Hallo zusammen, hier eine dritte Datei der Übersetzung des Securing Debian Manuals [1]: de/appendix.sgml.
Die Änderungen in der englischen Fassung finden sich hier [2]. Ciao, Simon [1] http://www.debian.org/doc/user-manuals#securing [2] http://anonscm.debian.org/viewvc/ddp/manuals/trunk/securing-howto/en/appendix.sgml?r1=4638&r2=9535
Index: appendix.sgml =================================================================== --- appendix.sgml (revision 10339) +++ appendix.sgml (working copy) @@ -1,4 +1,4 @@ -<!-- CVS revision of original english document "1.32" --> +<!-- CVS revision of original english document "1.34" --> <appendix id="harden-step">Der Abhärtungsprozess Schritt für Schritt @@ -272,10 +272,12 @@ Sie MD5 oder PAM einschalten, machen Sie auch hier ebenfalls die gleichbedeutenden Änderungen. - <item>Schalten Sie FTP-Zugriff von Root in <file>/etc/ftpusers</file> ab. + <item>Nehmen Sie Einschränkungen in <file>/etc/pam.d/login</file> vor. - <item>Schalten Sie Root-Logins übers Netzwerk ab; benutzen Sie <manref - name="su" section="1"> oder <manref name="sudo" section="1"> (denken Sie + <item>Schalten Sie den FTP-Zugriff von Root in <file>/etc/ftpusers</file> ab. + + <item>Schalten Sie Root-Logins über das Netzwerk ab; benutzen Sie <manref + name="su" section="1"> oder <manref name="sudo" section="1"> (denken Sie über die Installation von <package>sudo</package> nach). <item>Benutzen Sie PAM, um zusätzliche Auflagen auf Logins zu ermöglichen. @@ -346,8 +348,8 @@ <file>/etc/hosts.deny</file> im Text. <item>Wenn Sie FTP laufen lassen, setzen Sie den ftpd-Server so auf, dass - er immer in einer <prgn>chroot</prgn>-Umgebung im Home-Verzeichnis des - Nutzers läuft. + er immer in einer <prgn>chroot</prgn>-Umgebung im Heimverzeichnis des + Benutzers läuft. <item>Wenn Sie X laufen lassen, schalten Sie xhost-Authentifizierung ab und benutzen Sie stattdessen <prgn>ssh</prgn>. Oder noch besser: Deaktivieren @@ -605,7 +607,7 @@ # auf Ihrer Bridge konfigurieren und es auf Ihren anderen Computern als # neues Gateway einsetzen -/sbin/ifconfig br0 62.3.3.26 netmask 255.255.255.248 broadcast 62.3.3.32 +/sbin/ifconfig br0 62.3.3.26 netmask 255.255.255.248 broadcast 62.3.3.31 # Ich habe diese internen IPs für mein NAT benutzt ip addr add 192.168.0.1/24 dev br0 @@ -649,7 +651,7 @@ # auf Ihrer Bridge konfigurieren und es auf Ihren anderen Computern als # neues Gateway einsetzen -/sbin/ifconfig br0 62.3.3.26 netmask 255.255.255.248 broadcast 62.3.3.32 +/sbin/ifconfig br0 62.3.3.26 netmask 255.255.255.248 broadcast 62.3.3.31 </example> <p>Wenn Sie mit <prgn>traceroute</prgn> die Route des Linux-Mail-Servers @@ -1064,14 +1066,14 @@ <file>/var/chroots/users/foo</file> und eine Datei mit dem Namen <file>bash.py</file> und folgendem Inhalt: <example> - chroot="/var/chroots/user/foo" + chroot="/var/chroots/users/foo" cleanJailFirst=1 testCommandsInsideJail=["bash ls"] </example> Führen Sie dann <em>makejail bash.py</em> aus, um eine Benutzer-Umgebung unter -<file>/var/chroots/user/foo</file> zu erstellen. So testen Sie die Umgebung: +<file>/var/chroots/users/foo</file> zu erstellen. So testen Sie die Umgebung: <example> - # chroot /var/chroots/user/foo/ ls + # chroot /var/chroots/users/foo/ ls bin dev etc lib proc sbin usr </example> </footnote> @@ -1150,7 +1152,7 @@ vorliegen. Falls diese Dateien automatisch vom Kernel erstellt werden, müssen Sie sie von Hand unter <file>/dev/</file> in der Chroot-Umgebung erstellen. -<item>Das Home-Verzeichnis des Benutzers muss in der Chroot-Umgebung +<item>Das Heimverzeichnis des Benutzers muss in der Chroot-Umgebung existieren. Ansonsten wird der SSH-Daemon nicht fortfahren. </list> @@ -1192,7 +1194,7 @@ <p>Nachdem Sie den Patch angewendet haben, müssen Sie <file>/etc/passwd</file> anpassen und darin -das Home-Verzeichnis der Benutzer ändern (mit dem speziellen <tt>/./</tt> +das Heimverzeichnis der Benutzer ändern (mit dem speziellen <tt>/./</tt> Kürzel). <example> @@ -1326,7 +1328,7 @@ <p>Sie können mit <package>debootstrap</package> eine minimale Umgebung einrichten, die ausschließlich den SSH-Server enthält. Dafür müssen Sie nur eine Chroot-Umgebung einrichten, wie es im <url -id="http://www.de.debian.org/doc/manuals/reference/ch09#_chroot_system"; +id="http://www.debian.org/doc/manuals/reference/ch09#_chroot_system"; name="Chroot-Abschnitt der Debian-Referenz"> beschrieben wird. Diese Vorgehensweise ist idiotensicher (Sie werden alle für die Chroot-Umgebung notwendigen Bestandteile erhalten), aber dies geht auf Kosten von @@ -1998,7 +2000,7 @@ <item>Editieren Sie das Startskript für den Logging-Daemon des Systems so, dass er auch den Socket <file>/var/chroot/apache/dev/log</file> beobachtet. Ersetzen -Sie in <file>/etc/init.d/sysklogd</file> <tt>SYSLOGD=""</tt> mit +Sie in <file>/etc/default/syslogd</file> <tt>SYSLOGD=""</tt> mit <tt>SYSLOGD=" -a /var/chroot/apache/dev/log"</tt> und starten Sie den Daemon neu (<tt>/etc/init.d/sysklogd restart</tt>).</item>
