PERFORCE change 150384 for review
Rene Ladan
rene at FreeBSD.org
Wed Sep 24 14:55:50 UTC 2008
http://perforce.freebsd.org/chv.cgi?CH=150384
Change 150384 by rene at rene_self on 2008/09/24 14:55:32
MFen security/chapter.sgml 1.284 -> 1.330 (plus local fixes)
Checked build, spelling, whitespace (fixed a few hundred indenation errors)
Affected files ...
.. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/security/chapter.sgml#3 edit
Differences ...
==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/security/chapter.sgml#3 (text+ko) ====
@@ -3,7 +3,9 @@
$FreeBSD: doc/nl_NL.ISO8859-1/books/handbook/security/chapter.sgml,v 1.14 2006/05/20 15:43:41 remko Exp $
$FreeBSDnl: doc/nl_NL.ISO8859-1/books/handbook/security/chapter.sgml,v 1.80 2006/01/05 21:13:24 siebrand Exp $
- gebaseerd op: 1.284
+
+ %SOURCE% en_US.ISO8859-1/books/handbook/security/chapter.sgml
+ %SRCID% 1.330
-->
<chapter id="security">
@@ -36,7 +38,7 @@
systeembeveiligingsconcepten, een aantal goede basisregels en
een paar gevorderde onderwerpen binnen &os;. Veel van de
onderwerpen die worden behandeld kunnen ook worden toegepast op
- systemen en internet in het algemeen. Het internet is niet
+ systemen en Internet in het algemeen. Het Internet is niet
langer een <quote>vriendelijke</quote> omgeving waar iedereen
een goede buur wil zijn. Het beveiligen van een systeem is
onontbeerlijk als gegevens, intellectueel eigendom, tijd en wat
@@ -52,65 +54,65 @@
<itemizedlist>
<listitem>
<para>Van basis systeembeveiligingsconcepten in relatie tot
- &os;;</para>
+ &os;.</para>
</listitem>
<listitem>
<para>Meer over verschillende versleutelingsmechanismen die
beschikbaar zijn in &os; zoals <acronym>DES</acronym> en
- <acronym>MD5</acronym>;</para>
+ <acronym>MD5</acronym>.</para>
</listitem>
<listitem>
- <para>Hoe eenmalige wachtwoordauthenticatie opgezet kan
- worden;</para>
+ <para>Hoe eenmalige wachtwoordautenticatie opgezet kan
+ worden.</para>
</listitem>
<listitem>
<para>Hoe <acronym>TCP</acronym> Wrappers in te stellen voor
- gebruik met <command>inetd</command>;</para>
+ gebruik met <application>inetd</application>.</para>
</listitem>
<listitem>
<para>Hoe <application>KerberosIV</application> op &os;
- releases eerder dan 5.0 opgezet kan worden;</para>
+ uitgaven eerder dan 5.0 opgezet kan worden.</para>
</listitem>
<listitem>
- <para>Hoe <application>Kerberos5</application> op &os; 5.0
- release en verder opgezet kan worden;</para>
+ <para>Hoe <application>Kerberos5</application> op &os; opgezet
+ kan worden.</para>
</listitem>
<listitem>
<para>Hoe IPsec wordt ingesteld en hoe een
<acronym>VPN</acronym> op te zetten tussen &os; en
- µsoft.windows; machines;</para>
+ µsoft.windows; machines.</para>
</listitem>
<listitem>
<para>Hoe <application>OpenSSH</application>, &os;'s
<acronym>SSH</acronym> implementatie, in te stellen en te
- gebruiken;</para>
+ gebruiken.</para>
</listitem>
<listitem>
- <para>Wat filesysteem <acronym>ACL</acronym>s zijn en hoe
+ <para>Wat bestandssysteem-<acronym>ACL</acronym>s zijn en hoe
die te gebruiken;</para>
</listitem>
<listitem>
<para>Hoe het hulpprogramma
<application>Portaudit</application> gebruikt kan worden om
- softwarepakketten uit de Portscollectie te auditen;</para>
+ softwarepakketten uit de Portscollectie te auditen.</para>
</listitem>
<listitem>
<para>Hoe om te gaan met publicaties van &os;
- beveiligingswaarschuwingen;</para>
+ beveiligingswaarschuwingen.</para>
</listitem>
<listitem>
- <para>Iets van Procesaccounting en hoe dat is in te schakelen
+ <para>Iets van procesaccounting en hoe dat is in te schakelen
in &os;.</para>
</listitem>
</itemizedlist>
@@ -119,7 +121,7 @@
<itemizedlist>
<listitem>
- <para>Basisbegrip heeft van &os; en internetconcepten.</para>
+ <para>Basisbegrip heeft van &os; en Internetconcepten.</para>
</listitem>
</itemizedlist>
@@ -134,7 +136,7 @@
<title>Introductie</title>
<para>Beveiliging is een taak die begint en eindigt bij de
- systeembeheerder. Hoewel alle BSD &unix; multi-user systemen
+ systeembeheerder. Hoewel alle BSD &unix; meergebruikerssystemen
enige inherente beveiliging kennen, is het bouwen en onderhouden
van additionele beveiligingsmechanismen om de gebruikers
<quote>eerlijk</quote> te houden waarschijnlijk een van de
@@ -150,21 +152,6 @@
netwerken en internetwerken, wordt beveiliging nog
belangrijker.</para>
- <para>Beveiliging kan het beste ingesteld worden door een gelaagde
- <quote>ui</quote>-aanpak. In een notendop zijn er het beste net
- zoveel lagen van beveiliging als handig is en daarna dient het
- systeem zorgvuldig gemonitord te worden op inbraken. Het is niet
- wenselijk beveiliging te overontwerpen, want dat doet afbreuk aan
- de detectiemogelijkheden en detectie is een van de belangrijkste
- aspecten van beveiligingsmechanismen. Zo heeft het bijvoorbeeld
- weinig zin om de <literal>schg</literal> vlaggen (zie
- &man.chflags.1;) op ieder binair bestand op een systeem te
- zetten, omdat het, hoewel dit misschien tijdelijk binaire
- bestanden beschermt, een inbreker in een systeem ervan kan
- weerhouden een eenvoudig te detecteren wijziging te maken
- waardoor beveiligingsmaatregelen de inbreker misschien
- helemaal niet ontdekken.</para>
-
<para>Systeembeveiliging heeft ook te maken met het omgaan met
verschillende vormen van aanvallen, zoals een poging om een
systeem te crashen of op een andere manier onstabiel te maken,
@@ -175,7 +162,7 @@
<orderedlist>
<listitem>
<para>Ontzeggen van dienst aanvallen (<quote>Denial of
- service</quote>).</para>
+ Service</quote>).</para>
</listitem>
<listitem>
@@ -226,14 +213,14 @@
ongunstige omstandigheden. Omgaan met brute kracht aanvallen is
lastiger. Zo is een aanval met gefingeerde pakketten
(<quote>spoofed-packet</quote>) vrijwel niet te stoppen, behalve
- dan door het systeem van internet los te koppelen. Misschien
+ dan door het systeem van Internet los te koppelen. Misschien
gaat de machine er niet door plat, maar het kan wel een volledige
- internetverbinding verzadigen.</para>
+ Internetverbinding verzadigen.</para>
<indexterm>
<primary>beveiliging</primary>
- <secondary>account compromittering</secondary>
+ <secondary>account compromitteren</secondary>
</indexterm>
<para>Een gecompromitteerde gebruikersaccount komt nog veel vaker
@@ -279,7 +266,7 @@
<username>root</username> wachtwoord kunnen kennen, een bug kunnen
ontdekken in een dienst die onder <username>root</username>
draait en daar via een netwerkverbinding op in kunnen breken of
- een aanvaller zou een probleem kunnen met een suid-root programma
+ een aanvaller zou een probleem kennen met een suid-root programma
dat de aanvaller in staat stelt <username>root</username> te
worden als hij eenmaal toegang heeft tot een gebruikersaccount.
Als een aanvaller een manier heeft gevonden om
@@ -309,7 +296,7 @@
<listitem>
<para>Beveiligen van <username>root</username> – servers
- onder <username>root</username> en suid/sgid binaire
+ onder <username>root</username> en suid-/sgid-binaire
bestanden.</para>
</listitem>
@@ -363,7 +350,7 @@
<para>In de volgende onderdelen behandelen we de methodes uit de
<link linkend="security-intro">vorige paragraaf</link> om een
- &os; systeem te beveiligen.</para>
+ &os;-systeem te beveiligen.</para>
<sect2 id="securing-root-and-staff">
<title>Beveiligen van <username>root</username> en
@@ -421,7 +408,7 @@
<filename>/etc/group</filename>. Alleen medewerkers die ook
echt toegang tot <username>root</username> nodig hebben horen
in de groep <groupname>wheel</groupname> geplaatst te worden.
- Het is ook mogelijk, door een authenticatiemethode als Kerberos
+ Het is ook mogelijk, door een autenticatiemethode als Kerberos
te gebruiken, om het bestand <filename>.k5login</filename> van
Kerberos in de <username>root</username> account te gebruiken
om een &man.ksu.1; naar <username>root</username> toe te staan
@@ -436,70 +423,48 @@
<groupname>wheel</groupname>-mechanisme beter is dan niets, is
het niet per se de meest veilige optie.</para>
- <!-- XXX:
- This will need updating depending on the outcome of PR
- bin/71147. Personally I know what I'd like to see, which
- puts this in definite need of a rewrite, but we'll have to
- wait and see. ceri@
- -->
+ <para>Om een account volledig op slot te zetten, dient het
+ commando &man.pw.8; gebruikt te worden:</para>
+
+ <screen>&prompt.root; <userinput>pw lock <replaceable>staff</replaceable></userinput></screen>
- <para>Een indirecte manier om de medewerkersaccounts te
- beveiligen en uiteindelijk ook de toegang tot
- <username>root</username>, is het gebruik van alternatieve
- aanmeldmethodes en de wachtwoorden van de medewerkersaccounts,
- zoals het heet <quote>uit te sterren</quote>. Met &man.vipw.8;
- kan iedere instantie van een gecodeerd wachtwoord vervangen
- worden door een enkel <quote><literal>*</literal></quote>
- karakter. Met dit commando worden
- <filename>/etc/master.passwd</filename> en de
- gebruikers/wachtwoord database bijgewerkt om het aanmelden met
- wachtwoord uit te schakelen.</para>
+ <para>Dit voorkomt dat de gebruiker zich aanmeldt via enig
+ mechanisme, inclusief &man.ssh.1;.</para>
- <para>Een regel voor een medewerkersaccount als:</para>
+ <para>Een andere manier om toegang tot accounts te blokkeren is om
+ het versleutelde wachtwoord door een enkel
+ <quote><literal>*</literal></quote>-karakter te vervangen. Dit
+ karakter zal nooit overeenkomen met het versleutelde wachtwoord
+ en dus gebruikerstoegang blokkeren. Het volgende
+ medewerkersaccount bijvoorbeeld:</para>
<programlisting>foobar:R9DT/Fa1/LV9U:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh</programlisting>
- <para>Zou veranderd moeten worden naar:</para>
+ <para>zou veranderd moeten worden in:</para>
<programlisting>foobar:*:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh</programlisting>
- <para>Door deze wijziging kan niet langer normaal aangemeld
- worden omdat het gecodeerde wachtwoord nooit gelijk is aan de
- <quote><literal>*</literal></quote>. Nu dit is gebeurd, moeten
- medewerkers een ander mechanisme gebruiken om zich te
- authenticeren zoals &man.kerberos.1; of &man.ssh.1; met een
- publiek/privaat sleutelpaar. Bij het gebruik van iets als
- Kerberos moeten gewoonlijk de machines waarop de Kerberos
- server draait en het desktop werkstation beveiligd worden. Bij
- het gebruik van een publiek/privaat sleutelpaar met ssh, moet
- in het algemeen de machine <emphasis>van</emphasis> waar wordt
- aangemeld beveiligd worden (meestal een werkstation). Het is
- mogelijk nog een beveiligingslaag toe te voegen door het
- sleutelpaar te beschermen met een wachtwoord als het aan te
- maken met &man.ssh-keygen.1;. Door accounts van medewerkers
- <quote>uit te sterren</quote> is het ook gegarandeerd dat ze
- alleen aan kunnen melden door gebruik te maken van de veilige
- toegangsmethodes die de beheerder heeft ingesteld. Hierdoor
- worden alle medewerkers gedwongen veilige, gecodeerde
- verbindingen te gebruiken voor al hun sessies. Daarmee wordt
- een belangrijk beveiligingsgat gesloten dat veel indringers
- gebruiken: snuffelen aan het netwerk vanaf een niet-relevante
- minder veilige machine.</para>
+ <para>Dit voorkomt dat de gebruiker <username>foobar</username>
+ zich aanmeldt met conventionele methoden. Deze methode om
+ toegang te beperken werkt niet op sites die
+ <application>Kerberos</application> gebruiken of in situaties
+ waarin de gebruiker met &man.ssh.1; sleutels heeft
+ geïnstalleerd.</para>
- <para>Meer indirecte beveiligingsmechanismen hebben ook als
- uitgangspunt dat vanaf een zwaarder beveiligde machine wordt
- aangemeld op een minder beveiligd systeem. Als een
- hoofdserver bijvoorbeeld allerlei servers draait, zou het
- werkstation er geen moeten draaien. Om een werkstation
- redelijk veilig te laten zijn, dienen er zo min mogelijk
- servers op te draaien, bij voorkeur zelfs geen en er zou een
- schermbeveiliging met wachtwoordbeveiliging op moeten draaien.
- Maar als een aanvaller fysieke toegang heeft tot een
- werkstation, dan kan hij elke beveiliging die erop is
- aangebracht omzeilen. Dit probleem dient echt overwogen te
- worden, net als het feit dat de meeste aanvallen van een
- afstand plaatsvinden, via het netwerk, door mensen die geen
- fysieke toegang hebben tot werkstations of servers.</para>
+ <para>Deze beveiligingsmechanismen hebben ook als uitgangspunt dat
+ vanaf een zwaarder beveiligde machine wordt aangemeld op een
+ minder beveiligd systeem. Als een hoofdserver bijvoorbeeld
+ allerlei servers draait, zou het werkstation er geen moeten
+ draaien. Om een werkstation redelijk veilig te laten zijn,
+ dienen er zo min mogelijk servers op te draaien, bij voorkeur
+ zelfs geen en er zou een schermbeveiliging met
+ wachtwoordbeveiliging op moeten draaien. Maar als een aanvaller
+ fysieke toegang heeft tot een werkstation, dan kan hij elke
+ beveiliging die erop is aangebracht omzeilen. Dit probleem
+ dient echt overwogen te worden, net als het feit dat de meeste
+ aanvallen van een afstand plaatsvinden, via het netwerk, door
+ mensen die geen fysieke toegang hebben tot werkstations of
+ servers.</para>
<indexterm><primary>KerberosIV</primary></indexterm>
@@ -522,7 +487,7 @@
<sect2>
<title>Beveiligen van <username>root</username> – servers
- onder <username>root</username> en suid/sgid binaire
+ onder <username>root</username> en suid-/sgid-binaire
bestanden</title>
<indexterm><primary><command>ntalk</command></primary></indexterm>
@@ -599,25 +564,25 @@
inbraak via die servers te detecteren.</para>
<para>De andere grote mogelijkheid voor <username>root</username>
- gaten in een systeem zijn de suid-root en sgid binaire
+ gaten in een systeem zijn de suid-root en sgid-binaire
bestanden die geïnstalleerd zijn op een systeem. Veel van
die bestanden, zoals <application>rlogin</application>, staan
in <filename>/bin</filename>, <filename>/sbin</filename>,
<filename>/usr/bin</filename> of
<filename>/usr/sbin</filename>. Hoewel het niet 100% veilig
- is, mag aangenomen worden dat de suid en sgid binaire bestanden
+ is, mag aangenomen worden dat de suid- en sgid-binaire bestanden
van een standaardsysteem redelijk veilig zijn. Toch worden er
nog wel eens <username>root</username> gaten gevonden in deze
bestanden. Zo is er in 1998 een <username>root</username> gat
gevonden in <literal>Xlib</literal> waardoor
<application>xterm</application> (die normaliter suid is)
kwetsbaar bleek. Een voorzichtige systeembeheerder kiest voor
- <quote>better to be safe than sorry</quote> door de suid
- bestanden die alleen medewerkers hoeven uit te voeren aan een
- speciale groep toe te wijzen en de suid bestanden die niemand
- gebruikt te lozen (<command>chmod 000</command>). Een server
- zonder monitor heeft normaal gezien
- <application>xterm</application> niet nodig. Sgid bestanden
+ <quote>better to be safe than sorry</quote> door de
+ suid-bestanden die alleen medewerkers hoeven uit te voeren aan
+ een speciale groep toe te wijzen en de suid-bestanden die
+ niemand gebruikt te lozen (<command>chmod 000</command>). Een
+ server zonder monitor heeft normaal gezien
+ <application>xterm</application> niet nodig. Sgid-bestanden
kunnen bijna net zo gevaarlijk zijn. Als een inbreker een
sgid-kmem stuk kan krijgen, dan kan hij wellicht
<filename>/dev/kmem</filename> lezen en dus het gecodeerde
@@ -631,7 +596,7 @@
bijna alle tty's van gebruikers schrijven. Als een gebruiker
een terminalprogramma of een terminalemulator met een
toetsenbordsimulatieoptie draait, dan kan de inbreker in
- potentie een datastroom genereren die ervoor zorgt dat de
+ potentie een gegevensstroom genereren die ervoor zorgt dat de
terminal van de gebruiker een commando echot, dat dan wordt
uitgevoerd door die gebruiker.</para>
</sect2>
@@ -640,7 +605,7 @@
<title>Beveiligen van gebruikersaccounts</title>
<para>Gebruikersaccounts zijn gewoonlijk het meest lastig om te
- beveiligen. Hoewel er allerlei Draconische maatregelen genomen
+ beveiligen. Hoewel er allerlei draconische maatregelen genomen
kunnen worden met betrekking tot de medewerkers en hun
wachtwoorden <quote>weggesterd</quote> kunnen worden, gaat dat
waarschijnlijk niet lukken met de gewone gebruikersaccounts.
@@ -652,14 +617,14 @@
<application>Kerberos</application> voor gebruikersaccounts is
problematischer vanwege het extra beheer en de ondersteuning,
maar nog steeds een prima oplossing in vergelijking met een
- gecodeerd wachtwoordbestand.</para>
+ versleuteld wachtwoordbestand.</para>
</sect2>
<sect2>
<title>Beveiligen van het wachtwoordbestand</title>
<para>De enige echte oplossing is zoveel mogelijk wachtwoorden
- <literal>*</literal> maken en <application>ssh</application>
+ wegsterren en <application>ssh</application>
of <application>Kerberos</application> gebruiken voor toegang
tot die accounts. Hoewel een gecodeerd wachtwoordbestand
(<filename>/etc/spwd.db</filename>) alleen gelezen kan worden
@@ -680,7 +645,7 @@
<para>Als een aanvaller toegang krijgt tot
<username>root</username> dan kan hij ongeveer alles, maar er
zijn een paar slimmigheidjes. Zo hebben bijvoorbeeld de meeste
- moderne kernels een ingebouwde pakketsnuffeldriver
+ moderne kernels een ingebouwd pakketsnuffelstuurprogramma
(<quote>packet sniffing</quote>). Bij &os; is dat het
<devicename>bpf</devicename> apparaat. Een inbreker zal in het
algemeen proberen een pakketsnuffelaar te draaien op een
@@ -697,9 +662,9 @@
<filename>/dev/kmem</filename>. De inbreker kan namelijk nog
schrijven naar ruwe schrijfapparaten. En er is ook nog een
optie in de kernel die modulelader (<quote>module
- loader</quote>) heet, &man.kldload.8;. Een ondernemende
- inbreker kan een KLD module gebruiken om zijn eigen
- <devicename>bpf</devicename> apparaat of een ander
+ loader</quote>) heet, &man.kldload.8;. Een ondernemende
+ inbreker kan een KLD-module gebruiken om zijn eigen
+ <devicename>bpf</devicename>-apparaat of een ander
snuffelapparaat te installeren in een draaiende kernel. Om
deze problemen te voorkomen, moet de kernel op een hoger
veiligheidsniveau draaien, ten minste securelevel 1. Het
@@ -717,11 +682,11 @@
draaien maar de <literal>schg</literal> vlag niet op alle
systeembestanden en mappen te zetten die maar te vinden zijn.
<filename>/</filename> en <filename>/usr</filename> zouden ook
- als alleen-lezen gemount kunnen worden. Het is nog belangrijk
- om op te merken dat als de beheerder te Draconisch omgaat
- met dat wat hij wil beschermen, hij daardoor kan veroorzaken
- dat die o-zo belangrijke detectie van een inbraak wordt
- misgelopen.</para>
+ als alleen-lezen aangekoppeld kunnen worden. Het is nog
+ belangrijk om op te merken dat als de beheerder te draconisch
+ omgaat met dat wat hij wil beschermen, hij daardoor kan
+ veroorzaken dat die o-zo belangrijke detectie van een inbraak
+ wordt misgelopen.</para>
</sect2>
<sect2 id="security-integrity">
@@ -738,83 +703,81 @@
detectie plaats kan vinden is gesloten. De laatste laag van
beveiliging is waarschijnlijk de meest belangrijke: detectie.
Alle overige beveiliging is vrijwel waardeloos (of nog erger:
- geeft een vals gevoel van veiligheid) als een mogelijke inbraak
+ geeft een vals gevoel van beveiliging) als een mogelijke inbraak
niet gedetecteerd kan worden. Een belangrijk doel van het
meerlagenmodel is het vertragen van een aanvaller, nog meer dan
- hem te stoppen, om de detectiekant van de vergelijking de kans
- te geven hem op heterdaad te betrappen.</para>
+ hem te stoppen, om hem op heterdaad te kunnen betrappen.</para>
<para>De beste manier om te zoeken naar een inbraak is zoeken
- naar gewijzigde, missende of onverwachte bestanden. De beste
+ naar gewijzigde, ontbrekende of onverwachte bestanden. De beste
manier om te zoeken naar gewijzigde bestanden is vanaf een
ander (vaak gecentraliseerd) systeem met beperkte toegang.
Met zelfgeschreven scripts op dat extra beveiligde systeem met
- beperkte toegang ben is een beheerder vrijwel onzichtbaar voor
+ beperkte toegang is een beheerder vrijwel onzichtbaar voor
mogelijke aanvallers en dat is belangrijk. Om het nut te
maximaliseren moeten in het algemeen dat systeem met beperkte
toegang best veel rechten gegeven worden op de andere machines
- in het netwerk, vaak via een alleen-lezen NFS export van de
+ in het netwerk, vaak via een alleen-lezen NFS-export van de
andere machines naar het systeem met beperkte toegang of door
<application>ssh</application> sleutelparen in te stellen om
het systeem met beperkte toegang een
<application>ssh</application> verbinding te laten maken met de
andere machines. Buiten het netwerkverkeer, is NFS de minst
zichtbare methode. Hierdoor kunnen de bestandssystemen
- op alle client machines vrijwel ongezien gemonitord worden.
- Als de server met beperkte toegang verbonden is met de client
- machines via een switch, dan is de NFS methode vaak de beste
- keus. Als de server met beperkte toegang met de andere
+ op alle cliëntmachines vrijwel ongezien gemonitord worden.
+ Als de server met beperkte toegang verbonden is met de
+ cliëntmachines via een switch, dan is de NFS-methode vaak
+ de beste keus. Als de server met beperkte toegang met de andere
machines is verbonden via een hub of door meerdere routers, dan
- is de NFS methode wellicht niet veilig genoeg (vanuit een
+ is de NFS-methode wellicht niet veilig genoeg (vanuit een
netwerk standpunt) en kan beter <application>ssh</application>
gebruikt worden, ondanks de audit-sporen die
<application>ssh</application> achterlaat.</para>
<para>Als de machine met beperkte toegang eenmaal minstens
- leestoegang heeft tot een clientsysteem dat het moet gaan
+ leestoegang heeft tot een cliëntsysteem dat het moet gaan
monitoren, dan moeten scripts gemaakt worden om dat monitoren
- ook echt uit te voeren. Uitgaande van een NFS mount, kunnen
+ ook echt uit te voeren. Uitgaande van een NFS-koppeling, kunnen
de scripts gebruik maken van eenvoudige systeem hulpprogramma's
als &man.find.1; en &man.md5.1;. We adviseren minstens
één keer per dag een md5 te maken van alle
- bestanden op de clientmachine en van instellingenbestanden als
- in <filename>/etc</filename> en
+ bestanden op de cliëntmachine en van instellingenbestanden
+ als in <filename>/etc</filename> en
<filename>/usr/local/etc</filename> zelfs vaker. Als er
verschillen worden aangetroffen ten opzichte van de basis md5
informatie op het systeem met beperkte toegang, dan hoort het
script te gillen om een beheerder die het moet gaan uitzoeken.
- Een goed beveiligingsscript controleert ook op onverwachte suid
- bestanden en op nieuwe en verwijderde bestanden op
+ Een goed beveiligingsscript controleert ook op onverwachte
+ suid-bestanden en op nieuwe en verwijderde bestanden op
systeempartities als <filename>/</filename> en
<filename>/usr</filename>.</para>
<para>Als <application>ssh</application> in plaats van NFS wordt
gebruikt, dan is het schrijven van het script lastiger. Dan
- moeten de scripts met <command>scp</command> naar de client
+ moeten de scripts met <command>scp</command> naar de cliënt
verplaatst worden om ze uit te voeren, waardoor ze zichtbaar
worden. Voor de veiligheid dienen ook de binaire bestanden die
het script gebruikt, zoals &man.find.1;, gekopieerd te
- worden. De <application>ssh</application> client op de client
- zou al gecompromitteerd kunnen zijn. Het is misschien
- noodzakelijk ssh te gebruiken over onveilige verbindingen, maar
- dat maakt alles een stuk lastiger.</para>
+ worden. De <application>ssh</application>-cliënt op de
+ cliënt zou al gecompromitteerd kunnen zijn. Het is
+ misschien noodzakelijk ssh te gebruiken over onveilige
+ verbindingen, maar dat maakt alles een stuk lastiger.</para>
<para>Een goed beveiligingsscript voert ook controles uit op de
instellingenbestanden van gebruikers en medewerkers:
<filename>.rhosts</filename>, <filename>.shosts</filename>,
- <filename>.ssh/authorized_keys</filename>, enzovoort…
+ <filename>.ssh/authorized_keys</filename>, enzovoort.
Dat zijn bestanden die buiten het bereik van de
- <literal>MD5</literal> controle vallen.</para>
+ <literal>MD5</literal>-controle vallen.</para>
- <para>Als gebruikers veel schijfruimte hebben, dan kan het te
- lang duren om alle bestanden op deze partitie te controleren.
- In dat geval is het verstandig de mount vlaggen zo in te
- stellen dat suid binaire bestanden en apparaten op die
- partities niet zijn toegestaan. Zie daarvoor de
- <literal>nodev</literal> en <literal>nosuid</literal> opties
- (zie &man.mount.8;). Die partities moeten wel toch nog
- minstens eens per week doorzocht worden, omdat het doel van
- deze beveiligingslaag het ontdekken van een inbraak is, of die
+ <para>Als gebruikers veel schijfruimte hebben, dan kan het te lang
+ duren om alle bestanden op deze partitie te controleren. In dat
+ geval is het verstandig de koppelvlaggen zo in te stellen dat
+ suid-binaire bestanden op die partities niet zijn toegestaan.
+ Zie daarvoor de optie <literal>nosuid</literal> (zie
+ &man.mount.8;). Die partities moeten wel toch nog minstens eens
+ per week doorzocht worden, omdat het doel van deze
+ beveiligingslaag het ontdekken van een inbraakpoging is, of die
nu succesvol is of niet.</para>
<para>Procesverantwoording (zie &man.accton.8;) kost relatief
@@ -826,12 +789,12 @@
<para>Tenslotte horen beveiligingsscripts de logboekbestanden te
verwerken en de logboekbestanden zelf horen zo veilig mogelijk
tot stand te komen. <quote>remote syslog</quote> kan erg
- zinvol zijn. Een aanvaller probeert zijn sporen uit te wissen
- en logboekbestanden zijn van groot belang voor een
+ zinvol zijn. Een aanvaller zal proberen zijn sporen uit te
+ wissen en logboekbestanden zijn van groot belang voor een
systeembeheerder als het gaat om uitzoeken wanneer en hoe er is
ingebroken. Een manier om logboekbestanden veilig te stellen
is door het systeemconsole via een seriële poort aan te
- sluiten op een veilige machine en zo continu informatie te
+ sluiten op een veilige machine en zo informatie te
verzamelen.</para>
</sect2>
@@ -857,32 +820,32 @@
<indexterm><primary>Ontzegging van Dienst (DoS)</primary></indexterm>
<para>In deze paragraaf worden Ontzeggen van Dienst aanvallen
- (<quote>Denial of Service</quote> of DoS) behandeld. Een DoS
- aanval wordt meestal uitgevoerd als pakketaanval. Hoewel er
+ (<quote>Denial of Service</quote> of DoS) behandeld. Een
+ DoS-aanval wordt meestal uitgevoerd als pakketaanval. Hoewel er
weinig gedaan kan worden tegen de huidige aanvallen met
gefingeerde pakketten die een netwerk kunnen verzadigen, kan
de schade geminimaliseerd worden door ervoor te zorgen dat
- servers er niet door plat gaan.</para>
+ servers er niet door plat gaan door:</para>
<orderedlist>
<listitem>
<para>Limiteren van server forks.</para>
</listitem>
- <listitem>
- <para>Limiteren van springplank (<quote>springboard</quote>)
- aanvallen (ICMP response aanvallen, ping broadcast,
- etc.).</para>
- </listitem>
+ <listitem>
+ <para>Limiteren van springplank (<quote>springboard</quote>)
+ aanvallen (ICMP response aanvallen, ping broadcast, etc.).</para>
+ </listitem>
- <listitem>
- <para>Kernel Route Cache.</para>
+ <listitem>
+ <para>De Kernel Route Cache overloaden.</para>
</listitem>
</orderedlist>
- <para>Een veelvoorkomende DoS aanval tegen een server die forkt
- is er een die probeert processen, file descriptors en geheugen
- te gebruiken tot de machine het opgeeft.
+ <para>Een veelvoorkomende DoS-aanval is om een server aan te
+ vallen door het zoveel kindprocessen aan te laten maken dat het
+ het hostsysteem uiteindelijk geen bestandsdescriptors, geheugen
+ enzovoort meer heeft en het dan opgeeft.
<application>inetd</application> (zie &man.inetd.8;) kent een
aantal instellingen om dit type aanval af te zwakken. Hoewel
het mogelijk is ervoor te zorgen dat een machine niet plat
@@ -900,14 +863,16 @@
<para><application>Sendmail</application> heeft de optie
<option>-OMaxDaemonChildren</option> die veel beter blijkt te
- werken dan het gebruik van de opties van sendmail waarmee de
- werklast gelimitteerd kan worden. De parameter
+ werken dan het gebruik van de opties van
+ <application>Sendmail</application> waarmee de werklast
+ gelimiteerd kan worden. De parameter
<literal>MaxDaemonChildren</literal> moet zodanig ingesteld
- worden dat als <application>sendmail</application> start, hij
+ worden dat als <application>sendmail</application> start; deze
hoog genoeg is om de te verwachten belasting aan te kunnen,
maar niet zo hoog is dat de computer het aantal instanties van
- <application>sendmail</application>s niet aankan zonder plat te
- gaan. Het is ook verstandig om sendmail in de wachtrij modus
+ <application>Sendmail</application>s niet aankan zonder plat te
+ gaan. Het is ook verstandig om
+ <application>Sendmail</application> in de wachtrijmodus
(<option>-ODeliveryMode=queued</option>) te draaien en de
daemon (<command>sendmail -bd</command>) los te koppelen van de
verwerking van de wachtrij (<command>sendmail -q15m</command>).
@@ -916,8 +881,8 @@
bijvoorbeeld op <option>-q1m</option> in te stellen, maar dan
is een redelijke instelling van
<literal>MaxDaemonChildren</literal> van belang om
- <emphasis>die</emphasis> sendmail te beschermen tegen
- trapsgewijze fouten (<quote>cascade failures</quote>).</para>
+ <emphasis>die</emphasis> <application>Sendmail</application> te
+ beschermen tegen trapsgewijze fouten.</para>
<para><application>Syslogd</application> kan direct aangevallen
worden en het is sterk aan te raden de <option>-s</option>
@@ -939,13 +904,13 @@
aanval op <username>root</username> via het netwerk en die
diensten daaraan voorkomen. Er dient altijd een exclusieve
firewall te zijn, d.w.z. <quote>firewall alles
- <emphasis>behalve</emphasis> poorten A, B, C, D en M-Z</quote>.
+ <emphasis>behalve</emphasis> poorten A, B, C, D en M-Z</quote>.
Zo worden alle lage poorten gefirewalled behalve die voor
specifieke diensten als <application>named</application> (als
er een primary is voor een zone),
<application>ntalkd</application>,
<application>sendmail</application> en andere diensten die
- vanaf internet toegankelijk moeten zijn. Als de firewall
+ vanaf Internet toegankelijk moeten zijn. Als de firewall
andersom wordt ingesteld, als een inclusieve of tolerante
firewall, dan is de kans groot dat er wordt vergeten een aantal
diensten af te <quote>sluiten</quote> of dat er een nieuwe
@@ -957,52 +922,51 @@
dynamische verbindingen in te stellen via de verscheidene
<varname>net.inet.ip.portrange</varname>
<command>sysctl</command>s (<command>sysctl -a | fgrep
- portrange</command>), waardoor ook de complexiteit van de
+ portrange</command>), waardoor ook de complexiteit van de
firewall instellingen kan vereenvoudigen. Zo kan bijvoorbeeld
een normaal begin tot eindbereik ingesteld worden van 4000 tot
5000 en een hoog poortbereik van 49152 tot 65535. Daarna kan
alles onder 4000 op de firewall geblokkeerd worden (met
- uitzondering van bepaalde poorten die vanaf internet bereikbaar
+ uitzondering van bepaalde poorten die vanaf Internet bereikbaar
moeten zijn natuurlijk).</para>
- <para>Een andere veelvoorkomende DoS aanval is de springplank
- aanval: een server zo aanvallen dat de respons van die server
- de server zelf, het lokale netwerk of een andere machine
- overbelast. De meest voorkomende aanval van dit type is de
- <emphasis>ICMP ping broadcast aanval</emphasis>. De aanvaller
- fingeert ping pakketten die naar het broadcast adres van het
- LAN worden gezonden met als bron het <acronym>IP</acronym> adres
- van de machine die hij eigenlijk aan wil vallen. Als de routers
- aan de rand van het netwerk niet zijn ingesteld om een ping aan
- een broadcast adres te blokkeren, dan kan het LAN genoeg
- antwoorden produceren om de verbinding van het slachtoffer (het
- gefingeerde bronadres) te verzadigen, zeker als de aanvaller
- hetzelfde doet met tientallen andere netwerken.
- Broadcastaanvallen met een volume van meer dan 120 megabit zijn
- al voorgekomen. Een tweede springplank aanval is er een tegen
- het ICMP foutmeldingssysteem. Door een pakket te maken waarop
- een ICMP foutmelding komt, kan een aanvaller de inkomende
- verbinding van een server verzadigen en de uitgaande verbinding
- wordt verzadigd door de foutmeldingen. Dit type aanval kan een
- server ook laten crashen, zeker als de server de ICMP
- antwoorden niet zo snel kwijt kan als ze ontstaan.
- &os; 4.X kernels kennen een compileeroptie
- <option>ICMP_BANDLIM</option> waarmee de effectiviteit van dit
- type aanvallen afneemt. Latere kernels gebruiken de
- <application>sysctl</application> variabele
- <literal>net.inet.icmp.icmplim</literal>. De laatste
- belangrijke klasse springplankaanvallen hangt samen met een
- aantal interne diensten van <application>inetd</application>
- zoals de UDP echo dienst. Een aanvaller fingeert eenvoudigweg
- een UDP pakket met als bronadres de echopoort van Server A en
- als bestemming de echopoort van Server B, waar Server A en B
- allebei op een LAN staan. Die twee servers gaan dat pakket dan
- heen en weer kaatsen. Een aanvaller kan beide servers
- overbelasten door een aantal van deze pakketten te injecteren.
- Soortgelijke problemen kunnen ontstaan met de
- <application>chargen</application> poort. Een competente
- systeembeheerder zal al deze interne
- <application>inetd</application> test-diensten
+ <para>Een andere veelvoorkomende DoS-aanval is de
+ springplankaanval: een server zo aanvallen dat de respons van
+ die server de server zelf, het lokale netwerk of een andere
+ machine overbelast. De meest voorkomende aanval van dit type is
+ de <emphasis>ICMP ping broadcast aanval</emphasis>. De
+ aanvaller fingeert ping-pakketten die naar het broadcast-adres
+ van het LAN worden gezonden met als bron het
+ <acronym>IP</acronym>-adres van de machine die hij eigenlijk aan
+ wil vallen. Als de routers aan de rand van het netwerk niet
+ zijn ingesteld om een ping-pakketten aan een broadcast-adres te
+ blokkeren, dan kan het LAN genoeg antwoorden produceren om de
+ verbinding van het slachtoffer (het gefingeerde bronadres) te
+ verzadigen, zeker als de aanvaller hetzelfde doet met tientallen
+ andere netwerken. Broadcastaanvallen met een volume van meer
+ dan 120 megabit zijn al voorgekomen. Een tweede
+ springplankaanval is er een tegen het ICMP-foutmeldingssysteem.
+ Door een pakket te maken waarop een ICMP-foutmelding komt, kan
+ een aanvaller de inkomende verbinding van een server verzadigen
+ en de uitgaande verbinding laten verzadigen met
+ ICMP-foutmeldingen. Dit type aanval kan een server ook laten
+ crashen door te zorgen dat het geheugen ervan vol zit, zeker als
+ de server de ICMP-antwoorden niet zo snel kwijt kan als dat het
+ ze genereert. Gebruik de
+ <application>sysctl</application>-variabele
+ <literal>net.inet.icmp.icmplim</literal> om deze aanvallen te
+ beperken. De laatste belangrijke klasse springplankaanvallen
+ hangt samen met een aantal interne diensten van
+ <application>inetd</application> zoals de UDP-echodienst. Een
+ aanvaller fingeert eenvoudigweg een UDP-pakket met als
+ bronadres de echopoort van Server A en als bestemming de
+ echopoort van Server B, waar Server A en B allebei op een LAN
+ staan. Die twee servers gaan dat pakket dan heen en weer
+ kaatsen. Een aanvaller kan beide servers overbelasten door een
+ aantal van deze pakketten te injecteren. Soortgelijke problemen
+ kunnen ontstaan met de poort <application>chargen</application>.
+ Een competente systeembeheerder zal al deze interne
+ <application>inetd</application> testdiensten
uitschakelen.</para>
<para>Gefingeerde pakketten kunnen ook gebruikt worden om de
@@ -1010,11 +974,11 @@
<varname>net.inet.ip.rtexpire</varname>,
<varname>rtminexpire</varname> en <varname>rtmaxcache</varname>
<command>sysctl</command> parameters. Een aanval met
- gefingeerde pakketten met een willekeurig bron IP zorgt ervoor
- dat de kernel een tijdelijke cached route maakt in de
+ gefingeerde pakketten met een willekeurig bron-IP zorgt ervoor
+ dat de kernel een tijdelijke gecachede route maakt in de
routetabel, die uitgelezen kan worden met <command>netstat -rna
- | fgrep W3</command>. Deze routes hebben een levensduur van
- ongeveer 1600 seconden. Als de kernel merkt dat de cached
+ | fgrep W3</command>. Deze routes hebben een levensduur van
+ ongeveer 1600 seconden. Als de kernel merkt dat de gecachede
routetabel te groot is geworden, dan wordt
<varname>rtexpire</varname> dynamisch verkleind, maar deze
waarde wordt nooit lager dan <varname>rtminexpire</varname>.
@@ -1032,7 +996,7 @@
</listitem>
</orderedlist>
- <para>Als servers verbonden zijn met het internet via een E3
+ <para>Als servers verbonden zijn met het Internet via een E3
of sneller, dan is het verstandig om handmatig
<varname>rtexpire</varname> en <varname>rtminexpire</varname>
aan te passen via &man.sysctl.8;. Als de een van de parameters
@@ -1051,16 +1015,16 @@
<indexterm><primary>KerberosIV</primary></indexterm>
<para>Er zijn een aantal aandachtspunten die in acht genomen
- moeten worden als Kerberos of ssh gebruikt worden. Kerberos V
- is een prima authenticatieprotocol, maar er zitten bugs in de
- kerberos versies van <application>telnet</application> en
+ moeten worden als Kerberos of ssh gebruikt worden. Kerberos 5
+ is een prima autenticatieprotocol, maar er zitten bugs in de
+ Kerberos-versies van <application>telnet</application> en
<application>rlogin</application> waardoor ze niet geschikt
- zijn voor binair verkeer. Kerberos codeert standaard sessie
+ zijn voor binair verkeer. Kerberos codeert standaard de sessie
niet, tenzij de optie <option>-x</option> wordt gebruikt.
<application>ssh</application> codeert standaard wel
alles.</para>
- <para>ssh werkt prima, maar het stuurt coderingssleutels
+ <para>Ssh werkt prima, maar het stuurt coderingssleutels
standaard door. Dit betekent dat als gegeven een veilig
werkstation met sleutels die toegang geven tot de rest van het
systeem en ssh wordt gebruikt om verbinding te maken met een
@@ -1074,14 +1038,14 @@
<para>Het advies is ssh in combinatie met Kerberos te gebruiken
voor het aanmelden door medewerkers wanneer dat ook maar
- mogelijk is. <application>ssh</application> kan gecompileerd
- worden met Kerberos ondersteuning. Dit vermindert de kans op
- blootstelling van ssh sleutels en beschermt tegelijkertijd
- de wachtwoorden met Kerberos. ssh sleutels zouden alleen
+ mogelijk is. <application>Ssh</application> kan gecompileerd
+ worden met Kerberos-ondersteuning. Dit vermindert de kans op
+ blootstelling van ssh-sleutels en beschermt tegelijkertijd
+ de wachtwoorden met Kerberos. Ssh-sleutels zouden alleen
gebruikt moeten worden voor geautomatiseerde taken vanaf
veilige machines (iets waar Kerberos ongeschikt voor is). Het
advies is om het doorsturen van sleutels uit te schakelen in de
- ssh instellingen of om de <literal>from=IP/DOMAIN</literal>
+ ssh-instellingen of om de <literal>from=IP/DOMAIN</literal>
optie te gebruiken die ssh in staat stelt het bestand
<filename>authorized_keys</filename> te gebruiken om de
sleutel alleen bruikbaar te maken voor entiteiten die zich
@@ -1098,17 +1062,10 @@
<contrib>Delen geschreven en herschreven door </contrib>
</author>
</authorgroup>
- <authorgroup>
- <author>
- <firstname>Siebrand</firstname>
- <surname>Mazeland</surname>
- <contrib>Vertaald door </contrib>
- </author>
- </authorgroup>
<!-- 21 Mar 2000 -->
</sect1info>
- <title>DES, MD5 en crypt</title>
+ <title>DES, Blowfish, MD5, en crypt</title>
<indexterm>
<primary>beveiliging</primary>
@@ -1118,6 +1075,8 @@
<indexterm><primary>crypt</primary></indexterm>
+ <indexterm><primary>Blowfish</primary></indexterm>
+
<indexterm><primary>DES</primary></indexterm>
<indexterm><primary>MD5</primary></indexterm>
@@ -1132,7 +1091,7 @@
woorden, wat net gesteld werd is helemaal niet waar: het
besturingssysteem kent het <emphasis>echte</emphasis> wachtwoord
niet. De enige manier om een wachtwoord in <quote>platte
- tekst</quote> te verkrijgen, is door er met brute kracht naar
+ tekst</quote> te verkrijgen, is door er met brute kracht naar
te zoeken in alle mogelijke wachtwoorden.</para>
<para>Helaas was DES, de Data Encryption Standard, de enige
@@ -1154,38 +1113,34 @@
houden.</para>
<sect2>
- <title>Het crypt mechanisme herkennen</title>
+ <title>Het crypt-mechanisme herkennen</title>
- <para>Voor &os; 4.4 was <filename>libcrypt.a</filename> een
- symbolic link die wees naar de bibliotheek die gebruikt werd voor
- codering. In &os; 4.4 veranderde <filename>libcrypt.a</filename>
- zodat er een instelbare wachtwoordhash bibliotheek kwam. Op dit
- moment ondersteunt de bibliotheek DES, MD5 en Blowfish
- hashfuncties. Standaard gebruikt &os; MD5 om wachtwoorden te
- coderen.</para>
+ <para>Op dit moment ondersteunt de bibliotheek DES, MD5 en
+ Blowfish hashfuncties. Standaard gebruikt &os; MD5 om
+ wachtwoorden te coderen.</para>
- <para>Het is vrij makkelijk om uit te vinden welke
- coderingsmethode &os; op een bepaald moment gebruikt. De
- gecodeerde wachtwoorden in
- <filename>/etc/master.passwd</filename> bekijken is een manier.
- Wachtwoorden die gecodeerd zijn met MD5 zijn langer dan wanneer
- ze gecodeerd zijn met DES hash. Daarnaast beginnen ze met de
- karakters <literal>$1$</literal>. Wachtwoorden
- die beginnen met <literal>$2a$</literal> zijn
- gecodeerd met de Blowfish hashfunctie. DES password strings
- hebben geen bijzondere kenmerken, maar ze zijn korter dan MD5
- wachtwoorden en gecodeerd in een 64-karakter alfabet waar geen
- <literal>$</literal> karakter in zit. Een relatief korte
- string die niet begint met een dollar teken is dus
- waarschijnlijk een DES wachtwoord.</para>
+ <para>Het is vrij makkelijk om uit te vinden welke
+ coderingsmethode &os; op een bepaald moment gebruikt. De
+ gecodeerde wachtwoorden in
+ <filename>/etc/master.passwd</filename> bekijken is een manier.
+ Wachtwoorden die gecodeerd zijn met MD5 zijn langer dan wanneer
+ ze gecodeerd zijn met DES-hash. Daarnaast beginnen ze met de
+ karakters <literal>$1$</literal>. Wachtwoorden
+ die beginnen met <literal>$2a$</literal> zijn
+ gecodeerd met de Blowfish hashfunctie. DES-wachtwoordstrings
+ hebben geen bijzondere kenmerken, maar ze zijn korter dan MD5
+ wachtwoorden en gecodeerd in een 64-karakter alfabet waar geen
+ <literal>$</literal> karakter in zit. Een relatief korte
+ string die niet begint met een dollar teken is dus
+ waarschijnlijk een DES-wachtwoord.</para>
- <para>Het wachtwoord formaat voor nieuwe wachtwoorden wordt
- ingesteld met de <literal>passwd_format</literal>
- aanmeldinstelling in <filename>/etc/login.conf</filename> waar
- <literal>des</literal>, <literal>md5</literal> of
- <literal>blf</literal> mag staan. Zie de &man.login.conf.5;
- handleiding voor meer informatie over
- aanmeldinstellingen.</para>
+ <para>Het wachtwoordformaat voor nieuwe wachtwoorden wordt
+ ingesteld met de <literal>passwd_format</literal>
+ aanmeldinstelling in <filename>/etc/login.conf</filename> waar
+ <literal>des</literal>, <literal>md5</literal> of
+ <literal>blf</literal> mag staan. Zie de &man.login.conf.5;
+ handleiding voor meer informatie over
+ aanmeldinstellingen.</para>
</sect2>
</sect1>
@@ -1200,129 +1155,95 @@
<secondary>eenmalige wachtwoorden</secondary>
</indexterm>
- <para>S/Key is een eenmalige wachtwoord methode die gebaseerd is op
- de eenweg hashfunctie. &os; gebruikt een MD4 hash om aansluiting
- te houden, maar andere systemen gebruiken ook wel MD5 en DES-MAC.
- S/Key is al een onderdeel van het &os; basissysteem vanaf versie
- 1.1.5 en wordt ook in een groeiend aantal andere
- besturingssystemen gebruikt. S/Key is een geregistreerd
- handelsmerk van Bell Communications Research, Inc.</para>
+ <para>Standaard biedt &os; ondersteuning voor OPIE (Eenmalige
+ Wachtwoorden in Alles - <quote>One-time Passwords In
+ Everything</quote>), wat standaard een MD5-hash gebruikt.</para>
- <para>Vanaf versie 5.0 van &os; is S/Key vervangen door OPIE
- (Eenmalige Wachtwoorden in Alles - <quote>One-time Passwords In
- Everything</quote>). OPIE gebruikt standaard een MD5 hash.</para>
-
<para>Hier worden drie verschillende soorten wachtwoorden
besproken. De eerste is het normale &unix; of Kerberos
wachtwoord. Dit heet het <quote>&unix; wachtwoord</quote>. Het
tweede type is een eenmalig wachtwoord dat wordt gemaakt met het
- S/Key programma <command>key</command> of het OPIE
- programma &man.opiekey.1; en dat wordt geaccepteerd door
- <command>keyinit</command> of &man.opiepasswd.1; en de
- aanmeldprocedure. Dit heet het <quote>eenmalige
- wachtwoord</quote>. Het laatste type wachtwoord is het
- wachtwoord dat wordt opgegeven aan de <command>key</command>/
- <command>opiekey</command> programma's (en soms aan de
- <command>keyinit</command> / <command>opiepasswd</command>
- programma's) die gebruikt worden om eenmalige wachtwoorden te
- maken. Dit type heet <quote>geheim wachtwoord</quote> of gewoon
- een <quote>wachtwoord</quote> zonder toevoeging.</para>
+ OPIE-programma &man.opiekey.1; en dat wordt geaccepteerd door
+ &man.opiepasswd.1; en de aanmeldprocedure. Dit heet het
+ <quote>eenmalige wachtwoord</quote>. Het laatste type wachtwoord
+ is het wachtwoord dat wordt opgegeven aan het programma
+ <command>opiekey</command> (en soms aan het programma
+ <command>opiepasswd</command>) dat gebruikt wordt om eenmalige
+ wachtwoorden te maken. Dit type heet <quote>geheim
+ wachtwoord</quote> of gewoon een <quote>wachtwoord</quote> zonder
+ toevoeging.</para>
<para>Het geheime wachtwoord heeft niets te maken met het &unix;
- wachtwoord; ze kunnen hetzelfde zijn, dat wordt afgeraden. S/Key
- en OPIE geheime wachtwoorden kennen niet de beperking van 8
- karakters als de oude &unix; wachtwoorden.
+ wachtwoord; ze kunnen hetzelfde zijn, dat wordt afgeraden.
+ OPIE geheime wachtwoorden kennen niet de beperking van 8
+ karakters zoals de oude &unix; wachtwoorden.
<footnote>
<para>Bij &os; mag het wachtwoord voor aanmelden tot 128
karakters lang zijn.</para>
</footnote>
- Het mag onbeperkt lang zijn. Wachtwoorden van een zes of zeven
+ Ze mogen onbeperkt lang zijn. Wachtwoorden van een zes of zeven
woorden lange zin zijn niet ongewoon. Voor het overgrote deel
- werkt het S/Key of OPIE systeem volledig onafhankelijk van het
- &unix; wachtwoordsysteem.</para>
+ werkt het OPIE-systeem volledig onafhankelijk van het &unix;
+ wachtwoordsysteem.</para>
- <para>Buiten het wachtwoord zijn er nog twee stukjes data die van
- belang zijn voor S/Key en OPIE. Het eerste wordt
- <quote>zaad</quote> (<quote>seed</quote>) of
- <quote>sleutel</quote> (<quote>key</quote>) genoemd en bestaat
- uit twee letters en vijf cijfers. Het tweede stukje data heet de
- <quote>iteratieteller</quote> (<quote>iteration count</quote>),
- een nummer tussen 1 en 100. S/Key maakt een eenmalig wachtwoord
- door het zaad en het geheime wachtwoord aaneen te schakelen en
- daarop het door de iteratieteller aangegeven keren MD4/MD5 hash
- toe te passen. Daarna wordt het resultaat omgezet in zes korte
- Engelse woorden. Die zes woorden zijn een eenmalige wachtwoord.
- Het authenticatiesysteem (hoofdzakelijk PAM) houdt bij welk
>>> TRUNCATED FOR MAIL (1000 lines) <<<
More information about the p4-projects
mailing list