Date: Sun, 23 Mar 2008 02:17:13 GMT From: Gabor Pali <pgj@FreeBSD.org> To: Perforce Change Reviews <perforce@FreeBSD.org> Subject: PERFORCE change 138317 for review Message-ID: <200803230217.m2N2HDRP036466@repoman.freebsd.org>
next in thread | raw e-mail | index | archive | help
http://perforce.freebsd.org/chv.cgi?CH=138317 Change 138317 by pgj@disznohal on 2008/03/23 02:16:31 (security) MFen: 1.316 --> 1.320 Affected files ... .. //depot/projects/docproj_hu/books/handbook/security/chapter.sgml#5 edit Differences ... ==== //depot/projects/docproj_hu/books/handbook/security/chapter.sgml#5 (text+ko) ==== @@ -1,12 +1,12 @@ <!-- The FreeBSD Documentation Project - $FreeBSD: doc/en_US.ISO8859-1/books/handbook/security/chapter.sgml,v 1.316 2007/10/23 07:03:34 dougb Exp $ + $FreeBSD: doc/en_US.ISO8859-1/books/handbook/security/chapter.sgml,v 1.320 2008/02/03 10:26:16 blackend Exp $ --> <!-- The FreeBSD Hungarian Documentation Project Translated by: PALI, Gabor <pgj@FreeBSD.org> - Original Revision: 1.316 --> + Original Revision: 1.320 --> <chapter id="security" lang="hu"> <chapterinfo> @@ -70,7 +70,7 @@ </listitem> <listitem> - <para>hogyan burkoljunk az <command>inetd</command> + <para>hogyan burkoljunk az <application>>inetd</application>> segítségével <acronym>TCP</acronym> kapcsolatokat</para> </listitem> @@ -490,9 +490,7 @@ rendszerkonzolon keresztül szabad tudnia bejelentkeznie.</para> - <indexterm> - <primary><groupname>wheel</groupname></primary> - </indexterm> + <indexterm><primary><groupname>wheel</groupname></primary></indexterm> <para>Természetesen egy rendszergazdának valahogy el kell érnie a <username>root</username> @@ -545,67 +543,45 @@ semmi, de kétségtelenül nem legbiztonságosabb.</para> - <para>A személyzeti hozzáférések - és ezáltal a <username>root</username> - hozzáférésének egyik közvetett - módja egy alternatív bejelentkezési - mód használata, ami lényegében a - személyzeti hozzáférések - titkosított jelszavainak - <quote>kicsillagozását</quote> jelenti. A - &man.vipw.8; parancs használatával a - titkosított jelszavakat ki tudjuk cserélni - egyetlen <quote><literal>*</literal></quote> karakterre. Ez a - parancs a jelszó alapú hitelesítések - letiltásához frissíteni fogja az - <filename>/etc/master.passwd</filename> állományt - valamint a felhasználókat és jelszavakat - tartalmazó adatbázist.</para> + <para>A hozzáférések teljes körû + letiltásához a &man.pw.8; parancsot érdemes + használni:</para> + + <screen>&prompt.root; <userinput>pw lock <replaceable>személyzet</replaceable></userinput></screen> + + <para>Ezzel meg tudjuk akadályozni, hogy a + felhasználó akármilyen módon, + beleértve az &man.ssh.1; használatát is, + hozzá tudjon férni a + rendszerünkhöz.</para> - <para>A személyzet egyik tagjának tehát - így néz ki a bejegyzése:</para> + <para>A hozzáférések + blokkolásának másik ilyen módszere a + titkosított jelszó átírása + egyetlen <quote><literal>*</literal></quote> karakterre. Mivel + ez a karakter egyetlen titkosított jelszóra sem + illeszkedik, ezért a felhasználó nem lesz + képes bejelentkezni. Ahogy például a + személyzet alábbi tagja sem:</para> <programlisting>foobar:R9DT/Fa1/LV9U:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh</programlisting> - <para>Amit erre cserélünk ki:</para> + <para>Amit tehát erre cserélünk ki:</para> <programlisting>foobar:*:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh</programlisting> - <para>Ez a változtatás meggátolja a - hagyományos bejelentkezéseket, mivel a - titkosított jelszó soha nem fog egyezni a - <quote><literal>*</literal></quote> karakterrel. Ezután - a személyzet tagjainak más módon kell - azonosítaniuk magukat, például a - &man.kerberos.1; segítségével vagy az - &man.ssh.1; nyilvános/privát - kulcspárjaival. Amikor egy Kerberoshoz hasonló - rendszert használunk, akkor általában a - Kerberos szervereit futtató gépeket és az - asztali munkaállomásunkat kell védeni. - Amikor az ssh-t használjuk nyilvános/privát - kulcspárokkal, általában azt a gépet - kell védenünk <emphasis>ahonnan</emphasis> - bejelentkezünk (ez többnyire egy - munkaállomás). A kulcspárokat bevonhatjuk - egy további védelmi réteggel is, ha a - &man.ssh-keygen.1; paranccsal történõ - létrehozásuk során jelszót is - megadunk. Ha <quote>kicsillagozzuk</quote> a személyzet - tagjainak jelszavait, akkor biztosra vehetjük, hogy - kizárólag csak az általunk - telepített biztonságos módokon fognak - bejelentkezni. Ennek köszönhetõen a - személyzet minden tagja biztonságos, - titkosított kapcsolatot fog használni, és - ezzel elzárunk egy olyan biztonsági rést, - amit a legtöbb behatoló kihasznál: a - gyengébb védelmû - számítógépek felõl - érkezõ forgalom lehallgatását.</para> + <para>Ezzel megakadályozzuk, hogy a + <username>foobar</username> nevû felhasználó a + hagyományos módszerekkel be tudjon jelentkezni. + Ez a megoldás azonban a + <application>Kerberos</application>t alkalmazó rendszerek + esetén nem mûködik, illetve olyan helyezetekben + sem, amikor a felhasználó az &man.ssh.1; + paranccsal már létrehozott magának + kulcsokat.</para> - <para>Egy még közvetettebb védelmi mechanizmus - szerint mindig egy szigorúbb biztonsági szintû + <para>Az ilyen védelmi mechanizmusok esetében mindig + egy szigorúbb biztonsági szintû géprõl jelentkezünk be egy kevésbé biztonságosabb gépre. Például ha a szerverünk mindenféle @@ -6960,8 +6936,9 @@ <username>trhodes</username> ttyp1</userinput></screen> <para>Ezzel megjelenik a <username>trhodes</username> nevû - felhasználó ttyp1 terminálon kiadott - összes ismert <command>ls</command> parancsa.</para> + felhasználó <literal>ttyp1</literal> + terminálon kiadott összes ismert + <command>ls</command> parancsa.</para> <para>Számos hasznos beállítást és hozzájuk tartozó leírást
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?200803230217.m2N2HDRP036466>