Date: Fri, 15 Jan 2010 18:25:44 GMT From: Rene Ladan <rene@FreeBSD.org> To: Perforce Change Reviews <perforce@FreeBSD.org> Subject: PERFORCE change 173190 for review Message-ID: <201001151825.o0FIPiEh001306@repoman.freebsd.org>
next in thread | raw e-mail | index | archive | help
http://p4web.freebsd.org/chv.cgi?CH=173190 Change 173190 by rene@rene_self on 2010/01/15 18:25:26 MFen: * handbook/security 1.334 -> 1.335 * handbook/advanced-networking 1.425 -> 1.426 Affected files ... .. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/advanced-networking/chapter.sgml#41 edit .. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/security/chapter.sgml#12 edit Differences ... ==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/advanced-networking/chapter.sgml#41 (text+ko) ==== @@ -4,7 +4,7 @@ $FreeBSD: doc/nl_NL.ISO8859-1/books/handbook/advanced-networking/chapter.sgml,v 1.17 2009/09/09 21:55:35 rene Exp $ %SOURCE% en_US.ISO8859-1/books/handbook/advanced-networking/chapter.sgml - %SRCID% 1.425 + %SRCID% 1.426 --> <chapter id="advanced-networking"> @@ -2216,6 +2216,27 @@ </sect2> <sect2> + <title>Zowel de bekabelde als de draadloze verbinding gebruiken</title> + + <para>Een bekabelde verbinding biedt betere prestaties en betrouwbaarheid, + terwijl een draadloze verbinding meer flexibiliteit en mobiliteit + biedt; laptop-gebruikers zullen dit willen combineren en naadloos tussen + de twee overschakelen.</para> + + <para>In &os; is het mogelijk om twee of meer netwerkinterfaces te + combineren in een <quote>failover</quote>-opstelling, dit houdt in dat + de meest geprefereerde en best beschikbare verbinding van een groep van + netwerkinterfaces wordt gebruikt, en het besturingssysteem automatisch + te laten overschakelen wanneer de status van de verbinding + verandert.</para> + + <para>Link-aggregatie en failover worden behandeld in <xref + linkend="network-aggregation">, een voorbeeld voor het gebruik van + zowel een bekabelde als een draadloze verbinding wordt gegeven in + <xref linkend="networking-lagg-wired-and-wireless">.</para> + </sect2> + + <sect2> <title>Problemen verhelpen</title> <para>Indien er problemen met het draadloos netwerk zijn, zijn er @@ -3689,6 +3710,88 @@ Indien de verbinding op de meesterinterface hersteld is, zal het weer de actieve verbinding worden.</para> </example> + + <example id="networking-lagg-wired-and-wireless"> + <title>Failover-modus tussen bekabelde en draadloze interfaces</title> + + <para>Voor laptop-gebruikers is het normaliter wenselijk om het + draadloze interface als secundair interface te gebruiken indien het + bekabelde interface niet beschikbaar is. Met &man.lagg.4; is het + mogelijk om één IP-adres te gebruiken en het bekabelde + interface voor zowel prestatie als veiligheid te prefereren terwijl de + mogelijkheid behouden blijft om de draadloze verbinding te + gebruiken.</para> + + <para>In deze opstelling dient het MAC-adres van het onderliggende + draadloze interface overschreven te worden om met dat van &man.lagg.4; + overeen te komen, welke afkomstig is van het primaire interface dat + wordt gebruikt, het bekabelde interface.</para> + + <para>In deze opstelling wordt het bekabelde interface, + <replaceable>bge0</replaceable> als meester gebruikt, en het draadloze + interface, <replaceable>wlan0</replaceable>, als het + failover-interface. <replaceable>wlan0</replaceable> was aangemaakt + vanuit <replaceable>iwn0</replaceable> voor welke het + <acronym>MAC</acronym>-adres van de bekabelde verbinding zal worden + gebruikt. De eerste stap is om het <acronym>MAC</acronym>-adres van + het bekabelde interface te verkrijgen:</para> + + <screen>&prompt.root; <userinput>ifconfig <replaceable>bge0</replaceable></userinput> +bge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 + options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4> + ether 00:21:70:da:ae:37 + inet6 fe80::221:70ff:feda:ae37%bge0 prefixlen 64 scopeid 0x2 + nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL> + media: Ethernet autoselect (1000baseT <full-duplex>) + status: active</screen> + + <para><replaceable>bge0</replaceable> kan vervangen worden door het + eigenlijke interface, er zal een andere regel met + <literal>ether</literal> verschijnen, dit is het + <acronym>MAC</acronym>-adres van het bekabelde interface. Om het + onderliggende draadloze interface, <replaceable>iwn0</replaceable> te + wijzigen:</para> + + <screen>&prompt.root; <userinput>ifconfig <replaceable>iwn0</replaceable> ether <replaceable>00:21:70:da:ae:37</replaceable></userinput></screen> + + <para>Activeer het draadloze interface maar geef er nog geen IP-adres + aan:</para> + + <screen>&prompt.root; <userinput>ifconfig create <replaceable>wlan0</replaceable> wlandev <replaceable>iwn0</replaceable> ssid <replaceable>mijn_router</replaceable> up</userinput></screen> + + <para>Maak het &man.lagg.4;-interface aan met + <replaceable>bge0</replaceable> als meester, en met failover naar + <replaceable>wlan0</replaceable> indien nodig:</para> + + <screen>&prompt.root; <userinput>ifconfig <replaceable>lagg0</replaceable> create</userinput> +&prompt.root; <userinput>ifconfig <replaceable>lagg0</replaceable> up laggproto failover laggport <replaceable>bge0</replaceable> laggport <replaceable>wlan0</replaceable></userinput></screen> + + <para>Het interface zal er ongeveer als volgt uitzien, de grootste + verschillen zullen het <acronym>MAC</acronym>-adres en de + apparaatnamen zijn:</para> + + <screen>&prompt.root; <userinput>ifconfig <replaceable>lagg0</replaceable></userinput> +lagg0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 + options=8<VLAN_MTU> + ether 00:21:70:da:ae:37 + media: Ethernet autoselect + status: active + laggproto failover + laggport: wlan0 flags=0<> + laggport: bge0 flags=5<MASTER,ACTIVE></screen> + + <para>Om dit niet telkens bij het opstarten te hoeven doen, kan zoiets + als het volgende aan <filename>/etc/rc.conf</filename> worden + toegevoegd:</para> + + <programlisting>ifconfig_bge0="up" +ifconfig_iwn0="ether 00:21:70:da:ae:37" +wlans_iwn0="wlan0" +ifconfig_wlan0="WPA" +cloned_interfaces="lagg0" +ifconfig_lagg0="laggproto failover laggport bge0 laggport wlan0 DHCP" +</programlisting> + </example> </sect2> </sect1> ==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/security/chapter.sgml#12 (text+ko) ==== @@ -2,10 +2,9 @@ The FreeBSD Dutch Documentation Project $FreeBSD: doc/nl_NL.ISO8859-1/books/handbook/security/chapter.sgml,v 1.17 2009/01/28 20:45:24 rene Exp $ - $FreeBSDnl: doc/nl_NL.ISO8859-1/books/handbook/security/chapter.sgml,v 1.80 2006/01/05 21:13:24 siebrand Exp $ %SOURCE% en_US.ISO8859-1/books/handbook/security/chapter.sgml - %SRCID% 1.334 + %SRCID% 1.335 --> <chapter id="security"> @@ -566,11 +565,12 @@ <para>De andere grote mogelijkheid voor <username>root</username> gaten in een systeem zijn de suid-root en sgid-binaire bestanden die geïnstalleerd zijn op een systeem. Veel van - die bestanden, zoals <application>rlogin</application>, staan - in <filename>/bin</filename>, <filename>/sbin</filename>, - <filename>/usr/bin</filename> of - <filename>/usr/sbin</filename>. Hoewel het niet 100% veilig - is, mag aangenomen worden dat de suid- en sgid-binaire bestanden + die bestanden, zoals <application>rlogin</application>, staan in + <filename class="directory">/bin</filename>, + <filename class="directory">/sbin</filename>, + <filename class="directory">/usr/bin</filename> of + <filename class="directory">/usr/sbin</filename>. Hoewel het niet 100% + veilig is, mag aangenomen worden dat de suid- en sgid-binaire bestanden van een standaardsysteem redelijk veilig zijn. Toch worden er nog wel eens <username>root</username> gaten gevonden in deze bestanden. Zo is er in 1998 een <username>root</username> gat @@ -738,9 +738,9 @@ het systeem op een hoger veiligheidsniveau te draaien maar het aanzetten van de vlag <literal>schg</literal> voor elk systeembestand en -map onder de zon over te slaan. Een andere - mogelijkheid is om <filename>/</filename> en - <filename>/usr</filename> simpelweg als alleen-lezen aan te - koppelen. Het dient opgemerkt te worden dat het te draconisch + mogelijkheid is om <filename class="directory">/</filename> en + <filename class="directory">/usr</filename> simpelweg als alleen-lezen + aan te koppelen. Het dient opgemerkt te worden dat het te draconisch zijn over wat is toegestaan het belangrijke detecteren van een inbraak kan verhinderen.</para> </sect2> @@ -753,9 +753,9 @@ maar tot een bepaald punt beveiligd worden zonder dat het minder prettig werken wordt. Zo werk het zetten van de <literal>schg</literal> bit met <command>chflags</command> op - de meeste bestanden in <filename>/</filename> en - <filename>/usr</filename> waarschijnlijk averechts, omdat, - hoewel de bestanden beschermd zijn, ook het venster waarin + de meeste bestanden in <filename class="directory">/</filename> en + <filename class="directory">/usr</filename> waarschijnlijk averechts, + omdat, hoewel de bestanden beschermd zijn, ook het venster waarin detectie plaats kan vinden is gesloten. De laatste laag van beveiliging is waarschijnlijk de meest belangrijke: detectie. Alle overige beveiliging is vrijwel waardeloos (of nog erger: @@ -798,15 +798,15 @@ als &man.find.1; en &man.md5.1;. We adviseren minstens één keer per dag een md5 te maken van alle bestanden op de cliëntmachine en van instellingenbestanden - als in <filename>/etc</filename> en - <filename>/usr/local/etc</filename> zelfs vaker. Als er - verschillen worden aangetroffen ten opzichte van de basis md5 + als in <filename class="directory">/etc</filename> en + <filename class="directory">/usr/local/etc</filename> zelfs vaker. + Als er verschillen worden aangetroffen ten opzichte van de basis md5 informatie op het systeem met beperkte toegang, dan hoort het script te gillen om een beheerder die het moet gaan uitzoeken. Een goed beveiligingsscript controleert ook op onverwachte suid-bestanden en op nieuwe en verwijderde bestanden op - systeempartities als <filename>/</filename> en - <filename>/usr</filename>.</para> + systeempartities als <filename class="directory">/</filename> en + <filename class="directory">/usr</filename>.</para> <para>Als <application>ssh</application> in plaats van NFS wordt gebruikt, dan is het schrijven van het script lastiger. Dan @@ -1780,7 +1780,8 @@ <para>Dit hoeft alleen op de Kerberos gedaan te worden. Er dienen geen oude Kerberos databases rond te slingeren. - Controleer in de map <filename>/etc/kerberosIV</filename> of de + Controleer in de map <filename + class="directory">/etc/kerberosIV</filename> of de volgende bestanden aanwezig zijn:</para> <screen>&prompt.root; <userinput>cd /etc/kerberosIV</userinput> @@ -1960,8 +1961,8 @@ definiëren geëxtraheerd worden. Dat kan met het commando <command>ext_srvtab</command>. Dit commando maakt een bestand aan dat <emphasis>veilig</emphasis> gekopieerd moet - worden naar de map <filename>/etc</filename> van iedere - Kerberos-cliënt. Dit bestand moet aanwezig zijn op iedere + worden naar de map <filename class="directory">/etc</filename> van + iedere Kerberos-cliënt. Dit bestand moet aanwezig zijn op iedere server en op iedere cliënt en is van doorslaggevend belang voor de werking van Kerberos.</para> @@ -1985,8 +1986,8 @@ <filename><replaceable>client</replaceable>-new-srvtab</filename> dan naar een verwijderbaar medium gekopieerd worden en dan fysiek veilig getransporteerd worden. Op de cliënt dient - het bestand <filename>srvtab</filename> te heten in de map - <filename>/etc</filename> en in modus 600 te staan:</para> + het bestand <filename>srvtab</filename> te heten in de map <filename + class="directory">/etc</filename> en in modus 600 te staan:</para> <screen>&prompt.root; <userinput>mv grumble-new-srvtab srvtab</userinput> &prompt.root; <userinput>chmod 600 srvtab</userinput></screen> @@ -2037,7 +2038,7 @@ gemaakt, dan gebeurt dit automatisch na een herstart. Dit hoeft alleen ingesteld te worden op de Kerberos server. Kerberos cliënten vinden automatisch wat ze zoeken in de - map <filename>/etc/kerberosIV</filename>.</para> + map <filename class="directory">/etc/kerberosIV</filename>.</para> <screen>&prompt.root; <userinput>kerberos &</userinput> Kerberos server starting @@ -2893,7 +2894,7 @@ url="http://web.mit.edu/Kerberos/www/"></ulink>) te volgen. Wees voorzichtig met paden: de <acronym>MIT</acronym>-port installeert standaard in - <filename>/usr/local/</filename> en dus kunnen de + <filename class="directory">/usr/local/</filename> en dus kunnen de <quote>normale</quote> systeemapplicaties gestart worden in plaats van die van <acronym>MIT</acronym> als de <envar>PATH</envar> omgevingsvariabele de systeemmappen als @@ -2962,8 +2963,8 @@ <para>In een meergebruikersomgeving is <application>Kerberos</application> minder veilig. Dit komt doordat de tickets worden opgeslagen in de map - <filename>/tmp</filename>, waar gelezen kan worden door - alle gebruikers. Als een gebruiker een computer deelt met + <filename class="directory">/tmp</filename>, waar gelezen kan worden + door alle gebruikers. Als een gebruiker een computer deelt met andere gebruikers op hetzelfde moment (dus multi-user), dan is het mogelijk dat een ticket van een gebruiker wordt gestolen (gekopieerd) door een andere gebruiker.</para> @@ -3967,7 +3968,8 @@ <para>Het instellingenbestand dat voor het hele systeem geldt voor zowel de <application>OpenSSH</application> daemon als - cliënt staat in de map <filename>/etc/ssh</filename>.</para> + cliënt staat in de map <filename + class="directory">/etc/ssh</filename>.</para> <para><filename>ssh_config</filename> bevat de instellingen voor de cliënt en <filename>sshd_config</filename> bevat ze voor @@ -4414,10 +4416,11 @@ drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html</programlisting> <para>Hierboven is te zien dat mappen - <filename>directory1</filename>, <filename>directory2</filename> - en <filename>directory3</filename> allemaal gebruik maken van - <acronym>ACL</acronym>s. De map <filename>public_html</filename> - doet dat niet.</para> + <filename class="directory">directory1</filename>, + <filename class="directory">directory2</filename> en + <filename class="directory">directory3</filename> allemaal gebruik maken + van <acronym>ACL</acronym>s. De map <filename + class="directory">public_html</filename> doet dat niet.</para> <sect2> <title>Gebruik maken van <acronym>ACL</acronym>s</title> @@ -4684,8 +4687,8 @@ uitgaven van &os; door deze kwetsbaarheid worden getroffen. Voor de kernel kan snel gekeken worden naar de uitvoer van <command>ident</command> voor de betreffende bestanden om - te bepalen welke revisie ze hebben. Voor ports is het - versienummer te zien in <filename>/var/db/pkg</filename>. + te bepalen welke revisie ze hebben. Voor ports is het versienummer + te zien in <filename class="directory">/var/db/pkg</filename>. Als het systeem niet gelijk op loopt met het &os; <acronym>CVS</acronym> depot en dagelijks herbouwd wordt, dan is de kans groot dat het systeem kwetsbaar is.</para>
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?201001151825.o0FIPiEh001306>