From owner-p4-projects@FreeBSD.ORG Sun Jan 17 03:49:16 2010 Return-Path: Delivered-To: p4-projects@freebsd.org Received: by hub.freebsd.org (Postfix, from userid 32767) id 33E241065679; Sun, 17 Jan 2010 03:49:16 +0000 (UTC) Delivered-To: perforce@FreeBSD.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id C98F91065672 for ; Sun, 17 Jan 2010 03:49:15 +0000 (UTC) (envelope-from pgj@FreeBSD.org) Received: from repoman.freebsd.org (repoman.freebsd.org [IPv6:2001:4f8:fff6::29]) by mx1.freebsd.org (Postfix) with ESMTP id B58408FC08 for ; Sun, 17 Jan 2010 03:49:15 +0000 (UTC) Received: from repoman.freebsd.org (localhost [127.0.0.1]) by repoman.freebsd.org (8.14.3/8.14.3) with ESMTP id o0H3nFIr067166 for ; Sun, 17 Jan 2010 03:49:15 GMT (envelope-from pgj@FreeBSD.org) Received: (from perforce@localhost) by repoman.freebsd.org (8.14.3/8.14.3/Submit) id o0H3nF4l067164 for perforce@freebsd.org; Sun, 17 Jan 2010 03:49:15 GMT (envelope-from pgj@FreeBSD.org) Date: Sun, 17 Jan 2010 03:49:15 GMT Message-Id: <201001170349.o0H3nF4l067164@repoman.freebsd.org> X-Authentication-Warning: repoman.freebsd.org: perforce set sender to pgj@FreeBSD.org using -f From: Gabor Pali To: Perforce Change Reviews Precedence: bulk Cc: Subject: PERFORCE change 173241 for review X-BeenThere: p4-projects@freebsd.org X-Mailman-Version: 2.1.5 List-Id: p4 projects tree changes List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 17 Jan 2010 03:49:16 -0000 http://p4web.freebsd.org/chv.cgi?CH=173241 Change 173241 by pgj@Binturong on 2010/01/17 03:48:17 MFen (doc): 1.425 -> 1.426 hu_HU.ISO8859-2/books/handbook/advanced-networking/chapter.sgml 1.245 -> 1.246 hu_HU.ISO8859-2/books/handbook/cutting-edge/chapter.sgml 1.334 -> 1.335 hu_HU.ISO8859-2/books/handbook/security/chapter.sgml Affected files ... .. //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/advanced-networking/chapter.sgml#37 edit .. //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/cutting-edge/chapter.sgml#27 edit .. //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/security/chapter.sgml#21 edit Differences ... ==== //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/advanced-networking/chapter.sgml#37 (text+ko) ==== @@ -7,7 +7,7 @@ @@ -2855,8 +2855,46 @@ kapcsolódni hozzá a ban leírtak szerint. + + + + + A vezetékes és vezeték + nélküli hálózatok együttes + használata - + A vezetékes hálózatok + általában jobb teljesítményt + nyújtanak és megbízhatóbbak, + miközben a vezeték nélküli + hálózatok pedig nagyobb rugalmasságot + és mozgásteret szolgáltatnak. Ezért + a hordozható számítógépek + tulajdonosaiban felmerülhet az igény, hogy egyszerre + mind a kettõt használva, tetszõlegesen + és problémamentesen válthassanak a + hálózatok között. + + &os; rendszereken ún. + hibatûrõ módon két vagy + akár több hálózati interfészt + össze tudunk vonni. Ennek köszönhetõen az + aktív hálózati kapcsolat + megszünésekor rendszerünk + önállóan igyekszik mindig a fennmaradó + elérhetõ hálózatok közül a + leginkább preferáltabbra váltani. + + A hálózati összeköttetések + összefûzésével és a + hibatûrés konkrét + megvalósításával az ban foglalkozunk, ahol a ban + láthatjuk is a vezetékes és vezeték + nélküli kapcsolatok együttes + használatának + beállítását. @@ -4752,6 +4790,119 @@ kapcsolat az elsõdleges felületen, akkor újra az lesz aktív link. + + + Hibatûrés beállítása + vezetékes és vezeték nélküli + hálózatok között + + Hordozható számítógépek + használata esetén általában + érdemesebb a vezeték nélküli + kapcsolatot másodlagos interfészként + beállítani, így csak akkor + használja a rendszer, ha vezetékes + hálózat nem érhetõ el. A + &man.lagg.4; segítségével egyetlen + IP-címmel tudjuk használni mind a két + interfészt: a teljesítmény és + biztonságosság miatt elsõsorban a + vezetékes hálózatot használjuk, + miközben megmarad a lehetõség az adatok + továbbítására a vezeték + nélküli kapcsolaton keresztül is. + + A beállítás során a + vezeték nélküli interfész + MAC-címét úgy kell + módosítanunk, hogy megegyezzen a &man.lagg.4; + címével. A &man.lagg.4; interfész a + saját MAC-címét az + elsõdleges interfésztõl örökli, + amely jelen esetünkben a vezetékes + interfész lesz. + + A most következõ példában a + vezetékes hálózatunk lesz az + elsõdleges interfész + (bge0), míg a vezeték + nélküli (wlan0) a + másodlagos. A wlan0 + interfészt az iwn0 + interfészbõl hoztuk létre, és a + vezetékes kapcsolat + MAC-címét + állítjuk be neki. Elsõ + lépésként tehát le kell + kérdeznünk a vezetékes interfész + MAC-címét: + + &prompt.root; ifconfig bge0 +bge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 + options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4> + ether 00:21:70:da:ae:37 + inet6 fe80::221:70ff:feda:ae37%bge0 prefixlen 64 scopeid 0x2 + nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL> + media: Ethernet autoselect (1000baseT <full-duplex>) + status: active + + A bge0 helyett + természetesen a saját vezetékes + hálózati interfészünket kell + megadni, és az ether kezdetû + sorban is saját kártyánk + MAC-címe fog megjelenni. + Ezután már meg is tudjuk változtatni az + iwn0 címét: + + &prompt.root; ifconfig iwn0 ether 00:21:70:da:ae:37 + + Aktiváljuk a vezeték nélküli + interfészt, de ne állítsunk be neki + semmilyen IP-címet: + + &prompt.root; ifconfig create wlan0 wlandev iwn0 ssid wlan_hálózat up + + Hozzuk létre a &man.lagg.4; interfészt a + bge0 mint elsõdleges + interfész megadásával, valamint a + wlan0 legyen a szükség + esetén használható + tartalék: + + &prompt.root; ifconfig lagg0 create +&prompt.root; ifconfig lagg0 up laggproto failover laggport bge0 laggport wlan0 + + Az így létrehozott interfész + nagyjából így fog megjelenni, egyedüli + fontosabb eltérések a + MAC-címek és az + eszközök nevei: + + &prompt.root; ifconfig lagg0 +lagg0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 + options=8<VLAN_MTU> + ether 00:21:70:da:ae:37 + media: Ethernet autoselect + status: active + laggproto failover + laggport: wlan0 flags=0<> + laggport: bge0 flags=5<MASTER,ACTIVE> + + Hogy ne kelljen a rendszer minden egyes + indítása után ezt a mûveletet + megismételni, vegyük fel a következõ + sorokat az /etc/rc.conf + állományba: + + ifconfig_bge0="up" +ifconfig_iwn0="ether 00:21:70:da:ae:37" +wlans_iwn0="wlan0" +ifconfig_wlan0="WPA" +cloned_interfaces="lagg0" +ifconfig_lagg0="laggproto failover laggport bge0 laggport wlan0 DHCP" + + ==== //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/cutting-edge/chapter.sgml#27 (text+ko) ==== @@ -7,7 +7,7 @@ @@ -225,12 +225,12 @@ A konfigurációs állományok - Elõfordulhat, hogy változtatni akarunk valamin - a frissítési folyamatban és ezért - szeretnénk módosítani a programhoz - tartozó konfigurációs - állományt. Az opciók részletes - ismertetéssel rendelkeznek, habár + Ha változtatnénk szeretnénk a + frissítési folyamaton, ekkor a programhoz + tartozó, /etc/freebsd-update.conf + nevû konfigurációs állományt + kell módosítanunk. Az opciók + részletes ismertetéssel rendelkeznek, habár némelyiknél még további magyarázat kellhet: ==== //depot/projects/docproj_hu/doc/hu_HU.ISO8859-2/books/handbook/security/chapter.sgml#21 (text+ko) ==== @@ -7,7 +7,7 @@ @@ -741,9 +741,10 @@ rendszergazdai jogokkal történik. Az ilyen binárisok többsége, mint például az rlogin, a - /bin és /sbin, - /usr/bin vagy - /usr/sbin könyvtárakban + /bin és /sbin, /usr/bin vagy /usr/sbin könyvtárakban található meg. Habár semmi sem biztonságos 100%-ig, a rendszerben alapértelmezetten suid és sgid engedéllyel @@ -995,8 +996,9 @@ állítjuk be mindegyik rendszerszintû állományra az schg állományjelzõt. Másik - lehetõség még a / - és /usr partíciók + lehetõség még a / és /usr partíciók írásvédett csatlakoztatása. Ne felejtsük el azonban, hogy ha túlságosan szigorúak vagyunk magunkhoz, akkor azzal egyúttal @@ -1018,7 +1020,8 @@ a foga fehérjét. Például, ha a chflags paranccsal beállítjuk az schg állományjelzõt a - / és /usr + / és /usr állományrendszereken található legtöbb állományra, akkor az minden bizonnyal csökkenti a hatékonyságunkat, hiszen az @@ -1087,9 +1090,10 @@ tartott kliensek állományait naponta legalább egyszer érdemes ellenõrizni md5-tel, valamint még ennél gyakrabban is tesztelni az - /etc és - /usr/local/etc könyvtárakban - található konfigurációs és + /etc és /usr/local/etc + könyvtárakban található + konfigurációs és vezérlõállományokat. Ha valamilyen eltérést tapasztal az ellenõrzést végzõ szerverünk és a rajta levõ @@ -1097,8 +1101,9 @@ értesítenie kell a rendszergazdát. Egy jó védelmi szkript képes megkeresni az oda nem illõ suid binárisokat, valamint az új - vagy törölt állományokat a - / és a /usr + vagy törölt állományokat a / és a /usr partíciókon. A védelmi szkriptek megírása valamivel @@ -2463,9 +2468,10 @@ gyõzõdjünk meg róla, hogy semmilyen korábbi Kerberos adatbázis nem található a gépen. Váltsunk az - /etc/kerberosIV könyvtárra - és ellenõrizzük a következõ - állományok meglétét: + /etc/kerberosIV + könyvtárra és ellenõrizzük a + következõ állományok + meglétét: &prompt.root; cd /etc/kerberosIV &prompt.root; ls @@ -2694,7 +2700,7 @@ állományt, amelyet biztonságos eszközökkel át kell másolni vagy át kell mozgatni az egyes Kerberos kliensek - /etc könyvtárába. Ennek + /etc könyvtárába. Ennek az állománynak egyaránt jelent kell lennie a szerveren és a kliensen is, nélküle a Kerberos mûködésképtelen. @@ -2723,9 +2729,10 @@ adathordozóra és megbízható módon jutassuk el. Ne felejtsük el az állományt srvtab néven - átrakni a kliens /etc - könyvtárába és az engedélyeit - 600-ra állítani: + átrakni a kliens /etc könyvtárába + és az engedélyeit 600-ra + állítani: &prompt.root; mv grumble-new-srvtab srvtab &prompt.root; chmod 600 srvtab @@ -2783,8 +2790,8 @@ magától lezajlik. Ezt csak a Kerberos szerveren kell megcsinálni. A Kerberos kliensei maguktól összeszedik a mûködésükhöz - szükséges adatokat az - /etc/kerberosIV + szükséges adatokat az /etc/kerberosIV könyvtárból. &prompt.root; kerberos & @@ -3894,13 +3901,13 @@ mérvadó. Vigyázzunk az elérési utakkal: az MIT port magát alapértelmezés szerint a - /usr/local könyvtárba - telepíti, ezért az általuk kiváltani - kívánt normális - rendszerprogramokat esetleg hamarabb találja meg a - rendszer, ha nem jól állítottuk be a - PATH környezeti - változónkat. + /usr/local + könyvtárba telepíti, ezért az + általuk kiváltani kívánt + normális rendszerprogramokat esetleg + hamarabb találja meg a rendszer, ha nem jól + állítottuk be a PATH + környezeti változónkat. Ha nem értjük, hogy miért @@ -3980,8 +3987,9 @@ Kerberos már nem annyira biztonságos. Ez azért mondható el, mert a jegyeket a mindenki által olvasható - /tmp könyvtárban - tárolja. Ha az adott felhasználó + /tmp + könyvtárban tárolja. Ha az adott + felhasználó számítógépét egyszerre több emberrel is megosztja (tehát többfelhasználós), akkor a @@ -5194,8 +5202,9 @@ Az OpenSSH démon és kliens rendszerszintû konfigurációs - állományai az /etc/ssh - könyvtárban találhatóak. + állományai az /etc/ssh könyvtárban + találhatóak. Az ssh_config tartalmazza a kliens beállításait, miközben az @@ -5741,12 +5750,12 @@ drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html Láthatjuk, hogy a - könyvtár1, - könyvtár2 és - könyvtár3 + könyvtár1, + könyvtár2 és + könyvtár3 könyvtárakhoz tartoznak ACL típusú engedélyek, míg a - public_html könyvtárhoz + public_html könyvtárhoz nem. @@ -6083,10 +6092,10 @@ állományokra, akkor megtudhatjuk a pontos revíziójukat. A portoknál a verziószám a port neve után szerepel a - /var/db/pkg könyvtárban. - Ha a rendszerünket nem frissítettük - CVS-rõl és fordítottuk - újra, akkor nagy a + /var/db/pkg + könyvtárban. Ha a rendszerünket nem + frissítettük CVS-rõl + és fordítottuk újra, akkor nagy a valószínûsége, hogy a sebezhetõség minket is érint.