PERFORCE change 138317 for review
Gabor Pali
pgj at FreeBSD.org
Sun Mar 23 02:17:15 UTC 2008
http://perforce.freebsd.org/chv.cgi?CH=138317
Change 138317 by pgj at disznohal on 2008/03/23 02:16:31
(security) MFen: 1.316 --> 1.320
Affected files ...
.. //depot/projects/docproj_hu/books/handbook/security/chapter.sgml#5 edit
Differences ...
==== //depot/projects/docproj_hu/books/handbook/security/chapter.sgml#5 (text+ko) ====
@@ -1,12 +1,12 @@
<!--
The FreeBSD Documentation Project
- $FreeBSD: doc/en_US.ISO8859-1/books/handbook/security/chapter.sgml,v 1.316 2007/10/23 07:03:34 dougb Exp $
+ $FreeBSD: doc/en_US.ISO8859-1/books/handbook/security/chapter.sgml,v 1.320 2008/02/03 10:26:16 blackend Exp $
-->
<!-- The FreeBSD Hungarian Documentation Project
Translated by: PALI, Gabor <pgj at FreeBSD.org>
- Original Revision: 1.316 -->
+ Original Revision: 1.320 -->
<chapter id="security" lang="hu">
<chapterinfo>
@@ -70,7 +70,7 @@
</listitem>
<listitem>
- <para>hogyan burkoljunk az <command>inetd</command>
+ <para>hogyan burkoljunk az <application>>inetd</application>>
segítségével <acronym>TCP</acronym>
kapcsolatokat</para>
</listitem>
@@ -490,9 +490,7 @@
rendszerkonzolon keresztül szabad tudnia
bejelentkeznie.</para>
- <indexterm>
- <primary><groupname>wheel</groupname></primary>
- </indexterm>
+ <indexterm><primary><groupname>wheel</groupname></primary></indexterm>
<para>Természetesen egy rendszergazdának valahogy el
kell érnie a <username>root</username>
@@ -545,67 +543,45 @@
semmi, de kétségtelenül nem
legbiztonságosabb.</para>
- <para>A személyzeti hozzáférések
- és ezáltal a <username>root</username>
- hozzáférésének egyik közvetett
- módja egy alternatív bejelentkezési
- mód használata, ami lényegében a
- személyzeti hozzáférések
- titkosított jelszavainak
- <quote>kicsillagozását</quote> jelenti. A
- &man.vipw.8; parancs használatával a
- titkosított jelszavakat ki tudjuk cserélni
- egyetlen <quote><literal>*</literal></quote> karakterre. Ez a
- parancs a jelszó alapú hitelesítések
- letiltásához frissíteni fogja az
- <filename>/etc/master.passwd</filename> állományt
- valamint a felhasználókat és jelszavakat
- tartalmazó adatbázist.</para>
+ <para>A hozzáférések teljes körû
+ letiltásához a &man.pw.8; parancsot érdemes
+ használni:</para>
+
+ <screen>&prompt.root; <userinput>pw lock <replaceable>személyzet</replaceable></userinput></screen>
+
+ <para>Ezzel meg tudjuk akadályozni, hogy a
+ felhasználó akármilyen módon,
+ beleértve az &man.ssh.1; használatát is,
+ hozzá tudjon férni a
+ rendszerünkhöz.</para>
- <para>A személyzet egyik tagjának tehát
- így néz ki a bejegyzése:</para>
+ <para>A hozzáférések
+ blokkolásának másik ilyen módszere a
+ titkosított jelszó átírása
+ egyetlen <quote><literal>*</literal></quote> karakterre. Mivel
+ ez a karakter egyetlen titkosított jelszóra sem
+ illeszkedik, ezért a felhasználó nem lesz
+ képes bejelentkezni. Ahogy például a
+ személyzet alábbi tagja sem:</para>
<programlisting>foobar:R9DT/Fa1/LV9U:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh</programlisting>
- <para>Amit erre cserélünk ki:</para>
+ <para>Amit tehát erre cserélünk ki:</para>
<programlisting>foobar:*:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh</programlisting>
- <para>Ez a változtatás meggátolja a
- hagyományos bejelentkezéseket, mivel a
- titkosított jelszó soha nem fog egyezni a
- <quote><literal>*</literal></quote> karakterrel. Ezután
- a személyzet tagjainak más módon kell
- azonosítaniuk magukat, például a
- &man.kerberos.1; segítségével vagy az
- &man.ssh.1; nyilvános/privát
- kulcspárjaival. Amikor egy Kerberoshoz hasonló
- rendszert használunk, akkor általában a
- Kerberos szervereit futtató gépeket és az
- asztali munkaállomásunkat kell védeni.
- Amikor az ssh-t használjuk nyilvános/privát
- kulcspárokkal, általában azt a gépet
- kell védenünk <emphasis>ahonnan</emphasis>
- bejelentkezünk (ez többnyire egy
- munkaállomás). A kulcspárokat bevonhatjuk
- egy további védelmi réteggel is, ha a
- &man.ssh-keygen.1; paranccsal történõ
- létrehozásuk során jelszót is
- megadunk. Ha <quote>kicsillagozzuk</quote> a személyzet
- tagjainak jelszavait, akkor biztosra vehetjük, hogy
- kizárólag csak az általunk
- telepített biztonságos módokon fognak
- bejelentkezni. Ennek köszönhetõen a
- személyzet minden tagja biztonságos,
- titkosított kapcsolatot fog használni, és
- ezzel elzárunk egy olyan biztonsági rést,
- amit a legtöbb behatoló kihasznál: a
- gyengébb védelmû
- számítógépek felõl
- érkezõ forgalom lehallgatását.</para>
+ <para>Ezzel megakadályozzuk, hogy a
+ <username>foobar</username> nevû felhasználó a
+ hagyományos módszerekkel be tudjon jelentkezni.
+ Ez a megoldás azonban a
+ <application>Kerberos</application>t alkalmazó rendszerek
+ esetén nem mûködik, illetve olyan helyezetekben
+ sem, amikor a felhasználó az &man.ssh.1;
+ paranccsal már létrehozott magának
+ kulcsokat.</para>
- <para>Egy még közvetettebb védelmi mechanizmus
- szerint mindig egy szigorúbb biztonsági szintû
+ <para>Az ilyen védelmi mechanizmusok esetében mindig
+ egy szigorúbb biztonsági szintû
géprõl jelentkezünk be egy
kevésbé biztonságosabb gépre.
Például ha a szerverünk mindenféle
@@ -6960,8 +6936,9 @@
<username>trhodes</username> ttyp1</userinput></screen>
<para>Ezzel megjelenik a <username>trhodes</username> nevû
- felhasználó ttyp1 terminálon kiadott
- összes ismert <command>ls</command> parancsa.</para>
+ felhasználó <literal>ttyp1</literal>
+ terminálon kiadott összes ismert
+ <command>ls</command> parancsa.</para>
<para>Számos hasznos beállítást
és hozzájuk tartozó leírást
More information about the p4-projects
mailing list