Date: Fri, 20 May 2016 21:54:52 +0000 (UTC) From: Bjoern Heidotting <bhd@FreeBSD.org> To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48836 - head/de_DE.ISO8859-1/books/handbook/security Message-ID: <201605202154.u4KLsqgh067382@repo.freebsd.org>
next in thread | raw e-mail | index | archive | help
Author: bhd Date: Fri May 20 21:54:52 2016 New Revision: 48836 URL: https://svnweb.freebsd.org/changeset/doc/48836 Log: Update to r44593: Editorial review of TCP Wrapper chapter. Change application name to singular. Reviewed by: bcr Differential Revision: https://reviews.freebsd.org/D6476 Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Fri May 20 13:12:02 2016 (r48835) +++ head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Fri May 20 21:54:52 2016 (r48836) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $ - basiert auf: r44530 + basiert auf: r44593 --> <chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="security"> <info><title>Sicherheit</title> @@ -62,7 +62,7 @@ </listitem> <listitem> - <para><acronym>TCP</acronym>-Wrapper für &man.inetd.8; + <para><application>TCP Wrapper</application> für &man.inetd.8; einrichten können.</para> </listitem> @@ -999,59 +999,64 @@ Enter secret pass phrase: <userinput>< </sect1> <sect1 xml:id="tcpwrappers"> - <info><title>TCP-Wrapper</title> + <info><title>TCP Wrapper</title> <authorgroup> <author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><contrib>Beigetragen von </contrib></author> </authorgroup> </info> - - <indexterm> - <primary>TCP-Wrapper</primary> + <primary>TCP Wrapper</primary> </indexterm> - <para><acronym>TCP</acronym>-Wrapper erweitern die Fähigkeiten von - <xref linkend="network-inetd"/>. Beispielsweise können - Verbindungen protokolliert, Nachrichten zurückgesandt oder nur - interne Verbindungen angenommen werden. Einige dieser - Fähigkeiten können auch über eine Firewall implementiert werden, - <acronym>TCP</acronym>-Wrapper fügen jedoch noch eine weitere - Sicherheitsschicht und Kontrollmöglichkeiten hinzu, die eine - Firewall nicht bieten kann.</para> - - <para><acronym>TCP</acronym>-Wrapper sollten nicht als Ersatz für - eine ordentlich konfigurierte Firewall angesehen werden, sondern - stattdessen in Verbindung mit einer Firewall und anderen - Sicherheitsmechanismen eingesetzt werden.</para> - - <sect2> - <title>TCP-Wrapper einrichten</title> - - <para>Um <acronym>TCP</acronym>-Wrapper unter &os; zu benutzen, - muss der &man.inetd.8;-Server aus <filename>rc.conf</filename> - mit den Optionen <option>-Ww</option> gestartet werden. - Anschließend muss <filename>/etc/hosts.allow</filename> + <para><application>TCP Wrapper</application> ist ein + rechnerbasiertes Zugriffskontrollsystem, das die Fähigkeiten von + <xref linkend="network-inetd"/> erweitert. Beispielsweise + können Verbindungen protokolliert, Nachrichten zurückgesandt + oder nur interne Verbindungen angenommen werden. Weitere + Informationen über <application>TCP Wrapper</application> und + dessen Funktionen finden Sie in &man.tcpd.8;.</para> + + <para><application>TCP Wrapper</application> sollten nicht als + Ersatz für eine ordentlich konfigurierte Firewall angesehen + werden. Stattdessen sollten + <application>TCP Wrapper</application> in Verbindung mit einer + Firewall und anderen Sicherheitsmechanismen eingesetzt werden, + um bei der Umsetzung einer Sicherheitsrichtlinie eine weitere + Sicherheitsschicht zu bieten.</para> + + <sect2> + <title>Konfiguration</title> + + <para>Um <application>TCP Wrapper</application> unter &os; zu + aktivieren, fügen Sie die folgenden Zeilen in + <filename>/etc/rc.conf</filename> ein:</para> + + <programlisting>inetd_enable="YES" +inetd_flags="-Ww"</programlisting> + + <para>Anschließend muss <filename>/etc/hosts.allow</filename> richtig konfiguriert werden.</para> <note> <para>Im Gegensatz zu anderen Implementierungen der - <acronym>TCP</acronym>-Wrapper wird vom Gebrauch - der Datei <filename>hosts.deny</filename> abgeraten. - Die Konfiguration sollte sich vollständig in der - Datei <filename>/etc/hosts.allow</filename> befinden.</para> + <application>TCP Wrapper</application> wird unter &os; vom + Gebrauch der Datei <filename>hosts.deny</filename> + abgeraten. Die Konfiguration sollte sich vollständig in + <filename>/etc/hosts.allow</filename> befinden.</para> </note> <para>In der einfachsten Konfiguration werden Dienste - abhängig vom Inhalt der Datei + abhängig von den Optionen in <filename>/etc/hosts.allow</filename> erlaubt oder gesperrt. Unter &os; wird in der Voreinstellung - jeder von &man.inetd.8; gestartete Dienst + jeder von <application>inetd</application> gestartete Dienst erlaubt.</para> <para>Eine Konfigurationszeile ist wie folgt aufgebaut: <literal>Dienst : Adresse : Aktion</literal>. - <literal>Dienst</literal> ist der von &man.inetd.8; + <literal>Dienst</literal> ist der von + <application>inetd</application> gestartete Dienst (auch Daemon genannt). Die <literal>Adresse</literal> ist ein gültiger Rechnername, eine <acronym>IP</acronym>-Adresse oder @@ -1075,8 +1080,8 @@ Enter secret pass phrase: <userinput>< <programlisting># This line is required for POP3 connections: qpopper : ALL : allow</programlisting> - <para>Nachdem Sie die Zeile hinzugefügt haben, muss - &man.inetd.8; neu gestartet werden:</para> + <para>Jedes Mal, wenn diese Datei bearbeitet wird, muss + <application>inetd</application> neu gestartet werden:</para> <screen>&prompt.root; <userinput>service inetd restart</userinput></screen> </sect2> @@ -1084,7 +1089,7 @@ qpopper : ALL : allow</programlisting> <sect2> <title>Erweiterte Konfiguration</title> - <para><acronym>TCP</acronym>-Wrapper besitzen + <para><application>TCP Wrapper</application> besitzen weitere Optionen, die bestimmen, wie Verbindungen behandelt werden. In einigen Fällen ist es gut, wenn bestimmten Rechnern oder Diensten eine @@ -1096,11 +1101,8 @@ qpopper : ALL : allow</programlisting> Wildcards, Metazeichen und der Ausführung externer Programme möglich.</para> - <sect3> - <title>Externe Kommandos</title> - <para>Stellen Sie sich vor, eine Verbindung soll - verhindert werden und gleichzeitig soll demjenigen, + verhindert werden und gleichzeitig soll dem Rechner, der die Verbindung aufgebaut hat, eine Nachricht geschickt werden. Solch eine Aktion ist mit <option>twist</option> möglich. <option>twist</option> @@ -1116,8 +1118,8 @@ ALL : ALL \ <para>Für jeden Dienst, der nicht vorher in <filename>hosts.allow</filename> konfiguriert wurde, wird die Meldung <quote>You are not allowed to use - <literal>daemon</literal> from - <literal>hostname</literal>.</quote> zurückgegeben. + <replaceable>daemon name</replaceable> from + <replaceable>hostname</replaceable>.</quote> zurückgegeben. Dies ist nützlich, wenn die Gegenstelle sofort benachrichtigt werden soll, nachdem die Verbindung getrennt wurde. Der Text der Meldung <emphasis>muss</emphasis> in @@ -1133,7 +1135,7 @@ ALL : ALL \ <para>Eine weitere Möglichkeit bietet <option>spawn</option>. Wie <option>twist</option> verbietet <option>spawn</option> die Verbindung und führt externe Kommandos aus. Allerdings - sendet <option>spawn</option> der Gegenstelle keine + sendet <option>spawn</option> dem Rechner keine Rückmeldung. Sehen Sie sich die nachstehende Konfigurationsdatei an:</para> @@ -1149,16 +1151,10 @@ ALL : .example.com \ <filename>/var/log/connections.log</filename> protokolliert. Das Protokoll enthält den Rechnernamen, die <acronym>IP</acronym>-Adresse - und den Dienst, der angesprochen wurde.</para> - - <para>In diesem Beispiel wurden die Metazeichen - <literal>%a</literal> und <literal>%h</literal> verwendet. - Eine vollständige Liste der Metazeichen finden Sie in - &man.hosts.access.5;.</para> - </sect3> - - <sect3> - <title>Wildcards</title> + und den Dienst, der angesprochen wurde. In diesem Beispiel + wurden die Metazeichen <literal>%a</literal> und + <literal>%h</literal> verwendet. Eine vollständige Liste + der Metazeichen finden Sie in &man.hosts.access.5;.</para> <para>Die Wildcard <literal>ALL</literal> passt auf jeden Dienst, jede Domain oder jede <acronym>IP</acronym>-Adresse. @@ -1168,7 +1164,7 @@ ALL : .example.com \ Dies ist beispielsweise der Fall, wenn der Verbindungsaufbau von einer <acronym>IP</acronym>-Adresse erfolgt, die nicht zu dem übermittelten Rechnernamen passt. In diesem Beispiel - werden alle Verbindungsanfragen zu &man.sendmail.8; + werden alle Verbindungsanfragen zu <application>Sendmail</application> abgelehnt, wenn die <acronym>IP</acronym>-Adresse nicht zum Rechnernamen passt:</para> @@ -1176,22 +1172,21 @@ ALL : .example.com \ sendmail : PARANOID : deny</programlisting> <caution> - <para>Die Wildcard <literal>PARANOID</literal> - kann einen Dienst unbrauchbar machen, wenn der + <para>Die Wildcard <literal>PARANOID</literal> wird + Verbindungen ablehnen, wenn der Client oder der Server eine fehlerhafte - <acronym>DNS</acronym>-Konfiguration besitzt. - Seien Sie daher besonders vorsichtig, wenn Sie diese Wildcard - in Ihre Konfiguration aufnehmen wollen.</para> + <acronym>DNS</acronym>-Konfiguration besitzt.</para> </caution> <para>Weitere Informationen über Wildcards und deren Funktion finden Sie in &man.hosts.access.5;.</para> - <para>Damit die gezeigten Beispiele funktionieren, muss die - erste Konfigurationszeile in - <filename>hosts.allow</filename> auskommentiert - werden.</para> - </sect3> + <note> + <para>Wenn Sie neue Einträge zur Konfiguration hinzufügen, + sollten Sie sicherstellen, dass nicht benötigte Einträge + in <filename>hosts.allow</filename> auskommentiert + werden.</para> + </note> </sect2> </sect1>
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?201605202154.u4KLsqgh067382>