From owner-svn-doc-head@freebsd.org Sun May 22 13:53:30 2016 Return-Path: Delivered-To: svn-doc-head@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 6CF2AB45163; Sun, 22 May 2016 13:53:30 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 3775F196B; Sun, 22 May 2016 13:53:30 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u4MDrTck097303; Sun, 22 May 2016 13:53:29 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u4MDrTKE097301; Sun, 22 May 2016 13:53:29 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201605221353.u4MDrTKE097301@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Sun, 22 May 2016 13:53:29 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48841 - in head/de_DE.ISO8859-1/books/handbook: install network-servers X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-head@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: SVN commit messages for the doc tree for head List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 22 May 2016 13:53:30 -0000 Author: bhd Date: Sun May 22 13:53:29 2016 New Revision: 48841 URL: https://svnweb.freebsd.org/changeset/doc/48841 Log: Update to r43707: Finish up this section. Some additional shuffling to improve the flow. Fix reference in another chapter. Modified: head/de_DE.ISO8859-1/books/handbook/install/chapter.xml head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/install/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/install/chapter.xml Sun May 22 12:28:05 2016 (r48840) +++ head/de_DE.ISO8859-1/books/handbook/install/chapter.xml Sun May 22 13:53:29 2016 (r48841) @@ -2834,7 +2834,7 @@ Do you want to configure inetd and the n Die Dienste können Sie nach der Installation aktivieren, indem Sie die Datei /etc/inetd.conf - editieren. Dies wird in + editieren. Dies wird in beschrieben. Wenn Sie jetzt weitere Dienste aktivieren möchten, Modified: head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml Sun May 22 12:28:05 2016 (r48840) +++ head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml Sun May 22 13:53:29 2016 (r48841) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/network-servers/chapter.xml,v 1.103 2011/12/24 15:51:18 bcr Exp $ - basiert auf: r43706 + basiert auf: r43707 --> - Der <application>inetd</application> - <quote>Super-Server</quote> - - - Übersicht - Der &man.inetd.8;-Daemon wird manchmal auch als Internet Super-Server bezeichnet, weil er Verbindungen für viele Dienste verwaltet. Anstatt mehrere @@ -156,14 +153,16 @@ inetd wird vor allem dazu verwendet, andere Daemonen zu aktivieren, einige Protokolle - werden aber auch direkt verwaltet. Dazu gehören + werden aber auch intern verwaltet. Dazu gehören chargen, - auth, sowie + auth, + time, + echo, + discard sowie daytime. Dieser Abschnitt beschreibt die Konfiguration von inetd. - Konfigurationsdatei @@ -230,10 +229,11 @@ server-program-arguments Der Dienstname eines bestimmten Daemons. Er muss einem in /etc/services aufgelisteten - Dienst entsprechen. In dieser Datei wird festgelegt, - welchen Port inetd abhören - muss. Wenn ein neuer Dienst erzeugt wird, muss er zuerst - in die Datei /etc/services + Dienst entsprechen. Hier wird festgelegt, auf + welchen Port inetd + eingehende Verbindungen für diesen Dienst entgegennimmt. + Wenn ein neuer Dienst benutzt wird, muss er zuerst + in /etc/services eingetragen werden. @@ -244,10 +244,11 @@ server-program-arguments Entweder stream, dgram, raw, oder - seqpacket. stream - muss für verbindungsorientierte TCP-Daemonen - verwendet werden, während dgram - das UDP-Protokoll verwaltet. + seqpacket. Nutzen Sie + stream für + TCP-Verbindungen und + dgram für + UDP-Dienste. @@ -255,7 +256,7 @@ server-program-argumentsprotocol - Eines der folgenden: + Benutzen Sie eines der folgenden Protokolle: @@ -269,12 +270,12 @@ server-program-arguments - tcp, tcp4 + tcp oder tcp4 TCP (IPv4) - udp, udp4 + udp oder udp4 UDP (IPv4) @@ -309,12 +310,17 @@ server-program-arguments{wait|nowait}[/max-child[/max-connections-per-ip-per-minute[/max-child-per-ip]]] - gibt an, ob der von - inetd aktivierte Daemon seinen - eigenen Socket verwalten kann oder nicht. + In diesem Feld muss oder + angegeben werden. + , + sowie + sind optional. + + gibt an, ob der Dienst + seinen eigenen Socket verwalten kann oder nicht. -Sockets müssen die Option verwenden, während Daemonen mit - Stream-Sockets, die normalerweise auch aus mehreren + -Sockets, die normalerweise auch aus mehreren Threads bestehen, die Option verwenden sollten. Die Option gibt in der Regel mehrere Sockets an einen einzelnen @@ -324,65 +330,34 @@ server-program-argumentsDie maximale Anzahl an Child-Daemonen, die inetd erzeugen kann, wird durch die Option festgelegt. Wenn - ein bestimmter Daemon 10 Instanzen benötigt, sollte + ein bestimmter Daemon 10 Instanzen benötigt, wird der Wert /10 hinter die Option - gesetzt werden. Geben Sie - hingegen den Wert /0 an, gibt es - keine Beschränkung. - - Zusätzlich zu kann - die maximale Anzahl von Verbindungen eines Rechners mit - einem bestimmten Daemon durch zwei weitere Optionen - beschränkt werden. Die Option - - legt die maximale Anzahl von Verbindungsversuchen fest, + gesetzt. Der Wert + /0 gibt an, das es keine + Beschränkung gibt. + + + legt die maximale Anzahl von Verbindungsversuchen pro + Minute fest, die von einer bestimmten IP-Adresse aus unternommen werden - können. Ein Wert von zehn würde die maximale - Anzahl von Verbindungsversuchen einer IP-Adresse mit einem - bestimmten Dienst auf zehn Versuche in der Minute - beschränken. Durch die Angabe der Option - können Sie hingegen - festlegen, wie viele Child-Daemonen von einer bestimmten - IP-Adresse aus gestartet werden können. Durch diese - Optionen lassen sich ein absichtlicher oder unabsichtlicher - Ressourcenverbrauch sowie die Auswirkungen eines - Denial of Service (DoS)-Angriffs auf - einen Rechner begrenzen. - - Sie müssen hier entweder - oder angeben. Die Angabe von - , - und - ist hingegen - optional. - - Ein multithread-Daemon vom Streamtyp ohne die Optionen - , - oder - sieht so aus: - nowait - - Der gleiche Daemon mit einer maximal möglichen - Anzahl von 10 parallelen Daemonen würde so aussehen: - nowait/10 - - Wird zusätzlich die Anzahl der möglichen - Verbindungen pro Minute für jede IP-Adresse auf - 20 sowie die mögliche Gesamtzahl von Childdaemonen - auf 10 begrenzt, so sieht der Eintrag so aus: - nowait/10/20 - - All diese Optionen werden vom - &man.fingerd.8;-Daemon bereits in der Voreinstellung - verwendet: - - finger stream tcp nowait/3/10 nobody /usr/libexec/fingerd fingerd -s - - Will man die maximale Anzahl von Child-Daemonen auf - 100 beschränken, wobei von jeder IP-Adresse aus - maximal 5 Child-Daemonen gestartet werden dürfen, - verwendet man den folgenden Eintrag: - nowait/100/0/5. + können. Sobald das Limit erreicht ist, werden weitere + Verbindungen von dieser IP-Adresse + geblockt, bis die Minute vorüber ist. Ein Wert von + /10 würde die maximale Anzahl der + Verindungsversuche einer bestimmten + IP-Adresse auf zehn Versuche in der + Minute beschränken. + legt fest, wie viele Child-Daemonen von einer bestimmten + IP-Adresse aus gestartet werden + können. Durch diese Optionen lassen sich + Ressourcenverbrauch sowie die Auswirkungen eines + Denial of Service (DoS)-Angriffs + begrenzen. + + Ein Beispiel finden Sie in den Voreinstellungen für + &man.fingerd.8;: + + finger stream tcp nowait/3/10 nobody /usr/libexec/fingerd fingerd -k -s @@ -391,11 +366,10 @@ server-program-arguments Der Benutzername, unter dem der jeweilige Daemon - laufen soll. Meistens laufen Daemonen als User - root. Aus Sicherheitsgründen - laufen einige Server aber auch als User - daemon, oder als am wenigsten - privilegierter User nobody. + laufen soll. Meistens laufen Daemonen als + root, + daemon oder + nobody. @@ -403,11 +377,10 @@ server-program-argumentsserver-program - Der vollständige Pfad des Daemons, der eine - Verbindung entgegennimmt. Wird der Daemon von - inetd intern bereitgestellt, - sollte die Option verwendet - werden. + Der vollständige Pfad des Daemons. + Wird der Daemon von inetd + intern bereitgestellt, verwenden Sie + . @@ -415,17 +388,11 @@ server-program-argumentsserver-program-arguments - Dieser Eintrag legt (gemeinsam mit - und beginnend mit - argv[0]), die Argumente fest, die bei - der Aktivierung an den Daemon übergeben werden. - Wenn die Anweisung auf der Kommandozeile also - mydaemon -d lautet, wäre - mydaemon -d auch der Wert der Option - . Wenn es sich - beim Daemon um einen internen Dienst handelt, sollte - wiederum die Option verwendet - werden. + Dieser Eintrag legt die Argumente fest, die bei + der Aktivierung an den Daemon übergeben werden. Wenn es + sich beim Daemon um einen internen Dienst handelt, + verwenden Sie wiederum + . @@ -463,7 +430,8 @@ server-program-argumentsmax-child - festgelegt werden. + in /etc/inetd.conf festgelegt + werden. @@ -477,7 +445,8 @@ server-program-argumentsmax-connections-per-ip-per-minute - festgelegt werden. + in /etc/inetd.conf festgelegt + werden. @@ -502,69 +471,40 @@ server-program-argumentsmax-child-per-ip angepasst + in + /etc/inetd.conf angepasst werden. + + Es sind noch weitere Optionen verfügbar. Eine + vollständige Liste der Optionen finden Sie in + &man.inetd.8;. - Sicherheit + Überlegungen zur Sicherheit - Abhängig von der bei der Installation festgelegten - Konfiguration werden viele der von - inetd verwalteten Dienste automatisch - aktiviert! Wenn Sie einen bestimmten Daemon nicht - benötigen, sollten Sie ihn deaktivieren! Dazu kommentieren - Sie den jeweiligen Daemon in /etc/inetd.conf - mit einem # aus, um danach die - inetd-Konfiguration neu - einzulesen. Einige Daemonen, zum Beispiel - fingerd, sollten generell deaktiviert - werden, da sie zu viele Informationen an einen potentiellen - Angreifer liefern. - - Einige Daemonen sind nicht auf Sicherheit bedacht und - haben lange oder nicht existierende Timeouts für - Verbindungsversuche. Ein Angreifer kann dies ausnutzen, um - Verbindungen zu bestimmten Daemonen aufzubauen und somit die - verfügbaren Ressourcen zu verbrauchen, was zu einem - Denial of Service - (DOS) führen kann. + Viele Daemonen, die von inetd + verwaltet werden, sind nicht auf Sicherheit bedacht. Einige + Damonen, wie beispielsweise + fingerd, liefern Informationen, die + für einen Angreifer nützlich sein könnten. Aktivieren Sie nur + erforderliche Dienste und überwachen Sie das System auf + übermäßige Verbindungsversuche. max-connections-per-ip-per-minute, max-child und max-child-per-ip können verwendet werden, um solche Angriffe zu begrenzen. - TCP-Wrapping ist in der Voreinstellung aktiviert. Lesen Sie + TCP-Wrapper ist in der + Voreinstellung aktiviert. Lesen Sie &man.hosts.access.5;, wenn Sie weitere Informationen zum Setzen von TCP-Beschränkungen für verschiedene von inetd aktivierte Daemonen benötigen. - - - Verschiedenes - - Bei daytime, - time, - echo, - discard, - chargen, und - auth handelt es sich um intern - von inetd bereitgestellte Dienste. - - - Der auth-Dienst bietet - Identifizierungsdienste über das Netzwerk - an und ist bis zu einem bestimmten Grad konfigurierbar, - während die meisten anderen Dienste nur aktiviert - oder deaktiviert werden können. - - Eine ausführliche Beschreibung finden Sie in - &man.inetd.8;. -