielen betr�gt die Sektorgr��e + des Providers (/dev/da2.eli) + 4 KB: &prompt.root; dd if=/dev/random of=/root/da2.key bs=64 count=1 &prompt.root; geli init -s 4096 -K /root/da2.key /dev/da2 @@ -2982,9 +2973,8 @@ Reenter new passphrase: Wird f�r die Schl�sseldatei - angegeben, wird daf�r die - Standardeingabe verwendet. Das folgende Beispiel zeigt, - dass auch mehr als eine Schl�sseldatei verwendet werden - kann: + Standardeingabe verwendet. Das folgende Kommando erzeugt + beispielsweise drei Schl�sseldateien: &prompt.root; cat keyfile1 keyfile2 keyfile3 | geli init -K - /dev/da2 @@ -2993,12 +2983,15 @@ Reenter new passphrase: Aktivieren des Providers mit dem erzeugten Schl�ssel + Um den Provider zu aktivieren, geben Sie die + Schl�sseldatei, den Namen des Laufwerks und die Passphrase + an: + &prompt.root; geli attach -k /root/da2.key /dev/da2 Enter passphrase: - Dadurch wird die (Normaltext-)Ger�tedatei - /dev/da2.eli - angelegt. + Dadurch wird ein neues Ger�t mit der Erweiterung + .eli angelegt: &prompt.root; ls /dev/da2* /dev/da2 /dev/da2.eli @@ -3007,12 +3000,16 @@ Enter passphrase: Das neue Dateisystem erzeugen + Als n�chstes muss das Ger�t mit dem + UFS-Dateisystem formatiert und an einen + vorhandenen Mountpunkt eingeh�ngt werden: + &prompt.root; dd if=/dev/random of=/dev/da2.eli bs=1m &prompt.root; newfs /dev/da2.eli -&prompt.root; mount /dev/da2.eli /private +&prompt.root; mount /dev/da2.eli /private - Das verschl�sselte Dateisystem wird nun von - &man.df.1; angezeigt und kann ab sofort eingesetzt werden. + Das verschl�sselte Dateisystem sollte jetzt erkannt + und benutzt werden k�nnen: &prompt.root; df -H Filesystem Size Used Avail Capacity Mounted on @@ -3022,11 +3019,8 @@ Filesystem Size Used Avail Capaci /dev/ad0s1d 989M 1.5M 909M 0% /tmp /dev/ad0s1e 3.9G 1.3G 2.3G 35% /var /dev/da2.eli 150G 4.1K 138G 0% /private - - - - Das Dateisystem unmounten und den Provider deaktivieren + Wenn Sie nicht mehr mit dem verschl�sselten Dateisystem arbeiten und die unter /private eingeh�ngte @@ -3037,25 +3031,15 @@ Filesystem Size Used Avail Capaci &prompt.root; umount /private &prompt.root; geli detach da2.eli - - - - Weitere Informationen zum Einsatz von - geli finden Sie in &man.geli.8;. - - Der Einsatz des <filename>geli</filename>- - <filename>rc.d</filename>-Skripts - - geli verf�gt �ber ein - rc.d-Skript, - das den Einsatz von geli - deutlich vereinfacht. Es folgt nun ein Beispiel, in dem - geli �ber die Datei - &man.rc.conf.5; konfiguriert wird: + &os; verf�gt �ber ein rc.d-Skript, + das dass Einh�ngen von verschl�sselten Ger�ten beim Booten + deutlich vereinfacht. F�r dieses Beispiel, f�gen Sie + folgende Zeilen in /etc/rc.conf + hinzu: - geli_devices="da2" -geli_da2_flags="-k /root/da2.key" + geli_devices="da2" +geli_da2_flags="-k /root/da2.key" Dies konfiguriert /dev/da2 als geli-Provider mit dem Master-Key @@ -3073,11 +3057,6 @@ geli_da2_flags="-k /root/da2.key" wenn Sie wissen m�chten, wie Sie ein Dateisystem konfigurieren, sodass es beim booten automatisch gestartet wird. - - Weitere Informationen zur Konfiguration der - rc.d-Skripten - finden Sie im Abschnitt rc.d des Handbuchs. - From owner-svn-doc-all@freebsd.org Sat May 7 23:21:06 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 81D73B3226B; Sat, 7 May 2016 23:21:06 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 3F9E01D7E; Sat, 7 May 2016 23:21:06 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u47NL5NB089556; Sat, 7 May 2016 23:21:05 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u47NL5ZS089554; Sat, 7 May 2016 23:21:05 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201605072321.u47NL5ZS089554@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Sat, 7 May 2016 23:21:05 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48785 - in head/de_DE.ISO8859-1/books/handbook: basics disks X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 07 May 2016 23:21:06 -0000 Author: bhd Date: Sat May 7 23:21:05 2016 New Revision: 48785 URL: https://svnweb.freebsd.org/changeset/doc/48785 Log: Update to r44695: Move contents of 18.1 to Table 4.3. The contents were duplicate and belong in the Basics section. Remove diskonchip flash entry as it is no longer included in a supported version. Modified: head/de_DE.ISO8859-1/books/handbook/basics/chapter.xml head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/basics/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/basics/chapter.xml Sat May 7 16:50:39 2016 (r48784) +++ head/de_DE.ISO8859-1/books/handbook/basics/chapter.xml Sat May 7 23:21:05 2016 (r48785) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde$ - basiert auf: r44249 + basiert auf: r44695 --> Grundlagen des UNIX Betriebssystems @@ -2589,7 +2589,7 @@ root 5211 0.0 0.2 3620 1724 2 Nummer, die angibt, um welche Festplatte es sich handelt. Anders als bei Slices werden Festplatten von Null beginnend durchnummeriert. G�ngige Festplatten-Namen sind in - aufgef�hrt. + aufgef�hrt. Wenn Sie eine Partition angeben, beinhaltet das den Plattennamen, s, die Slice-Nummer und den @@ -2605,7 +2605,7 @@ root 5211 0.0 0.2 3620 1724 2 Slice, erstellen ein Dateisystem oder Auslagerungsbereiche und entscheiden, welche Dateisysteme wo eingehangen werden. - +
Laufwerk-Codes @@ -2614,41 +2614,67 @@ root 5211 0.0 0.2 3620 1724 2 - Code - - Bedeutung + Laufwerkstyp + Ger�tename - ad - - ATAPI (IDE) Festplatte + IDE- und + SATA-Festplatten + ad oder + ada - da + SCSI-Festplatten und + USB-Speichermedien + da + - SCSI-Festplatte + + IDE- und + SATA-CD-ROM-Laufwerke + acd oder + cd - acd + SCSI-CD-ROM-Laufwerke + cd + - ATAPI (IDE) CD-ROM + + Diskettenlaufwerke + fd - cd + Verschiedene propriet�re + CD-ROM-Laufwerke + mcd f�r Mitsumi + CD-ROM und scd + f�r Sony CD-ROM + - SCSI-CD-ROM + + SCSI-Bandlaufwerke + sa - fd + IDE-Bandlaufwerke + ast + - Disketten-Laufwerk + + RAID-Laufwerke + Beispiele sind aacd f�r + &adaptec; AdvancedRAID, mlxd f�r + &mylex;, amrd f�r AMI &megaraid;, + idad f�r Compaq Smart RAID, + twed f�r &tm.3ware; RAID. Modified: head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Sat May 7 16:50:39 2016 (r48784) +++ head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Sat May 7 23:21:05 2016 (r48785) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/disks/chapter.xml,v 1.187 2012/04/26 19:32:48 bcr Exp $ - basiert auf: r44694 + basiert auf: r44695 --> Speichermedien @@ -89,100 +89,6 @@ - - Ger�tenamen - - Die folgende Tabelle zeigt die von &os; unterst�tzten - Speicherger�te und deren Ger�tenamen. - -

- Namenskonventionen von physikalischen Laufwerken - - - - - Laufwerkstyp - Ger�tename - - - - - IDE-Festplatten - ad oder - ada - - - - IDE-CD-ROM-Laufwerke - acd oder - cd - - - - SATA-Festplatten - ad oder - ada - - - - SATA-CD-ROM-Laufwerke - acd oder - cd - - - - SCSI-Festplatten und - USB-Speichermedien - da - - - - SCSI-CD-ROM-Laufwerke - cd - - - - Verschiedene propriet�re CD-ROM-Laufwerke - mcd f�r Mitsumi - CD-ROM und scd f�r - Sony CD-ROM - - - - Diskettenlaufwerke - fd - - - - SCSI-Bandlaufwerke - sa - - - - IDE-Bandlaufwerke - ast - - - - Flash-Laufwerke - fla f�r &diskonchip; - Flash-Device - - - - RAID-Laufwerke - aacd f�r &adaptec; AdvancedRAID, - mlxd und mlyd - f�r &mylex;, - amrd f�r AMI &megaraid;, - idad f�r Compaq Smart RAID, - twed f�r &tm.3ware; RAID. - - - -
- - Hinzuf�gen von Laufwerken From owner-svn-doc-all@freebsd.org Sat May 7 23:35:47 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 6262CB325B8; Sat, 7 May 2016 23:35:47 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 2FAA312B5; Sat, 7 May 2016 23:35:47 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u47NZkYb094839; Sat, 7 May 2016 23:35:46 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u47NZkjY094838; Sat, 7 May 2016 23:35:46 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201605072335.u47NZkjY094838@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Sat, 7 May 2016 23:35:46 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48786 - head/de_DE.ISO8859-1/books/handbook/disks X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 07 May 2016 23:35:47 -0000 Author: bhd Date: Sat May 7 23:35:46 2016 New Revision: 48786 URL: https://svnweb.freebsd.org/changeset/doc/48786 Log: Update to r44800: UFS snapshots are read-only Change the snapshot example to show creating the md(4) read-only, in order to avoid a warning. Modified: head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Sat May 7 23:21:05 2016 (r48785) +++ head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Sat May 7 23:35:46 2016 (r48786) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/disks/chapter.xml,v 1.187 2012/04/26 19:32:48 bcr Exp $ - basiert auf: r44695 + basiert auf: r44800 --> Speichermedien @@ -2206,7 +2206,7 @@ Filesystem 1K-blocks Used Avail Capacity h�ngt den Schnappschuss /var/snapshot/snap ein: - &prompt.root; mdconfig -a -t vnode -f /var/snapshot/snap -u 4 + &prompt.root; mdconfig -a -t vnode -o readonly -f /var/snapshot/snap -u 4 &prompt.root; mount -r /dev/md4 /mnt From owner-svn-doc-all@freebsd.org Sat May 7 23:40:03 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id E8761B32640; Sat, 7 May 2016 23:40:03 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id B5030132C; Sat, 7 May 2016 23:40:03 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u47Ne2Cu095028; Sat, 7 May 2016 23:40:02 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u47Ne2xs095027; Sat, 7 May 2016 23:40:02 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201605072340.u47Ne2xs095027@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Sat, 7 May 2016 23:40:02 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48787 - head/de_DE.ISO8859-1/books/handbook/disks X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees $except for " user" , " projects" , and " translations" $" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 07 May 2016 23:40:04 -0000 Author: bhd Date: Sat May 7 23:40:02 2016 New Revision: 48787 URL: https://svnweb.freebsd.org/changeset/doc/48787 Log: Update to r45416: The GELI module is built by default, but the GENERIC kernel does not include GELI by default. Modified: head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Sat May 7 23:35:46 2016 (r48786) +++ head/de_DE.ISO8859-1/books/handbook/disks/chapter.xml Sat May 7 23:40:02 2016 (r48787) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/disks/chapter.xml,v 1.187 2012/04/26 19:32:48 bcr Exp $ - basiert auf: r44800 + basiert auf: r45416 --> Speichermedien @@ -2836,11 +2836,11 @@ What about bsdinstall? Laden der <command>geli</command>-Unterst�tzung - Die Unterst�tzung f�r geli ist - bereits im GENERIC enthalten. Damit - das Modul automatisch beim Booten geladen wird, f�gen Sie - folgende Zeile in /boot/loader.conf - ein: + Die Unterst�tzung f�r geli wird + �ber ein ladbares Kernelmodul zur Verf�gung gestellt. + Damit das Modul automatisch beim Booten geladen wird, + f�gen Sie folgende Zeile in + /boot/loader.conf ein: geom_eli_load="YES"

Next Quarterly Status Report submissions (January – - March) due: April 7th, 2016

Next Quarterly Status Report submissions (April – + June) due: July 7th, 2016

2016

2015