svn commit: r44661 - translations/nl_NL.ISO8859-1/books/handbook/security
Remko Lodder
remko at FreeBSD.org
Fri Apr 25 14:07:42 UTC 2014
Author: remko
Date: Fri Apr 25 14:07:42 2014
New Revision: 44661
URL: http://svnweb.freebsd.org/changeset/doc/44661
Log:
Update work in progress, this also builds again after making
a few minor mistakes :-)
Facilitated by: Snow B.V.
Modified:
translations/nl_NL.ISO8859-1/books/handbook/security/chapter.xml
Modified: translations/nl_NL.ISO8859-1/books/handbook/security/chapter.xml
==============================================================================
--- translations/nl_NL.ISO8859-1/books/handbook/security/chapter.xml Fri Apr 25 14:02:16 2014 (r44660)
+++ translations/nl_NL.ISO8859-1/books/handbook/security/chapter.xml Fri Apr 25 14:07:42 2014 (r44661)
@@ -962,7 +962,6 @@
&unix; varianten, welke <acronym>DES</acronym> gebruikten.
Het antwoord hierop was MD5, waarbij aangenomen werd dat deze
veiliger is dan <acronym>DES</acronym>.</para>
- houden.</para>
<sect2>
<title>Het crypt-mechanisme herkennen</title>
@@ -1126,7 +1125,7 @@ MOS MALL GOAT ARM AVID COED</screen>
verzinnen (100 is wellicht een prima getal) en een eigen zaad
bedenken of er een laten fabriceren. Over de onveilige
verbinding, moet op de machine die geinitialiseerd wordt
- &man.opiepasswd.;1 gebruikt worden:</para>
+ &man.opiepasswd.1; gebruikt worden:</para>
<screen>&prompt.user; <userinput>opiepasswd</userinput>
@@ -1198,12 +1197,12 @@ Password: </screen>
<screen>&prompt.user; <userinput>opiekey 498 to4268</userinput>
Using the MD5 algorithm to compute response.
-Reminder: Don't use opiekey from telnet or dial-in sessions.
+Reminder: Do not use opiekey from telnet or dial-in sessions.
Enter secret pass phrase:
GAME GAG WELT OUT DOWN CHAT</screen>
- <para>Nu het eenmalige wachtwoord er is, kan het aanmelden
- doorgang vinden.</para>
+ <para>Zodra het eenmalige wachtwoord gegenereerd is kan het
+ aanmelden verder doorgang vinden.</para>
</sect2>
<sect2>
@@ -1230,24 +1229,25 @@ Enter secret pass phrase: <userinput><
laatste iteratiegetal moet zijn. Deze wachtwoorden worden
weergegeven in <emphasis>omgekeerde</emphasis> volgorde voor
gebruik. Als de gebruiker echt paranoïde bent kan hij ze
- opschrijven of hij kan er ook voor kiezen ze af te drukken met
- <command>lpr</command>. Op iedere regel staat dus de
- iteratieteller en het eenmalige wachtwoord, maar misschien is
- het toch handig om ze na gebruik af te strepen.</para>
+ opschrijven of hij kan er ook voor kiezen ze af te drukken.
+ Elke regel toont zowel het iteratiegetal als het eenmalige
+ wachtwoord. Streep de gebruikte wachtwoorden door zodra deze
+ gebruikt zijn.</para>
</sect2>
<sect2>
<title>Gebruik van &unix; wachtwoorden beperken</title>
- <para>Met OPIE kan paal en perk gesteld worden aan het gebruik van
- &unix; wachtwoorden op basis van het <acronym>IP</acronym>-adres
- van een aanmeldsessie. Dat kan met het bestand
- <filename>/etc/opieaccess</filename> dat standaard aanwezig is.
- Bij &man.opieaccess.5; staat meer informatie over dit bestand en
- welke beveiligingsoverwegingen bestaan bij het gebruik.</para>
+ <para>Met <acronym>OPIE</acronym> kan paal en perk gesteld
+ worden aan het gebruik van &unix; wachtwoorden op basis van
+ het <acronym>IP</acronym>-adres van een aanmeldsessie. Dat
+ kan met het bestand <filename>/etc/opieaccess</filename> dat
+ standaard aanwezig is. In &man.opieaccess.5; staat meer
+ informatie over dit bestand en welke beveiligingsmaatregelen
+ overwogen moeten worden wanneer deze gebruikt wordt.</para>
- <para>Hieronder een voorbeeld voor een
- <filename>opieaccess</filename> bestand:</para>
+ <para>Hier volgt een voorbeeld <filename>opieaccess</filename>
+ bestand:</para>
<programlisting>permit 192.168.0.0 255.255.0.0</programlisting>
@@ -1257,73 +1257,52 @@ Enter secret pass phrase: <userinput><
masker altijd &unix; wachtwoorden mogen gebruiken.</para>
<para>Als geen van de regels uit <filename>opieaccess</filename>
- van toepassing is, worden standaard pogingen zonder OPIE
- geweigerd.</para>
+ van toepassing is, worden standaard pogingen zonder
+ <acronym>OPIE</acronym> geweigerd.</para>
</sect2>
</sect1>
<sect1 xml:id="tcpwrappers">
<info><title>TCP Wrappers</title>
<authorgroup>
- <author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><contrib>Geschreven door </contrib></author>
+ <author>
+ <personname>
+ <firstname>Tom</firstname>
+ <surname>Rhodes</surname>
+ </personname>
+ <contrib>Geschreven door </contrib>
+ </author>
</authorgroup>
</info>
-
-
- <indexterm><primary>TCP Wrapper</primary></indexterm>
+ <indexterm><primary>TCP Wrappers</primary></indexterm>
- <para>Iedereen die bekend is met &man.inetd.8; heeft waarschijnlijk
- wel eens van <acronym>TCP</acronym> Wrappers gehoord. Maar
- slechts weinigen lijken volledig te begrijpen hoe ze in een
- netwerkomgeving toegepast kunnen worden. Het schijnt dat
- iedereen een firewall wil hebben om netwerkverbindingen af te
- handelen. Ondanks dat een firewall veel kan, zijn er toch dingen
- die het niet kan, zoals tekst terugsturen naar de bron van een
- verbinding. De <acronym>TCP</acronym> Wrappers software kan dat
- en nog veel meer. In dit onderdeel worden de mogelijkheden van
- <acronym>TCP</acronym> Wrappers besproken en, waar dat van
- toepassing is, worden ook voorbeelden voor implementatie
- gegeven.</para>
-
- <para>De <acronym>TCP</acronym> Wrappers software vergroot de
- mogelijkheden van <application>inetd</application> door de
- mogelijkheid al zijn serverdaemons te controleren. Met deze
- methode is het mogelijk om te loggen, berichten te zenden naar
- verbindingen, een daemon toe te staan alleen interne verbindingen
- te accepteren, etc. Hoewel een aantal van deze mogelijkheden ook
- ingesteld kunnen worden met een firewall, geeft deze manier niet
- alleen een extra laag beveiliging, maar gaat dit ook verder dan
- wat een firewall kan bieden.</para>
-
- <para>De toegevoegde waarde van <acronym>TCP</acronym> Wrappers
- is niet dat het een goede firewall vervangt.
- <acronym>TCP</acronym> Wrappers kunnen samen met een firewall en
- andere beveiligingsinstellingen gebruikt worden om een extra laag
- van beveiliging voor het systeem te bieden.</para>
-
- <para>Omdat dit een uitbreiding is op de instellingen van
- <application>inetd</application>, wordt aangenomen dat de lezer
- het onderdeel <link linkend="network-inetd">inetd configuratie</link> heeft
- gelezen.</para>
-
- <note>
- <para>Hoewel programma's die onder &man.inetd.8; draaien niet
- echt <quote>daemons</quote> zijn, heten ze traditioneel wel zo.
- Deze term wordt hier dus ook gebruikt.</para>
- </note>
+ <para><acronym>TCP</acronym> Wrappers vergroot de mogelijkheden
+ van <xref linkend="network-inetd"/>, om elke server daemon
+ onder zijn controle te kunnen bedienen. Het kan geconfigureerd
+ worden om loginformatie te leveren, berichten terug te sturen
+ bij het maken van verbindingen, en om een daemon alleen
+ interne verbindingen toe te staan. Ondanks dat een aantal van
+ deze features kunnen worden geleverd door het gebruik van een
+ firewall levert <acronym>TCP</acronym> Wrappers een extra
+ beveiligingslaag en gaat deze verder dan de controle die een
+ firewall kan leveren.</para>
+
+
+ <para><acronym>TCP</acronym> Wrappers moet niet worden beschouwd
+ als een vervanging voor een goed geconfigureerde firewall.
+ <acronym>TCP</acronym> Wrappers moet worden gebruikt tegelijk
+ met een firewall en andere beveiligings toevoegingen.</para>
<sect2>
<title>Voor het eerst instellen</title>
- <para>De enige voorwaarde voor het gebruiken van
- <acronym>TCP</acronym> Wrappers in &os; is ervoor te zorgen
- dat de server <application>inetd</application> gestart wordt
- vanuit <filename>rc.conf</filename> met de optie
- <option>-Ww</option>; dit is de standaardinstelling. Er wordt
- vanuit gegaan dat <filename>/etc/hosts.allow</filename> juist is
- ingesteld, maar als dat niet zo is, dan zal &man.syslogd.8; dat
- melden.</para>
+ <para>Om <acronym>TCP</acronym> Wrappers in te schakelen op
+ &os; moet worden gezorgd dat &man.inetd.8; wordt gestart
+ vanuit <filename>/etc/rc.conf</filename> met de
+ <option>-Ww</option> optie. Hierna moet een goed
+ geconfigureerde <filename>/etc/hosts.allow</filename>
+ worden gemaakt.</para>
<note>
<para>In tegenstelling tot bij andere implementaties van
@@ -1337,37 +1316,33 @@ Enter secret pass phrase: <userinput><
daemons toegestaan of geweigerd afhankelijk van de opties in
<filename>/etc/hosts.allow</filename>. De standaardinstelling
in &os; is verbindingen toe te staan naar iedere daemon die met
- <application>inetd</application> is gestart. Na de
- basisinstelling wordt aangegeven hoe dit gewijzigd kan worden.</para>
+ <application>inetd</application> is gestart.</para>
<para>De basisinstelling heeft meestal de vorm
- <literal>daemon : adres : actie</literal>.
+ <literal>daemon : adres : actie</literal>,
<literal>daemon</literal> is de daemonnaam die
- <command>inetd</command> heeft gestart. Het
+ <command>inetd</command> heeft gestart, het
<literal>adres</literal> kan een geldige hostnaam, een
<acronym>IP</acronym>-adres of een IPv6-adres tussen
- blokhaken ([ ]) zijn. Het veld <literal>actie</literal>
- kan <literal>allow</literal> of <literal>deny</literal> zijn,
- afhankelijk van of toegang toegestaan of geweigerd moet worden.
- De instellingen werken zo dat ze worden doorlopen van onder naar
- boven om te kijken welke regel als eerste van toepassing is.
- Als een regel van toepassing is gevonden, dan stop het
+ blokhaken ([ ]) zijn en het veld <literal>actie</literal>
+ kan <literal>allow</literal> of <literal>deny</literal> zijn.
+ <acronym>TCP</acronym> Wrappers gebruikt het
+ de-eerste-regel-die-overeenkomt semantiek, wat betekent dat het
+ configuratie bestand gelezen wordt in de aflopende volgorde om
+ een overeenkomende regel te vinden. Wanneer er een
+ overeenkomst is gevonden wordt de regel toegepast en stopt het
zoekproces.</para>
- <para>Er zijn nog andere mogelijkheden, maar die worden elders
- toegelicht. Een eenvoudige instelling kan al van met deze
- informatie worden gemaakt. Om bijvoorbeeld
- <acronym>POP</acronym>3 verbindingen toe te staan via de
- <package>mail/qpopper</package> daemon,
- zouden de volgende instellingen moeten worden toegevoegd aan
- <filename>hosts.allow</filename>:</para>
+ <para>Om bijvoorbeeld <acronym>POP</acronym>3 connecties toe te
+ staan naar de <package>mail/qpopper</package> daemon, moeten
+ de volgende regels toegevoegd worden aan het
+ <filename>/etc/hosts.allow</filename> bestand:</para>
<programlisting># Deze regel is nodig voor POP3-verbindingen
qpopper : ALL : allow</programlisting>
- <para>Nadat deze regel is toegevoegd moet
- <application>inetd</application> herstart worden door gebruik te maken
- van &man.service.8;:</para>
+ <para>Na het toevoegen van deze regel moet &man.inetd.8;
+ herstart worden:</para>
<screen>&prompt.root; <userinput>service inetd restart</userinput></screen>
</sect2>
@@ -1376,7 +1351,7 @@ qpopper : ALL : allow</programlisting>
<title>Gevorderde instellingen</title>
<para><acronym>TCP</acronym> Wrappers hebben ook gevorderde
- instellingen. Daarmee komt meer controle over de wijze waarop
+ instellingen, waarmee er meer controle komt over de wijze waarop
er met verbindingen wordt omgegaan. Soms is het een goed idee
om commentaar te sturen naar bepaalde hosts of
daemonverbindingen. In andere gevallen moet misschien iets
@@ -1384,8 +1359,7 @@ qpopper : ALL : allow</programlisting>
beheerder gestuurd worden. Dit kan allemaal met instellingen
die <literal>wildcards</literal>, uitbreidingskarakters
(expansion characters) en het uitvoeren van externe commando's
- heten. De volgende twee paragrafen beschrijven deze
- mogelijkheden.</para>
+ heten.</para>
<sect3>
<title>Externe commando's</title>
@@ -1393,12 +1367,11 @@ qpopper : ALL : allow</programlisting>
<para>Stel dat zich de situatie voordoet waar een verbinding
geweigerd moet worden, maar er een reden gestuurd moet
worden naar het individu dat die verbinding probeerde op te
- zetten. Hoe gaat dat? Dat is mogelijk door gebruik te
- maken van de optie <option>twist</option>. Als er een
- poging tot verbinding wordt gedaan, wordt er met
- <option>twist</option> een shellcommando of script
- uitgevoerd. Er staat al een voorbeeld in
- <filename>hosts.allow</filename>:</para>
+ zetten. Deze actie is mogelijk door gebruik te maken van de
+ optie <option>twist</option>. Als er een poging tot
+ verbinding wordt gedaan, wordt er met <option>twist</option>
+ een shellcommando of script uitgevoerd. Er is een voorbeeld
+ aanwezig in <filename>hosts.allow</filename>:</para>
<programlisting># De andere daemons zijn beschermd.
ALL : ALL \
@@ -1409,12 +1382,12 @@ ALL : ALL \
not allowed to use <literal>daemon</literal> from
<literal>hostname</literal>.</quote> wordt teruggestuurd
voor iedere daemon die niet al is ingesteld in het
- toegangsbestand. Het is erg handig om een antwoord terug
+ toegangsbestand. Het is handig om een antwoord terug
te sturen naar degene die een verbinding op heeft willen
zetten meteen nadat een tot stand gekomen verbinding is
- verbroken. Let wel dat alle berichten die gezonden worden
- <emphasis>moeten</emphasis> staan tussen <literal>"</literal>
- karakters. Hier zijn geen uitzonderingen op.</para>
+ verbroken. Elk bericht wat wordt teruggezonden
+ <emphasis>moet</emphasis> worden omsloten door quotes
+ (<literal>"</literal>) karakters.</para>
<warning>
<para> Het is mogelijk een ontzegging van dienst aanval uit
@@ -1423,10 +1396,10 @@ ALL : ALL \
verbindingen te maken.</para>
</warning>
- <para>Het is ook mogelijk hier de optie <option>spawn</option>
- te gebruiken. Net als <option>twist</option> weigert
- de optie <option>spawn</option> impliciet de verbinding en kan
- het gebruikt worden om shellcommando's of scripts uit te
+ <para>Het is ook mogelijk hier <option>spawn</option> te
+ gebruiken. Net als <option>twist</option> weigert
+ de optie <option>spawn</option> impliciet de verbinding en
+ kan het gebruikt worden om shellcommando's of scripts uit te
voeren. Anders dan bij <option>twist</option> stuurt
<option>spawn</option> geen bericht aan degene die de
verbinding wilde maken. Zie bijvoorbeeld de volgende
@@ -1438,44 +1411,35 @@ ALL : .example.com \
/var/log/connections.log) \
: deny</programlisting>
- <para>Hiermee worden alle verbindingen van het domein
- <systemitem class="fqdomainname">*.example.com</systemitem> geweigerd.
- Tegelijkertijd worden ook hostnaam, <acronym>IP</acronym>
- adres en de daemon waarmee verbinding werd gemaakt naar
- <filename>/var/log/connections.log</filename>
- geschreven.</para>
-
- <para>Naast de vervangingskarakters die al zijn toegelicht,
- zoals <literal>%a</literal>, bestaan er nog een paar andere.
- In de handleiding van &man.hosts.access.5; staat een volledige
- lijst.</para>
+ <para>Hiermee worden alle verbindingen vanaf
+ <systemitem class="fqdomainname">*.example.com</systemitem>
+ geweigerd, en worden de hostname het <acronym>IP</acronym>
+ adres en de betrokken daemon gelogd in
+ <filename>/var/log/connections.log</filename>.</para>
+
+ <para>Dit voorbeeld maakt gebruik van de vervangingstekens
+ <literal>%a</literal> en <literal>%h</literal>. Bekijk
+ &man.hosts.access.5; voor de volledige lijst tekens.</para>
</sect3>
<sect3>
<title>Wildcardopties</title>
- <para>Tot nu toe is in ieder voorbeeld <literal>ALL</literal>
- gebruikt. Er bestaan nog andere opties waarmee de
- mogelijkheden nog verder gaan. Zo kan <literal>ALL</literal>
- gebruikt worden om van toepassing te zijn op iedere instantie
- van een daemon, domein of een <acronym>IP</acronym> adres.
- Een andere wildcard die gebruikt kan worden is
- <literal>PARANOID</literal>. Daarmee wordt iedere host die
- een <acronym>IP</acronym>-adres geeft dat gefingeerd kan zijn
- aangeduid. Met andere woorden: <literal>PARANOID</literal>
- kan gebruikt worden om een actie aan te geven als er een
+ <para>De <literal>ALL</literal> optie kan worden gebruikt om
+ alle daemons, domeinen of <acronym>IP</acronym> adressen te
+ matchen. Een andere wildcard is <literal>PARANOID</literal>
+ welke gebruikt kan worden om elke host te matchen waarvan het
+ <acronym>IP</acronym> adres mogelijk gefingeerd is.
+ <literal>PARANOID</literal> kan bijvoorbeeld gebruikt worden
+ om een actie aan te geven als er een
<acronym>IP</acronym>-adres gebruikt wordt dat verschilt van
- de hostnaam. Het volgende voorbeeld kan wat verheldering
- brengen:</para>
+ de hostnaam. In dit voorbeeld zullen alle connectie verzoeken
+ naar &man.sendmail.8; welke een <acronym>IP</acronym>-adres
+ heeft dat afwijkt van de hostnaam worden geweigerd:</para>
<programlisting># Weiger mogelijke gespoofte verzoeken aan sendmail:
sendmail : PARANOID : deny</programlisting>
- <para>In het voorgaande voorbeeld worden alle
- verbindingsverzoeken aan <command>sendmail</command> met een
- <acronym>IP</acronym>-adres dat verschilt van de hostnaam
- geweigerd.</para>
-
<caution>
<para>Het gebruik van de wildcard <literal>PARANOID</literal>
kan nogal wat schade aanrichten als de cliënt of de
@@ -1495,17 +1459,30 @@ sendmail : PARANOID : deny</programlisti
</sect1>
<sect1 xml:id="kerberos5">
- <info><title><application>Kerberos5</application></title>
+ <info>
+
+ <title><application>Kerberos5</application></title>
+
<authorgroup>
- <author><personname><firstname>Tillman</firstname><surname>Hodgson</surname></personname><contrib>Bijgedragen door </contrib></author>
+ <author>
+ <personname>
+ <firstname>Tillman</firstname>
+ <surname>Hodgson</surname>
+ </personname>
+ <contrib>Bijgedragen door </contrib>
+ </author>
</authorgroup>
<authorgroup>
- <author><personname><firstname>Mark</firstname><surname>Murray</surname></personname><contrib>Gebaseerd op een bijdrage van </contrib></author>
+ <author>
+ <personname>
+ <firstname>Mark</firstname>
+ <surname>Murray</surname>
+ </personname>
+ <contrib>Gebaseerd op een bijdrage van </contrib>
+ </author>
</authorgroup>
</info>
-
-
<para><application>Kerberos</application> is een netwerkdienst,
protocol en systeem waarmee gebruikers zich kunnen aanmelden
met behulp van een dienst op een veilige server. Diensten als
More information about the svn-doc-all
mailing list