Date: Tue, 15 Mar 2016 19:03:29 +0000 (UTC) From: Bjoern Heidotting <bhd@FreeBSD.org> To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48419 - head/de_DE.ISO8859-1/books/handbook/security Message-ID: <201603151903.u2FJ3Tg6042184@repo.freebsd.org>
next in thread | raw e-mail | index | archive | help
Author: bhd Date: Tue Mar 15 19:03:29 2016 New Revision: 48419 URL: https://svnweb.freebsd.org/changeset/doc/48419 Log: Update to r42014 Reviewed by: bcr Differential Revision: https://reviews.freebsd.org/D5640 Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Tue Mar 15 17:37:39 2016 (r48418) +++ head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Tue Mar 15 19:03:29 2016 (r48419) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $ - basiert auf: r41320 + basiert auf: r42014 --> <chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="security"> <info><title>Sicherheit</title> @@ -25,22 +25,19 @@ <title>Übersicht</title> <para>Dieses Kapitel bietet eine Einführung in die Konzepte - der Systemsicherheit. Neben einigen Daumenregeln werden - weiterführende Themen wie S/Key, OpenSSL und Kerberos - diskutiert. Die meisten der hier besprochenen Punkte treffen - sowohl auf die Systemsicherheit sowie die Internetsicherheit zu. - Das Internet hat aufgehört ein <quote>friedlicher</quote> - Ort zu sein, an dem Sie nur nette Leute finden werden. Es ist - unumgänglich, dass Sie Ihre Daten, Ihr geistiges Eigentum, - Ihre Zeit und vieles mehr vor dem Zugriff von Hackern - schützen.</para> - - <para>&os; besitzt eine Reihe von Werkzeugen und Mechanismen, um die - Integrität und die Sicherheit Ihrer Systeme und Netzwerke - zu gewährleisten.</para> + der Systemsicherheit. Des weiteren werden einige allgemeine + Daumenregeln und einige fortgeschrittene Themen unter &os; + behandelt. Viele der hier besprochenen Punkte treffen sowohl + auf die Systemsicherheit als auch auf die Internetsicherheit zu. + Die Absicherung eines Systems ist unumgänglich, um Daten, + geistiges Eigentum, Zeit und vieles mehr vor Hackern und + dergleichen zu schützen.</para> + + <para>&os; besitzt eine Reihe von Werkzeugen und Mechanismen, um + die Integrität und die Sicherheit des Systems und des Netzwerks + zu schützen.</para> - <para>Nachdem Sie dieses Kapitel durchgearbeitet haben, werden - Sie:</para> + <para>Nachdem Sie dieses Kapitel gelesen haben, werden Sie:</para> <itemizedlist> <listitem> @@ -50,8 +47,7 @@ <listitem> <para>Die verschiedenen Verschlüsselungsmechanismen - von &os;, wie <acronym>DES</acronym> oder - <acronym>MD5</acronym>, kennen.</para> + von &os; kennen.</para> </listitem> <listitem> @@ -60,36 +56,33 @@ </listitem> <listitem> - <para><acronym>TCP</acronym>-Wrapper für - <application>inetd</application> einrichten können.</para> + <para><acronym>TCP</acronym>-Wrapper für &man.inetd.8; + einrichten können.</para> </listitem> <listitem> - <para>Wissen, wie Sie <application>Kerberos5</application> + <para>Wissen, wie Sie <application>Kerberos</application> unter &os; einrichten.</para> </listitem> <listitem> - <para>Firewalls mit <acronym>IPFW</acronym> - erstellen können.</para> + <para>Wissen, wie Sie IPsec konfigurieren und ein + <acronym>VPN</acronym> einrichten.</para> </listitem> <listitem> - <para>Wissen, wie Sie IPsec konfigurieren und ein - <acronym>VPN</acronym> zwischen &os;/&windows; - Systemen einrichten,</para> + <para>Wissen, wie Sie <application>OpenSSH</application> unter + &os; konfigurieren und benutzen.</para> </listitem> <listitem> - <para><application>OpenSSH</application>, &os;s - Implementierung von <acronym>SSH</acronym>, konfigurieren - und benutzen können.</para> + <para>Wissen, wie Sie <acronym>ACL</acronym>s für Dateisysteme + benutzen.</para> </listitem> <listitem> <para><application>Portaudit</application> anwenden können, - um Softwarepakete Dritter, die Sie über die - Ports-Sammlung installieren, auf bekannte + um Softwarepakete aus der Ports-Sammlung auf bekannte Sicherheitslücken hin zu überprüfen.</para> </listitem> @@ -99,8 +92,13 @@ <listitem> <para>Eine Vorstellung davon haben, was Prozessüberwachung - (<foreignphrase>Process Accounting</foreignphrase>) ist und wie - Sie diese Funktion unter &os; aktivieren können.</para> + (<foreignphrase>Process Accounting</foreignphrase>) ist und + wie Sie diese Funktion unter &os; aktivieren können.</para> + </listitem> + + <listitem> + <para>Wissen, wie Sie die Ressourcen-Datenbank benutzt, um die + Ressourcen für Benutzer zu steuern.</para> </listitem> </itemizedlist> @@ -114,33 +112,26 @@ </itemizedlist> <para>Dieses Buch behandelt weitere Sicherheitsthemen. - Beispielsweise werden vorgeschriebene Zugriffskontrollen - in <xref linkend="mac"/> und Firewalls in + Beispielsweise werden verbindliche Zugriffskontrollen + im <xref linkend="mac"/> und Firewalls im <xref linkend="firewalls"/> besprochen.</para> </sect1> <sect1 xml:id="security-intro"> <title>Einführung</title> - <para>Sicherheit ist ein Konzept, das beim Systemadministrator anfängt - und aufhört. Obwohl alle BSD &unix; Mehrbenutzersysteme über - Sicherheitsfunktionen verfügen, ist es wohl eine der - größten Aufgaben eines Systemadministrators zusätzliche - Sicherheitsmechanismen zu erstellen und zu pflegen. Maschinen sind - nur so sicher wie sie gemacht werden und Sicherheitsanforderungen - stehen oft der Benutzerfreundlichkeit entgegen. Auf &unix; Systemen - können sehr viele Prozesse gleichzeitig laufen und viele dieser - Prozesse sind Server, das heißt von außen kann auf sie - zugegriffen werden. In einer Zeit, in der die Minicomputer und - Mainframes von gestern die Desktops von heute sind und Rechner - immer mehr vernetzt werden, kommt der Sicherheit eine große - Bedeutung zu.</para> + <para>Sicherheit ist ein Konzept, das beim Systemadministrator + anfängt und aufhört. Obwohl &os; über Sicherheitsfunktionen + verfügt, ist die Erstellung und Pflege von zusätzlichen + Sicherheitsmechanismen wohl eine der größten Aufgaben eines + Systemadministrators.</para> <para>Zur Systemsicherheit gehört auch die Beschäftigung mit verschiedenen Arten von Angriffen, auch solchen, die versuchen, ein System still zu legen, oder sonst unbrauchbar zu machen ohne - <systemitem class="username">root</systemitem> zu kompromittieren. Sicherheitsaspekte - lassen sich in mehrere Kategorien unterteilen:</para> + <systemitem class="username">root</systemitem> zu + kompromittieren. Sicherheitsaspekte lassen sich in mehrere + Kategorien unterteilen:</para> <orderedlist> <listitem> @@ -152,8 +143,9 @@ </listitem> <listitem> - <para>Kompromittierter <systemitem class="username">root</systemitem>-Account durch - zugreifbare Server.</para> + <para>Kompromittierter <systemitem + class="username">root</systemitem>-Account durch + zugängliche Server.</para> </listitem> <listitem> @@ -167,32 +159,30 @@ </orderedlist> <indexterm> - <primary>DoS Angriffe</primary> + <primary>DoS-Angriffe</primary> <see>Denial-of-Service (DoS)</see> </indexterm> <indexterm> <primary>Sicherheit</primary> - <secondary>DoS Angriffe</secondary> + <secondary>DoS-AAngriffe</secondary> <see>Denial-of-Service (DoS)</see> </indexterm> <indexterm><primary>Denial-of-Service (DoS)</primary></indexterm> - <para>Ein Denial-of-Service (Verhinderung von Diensten, DoS) Angriff + <para>Ein Denial-of-Service <acronym>DoS</acronym>-Angriff entzieht einer Maschine Ressourcen, die sie zur Bereitstellung - von Diensten benötigt. Meist versuchen Denial-of-Service Angriffe - die Dienste oder den Netzwerkstack einer Maschine zu überlasten, - um so die Maschine auszuschalten oder nicht nutzbar zu machen. Einige - Angriffe versuchen, Fehler im Netzwerkstack auszunutzen, und die - Maschine mit einem einzigen Paket auszuschalten. Diese Art des - Angriffs kann nur verhindert werden, indem der entsprechende Fehler - im Kernel behoben wird. Oft können Angriffe auf Dienste durch - die Angabe von Optionen verhindert werden, die die Last, die ein - Dienst auf das System unter widrigen Umständen ausüben kann, - begrenzt. Angriffen auf das Netzwerk ist schwerer zu begegnen. - Außer durch Trennen der Internetverbindung ist zum Beispiel - einem Angriff mit gefälschten Paketen nicht zu begegnen. - Diese Art von Angriff wird Ihr System zwar nicht unbrauchbar machen, - kann aber die Internetverbindung sättigen.</para> + von Diensten benötigt. Meist versuchen + <acronym>DoS</acronym>-Angriffe die Dienste oder den + Netzwerkstack einer Maschine zu überlasten, um so die Maschine + auszuschalten oder nicht nutzbar zu machen. Oft können + Angriffe auf Dienste durch die Angabe von Optionen verhindert + werden, die die Last, die ein Dienst auf das System unter + widrigen Umständen ausüben kann, begrenzt. Angriffen auf das + Netzwerk ist schwerer zu begegnen. Außer durch Trennen der + Internetverbindung ist zum Beispiel einem Angriff mit + gefälschten Paketen nicht zu begegnen. Diese Art von Angriff + wird das System zwar nicht unbrauchbar machen, kann aber die + Internetverbindung sättigen.</para> <indexterm> <primary>Sicherheit</primary> @@ -200,25 +190,20 @@ </indexterm> <para>Kompromittierte Accounts kommen noch häufiger als - DoS Angriffe vor. Viele Systemadministratoren lassen auf ihren - Maschinen noch die Dienste <application>telnetd</application>, - <application>rlogind</application>, <application>rshd</application> - und <application>ftpd</application> laufen. Verbindungen zu diesen - Servern werden nicht verschlüsselt. Wenn Sie eine - größere Benutzerzahl auf Ihrem System haben, die sich von - einem entfernten System anmelden, ist die Folge davon, dass - das Passwort eines oder mehrerer Benutzer ausgespäht wurde. - Ein aufmerksamer Systemadministrator wird die Logs über Anmeldungen - von entfernten Systemen auf verdächtige Quelladressen, auch - für erfolgreiche Anmeldungen, untersuchen.</para> - - <para>Es ist immer davon auszugehen, dass ein Angreifer, der - Zugriff auf einen Account hat, Zugang zum - <systemitem class="username">root</systemitem>-Account erlangt. Allerdings gibt der - Zugriff auf einen Account auf einem gut gesicherten und - gepflegten System nicht notwendig Zugriff auf den - <systemitem class="username">root</systemitem>-Account. Diese Unterscheidung ist wichtig, - da ein Angreifer, der keinen Zugang zu <systemitem class="username">root</systemitem> + <acronym>DoS</acronym>-Angriffe vor. Viele + Systemadministratoren lassen immer noch unverschlüsselte Dienste + laufen, was zur Folge hat, dass das Passwort von Benutzern, die + sich von einem entfernten Standort anmelden, leicht ausgespäht + werden kann. Ein aufmerksamer Systemadministrator wird die + Logdateien über Anmeldungen von entfernten Systemen auf + verdächtige Quelladressen, auch für erfolgreiche Anmeldungen, + untersuchen.</para> + + <para>Allerdings gibt der Zugriff auf einen Account auf einem gut + gesicherten und gepflegten System nicht notwendig Zugriff auf + den <systemitem class="username">root</systemitem>-Account. + Diese Unterscheidung ist wichtig, da ein Angreifer, der keinen + Zugang zu <systemitem class="username">root</systemitem> besitzt, seine Spuren nicht verwischen kann. Er kann höchstens die Dateien des betreffenden Benutzers verändern oder die Maschine stilllegen. Kompromittierte Accounts sind sehr @@ -240,21 +225,7 @@ ihm erlaubt, <systemitem class="username">root</systemitem> zu werden, wenn er einmal einen Account kompromittiert hat. Wenn ein Angreifer einen Weg gefunden hat, <systemitem class="username">root</systemitem> zu werden, braucht er - vielleicht keine Hintertür auf dem System installieren. - Viele der heute - bekannten und geschlossenen Sicherheitslöcher, die zu einem - <systemitem class="username">root</systemitem> Zugriff führen, verlangen vom Angreifer - einen erheblichen Aufwand, um seine Spuren zu verwischen. Aus diesem - Grund wird er sich wahrscheinlich entschließen, eine Hintertür - (engl. <foreignphrase>Backdoor</foreignphrase>) zu installieren. - Eine Hintertür erlaubt es - dem Angreifer leicht auf den <systemitem class="username">root</systemitem>-Account - zuzugreifen. Einem klugen Systemadministrator erlaubt sie allerdings - auch, den Einbruch zu entdecken. Wenn Sie es einem Angreifer verwehren, - Hintertüren zu installieren, kann das schädlich für - Ihre Sicherheit sein, da es vielleicht verhindert, dass die - Lücke, die der Angreifer für den Einbruch ausgenutzt hat, - entdeckt wird.</para> + vielleicht keine Hintertür auf dem System installieren.</para> <para>Sicherheitsmaßnahmen sollten immer in mehreren Schichten angelegt werden. Die Schichten können wie folgt eingeteilt @@ -262,8 +233,8 @@ <orderedlist> <listitem> - <para>Absichern von <systemitem class="username">root</systemitem> und - Accounts.</para> + <para>Absichern von <systemitem + class="username">root</systemitem>-Accounts.</para> </listitem> <listitem> @@ -272,7 +243,7 @@ </listitem> <listitem> - <para>Absichern von Accounts.</para> + <para>Absichern von Benutzer-Accounts.</para> </listitem> <listitem> @@ -306,91 +277,69 @@ <secondary>&os; absichern</secondary> </indexterm> - <note> - <title>Kommandos und Protokolle</title> - <para>In diesem Abschnitt werden Anwendungen - <application>fett</application> gekennzeichnet, spezifische - Kommandos werden in einer <command>Fixschrift</command> - dargestellt und Protokolle verwenden die normale Schriftart. - Diese typographische Konvention hilft, Begriffe wie ssh - zu unterscheiden, die sowohl Protokoll als auch Kommando - sein können.</para> - </note> - - <para>Die folgenden Abschnitte behandeln die im - <link linkend="security-intro">letzten Abschnitt</link> erwähnten - Methoden Ihr &os;-System zu sichern.</para> + <para>Dieser Abschnitt behandelt die im + <link linkend="security-intro">letzten Abschnitt</link> + erwähnten Methoden zur Absicherung eines &os;-Systems.</para> <sect2 xml:id="securing-root-and-staff"> <title>Absichern von <systemitem class="username">root</systemitem> und Accounts</title> <indexterm> - <primary><command>su</command></primary> + <primary>&man.su.1;</primary> </indexterm> - <para>Zuallererst, kümmern Sie sich nicht um die Absicherung - von Accounts, wenn Sie <systemitem class="username">root</systemitem> - noch nicht abgesichert haben. Auf den meisten Systemen ist - <systemitem class="username">root</systemitem> ein Passwort zugewiesen. Sie - sollten <emphasis>immer</emphasis> davon ausgehen, dass - dieses Passwort kompromittiert ist. Das heißt nicht, - dass Sie das Passwort entfernen sollten, da es meist - für den Konsolenzugriff notwendig ist. Vielmehr heißt - es, dass Sie das Passwort nicht außerhalb der - Konsole, auch nicht zusammen mit &man.su.1;, verwenden sollten. - Stellen Sie sicher, dass Ihre PTYs in <filename>ttys</filename> als - unsicher markiert sind und damit Anmeldungen von - <systemitem class="username">root</systemitem> mit <command>telnet</command> oder - <command>rlogin</command> verboten sind. Wenn Sie andere - Anwendungen wie <application>SSH</application> zum Anmelden - benutzen, vergewissern Sie sich, dass dort ebenfalls - Anmeldungen als <systemitem class="username">root</systemitem> verboten sind. Für - <application>SSH</application> editieren Sie - <filename>/etc/ssh/sshd_config</filename> und überprüfen, - dass <literal>PermitRootLogin</literal> auf <literal>no</literal> - gesetzt ist. Beachten Sie jede Zugriffsmethode – Dienste - wie FTP werden oft vergessen. Nur an der Systemkonsole sollte - ein direktes Anmelden als <systemitem class="username">root</systemitem> möglich - sein.</para> + <para>Auf den meisten Systemen ist <systemitem + class="username">root</systemitem> ein Passwort zugewiesen. + Sie sollten <emphasis>immer</emphasis> davon ausgehen, dass + dieses Passwort kompromittiert ist. Das heißt nicht, dass Sie + das Passwort entfernen sollten, da es meist für den + Konsolenzugriff notwendig ist. Vielmehr heißt es, dass Sie + das Passwort nicht außerhalb der Konsole, auch nicht zusammen + mit &man.su.1;, verwenden sollten. Stellen Sie sicher, dass + die PTYs in <filename>ttys</filename> als + <literal>insecure</literal> markiert sind und damit + Anmeldungen von <systemitem class="username">root</systemitem> + verboten sind. In &os; ist die Anmeldung für <systemitem + class="username">root</systemitem> über &man.ssh.1; in der + Voreinstellung deaktiviert, da in + <filename>/etc/ssh/sshd_config</filename> + <literal>PermitRootLogin</literal> auf <literal>no</literal> + gesetzt ist. Beachten Sie jede Zugriffsmethode – + Dienste wie FTP werden oft vergessen. Nur an der + Systemkonsole sollte ein direktes Anmelden als <systemitem + class="username">root</systemitem> möglich sein.</para> <indexterm> <primary><systemitem class="groupname">wheel</systemitem></primary> </indexterm> - <para>Natürlich müssen Sie als Systemadministrator - <systemitem class="username">root</systemitem>-Zugriff erlangen können. Dieser - sollte aber durch zusätzliche Passwörter - geschützt sein. Ein Weg, Zugang zu <systemitem class="username">root</systemitem> - zu ermöglichen, ist es, berechtigte Mitarbeiter in - <filename>/etc/group</filename> in die Gruppe - <systemitem class="groupname">wheel</systemitem> aufzunehmen. Die Personen, die - Mitglieder in der Gruppe <systemitem class="groupname">wheel</systemitem> sind, - können mit <command>su</command> zu <systemitem class="username">root</systemitem> - wechseln. Ihre Mitarbeiter sollten niemals die Gruppe - <systemitem class="groupname">wheel</systemitem> als primäre Gruppe in - <filename>/etc/passwd</filename> besitzen. Mitarbeiter sollten - der Gruppe <systemitem class="groupname">staff</systemitem> angehören und über - <filename>/etc/group</filename> in <systemitem class="groupname">wheel</systemitem> - aufgenommen werden. Es sollten auch nur die Mitarbeiter, die - wirklich <systemitem class="username">root</systemitem> Zugriff benötigen in - <systemitem class="groupname">wheel</systemitem> aufgenommen werden. Mit anderen - Authentifizierungsmethoden müssen Sie niemanden in - <systemitem class="groupname">wheel</systemitem> aufnehmen. Wenn Sie z.B. - <application>Kerberos</application> benutzen, wechseln Sie mit - &man.ksu.1; zu <systemitem class="username">root</systemitem> und der Zugriff wird - mit der Datei <filename>.k5login</filename> geregelt. Dies ist - vielleicht eine bessere Lösung, da es der - <systemitem class="groupname">wheel</systemitem>-Mechanismus einem Angreifer immer - noch möglich macht, den <systemitem class="username">root</systemitem>-Account - zu knacken, nachdem er einen Mitarbeiter-Account geknackt hat. - Obwohl der <systemitem class="groupname">wheel</systemitem>-Mechanismus besser als - gar nichts ist, ist er nicht unbedingt die sicherste Lösung.</para> + <para>Natürlich muss ein Systemadministrator + <systemitem class="username">root</systemitem>-Zugriff + erlangen können. Dieser sollte aber durch zusätzliche + Passwörter geschützt sein. Ein Weg, Zugang zu <systemitem + class="username">root</systemitem> zu ermöglichen, ist es, + berechtigte Mitarbeiter in <filename>/etc/group</filename> in + die Gruppe <systemitem class="groupname">wheel</systemitem> + aufzunehmen. Die Personen dieser Gruppe können mit + <command>su</command> zu <systemitem + class="username">root</systemitem> wechseln. Nur die + Mitarbeiter, die tatsächlich <systemitem + class="username">root</systemitem>-Zugriff benötigen, + sollten in die Gruppe <systemitem + class="groupname">wheel</systemitem> aufgenommen werden. + Wenn Sie Kerberos für die Authentifizierung benutzen, + erstellen Sie <filename>.k5login</filename> im + Heimatverzeichnis von <systemitem + class="username">root</systemitem>, damit &man.su.1; + verwendet werden kann, ohne jemanden in <systemitem + class="groupname">wheel</systemitem> aufnehmen zu + müssen.</para> - <para>Um ein Konto komplett zu sperren, verwenden Sie den Befehl + <para>Um ein Konto komplett zu sperren, verwenden Sie &man.pw.8;:</para> - <screen>&prompt.root;<userinput>pw lock staff</userinput></screen> + <screen>&prompt.root;<userinput>pw lock <replaceable>staff</replaceable></userinput></screen> <para>Danach ist es diesem Benutzer nicht mehr möglich (auch nicht mit &man.ssh.1;), sich anzumelden.</para> @@ -404,32 +353,30 @@ <programlisting>foobar:R9DT/Fa1/LV9U:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh</programlisting> - <para>wie folgt abgeändert werden:</para> + <para>mit &man.vipw.8; wie folgt abgeändert werden:</para> <programlisting>foobar:*:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh</programlisting> - <para>Durch diese Änderung wird der Benutzer - <systemitem class="username">foobar</systemitem> daran gehindert, sich auf - konventionellem Wege am System anzumelden. Diese - Maßnahmen greifen allerdings nicht, wenn das betroffene - System auch eine Anmeldung über - <application>Kerberos</application> oder &man.ssh.1; erlaubt.</para> - - <para>Diese Sicherheitsmechanismen setzen voraus, dass - Sie sich von einer restriktiven Maschine auf einer weniger restriktiven - Maschine anmelden. Wenn zum Beispiel auf Ihrem Hauptrechner alle - möglichen Arten von Servern laufen, so sollten auf Ihrer - Workstation keine Server laufen. Um Ihre Workstation vernünftig - abzusichern, sollten auf Ihr so wenig Server wie möglich bis hin - zu keinem Server laufen. Sie sollten zudem über einen - Bildschirmschoner verfügen, der mit einem Passwort - gesichert ist. Natürlich kann ein Angreifer, der physikalischen - Zugang zu einer Maschine hat, jede Art von Sicherheitsmechanismen - umgehen. Dieses Problem sollten Sie daher auch in Ihren - Überlegungen berücksichtigen. Beachten Sie dabei aber, - dass der Großteil der Einbrüche über das - Netzwerk erfolgt und die Einbrecher keinen Zugang zu der Maschine - besitzen.</para> + <para>Diese Änderung hindert den Benutzer <systemitem + class="username">foobar</systemitem> daran, sich auf + konventionellem Wege am System anzumelden. Diese Maßnahmen + greifen allerdings nicht, wenn das betroffene System auch + eine Anmeldung über <application>Kerberos</application> oder + &man.ssh.1; erlaubt.</para> + + <para>Diese Sicherheitsmechanismen setzen voraus, dass sich + Benutzer von einer restriktiven Maschine auf einer weniger + restriktiven Maschine anmelden. Wenn zum Beispiel auf dem + Hauptrechner alle möglichen Arten von Servern laufen, so + sollten auf der Workstation keine Server laufen. Um die + Workstation vernünftig abzusichern, sollten darauf so wenig + Server wie möglich bis hin zu keinem Server laufen. Sie + sollten zudem über einen Bildschirmschoner verfügen, der mit + einem Passwort gesichert ist. Natürlich kann ein Angreifer, + der physikalischen Zugang zu einer Maschine hat, jede Art von + Sicherheitsmechanismen umgehen. Beachten Sie, dass der + Großteil der Einbrüche über das Netzwerk erfolgt und die + Einbrecher keinen Zugang zu der Maschine besitzen.</para> <para>Mit <application>Kerberos</application> können Sie das Passwort eines Mitarbeiters an einer Stelle ändern @@ -443,8 +390,7 @@ Beschränkungen für Passwörter festlegen: Nicht nur das Ticket kann nach einiger Zeit ungültig werden, Sie können auch festlegen, dass ein Benutzer nach einer - bestimmten Zeit, z.B. nach einem Monat, das Passwort wechseln - muss.</para> + bestimmten Zeit das Passwort wechseln muss.</para> </sect2> <sect2> @@ -452,112 +398,39 @@ Servern und SUID/SGID Programmen</title> <indexterm> - <primary><command>ntalk</command></primary> - </indexterm> - <indexterm> - <primary><command>comsat</command></primary> - </indexterm> - <indexterm> - <primary><command>finger</command></primary> - </indexterm> - <indexterm> <primary>Sandkästen</primary> </indexterm> <indexterm> - <primary><application>sshd</application></primary> - </indexterm> - <indexterm> - <primary><application>telnetd</application></primary> - </indexterm> - <indexterm> - <primary><application>rshd</application></primary> - </indexterm> - <indexterm> - <primary><application>rlogind</application></primary> - </indexterm> - - <para>Ein kluger Systemadministrator lässt nur die - Dienste, die er wirklich braucht, laufen; nicht mehr und auch - nicht weniger. Beachten Sie, dass Server von Dritten die - fehleranfälligsten sind. Wenn Sie z.B. eine alte Version von - <application>imapd</application> oder <application>popper</application> - laufen lassen, ist das so, als würden Sie der ganzen Welt - freien Zugang zu <systemitem class="username">root</systemitem> geben. Lassen Sie keine - Server laufen, die Sie vorher nicht genau überprüft haben. - Viele Server müssen nicht unter <systemitem class="username">root</systemitem> - laufen, zum Beispiel können <application>ntalk</application>, - <application>comsat</application> und <application>finger</application> - in speziellen <firstterm>Sandkästen</firstterm> unter - einem Benutzer laufen. Ein Sandkasten ist keine perfekte Lösung, - wenn Sie nicht eine Menge Arbeit in die Konfiguration investieren, - doch bewährt sich hier das Prinzip, die Sicherheit in Schichten - aufzubauen. Wenn es einem Angreifer gelingt, in einen Server, - der in einem Sandkasten läuft, einzubrechen, dann muss - er immer noch aus dem Sandkasten selber ausbrechen. Je mehr Schichten - der Angreifer zu durchbrechen hat, desto kleiner sind seine Aussichten - auf Erfolg. In der Vergangenheit wurden praktisch in jedem - Server, der unter <systemitem class="username">root</systemitem> läuft, Lücken - gefunden, die zu einem <systemitem class="username">root</systemitem> Zugriff führten. - Dies betrifft selbst die grundlegenden Systemdienste. Wenn Sie eine - Maschine betreiben, auf der man sich nur mit - <application>SSH</application> anmelden kann, dann stellen Sie die - Dienste <application>telnetd</application>, - <application>rshd</application> oder <application>rlogind</application> - ab!</para> - - <para>In der Voreinstellung laufen unter &os; - <application>ntalkd</application>, <application>comsat</application> - und <application>finger</application> nun in einem Sandkasten. Ein - weiteres Programm, das in einem Sandkasten laufen sollte, ist - &man.named.8;. In <filename>/etc/defaults/rc.conf</filename> sind - die notwendigen Argumente, um <application>named</application> in - einem Sandkasten laufen zu lassen, in kommentierter Form schon - enthalten. Abhängig davon, ob Sie ein neues System installieren - oder ein altes System aktualisieren, sind die hierfür - benötigten Benutzer noch nicht installiert. - Ein kluger Systemadministrator sollte immer nach Möglichkeiten - suchen, Server in einem Sandkasten laufen zu lassen.</para> - <indexterm> - <primary><application>sendmail</application></primary> + <primary>&man.sshd.8;</primary> </indexterm> - <para>Einige Server wie <application>sendmail</application>, - <application>popper</application>, <application>imapd</application> - und <application>ftpd</application> werden normalerweise nicht in - Sandkästen betrieben. Zu einigen Servern gibt es Alternativen, - aber diese wollen Sie vielleicht wegen der zusätzlich nötigen - Arbeit nicht installieren (ein weiteres Beispiel für den - Widerspruch zwischen Sicherheit und Benutzerfreundlichkeit). - In diesem Fall müssen Sie die - Server unter <systemitem class="username">root</systemitem> laufen lassen und auf die - eingebauten Mechanismen vertrauen, Einbrüche zu entdecken.</para> - - <para>Weitere potentielle Löcher, die zu einem - <systemitem class="username">root</systemitem>-Zugriff führen können, sind - die auf dem System installierten SUID- und SGID-Programme. Die - meisten dieser Programme wie <application>rlogin</application> stehen - in <filename>/bin</filename>, - <filename>/sbin</filename>, - <filename>/usr/bin</filename>, oder - <filename>/usr/sbin</filename>. - Obwohl nichts 100% sicher ist, können Sie davon ausgehen, - dass die SUID- und SGID-Programme des Basissystems ausreichend - sicher sind. Allerdings werden ab und an in diesen Programmen - Löcher gefunden. 1998 wurde in <literal>Xlib</literal> ein - Loch gefunden, das <application>xterm</application>, der - normal mit SUID installiert wird, verwundbar machte. Es ist besser - auf der sicheren Seite zu sein, als sich später zu beklagen, - darum wird ein kluger Systemadministrator den Zugriff auf - SUID-Programme mit einer Gruppe, auf die nur Mitarbeiter zugreifen - können, beschränken. SUID-Programme, die niemand benutzt, - sollten mit <command>chmod 000</command> deaktiviert werden. Zum - Beispiel braucht ein Server ohne Bildschirm kein - <application>xterm</application> Programm. SGID-Programme sind + <para>Ein kluger Systemadministrator lässt nur die wirklich + benötigten Dienste laufen und ist sich darüber im Klaren, dass + Server von Dritten oft die fehleranfälligsten sind. Lassen + Sie keine Server laufen, die Sie vorher nicht genau überprüft + haben. Denken Sie zweimal darüber nach, bevor Sie einen + Dienst als <systemitem class="username">root</systemitem> + laufen lassen. Viele Daemonen können unter einem separaten + Dienstkonto, oder in einem Sandkasten ausgeführt werden. + Aktivieren Sie keine unsicheren Dienste, wie &man.telnetd.8; + oder &man.rlogind.8;.</para> + + <para>Ein weiteres potentielles Risiko sind SUID- und + SGID-Programme. Die meisten dieser Programme, wie + &man.rlogin.1; stehen in <filename>/bin</filename>, + <filename>/sbin</filename>, <filename>/usr/bin</filename>, + oder <filename>/usr/sbin</filename> zur Verfügung. Obwohl + nichts 100% sicher ist, können Sie davon ausgehen, dass die + SUID- und SGID-Programme des Basissystems ausreichend + sicher sind. Es wird empfohlen, den Zugriff auf + SUID-Programme mit einer Gruppe, auf die nur Mitarbeiter + zugreifen können, zu beschränken. SUID-Programme, die niemand + benutzt, sollten gelöscht werden. SGID-Programme sind vergleichbar gefährlich. Wenn ein Einbrecher Zugriff auf - SGID-<systemitem class="groupname">kmem</systemitem> Programm erhält, kann er - vielleicht <filename>/dev/kmem</filename> und damit die - verschlüsselte Passwortdatei lesen. Dies kompromittiert - unter Umständen jeden Account, der mit einem Passwort + SGID-<systemitem class="groupname">kmem</systemitem> Programm + erhält, kann er vielleicht <filename>/dev/kmem</filename> und + damit die verschlüsselte Passwortdatei lesen. Dies + kompromittiert unter Umständen jeden Account, der mit einem Passwort geschützt ist. Alternativ kann ein Einbrecher, der in die Gruppe <systemitem class="groupname">kmem</systemitem> eingebrochen ist, die Tastendrücke auf PTYs verfolgen. Dies schließt @@ -571,29 +444,22 @@ </sect2> <sect2 xml:id="secure-users"> - <title>Absichern von Accounts</title> + <title>Absichern von Benutzer-Accounts</title> <para>Accounts sind für gewöhnlich sehr schwierig - abzusichern. Während Sie drakonische Beschränkungen - für Ihre Mitarbeiter einrichten und deren Passwörter - als ungültig markieren können, werden Sie das - vielleicht bei den normalen Accounts nicht durchsetzen. - Wenn Sie über ausreichend Macht verfügen, gelingt es Ihnen - vielleicht doch, ansonsten müssen Sie diese Accounts - aufmerksam überwachen. Wegen der zusätzlichen - Administrationsarbeit und der nötigen technischen - Unterstützung ist die Verwendung von - <application>SSH</application> und <application>Kerberos</application> - mit normalen Accounts erschwert, obwohl das natürlich - sicherer als die Verwendung von verschlüsselten - Passwörtern ist.</para> + abzusichern. Seien Sie daher aufmerksam bei der Überwachung + der Benutzerkonten. Die Verwendung von &man.ssh.1; und + <application>Kerberos</application> erfordert zwar zusätzliche + Administration und technische Unterstützung, ist aber + verglichen mit der verschlüsselten Passwort-Datei die bessere + Lösung.</para> </sect2> <sect2> <title>Absichern der Passwort-Datei</title> - <para>Der einzig sichere Weg ist, so viele Accounts wie möglich als - ungültig zu markieren und <application>SSH</application> oder + <para>Der einzig sichere Weg ist, so viele Accounts wie möglich + als ungültig zu markieren und &man.ssh.1; oder <application>Kerberos</application> zu benutzen, um auf sie zuzugreifen. Obwohl die Datei <filename>/etc/spwd.db</filename>, die die verschlüsselten Passwörter enthält, @@ -601,88 +467,79 @@ Angreifer lesenden Zugriff auf diese Datei erlangen, ohne die Fähigkeit sie auch zu beschreiben.</para> - <para>Ihre Überwachungsskripten sollten Änderungen - an der Passwort-Datei melden (siehe <link linkend="security-integrity">Überprüfen der - Integrität von Dateien</link> weiter unten).</para> + <para>Überwachungsskripten sollten Änderungen + an der Passwort-Datei melden. Dies wird in <link + linkend="security-integrity">Überprüfen der Integrität von + Dateien</link> beschrieben.</para> </sect2> <sect2> <title>Absichern des Kernels, der Geräte und von Dateisystemen</title> - <para>Wenn ein Angreifer <systemitem class="username">root</systemitem>-Zugriff erlangt, - kann er so ziemlich alles mit Ihrem System anstellen, doch sollten Sie - es ihm nicht zu leicht machen. Die meisten modernen Kernel haben - zum Beispiel einen Gerätetreiber, der es erlaubt, Pakete - abzuhören. Unter &os; wird das Gerät - <filename>bpf</filename> genannt. Für gewöhnlich - wird ein Angreifer versuchen, dieses Gerät zu nutzen, um - Pakete abzuhören. Sie sollten ihm diese Gelegenheit nicht - geben und auf den meisten Systemen ist das Gerät - <filename>bpf</filename> nicht nötig.</para> + <para>Die meisten modernen Kernel haben einen Gerätetreiber, + der es erlaubt, Pakete abzuhören. Unter &os; wird das Gerät + <filename>bpf</filename> genannt. Dieses Gerät ist für + <acronym>DHCP</acronym> erforderlich, kann aber in der + Kernelkonfigurationsdatei entfernt werden, wenn das System + kein <acronym>DHCP</acronym> anbietet.</para> <indexterm> - <primary><command>sysctl</command></primary> + <primary>&man.sysctl.8;</primary> </indexterm> - <para>Auch wenn Sie <filename>bpf</filename> nicht verwenden, + + <para>Auch wenn <filename>bpf</filename> deaktiviert ist, müssen Sie sich immer noch um <filename>/dev/mem</filename> und <filename>/dev/kmem</filename> sorgen. Außerdem kann der Angreifer immer noch auf die rohen Geräte (<foreignphrase>raw devices</foreignphrase>) - schreiben. Weiterhin gibt es ein Programm zum Nachladen von - Modulen in den Kernel: &man.kldload.8;. Ein unternehmungslustiger - Angreifer kann dies benutzen, um sein eigenes + schreiben. Ein Angreifer könnte &man.kldload.8; benutzen, um + sein eigenes <filename>bpf</filename> oder ein anderes zum Abhören geeignetes Gerät in den laufenden Kernel einzubringen. Um - dieses Problem zu vermeiden, müssen Sie den Kernel auf - einem höheren Sicherheitslevel laufen lassen, mindestens + diese Probleme zu vermeiden, lassen Sie den Kernel auf + einem höheren Sicherheitslevel laufen, mindestens auf securelevel 1.</para> <para>Das Securelevel des Kernels kann auf verschiedene Wege - gesetzt werden. Der einfachste Weg ist das erhöhen des - Securelevel des laufenden Kernels durch ein - <command>sysctl</command> der <varname>kern.securelevel</varname> - Kernel Variablen:</para> + gesetzt werden. Der einfachste Weg, den Securelevel des + laufenden Kernels zu erhöhen, ist das Setzen von + <varname>kern.securelevel</varname>:</para> <screen>&prompt.root; <userinput>sysctl kern.securelevel=1</userinput></screen> - <para>Standardmässig bootet der &os; Kernel mit einem + <para>In der Voreinstellung bootet der &os; Kernel mit einem Securelevel von -1. Der Securelevel wird solange bei -1 bleiben, bis er entweder durch den Administrator oder von &man.init.8; - durch einen Eintrag im Startup Script verändert wird. Der + durch einen Eintrag im Startskript verändert wird. Der Securelevel kann während des Systemstarts durch das Setzen - der Variable <varname>kern_securelevel_enable</varname> auf + von <varname>kern_securelevel_enable</varname> auf <literal>YES</literal> und der Wert der Variable <varname>kern_securelevel</varname> auf den gewünschten Securelevel in der <filename>/etc/rc.conf</filename> erhöht werden.</para> - <para>Der Standard Securelevel von einem &os;-System direkt nach - dem Start ist -1. Dies wird <quote>insecure mode</quote> genannt, - da zum Beispiel unverändeliche Dateiflags abgeschaltet werden - könnten, von allen Geräten gelesen und auf alle geschrieben - werden kann.</para> - <para>Sobald der Securelevel auf den Wert 1 oder höher gesetzt ist, werden die append-only und die unveränderlichen Dateien geschützt, die Flags können nicht abgeschaltet werden und der Zugriff auf raw Devices ist verboten. Höhere Levels - verbieten mehr Aktionen. Eine vollständige Liste - aller Securelevels finden Sie in &man.security.7;.</para> + verbieten sogar noch weitere Aktionen. Eine vollständige + Beschreibung aller Securelevels finden Sie in &man.security.7; + und &man.init.8;.</para> <note> <para>Das Erhöhen des Securelevels auf 1 oder höher - kann einige Probleme mit X11 verursachen (Zugriff auf - <filename>/dev/io</filename> wird geblockt), ebenso die Installation - von &os; aus den Quellen (der <buildtarget>installworld</buildtarget> - Teil muss zeitweilig die append-only und die - unveränderlichen Flags einiger Dateien zurücksetzen), - und auch noch in einigen anderen Fällen. Manchmal kann es, - wie bei X11, durch das sehr frühe Starten von &man.xdm.1; - im Boot Prozess möglich sein, dies zu umgehen, wenn der - Securelevel noch niedrig genug ist. - Workarounds wie dieser sind nicht f¨r alle Securelevels - und für alle Einschränkungen, die sie schaffen, + kann einige Probleme mit <application>&xorg;</application>, + verursachen, da der Zugriff auf <filename>/dev/io</filename> + geblockt wird, ebenso die Installation von &os; aus den + Quellen, da der <buildtarget>installworld</buildtarget> + Teil zeitweilig die append-only und die unveränderlichen + Flags einiger Dateien zurücksetzen muss. Manchmal kann es, + wie bei <application>&xorg;</application>, durch das sehr + frühe Starten von &man.xdm.1; im Boot Prozess möglich sein, + dies zu umgehen, wenn der Securelevel noch niedrig genug + ist. Workarounds wie dieser sind nicht für alle + Securelevels und für alle Einschränkungen, die sie schaffen, möglich. Ein bisschen Vorausplanung ist eine gute Idee. Das Verständnis für die Beschränkungen, die durch jedes Securelevel verursacht werden, ist wichtig, da sie @@ -694,20 +551,15 @@ <para>Wenn das Securelevel des Kernel auf einen Wert von 1 oder höher gesetzt ist, kann es sinnvoll sein das <literal>schg</literal> Flag auf kritische Startdateien, - Verzeichnisse und Scripte (z.B. alles was läuft bis zu - dem Punkt auf dem das Securelevel gesetzt ist) zu setzen. Dies - könnte etwas übertrieben sein, und auch das Upgrade - des Systems ist sehr viel schwerer, wenn es auf einem hohen - Securelevel läuft. Ein strengerer Kompromiss ist es, das - System auf einem höheren Securelevel laufen zu lassen, aber - keine <literal>schg</literal> Flags für alle Systemdateien - und Verzeichnisse zu setzen. Eine andere Möglichkeit ist es, - einfach die Verzeichnisse <filename>/</filename> und - <filename>/usr</filename> read-only zu mounten. - Es sei darauf hingewiesen, dass Sie nicht vor lauter Überlegen - das Wichtigste, nämlich die Entdeckung eines Eindringens, - vergessen.</para> - + Verzeichnisse und Skripte zu setzen. Ein weniger strenger + Kompromiss ist es, das System auf einem höheren Securelevel + laufen zu lassen, aber keine <literal>schg</literal> Flags für + alle Systemdateien und Verzeichnisse zu setzen. Eine andere + Möglichkeit ist es, die Verzeichnisse <filename>/</filename> + und <filename>/usr</filename> read-only zu mounten. Es sei + darauf hingewiesen, dass Sie nicht vor lauter Überlegen das + Wichtigste, nämlich die Entdeckung eines Eindringens, + vergessen.</para> </sect2> <sect2 xml:id="security-integrity"> @@ -722,14 +574,12 @@ Arbeit mehr behindern als nützen. Die Maßnahme schützt zwar die Dateien, schließt aber auch eine Möglichkeit, - Veränderungen zu entdecken, aus. Die letzte Schicht des - Sicherheitsmodells – das Aufdecken von Einbrüchen – - ist sicherlich die wichtigste. Alle Sicherheitsmaßnahmen sind - nichts wert, oder wiegen Sie in falscher Sicherheit, wenn Sie - nicht in der Lage sind, einen möglichen Einbruch zu entdecken. - Die Hälfte der Sicherheitsmaßnahmen hat die Aufgabe, - einen Einbruch zu verlangsamen, um es zu ermöglichen, den - Einbrecher auf frischer Tat zu ertappen.</para> + Veränderungen zu entdecken, aus. Sicherheitsmaßnahmen + sind nutzlos, oder schlimmer noch, vermitteln ein falsches + Gefühl von Sicherheit, wenn der potentielle Angreifer nicht + entdeckt wird. Die Aufgabe besteht nicht darin, den Angreifer + aufzuhalten, sondern seine Angriffe zu verzögern, um ihn dann + auf frischer Tat zu ertappen.</para> <para>Der beste Weg, einen Einbruch zu entdecken, ist es, nach veränderten, fehlenden oder unerwarteten Dateien zu suchen. @@ -890,14 +740,14 @@ <para><application>Sendmail</application> besitzt die Option <option>-OMaxDaemonChildren</option>, die besser als die eingebauten Optionen zur Begrenzung der Systemauslastung funktioniert. - Sie sollten beim Start von <application>sendmail</application> + Sie sollten beim Start von <application>Sendmail</application> <literal>MaxDaemonChildren</literal> so hoch setzen, dass Sie die erwartete Auslastung gut abfangen können. Allerdings sollten Sie den Wert nicht so hoch setzen, dass der Rechner über seine eigenen Füße fällt. Es ist auch klug, <application>Sendmail</application> im Queue-Modus (<option>-ODeliveryMode=queued</option>) laufen zu - lassen. Der Dæmon (<command>sendmail -bd</command>) sollte + lassen. Der Daemon (<command>sendmail -bd</command>) sollte getrennt von den Queue-Läufen (<command>sendmail -q15m</command>) laufen. Wenn Sie trotzdem eine sofortige Auslieferung der Post wünschen, können Sie die Queue in einem geringeren @@ -931,7 +781,7 @@ <application>named</application>, wenn Sie den primären Namensdienst für eine Zone anbieten, <application>ntalkd</application> oder - <application>sendmail</application> erlauben. Wenn Sie die + <application>Sendmail</application> erlauben. Wenn Sie die Firewall so konfigurieren, das sie in der Voreinstellung alle Zugriffe erlaubt, ist es sehr wahrscheinlich, dass Sie vergessen, eine Reihe von Diensten zu blockieren bzw. einen @@ -1172,6 +1022,7 @@ <sect1 xml:id="one-time-passwords"> <title>Einmalpasswörter</title> + <indexterm><primary>Einmalpasswörter</primary></indexterm> <indexterm> <primary>Sicherheit</primary> @@ -1179,98 +1030,89 @@ </indexterm> <para>In der Voreinstellung unterstützt &os; - OPIE (<foreignphrase>One-time Passwords in - Everything</foreignphrase>), das in der Regel MD5-Hash-Funktionen - einsetzt.</para> - - <para>Im Folgenden werden drei verschiedene - Passwörter verwendet. Das erste ist Ihr normales System- oder - Kerberos-Passwort und wird im Folgenden <quote>System-Passwort</quote> - genannt. Das zweite ist das Einmalpasswort, das bei OPIE von - <command>opiekey</command> generiert und von - <command>opiepasswd</command> und dem Login-Programm akzeptiert wird. - Im Folgenden wird es <quote>Einmalpasswort</quote> genannt. Das dritte - Passwort ist das geheime Passwort, das Sie mit + <foreignphrase>One-time Passwords in Everything</foreignphrase> + (<acronym>OPIE</acronym>), das in der Voreinstellung + MD5-Hash-Funktionen einsetzt.</para> + + <para>Es gibt drei verschiedene Arten von Passwörtern. Das erste + ist das normales &unix;- oder Kerberos-Passwort. Das zweite ist + das Einmalpasswort, das von <command>opiekey</command> generiert + und von <command>opiepasswd</command> und dem Anmeldeprompt + akzeptiert wird. Das dritte Passwort ist das + <quote>geheime Passwort</quote>, das mit <command>opiekey</command> (manchmal auch mit - <command>opiepasswd</command>) zum Erstellen - der Einmalpasswörter verwenden. Dieses Passwort - werden wir im Folgenden <quote>geheimes Passwort</quote> - oder schlicht <quote>Passwort</quote> nennen.</para> + <command>opiepasswd</command>) zum Erstellen der + Einmalpasswörter verwendet wird.</para> - <para>Das geheime Passwort steht in keiner Beziehung zu Ihrem - System-Passwort, beide können gleich sein, obwohl das nicht + <para>Das geheime Passwort steht in keiner Beziehung zum + &unix;-Passwort. Beide können gleich sein, obwohl das nicht empfohlen wird. Die geheimen Passwörter von - OPIE sind nicht auf eine Länge von 8 Zeichen, + <acronym>OPIE</acronym> sind nicht auf eine Länge von 8 Zeichen, wie alte &unix; Passwörter<footnote> <para>Unter &os; darf das System-Passwort maximal - 128 Zeichen lang sein.</para></footnote>, beschränkt. - Sie können so lang sein, wie Sie wollen. Gebräuchlich sind - Passwörter, die sich aus sechs bis sieben Wörtern - zusammensetzen. Das OPIE-System arbeitet - größtenteils unabhängig von den - auf &unix;-Systemen verwendeten Passwort-Mechanismen.</para> + 128 Zeichen lang sein.</para></footnote>, beschränkt. + Gebräuchlich sind Passwörter, die sich aus sechs bis sieben + Wörtern zusammensetzen. Das <acronym>OPIE</acronym>-System + arbeitet vollständig unabhängig von den auf &unix;-Systemen + verwendeten Passwort-Mechanismen.</para> <para>Neben dem Passwort gibt es noch zwei Werte, die für - OPIE wichtig sind. Der erste ist der - <quote>Initialwert</quote> (engl. <foreignphrase>seed</foreignphrase> - oder <foreignphrase>key</foreignphrase>), der aus zwei Buchstaben - und fünf Ziffern besteht. Der zweite Wert ist der - <quote>Iterationszähler</quote>, eine Zahl zwischen - 1 und 100. OPIE generiert das Einmalpasswort, indem + <acronym>OPIE</acronym> wichtig sind. Der erste ist der + <quote>Initialwert</quote> (engl. + <foreignphrase>seed</foreignphrase> oder + <foreignphrase>key</foreignphrase>), der aus zwei Buchstaben und + fünf Ziffern besteht. Der zweite Wert ist der + <quote>Iterationszähler</quote>, eine Zahl zwischen 1 und 100. + <acronym>OPIE</acronym> generiert das Einmalpasswort, indem es den Initialwert und das geheime Passwort aneinander hängt und dann die MD5-Hash-Funktion so oft, wie durch den Iterationszähler gegeben, anwendet. Das Ergebnis wird in - sechs englische Wörter umgewandelt, die Ihr Einmalpasswort - sind. Das Authentifizierungssystem (meistens PAM) merkt sich das - zuletzt benutzte Einmalpasswort und Sie sind authentisiert, - wenn die Hash-Funktion des Passworts dem vorigen Passwort - entspricht. Da nicht umkehrbare Hash-Funktionen benutzt werden, - ist es unmöglich, aus einem bekannten Passwort weitere - gültige Einmalpasswörter zu berechnen. Der - Iterationszähler wird nach jeder erfolgreichen Anmeldung um - eins verringert und stellt so die Synchronisation zwischen Benutzer - und Login-Programm sicher. Wenn der Iterationszähler den - Wert 1 erreicht, muss OPIE neu initialisiert werden.</para> - - <para>In jedem System werden mehrere Programme verwendet, die weiter - unten beschrieben werden. <command>opiekey</command> verlangt - einen Iterationszähler, einen Initialwert und ein geheimes - Passwort. Daraus generiert es ein Einmalpasswort oder eine Liste - von Einmalpasswörtern. <command>opiepasswd</command> wird - dazu benutzt, um OPIE zu initialisieren. Mit diesem Programm - können Passwörter, Iterationszähler oder - Initialwerte geändert werden. Als Parameter verlangt es + sechs englische Wörter umgewandelt, die das Einmalpasswort + ergeben. Das Authentifizierungssystem (meistens PAM) merkt sich + das zuletzt benutzte Einmalpasswort und der Benutzer ist + authentifiziert, wenn die Hash-Funktion des Passworts dem + vorigen Passwort entspricht. Da nicht umkehrbare + Hash-Funktionen benutzt werden, ist es unmöglich, aus einem + bekannten Passwort weitere gültige Einmalpasswörter zu + berechnen. Der Iterationszähler wird nach jeder erfolgreichen + Anmeldung um eins verringert und stellt so die Synchronisation *** DIFF OUTPUT TRUNCATED AT 1000 LINES ***
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?201603151903.u2FJ3Tg6042184>