svn commit: r49095 - head/de_DE.ISO8859-1/books/handbook/security
Bjoern Heidotting
bhd at FreeBSD.org
Mon Jul 11 15:18:14 UTC 2016
Author: bhd
Date: Mon Jul 11 15:18:13 2016
New Revision: 49095
URL: https://svnweb.freebsd.org/changeset/doc/49095
Log:
Run igor(1) on this chapter.
Modified:
head/de_DE.ISO8859-1/books/handbook/security/chapter.xml
Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml
==============================================================================
--- head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Mon Jul 11 14:01:32 2016 (r49094)
+++ head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Mon Jul 11 15:18:13 2016 (r49095)
@@ -7,8 +7,13 @@
$FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $
basiert auf: r48921
-->
-<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="security">
- <info><title>Sicherheit</title>
+<chapter xmlns="http://docbook.org/ns/docbook"
+ xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0"
+ xml:id="security">
+
+ <info>
+ <title>Sicherheit</title>
+
<authorgroup>
<author>
<personname>
@@ -19,11 +24,16 @@
</author>
</authorgroup>
<authorgroup>
- <author><personname><firstname>Martin</firstname><surname>Heinen</surname></personname><contrib>Übersetzt von </contrib></author>
+ <author>
+ <personname>
+ <firstname>Martin</firstname>
+ <surname>Heinen</surname>
+ </personname>
+ <contrib>Übersetzt von </contrib>
+ </author>
</authorgroup>
</info>
-
<indexterm><primary>Sicherheit</primary></indexterm>
<sect1 xml:id="security-synopsis">
@@ -270,18 +280,19 @@
<title>Passwort-Hashes</title>
<para>Passwörter sind ein notwendiges Übel. Wenn sie verwendet
- werden müssen, sollten sie sehr komplex sein und dazu sollte
- eine leistungsfähige Hash-Funktion gewählt werden, um die
- Version des Passworts zu verschlüsseln, die in der
- Passwortdatenbank gespeichert wird. &os; unterstützt die
- Hash-Funktionen <acronym>DES</acronym>, <acronym>MD5</acronym>,
- <acronym>SHA256</acronym>, <acronym>SHA512</acronym>, sowie
- Blowfish Hash-Funktionen in seiner
- <function>crypt()</function>-Bibliothek. Das in der
- Voreinstellung verwendete <acronym>SHA512</acronym> sollte
- nicht durch eine weniger sichere Hash-Funktion getauscht
- werden. Es kann jedoch durch den besseren Blowfish-Algorithmus
- ersetzt werden.</para>
+ werden müssen, sollten sie sehr komplex sein und dazu sollte
+ eine leistungsfähige Hash-Funktion gewählt werden, um die
+ Version des Passworts zu verschlüsseln, die in der
+ Passwortdatenbank gespeichert wird. &os; unterstützt die
+ Hash-Funktionen <acronym>DES</acronym>,
+ <acronym>MD5</acronym>, <acronym>SHA256</acronym>,
+ <acronym>SHA512</acronym>, sowie
+ Blowfish Hash-Funktionen in seiner
+ <function>crypt()</function>-Bibliothek. Das in der
+ Voreinstellung verwendete <acronym>SHA512</acronym> sollte
+ nicht durch eine weniger sichere Hash-Funktion getauscht
+ werden. Es kann jedoch durch den besseren
+ Blowfish-Algorithmus ersetzt werden.</para>
<note>
<para>Blowfish ist nicht Bestandteil von
@@ -324,8 +335,8 @@ dru:$6$pzIjSvCAn.PBYQBA$PXpSeWPx3g5kscj3
<programlisting> :passwd_format=blf:\</programlisting>
- <para>Führen Sie anschließend <command>cap_mkdb
- /etc/login.conf</command> aus, wie in <xref
+ <para>Führen Sie anschließend
+ <command>cap_mkdb /etc/login.conf</command> aus, wie in <xref
linkend="users-limiting"/> beschrieben. Beachten Sie, dass
vorhandene Passwort-Hashes durch diese Änderung nicht
beeinträchtigt werden. Das bedeutet, dass alle Passwörter neu
@@ -340,7 +351,7 @@ dru:$6$pzIjSvCAn.PBYQBA$PXpSeWPx3g5kscj3
für diesen Schlüssel). Da <application>OpenSSH</application>
Teil des &os;-Basissystems ist, sollten alle Anmeldungen über
das Netzwerk über eine verschlüsselte Verbindung mit einer
- schlüsselbasierten Authentifizierung stattfinden. Passwörter
+ schlüsselbasierten Authentifizierung stattfinden. Passwörter
sollten hier nicht verwendet werden. Weitere Informationen
finden Sie in <xref linkend="openssh"/>. Kerberos-Benutzer
müssen eventuell zusätzliche Änderungen vornehmen, um
@@ -355,8 +366,8 @@ dru:$6$pzIjSvCAn.PBYQBA$PXpSeWPx3g5kscj3
<para>Die Durchsetzung einer starken Passwort-Richtlinie für
lokale Benutzerkonten ist ein wesentlicher Aspekt der
Systemsicherheit. In &os; kann die Länge, Stärke und
- Komplexität des Passworts mit den
- <foreignphrase>Pluggable Authentication Modules</foreignphrase>
+ Komplexität des Passworts mit den <foreignphrase>Pluggable
+ Authentication Modules</foreignphrase>
(<acronym>PAM</acronym>) implementiert werden.</para>
<para>In diesem Abschnitt wird gezeigt, wie Sie die minimale und
@@ -444,7 +455,7 @@ Enter new password:</screen>
<screen>&prompt.root; <userinput>pw usermod -p <replaceable>30-apr-2015</replaceable> -n <replaceable>trhodes</replaceable></userinput></screen>
<para>Wie zu sehen ist, wird das Ablaufdatum in der Form von
- Tag, Monat und Jahr angegeben. Weitere Informationen finden
+ Tag, Monat und Jahr angegeben. Weitere Informationen finden
Sie in &man.pw.8;.</para>
</sect2>
@@ -509,7 +520,7 @@ Enter new password:</screen>
System auf Änderungen überwacht wird <foreignphrase>Intrustion
Detection System</foreignphrase> (<acronym>IDS</acronym>)
genannt.</para>
-
+
<para>&os; bietet native Unterstützung für ein einfaches
<acronym>IDS</acronym>-System. Obwohl die täglichen
Sicherheits-E-Mails den Administrator über Änderungen in
@@ -579,7 +590,7 @@ Enter new password:</screen>
<acronym>SHA256</acronym>-Hashwert.</para>
<para>Um sicherzustellen, dass die binären Signaturen nicht
- verändert wurden, vergleichen Sie den Inhalt des aktuellen
+ verändert wurden, vergleichen Sie den Inhalt des aktuellen
Verzeichnisses mit der zuvor erstellen Spezifikation.
Speichern Sie die Ergebnisse in einer Datei. Dieses Kommando
benötigt den Seed, der verwendet wurde um die
@@ -791,7 +802,7 @@ cat changed
Tätigkeiten. Zuerst wird erläutert, wie Einmalpasswörter über
eine gesicherte Verbindung konfiguriert werden. Als nächstes
wird erklärt, wie <command>opiepasswd</command> über
- eine nicht gesicherte Verbindung eingesetzt wird. Als drittes
+ eine nicht gesicherte Verbindung eingesetzt wird. Als drittes
wird beschrieben, wie man sich über eine nicht gesicherte
Verbindung anmeldet. Die vierte Tätigkeit beschreibt, wie man
eine Reihe von Schlüsseln generiert, die man sich aufschreiben
@@ -816,8 +827,7 @@ Enter new secret pass phrase:
Again new secret pass phrase:
ID unfurl OTP key is 499 to4268
-MOS MALL GOAT ARM AVID COED
- </screen>
+MOS MALL GOAT ARM AVID COED</screen>
<para>Die Option <option>-c</option> startet den Konsolen-Modus,
der davon ausgeht, dass der Befehl von einem sicherem Ort
@@ -851,13 +861,13 @@ MOS MALL GOAT ARM AVID COED
<para>Um Einmalpasswörter über eine nicht gesicherte Verbindung
zu initialisieren, oder das geheime Passwort zu ändern, müssen
Sie über eine gesicherte Verbindung zu einer Stelle verfügen,
- an der Sie <command>opiekey</command> ausführen können. Dies kann etwa die
- Eingabeaufforderung auf einer Maschine sein, der Sie
- vertrauen. Zudem müssen Sie einen Iterationszähler vorgeben
- (100 ist ein guter Wert) und einen Initialwert wählen, wobei
- Sie auch einen zufällig generierten benutzen können. Benutzen
- Sie &man.opiepasswd.1; über die ungesicherte Verbindung zu der
- Maschine, die Sie einrichten wollen:</para>
+ an der Sie <command>opiekey</command> ausführen können. Dies
+ kann etwa die Eingabeaufforderung auf einer Maschine sein, der
+ Sie vertrauen. Zudem müssen Sie einen Iterationszähler
+ vorgeben (100 ist ein guter Wert) und einen Initialwert
+ wählen, wobei Sie auch einen zufällig generierten benutzen
+ können. Benutzen Sie &man.opiepasswd.1; über die ungesicherte
+ Verbindung zu der Maschine, die Sie einrichten wollen:</para>
<screen>&prompt.user; <userinput>opiepasswd</userinput>
@@ -896,7 +906,7 @@ GAME GAG WELT OUT DOWN CHAT</screen>
<para>Nachdem Sie <acronym>OPIE</acronym> eingerichtet haben,
werden Sie beim nächsten Anmelden wie folgt begrüßt:</para>
-<screen>&prompt.user; <userinput>telnet example.com</userinput>
+ <screen>&prompt.user; <userinput>telnet example.com</userinput>
Trying 10.0.0.1...
Connected to example.com
Escape character is '^]'.
@@ -921,7 +931,7 @@ Password: </screen>
<para>Jetzt müssen Sie das Einmalpasswort generieren,
um der Anmeldeaufforderung nachzukommen. Dies muss auf
einem gesicherten System geschehen, auf dem Sie
- &man.opiekey.1; ausführen können. Dieses Programm gibt es
+ &man.opiekey.1; ausführen können. Dieses Programm gibt es
auch für &windows;, &macos; und &os;. Es benötigt den
Iterationszähler sowie den Initialwert als Parameter, die Sie
mittels <quote>cut-and-paste</quote> direkt von der
@@ -999,9 +1009,17 @@ Enter secret pass phrase: <userinput><
</sect1>
<sect1 xml:id="tcpwrappers">
- <info><title>TCP Wrapper</title>
+ <info>
+ <title>TCP Wrapper</title>
+
<authorgroup>
- <author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><contrib>Beigetragen von </contrib></author>
+ <author>
+ <personname>
+ <firstname>Tom</firstname>
+ <surname>Rhodes</surname>
+ </personname>
+ <contrib>Beigetragen von </contrib>
+ </author>
</authorgroup>
</info>
@@ -1039,37 +1057,34 @@ inetd_flags="-Ww"</programlisting>
richtig konfiguriert werden.</para>
<note>
- <para>Im Gegensatz zu anderen Implementierungen der
+ <para>Im Gegensatz zu anderen Implementierungen der
<application>TCP Wrapper</application> wird unter &os; vom
Gebrauch der Datei <filename>hosts.deny</filename>
abgeraten. Die Konfiguration sollte sich vollständig in
<filename>/etc/hosts.allow</filename> befinden.</para>
</note>
- <para>In der einfachsten Konfiguration werden Dienste
- abhängig von den Optionen in
- <filename>/etc/hosts.allow</filename> erlaubt oder
- gesperrt. Unter &os; wird in der Voreinstellung
+ <para>In der einfachsten Konfiguration werden Dienste abhängig
+ von den Optionen in <filename>/etc/hosts.allow</filename>
+ erlaubt oder gesperrt. Unter &os; wird in der Voreinstellung
jeder von <application>inetd</application> gestartete Dienst
- erlaubt.</para>
+ erlaubt.</para>
<para>Eine Konfigurationszeile ist wie folgt aufgebaut:
- <literal>Dienst : Adresse : Aktion</literal>.
- <literal>Dienst</literal> ist der von
- <application>inetd</application>
- gestartete Dienst (auch Daemon genannt). Die
- <literal>Adresse</literal> ist ein gültiger
- Rechnername, eine <acronym>IP</acronym>-Adresse oder
- eine <acronym>IPv6</acronym>-Adresse in Klammern
- (<literal>[</literal> <literal>]</literal>).
- Der Wert <literal>allow</literal> im Feld
- <literal>Aktion</literal> erlaubt Zugriffe, der Wert
- <literal>deny</literal> verbietet Zugriffe.
- Die Zeilen in <filename>hosts.allow</filename>
- werden für jede Verbindung der Reihe nach
- abgearbeitet. Trifft eine Zeile auf eine Verbindung
- zu, wird die entsprechende Aktion ausgeführt
- und die Abarbeitung ist beendet.</para>
+ <literal>Dienst : Adresse : Aktion</literal>.
+ <literal>Dienst</literal> ist der von
+ <application>inetd</application> gestartete Dienst (auch
+ Daemon genannt). Die <literal>Adresse</literal> ist ein
+ gültiger Rechnername, eine <acronym>IP</acronym>-Adresse oder
+ eine <acronym>IPv6</acronym>-Adresse in Klammern
+ (<literal>[</literal> <literal>]</literal>). Der Wert
+ <literal>allow</literal> im Feld <literal>Aktion</literal>
+ erlaubt Zugriffe, der Wert <literal>deny</literal> verbietet
+ Zugriffe. Die Zeilen in <filename>hosts.allow</filename>
+ werden für jede Verbindung der Reihe nach abgearbeitet.
+ Trifft eine Zeile auf eine Verbindung zu, wird die
+ entsprechende Aktion ausgeführt und die Abarbeitung ist
+ beendet.</para>
<para>Um beispielsweise einkommende
<acronym>POP</acronym>3-Verbindungen für den Dienst
@@ -1089,114 +1104,125 @@ qpopper : ALL : allow</programlisting>
<sect2>
<title>Erweiterte Konfiguration</title>
- <para><application>TCP Wrapper</application> besitzen
- weitere Optionen, die bestimmen, wie Verbindungen
- behandelt werden. In einigen Fällen ist es
- gut, wenn bestimmten Rechnern oder Diensten eine
- Nachricht geschickt wird. In anderen Fällen
- soll vielleicht der Verbindungsaufbau protokolliert
- oder eine E-Mail an einen Administrator versandt
- werden. Oder ein Dienst soll nur für das
- lokale Netz bereitstehen. Dies alles ist mit so genannten
- Wildcards, Metazeichen und der Ausführung externer
- Programme möglich.</para>
-
- <para>Stellen Sie sich vor, eine Verbindung soll
- verhindert werden und gleichzeitig soll dem Rechner,
- der die Verbindung aufgebaut hat, eine Nachricht
- geschickt werden. Solch eine Aktion ist mit
- <option>twist</option> möglich. <option>twist</option>
- führt beim Verbindungsaufbau ein Kommando oder ein Skript
- aus. Ein Beispiel ist in <filename>hosts.allow</filename>
- enthalten:</para>
+ <para><application>TCP Wrapper</application> besitzen weitere
+ Optionen, die bestimmen, wie Verbindungen behandelt werden.
+ In einigen Fällen ist es gut, wenn bestimmten Rechnern oder
+ Diensten eine Nachricht geschickt wird. In anderen Fällen
+ soll vielleicht der Verbindungsaufbau protokolliert oder eine
+ E-Mail an einen Administrator versandt werden. Oder ein
+ Dienst soll nur für das lokale Netz bereitstehen. Dies alles
+ ist mit so genannten Wildcards, Metazeichen und der Ausführung
+ externer Programme möglich.</para>
+
+ <para>Stellen Sie sich vor, eine Verbindung soll verhindert
+ werden und gleichzeitig soll dem Rechner, der die Verbindung
+ aufgebaut hat, eine Nachricht geschickt werden. Solch eine
+ Aktion ist mit <option>twist</option> möglich.
+ <option>twist</option> führt beim Verbindungsaufbau ein
+ Kommando oder ein Skript aus. Ein Beispiel ist in
+ <filename>hosts.allow</filename> enthalten:</para>
- <programlisting># Alle anderen Dienste sind geschützt
+ <programlisting># Alle anderen Dienste sind geschützt
ALL : ALL \
: severity auth.info \
: twist /bin/echo "You are not welcome to use %d from %h."</programlisting>
- <para>Für jeden Dienst, der nicht vorher in
- <filename>hosts.allow</filename> konfiguriert wurde, wird
- die Meldung <quote>You are not allowed to use
- <replaceable>daemon name</replaceable> from
- <replaceable>hostname</replaceable>.</quote> zurückgegeben.
- Dies ist nützlich, wenn die Gegenstelle sofort
- benachrichtigt werden soll, nachdem die Verbindung getrennt
- wurde. Der Text der Meldung <emphasis>muss</emphasis> in
- Anführungszeichen (<literal>"</literal>) stehen.</para>
+ <para>Für jeden Dienst, der nicht vorher in
+ <filename>hosts.allow</filename> konfiguriert wurde, wird die
+ Meldung <quote>You are not allowed to use
+ <replaceable>daemon name</replaceable> from
+ <replaceable>hostname</replaceable>.</quote> zurückgegeben.
+ Dies ist nützlich, wenn die Gegenstelle sofort benachrichtigt
+ werden soll, nachdem die Verbindung getrennt wurde. Der Text
+ der Meldung <emphasis>muss</emphasis> in Anführungszeichen
+ (<literal>"</literal>) stehen.</para>
- <warning>
- <para>Ein so konfigurierter Server ist anfällig
- für Denial-of-Service-Angriffe. Ein Angreifer
- kann die gesperrten Dienste mit Verbindungsanfragen
- überfluten.</para>
- </warning>
+ <warning>
+ <para>Ein so konfigurierter Server ist anfällig für
+ Denial-of-Service-Angriffe. Ein Angreifer kann die
+ gesperrten Dienste mit Verbindungsanfragen
+ überfluten.</para>
+ </warning>
- <para>Eine weitere Möglichkeit bietet <option>spawn</option>.
- Wie <option>twist</option> verbietet <option>spawn</option>
- die Verbindung und führt externe Kommandos aus. Allerdings
- sendet <option>spawn</option> dem Rechner keine
- Rückmeldung. Sehen Sie sich die nachstehende
- Konfigurationsdatei an:</para>
+ <para>Eine weitere Möglichkeit bietet <option>spawn</option>.
+ Wie <option>twist</option> verbietet <option>spawn</option>
+ die Verbindung und führt externe Kommandos aus. Allerdings
+ sendet <option>spawn</option> dem Rechner keine Rückmeldung.
+ Sehen Sie sich die nachstehende Konfigurationsdatei an:</para>
- <programlisting># Verbindungen von example.com sind gesperrt:
+ <programlisting># Verbindungen von example.com sind gesperrt:
ALL : .example.com \
: spawn (/bin/echo %a from %h attempted to access %d >> \
/var/log/connections.log) \
: deny</programlisting>
- <para>Damit sind Verbindungen von der Domain
- <systemitem class="fqdomainname">*.example.com</systemitem> gesperrt.
- Jeder Verbindungsaufbau wird zudem in
- <filename>/var/log/connections.log</filename>
- protokolliert. Das Protokoll enthält den
- Rechnernamen, die <acronym>IP</acronym>-Adresse
- und den Dienst, der angesprochen wurde. In diesem Beispiel
- wurden die Metazeichen <literal>%a</literal> und
- <literal>%h</literal> verwendet. Eine vollständige Liste
- der Metazeichen finden Sie in &man.hosts.access.5;.</para>
-
- <para>Die Wildcard <literal>ALL</literal> passt auf jeden
- Dienst, jede Domain oder jede <acronym>IP</acronym>-Adresse.
- Eine andere Wildcard ist <literal>PARANOID</literal>. Sie
- passt auf jeden Rechner, dessen
- <acronym>IP</acronym>-Adresse möglicherweise gefälscht ist.
- Dies ist beispielsweise der Fall, wenn der Verbindungsaufbau
- von einer <acronym>IP</acronym>-Adresse erfolgt, die nicht
- zu dem übermittelten Rechnernamen passt. In diesem Beispiel
- werden alle Verbindungsanfragen zu <application>Sendmail</application>
- abgelehnt, wenn die <acronym>IP</acronym>-Adresse nicht zum
- Rechnernamen passt:</para>
+ <para>Damit sind Verbindungen von der Domain <systemitem
+ class="fqdomainname">*.example.com</systemitem> gesperrt.
+ Jeder Verbindungsaufbau wird zudem in
+ <filename>/var/log/connections.log</filename> protokolliert.
+ Das Protokoll enthält den Rechnernamen, die
+ <acronym>IP</acronym>-Adresse und den Dienst, der angesprochen
+ wurde. In diesem Beispiel wurden die Metazeichen
+ <literal>%a</literal> und <literal>%h</literal> verwendet.
+ Eine vollständige Liste der Metazeichen finden Sie in
+ &man.hosts.access.5;.</para>
+
+ <para>Die Wildcard <literal>ALL</literal> passt auf jeden
+ Dienst, jede Domain oder jede <acronym>IP</acronym>-Adresse.
+ Eine andere Wildcard ist <literal>PARANOID</literal>. Sie
+ passt auf jeden Rechner, dessen
+ <acronym>IP</acronym>-Adresse möglicherweise gefälscht ist.
+ Dies ist beispielsweise der Fall, wenn der Verbindungsaufbau
+ von einer <acronym>IP</acronym>-Adresse erfolgt, die nicht zu
+ dem übermittelten Rechnernamen passt. In diesem Beispiel
+ werden alle Verbindungsanfragen zu
+ <application>Sendmail</application> abgelehnt, wenn die
+ <acronym>IP</acronym>-Adresse nicht zum Rechnernamen
+ passt:</para>
- <programlisting># Block possibly spoofed requests to sendmail:
+ <programlisting># Block possibly spoofed requests to sendmail:
sendmail : PARANOID : deny</programlisting>
- <caution>
- <para>Die Wildcard <literal>PARANOID</literal> wird
- Verbindungen ablehnen, wenn der
- Client oder der Server eine fehlerhafte
- <acronym>DNS</acronym>-Konfiguration besitzt.</para>
- </caution>
-
- <para>Weitere Informationen über Wildcards und deren Funktion
- finden Sie in &man.hosts.access.5;.</para>
-
- <note>
- <para>Wenn Sie neue Einträge zur Konfiguration hinzufügen,
- sollten Sie sicherstellen, dass nicht benötigte Einträge
- in <filename>hosts.allow</filename> auskommentiert
- werden.</para>
- </note>
+ <caution>
+ <para>Die Wildcard <literal>PARANOID</literal> wird
+ Verbindungen ablehnen, wenn der Client oder der Server eine
+ fehlerhafte <acronym>DNS</acronym>-Konfiguration
+ besitzt.</para>
+ </caution>
+
+ <para>Weitere Informationen über Wildcards und deren Funktion
+ finden Sie in &man.hosts.access.5;.</para>
+
+ <note>
+ <para>Wenn Sie neue Einträge zur Konfiguration hinzufügen,
+ sollten Sie sicherstellen, dass nicht benötigte Einträge in
+ <filename>hosts.allow</filename> auskommentiert
+ werden.</para>
+ </note>
</sect2>
</sect1>
<sect1 xml:id="kerberos5">
- <info><title><application>Kerberos</application></title>
+ <info>
+ <title><application>Kerberos</application></title>
+
<authorgroup>
- <author><personname><firstname>Tillman</firstname><surname>Hodgson</surname></personname><contrib>Beigetragen von </contrib></author>
+ <author>
+ <personname>
+ <firstname>Tillman</firstname>
+ <surname>Hodgson</surname>
+ </personname>
+ <contrib>Beigetragen von </contrib>
+ </author>
</authorgroup>
<authorgroup>
- <author><personname><firstname>Mark</firstname><surname>Murray</surname></personname><contrib>Beruht auf einem Beitrag von </contrib></author>
+ <author>
+ <personname>
+ <firstname>Mark</firstname>
+ <surname>Murray</surname>
+ </personname>
+ <contrib>Beruht auf einem Beitrag von </contrib>
+ </author>
</authorgroup>
</info>
@@ -1306,7 +1332,7 @@ sendmail : PARANOID : deny</programlisti
installiert werden.</para>
<para>Das <acronym>KDC</acronym> wird in
- <filename>/etc/rc.conf</filename> wie folgt aktiviert:</para>
+ <filename>/etc/rc.conf</filename> wie folgt aktiviert:</para>
<programlisting>kdc_enable="YES"
kadmind_enable="YES"</programlisting>
@@ -1331,20 +1357,20 @@ kadmind_enable="YES"</programlisting>
Der Rechnername des <acronym>KDC</acronym> muss im
<acronym>DNS</acronym> auflösbar sein.</para>
- <para>In großen Netzwerken mit einem ordentlich
- konfigurierten <acronym>DNS</acronym>-Server kann die Datei
- aus dem obigen Beispiel verkürzt werden:</para>
+ <para>In großen Netzwerken mit einem ordentlich konfigurierten
+ <acronym>DNS</acronym>-Server kann die Datei aus dem obigen
+ Beispiel verkürzt werden:</para>
- <programlisting>[libdefaults]
+ <programlisting>[libdefaults]
default_realm = <replaceable>EXAMPLE.ORG</replaceable>
[domain_realm]
<replaceable>.example.org</replaceable> = <replaceable>EXAMPLE.ORG</replaceable></programlisting>
- <para>Die Zonendatei von <systemitem
- class="fqdomainname">example.org</systemitem> muss dann
- die folgenden Zeilen enthalten:</para>
+ <para>Die Zonendatei von <systemitem
+ class="fqdomainname">example.org</systemitem> muss dann die
+ folgenden Zeilen enthalten:</para>
- <programlisting>_kerberos._udp IN SRV 01 00 88 <replaceable>kerberos.example.org</replaceable>.
+ <programlisting>_kerberos._udp IN SRV 01 00 88 <replaceable>kerberos.example.org</replaceable>.
_kerberos._tcp IN SRV 01 00 88 <replaceable>kerberos.example.org</replaceable>.
_kpasswd._udp IN SRV 01 00 464 <replaceable>kerberos.example.org</replaceable>.
_kerberos-adm._tcp IN SRV 01 00 749 <replaceable>kerberos.example.org</replaceable>.
@@ -1362,7 +1388,7 @@ _kerberos IN TXT <replace
</note>
<para>Im nächsten Schritt wird die
- <application>Kerberos</application>-Datenbank eingerichtet.
+ <application>Kerberos</application>-Datenbank eingerichtet.
Die Datenbank enthält die Schlüssel aller Prinzipale
und ist mit einem Passwort geschützt. Dieses Passwort
brauchen Sie sich nicht merken, da ein davon abgeleiteter
@@ -1617,7 +1643,7 @@ kadmin> <userinput>exit</userinput></
class="username">webdevelopers</systemitem> haben beide
Prinzipale auch ohne das gemeinsame Passwort Zugriff auf das
Konto:</para>
-
+
<programlisting>tillmann at example.org
jdoe at example.org</programlisting>
@@ -1766,7 +1792,7 @@ kadmind5_server_enable="YES"</programlis
besitzen. Wenn der Prinzipal eines Benutzers über ein
Ticket verfügt, das eine Woche gültig ist, das Ticket des
Host-Prinzipals aber nur neun Stunden gültig ist,
- funktioniert der Ticket-Cache nicht wie erwartet. Im
+ funktioniert der Ticket-Cache nicht wie erwartet. Im
Cache befindet sich dann ein abgelaufenes Ticket des
Host-Prinzipals.</para>
</listitem>
@@ -1815,37 +1841,34 @@ kadmind5_server_enable="YES"</programlis
Haupt-Schlüssel wiederum wird in einer Datei auf dem
<acronym>KDC</acronym> gespeichert.</para>
- <para>Ein kompromittierter Haupt-Schlüssel ist nicht
- ganz so schlimm wie allgemein angenommen. Der
- Haupt-Schlüssel wird nur zum Verschlüsseln
- der Passwort-Datenbank und zum Initialisieren des
- Zufallsgenerators verwendet. Solange der Zugriff
- auf das <acronym>KDC</acronym> abgesichert ist, kann
- ein Angreifer wenig mit dem Haupt-Schlüssel
- anfangen.</para>
-
- <para>Wenn das <acronym>KDC</acronym> nicht zur Verfügung
- steht, sind auch die Netzwerkdienste nicht benutzbar, da
- eine Authentifizierung nicht durchgeführt werden kann.
- Das <acronym>KDC</acronym> ist also ein optimales Ziel für
- einen Denial-of-Service Angriff. Sie können diesem Angriff
- entgegenwirken, indem Sie einen
- <acronym>KDC</acronym>-Master und einen oder mehrere Slaves
- verwenden. Der Rückfall auf ein sekundäres
- <acronym>KDC</acronym> mittels
- <acronym>PAM</acronym>-Authentifizierung muss sorgfältig
- eingerichtet werden.</para>
-
- <para>Mit <application>Kerberos</application> können
- sich Benutzer, Rechner und Dienste gegenseitig
- authentifizieren. Allerdings existiert kein Mechanismus,
- der das <acronym>KDC</acronym> gegenüber Benutzern,
- Rechnern oder Diensten authentifiziert. Ein verändertes
- <command>kinit</command> könnte beispielsweise alle
- Benutzernamen und Passwörter abfangen. Die von veränderten
- Programmen ausgehende Gefahr können Sie lindern, indem Sie
- die Integrität von Dateien mit Werkzeugen wie
- <package>security/tripwire</package> prüfen.</para>
+ <para>Ein kompromittierter Haupt-Schlüssel ist nicht ganz so
+ schlimm wie allgemein angenommen. Der Haupt-Schlüssel wird
+ nur zum Verschlüsseln der Passwort-Datenbank und zum
+ Initialisieren des Zufallsgenerators verwendet. Solange der
+ Zugriff auf das <acronym>KDC</acronym> abgesichert ist, kann
+ ein Angreifer wenig mit dem Haupt-Schlüssel anfangen.</para>
+
+ <para>Wenn das <acronym>KDC</acronym> nicht zur Verfügung steht,
+ sind auch die Netzwerkdienste nicht benutzbar, da eine
+ Authentifizierung nicht durchgeführt werden kann. Das
+ <acronym>KDC</acronym> ist also ein optimales Ziel für einen
+ Denial-of-Service Angriff. Sie können diesem Angriff
+ entgegenwirken, indem Sie einen <acronym>KDC</acronym>-Master
+ und einen oder mehrere Slaves verwenden. Der Rückfall auf ein
+ sekundäres <acronym>KDC</acronym> mittels
+ <acronym>PAM</acronym>-Authentifizierung muss sorgfältig
+ eingerichtet werden.</para>
+
+ <para>Mit <application>Kerberos</application> können sich
+ Benutzer, Rechner und Dienste gegenseitig authentifizieren.
+ Allerdings existiert kein Mechanismus, der das
+ <acronym>KDC</acronym> gegenüber Benutzern, Rechnern oder
+ Diensten authentifiziert. Ein verändertes
+ <command>kinit</command> könnte beispielsweise alle
+ Benutzernamen und Passwörter abfangen. Die von veränderten
+ Programmen ausgehende Gefahr können Sie lindern, indem Sie die
+ Integrität von Dateien mit Werkzeugen wie
+ <package>security/tripwire</package> prüfen.</para>
</sect2>
<sect2>
@@ -1858,39 +1881,53 @@ kadmind5_server_enable="YES"</programlis
<itemizedlist>
<listitem>
- <para><link xlink:href="http://www.faqs.org/faqs/Kerberos-faq/general/preamble.html">The
- Kerberos FAQ</link></para>
+ <para><link
+ xlink:href="http://www.faqs.org/faqs/Kerberos-faq/general/preamble.html">
+ The <application>Kerberos</application> FAQ</link></para>
</listitem>
<listitem>
- <para><link xlink:href="http://web.mit.edu/Kerberos/www/dialogue.html">Designing
- an Authentication System: a Dialogue in Four
- Scenes</link></para>
+ <para><link
+ xlink:href="http://web.mit.edu/Kerberos/www/dialogue.html">
+ Designing an Authentication System: a Dialogue in Four
+ Scenes</link></para>
</listitem>
<listitem>
- <para><link xlink:href="http://www.ietf.org/rfc/rfc4120.txt?number=4120">RFC 4120,
- The <application>Kerberos</application> Network
- Authentication Service (V5)</link></para>
+ <para><link
+ xlink:href="http://www.ietf.org/rfc/rfc4120.txt?number=4120">
+ RFC 4120, The <application>Kerberos</application>
+ Network Authentication Service (V5)</link></para>
</listitem>
<listitem>
- <para><link xlink:href="http://web.mit.edu/Kerberos/www/"><acronym>MIT</acronym>
- <application>Kerberos</application>-Seite</link></para>
+ <para><link
+ xlink:href="http://web.mit.edu/Kerberos/www/">
+ <acronym>MIT</acronym>
+ <application>Kerberos</application>-Seite</link></para>
</listitem>
<listitem>
- <para><link xlink:href="http://www.pdc.kth.se/heimdal/">Heimdal
- <application>Kerberos</application>-Seite</link></para>
+ <para><link
+ xlink:href="http://www.pdc.kth.se/heimdal/">Heimdal
+ <application>Kerberos</application>-Seite</link></para>
</listitem>
</itemizedlist>
</sect2>
</sect1>
<sect1 xml:id="openssl">
- <info><title>OpenSSL</title>
+ <info>
+ <title>OpenSSL</title>
+
<authorgroup>
- <author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><contrib>Beigetragen von </contrib></author>
+ <author>
+ <personname>
+ <firstname>Tom</firstname>
+ <surname>Rhodes</surname>
+ </personname>
+ <contrib>Beigetragen von </contrib>
+ </author>
</authorgroup>
</info>
@@ -1944,18 +1981,18 @@ kadmind5_server_enable="YES"</programlis
<para><application>OpenSSL</application> wird auch eingesetzt,
um Zertifikate für Anwendungen bereitzustellen. Die
- Zertifikate stellen die Identität einer Firma oder
- eines Einzelnen sicher. Wenn ein Zertifikat nicht von
- einer Zertifizierungsstelle (<foreignphrase>Certificate
- Authority</foreignphrase>, <acronym>CA</acronym>)
- gegengezeichnet wurde, erhalten Sie normalerweise eine
- Warnung. Eine Zertifizierungsstelle ist eine Firma
- wie <link xlink:href="http://www.verisign.com/">VeriSign</link>,
- die Zertifikate von Personen oder Firmen
- gegenzeichnet und damit die Korrektheit der Zertifikate
- bestätigt. Diese Prozedur kostet Geld, ist aber
- keine Voraussetzung für den Einsatz von Zertifikaten,
- beruhigt aber sicherheitsbewusste Benutzer.</para>
+ Zertifikate stellen die Identität einer Firma oder eines
+ Einzelnen sicher. Wenn ein Zertifikat nicht von einer
+ Zertifizierungsstelle
+ (<foreignphrase>Certificate Authority</foreignphrase>,
+ <acronym>CA</acronym>) gegengezeichnet wurde, erhalten Sie
+ normalerweise eine Warnung. Eine Zertifizierungsstelle ist eine
+ Firma wie <link
+ xlink:href="http://www.verisign.com/">VeriSign</link>, die
+ Zertifikate von Personen oder Firmen gegenzeichnet und damit die
+ Korrektheit der Zertifikate bestätigt. Diese Prozedur kostet
+ Geld, ist aber keine Voraussetzung für den Einsatz von
+ Zertifikaten, beruhigt aber sicherheitsbewusste Benutzer.</para>
<para>Dieser Abschnitt beschreibt, wie Sie auf einem &os;-System
Zertifikate erstellen und benutzen.
@@ -2192,167 +2229,163 @@ Connection closed by foreign host.</scre
Implementierung und unterstützt sowohl <acronym>IPv4</acronym>
als auch <acronym>IPv6</acronym>.</para>
- <indexterm>
- <primary><acronym>IPsec</acronym></primary>
- <secondary>ESP</secondary>
- </indexterm>
+ <indexterm>
+ <primary><acronym>IPsec</acronym></primary>
+ <secondary>ESP</secondary>
+ </indexterm>
- <indexterm>
- <primary><acronym>IPsec</acronym></primary>
- <secondary>AH</secondary>
- </indexterm>
+ <indexterm>
+ <primary><acronym>IPsec</acronym></primary>
+ <secondary>AH</secondary>
+ </indexterm>
- <para><acronym>IPsec</acronym> besteht aus den folgenden
- Protokollen:</para>
+ <para><acronym>IPsec</acronym> besteht aus den folgenden
+ Protokollen:</para>
- <itemizedlist>
- <listitem>
- <para><emphasis>Encapsulated Security Payload
- (<acronym>ESP</acronym>)</emphasis>: dieses Protokoll verschlüsselt
- <acronym>IP</acronym>-Pakete mit einem symmetrischen
- Verfahren wie Blowfish oder <acronym>3DES</acronym>.
- Damit werden die Pakete vor Manipulationen Dritter
- geschützt.</para>
- </listitem>
-
- <listitem>
- <para><emphasis>Authentication Header
- (<acronym>AH</acronym>)</emphasis>: dieses Protokoll enthält eine
- kryptographische Prüfsumme, die sicher stellt, dass ein
- <acronym>IP</acronym>-Paket nicht verändert wurde. Der
- Authentication-Header folgt nach dem normalen
- <acronym>IP</acronym>-Header und erlaubt dem Empfänger
- eines <acronym>IP</acronym>-Paketes, dessen Integrität zu
- prüfen.</para>
- </listitem>
+ <itemizedlist>
+ <listitem>
+ <para><emphasis>Encapsulated Security Payload
+ (<acronym>ESP</acronym>)</emphasis>: dieses Protokoll
+ verschlüsselt <acronym>IP</acronym>-Pakete mit einem
+ symmetrischen Verfahren wie Blowfish oder
+ <acronym>3DES</acronym>. Damit werden die Pakete vor
+ Manipulationen Dritter geschützt.</para>
+ </listitem>
- <listitem>
- <para><emphasis>IP Payload Compression Protocol
- (<acronym>IPComp</acronym>)</emphasis>: dieses
- Protokoll versucht durch Komprimierung der
- <acronym>IP</acronym>-Nutzdaten die Menge der gesendeten
- Daten zu reduzieren und somit die Kommunikationsleistung
- zu verbessern.</para>
- </listitem>
- </itemizedlist>
+ <listitem>
+ <para><emphasis>Authentication Header
+ (<acronym>AH</acronym>)</emphasis>: dieses Protokoll
+ enthält eine kryptographische Prüfsumme, die sicher stellt,
+ dass ein <acronym>IP</acronym>-Paket nicht verändert wurde.
+ Der Authentication-Header folgt nach dem normalen
+ <acronym>IP</acronym>-Header und erlaubt dem Empfänger eines
+ <acronym>IP</acronym>-Paketes, dessen Integrität zu
+ prüfen.</para>
+ </listitem>
- <para>Diese Protokolle können, je nach Situation, zusammen oder
- einzeln verwendet werden.</para>
+ <listitem>
+ <para><emphasis>IP Payload Compression Protocol
+ (<acronym>IPComp</acronym>)</emphasis>: dieses Protokoll
+ versucht durch Komprimierung der
+ <acronym>IP</acronym>-Nutzdaten die Menge der gesendeten
+ Daten zu reduzieren und somit die Kommunikationsleistung zu
+ verbessern.</para>
+ </listitem>
+ </itemizedlist>
- <indexterm>
- <primary><acronym>VPN</acronym></primary>
- </indexterm>
+ <para>Diese Protokolle können, je nach Situation, zusammen oder
+ einzeln verwendet werden.</para>
- <indexterm>
- <primary>Virtual Private Network</primary>
- <see>VPN</see>
- </indexterm>
+ <indexterm>
+ <primary><acronym>VPN</acronym></primary>
+ </indexterm>
- <para><acronym>IPsec</acronym> unterstützt zwei Modi: Der
- <firstterm>Transport-Modus</firstterm> verschlüsselt
- die Daten zwischen zwei Systemen. Der
- <firstterm>Tunnel-Modus</firstterm> verbindet zwei
- Subnetze miteinander. Durch einen Tunnel können
- dann verschlüsselte Daten übertragen
- werden. Ein Tunnel wird auch als
- <foreignphrase>Virtual-Private-Network</foreignphrase>
- (<acronym>VPN</acronym>) bezeichnet. Detaillierte
- Informationen über das <acronym>IPsec</acronym>-Subsystem von
- &os; finden Sie in &man.ipsec.4;.</para>
-
- <para>Um die Unterstützung für <acronym>IPsec</acronym> im
- Kernel zu aktivieren, fügen Sie folgenden Optionen in die
- Kernelkonfigurationsdatei ein und erstellen Sie einen neuen
- Kernel, wie in <xref linkend="kernelconfig"/>
- beschrieben.</para>
+ <indexterm>
+ <primary>Virtual Private Network</primary>
+ <see>VPN</see>
+ </indexterm>
- <indexterm>
- <primary>Kerneloption</primary>
- <secondary>IPSEC</secondary>
- </indexterm>
+ <para><acronym>IPsec</acronym> unterstützt zwei Modi: Der
+ <firstterm>Transport-Modus</firstterm> verschlüsselt die Daten
+ zwischen zwei Systemen. Der <firstterm>Tunnel-Modus</firstterm>
+ verbindet zwei Subnetze miteinander. Durch einen Tunnel können
+ dann verschlüsselte Daten übertragen werden. Ein Tunnel wird
+ auch als <foreignphrase>Virtual-Private-Network</foreignphrase>
+ (<acronym>VPN</acronym>) bezeichnet. Detaillierte Informationen
+ über das <acronym>IPsec</acronym>-Subsystem von &os; finden Sie
+ in &man.ipsec.4;.</para>
+
+ <para>Um die Unterstützung für <acronym>IPsec</acronym> im Kernel
+ zu aktivieren, fügen Sie folgenden Optionen in die
+ Kernelkonfigurationsdatei ein und erstellen Sie einen neuen
+ Kernel, wie in <xref linkend="kernelconfig"/>
+ beschrieben.</para>
+
+ <indexterm>
+ <primary>Kerneloption</primary>
+ <secondary>IPSEC</secondary>
+ </indexterm>
- <screen>options IPSEC #IP security
+ <screen>options IPSEC #IP security
device crypto</screen>
- <indexterm>
- <primary>Kerneloption</primary>
- <secondary>IPSEC_DEBUG</secondary>
- </indexterm>
+ <indexterm>
+ <primary>Kerneloption</primary>
+ <secondary>IPSEC_DEBUG</secondary>
+ </indexterm>
- <para>Wenn Sie zur Fehlersuche im <acronym>IPsec</acronym>-Subsystem
- Unterstützung wünschen, sollten Sie die
- folgende Option ebenfalls aktivieren:</para>
-
- <screen>options IPSEC_DEBUG #debug for IP security</screen>
-
- <para>Der Rest dieses Kapitels beschreibt die Einrichtung eines
- <acronym>IPsec</acronym>-<acronym>VPN</acronym> zwischen einem
- Heimnetzwerk und einem Firmennetzwerk. Für das folgende
- Beispiel gilt:</para>
-
- <!--
- <para>Es gibt keinen Standard, der festlegt, was ein
- Virtual-Private-Network ist. VPNs können mit
- verschiedenen Techniken, die jeweils eigene Vor- und
- Nachteile besitzen, implementiert werden.
- Dieser Abschnitt stellt Möglichkeiten vor, um ein VPN
- für das folgende Szenario aufzubauen:</para>
--->
- <itemizedlist>
- <listitem>
- <para>Beide Netzwerke sind über ein &os;-Gateway
- mit dem Internet verbunden.</para>
- </listitem>
-
- <listitem>
- <para>Der Gateway jedes Netzwerks besitzt mindestens
- eine externe <acronym>IP</acronym>-Adresse. In diesem
- Beispiel ist die externe <acronym>IP</acronym>-Adresse des
- Firmennetzwerks (<acronym>LAN</acronym>) <systemitem
- class="ipaddress">172.16.5.4</systemitem> und das
- Heimnetzwerk (<acronym>LAN</acronym>) hat die externe
- <acronym>IP</acronym>-Adresse <systemitem
- class="ipaddress">192.168.1.12</systemitem>.</para>
- </listitem>
-
- <listitem>
- <para>Die intern verwendeten <acronym>IP</acronym>-Adressen
- können private oder öffentliche Adressen sein.
- Sie dürfen sich jedoch nicht überschneiden. Zum Beispiel
- sollten nicht beide Netze <systemitem
- class="ipaddress">192.168.1.x</systemitem>
- benutzen. In diesem Beispiel ist die interne
- <acronym>IP</acronym>-Adresse des Firmennetzwerks
- (<acronym>LAN</acronym>) <systemitem
- class="ipaddress">10.246.38.1</systemitem> und das
- Heimnetzwerk (<acronym>LAN</acronym>) hat die interne
- <acronym>IP</acronym>-Adresse <systemitem
- class="ipaddress">10.0.0.5</systemitem>.</para>
- </listitem>
- </itemizedlist>
+ <para>Wenn Sie zur Fehlersuche im
+ <acronym>IPsec</acronym>-Subsystem Unterstützung wünschen,
+ sollten Sie die folgende Option ebenfalls aktivieren:</para>
+
+ <screen>options IPSEC_DEBUG #debug for IP security</screen>
+
+ <para>Der Rest dieses Kapitels beschreibt die Einrichtung eines
+ <acronym>IPsec</acronym>-<acronym>VPN</acronym> zwischen einem
+ Heimnetzwerk und einem Firmennetzwerk. Für das folgende
+ Beispiel gilt:</para>
+
+ <itemizedlist>
+ <listitem>
+ <para>Beide Netzwerke sind über ein &os;-Gateway mit dem
+ Internet verbunden.</para>
+ </listitem>
+
+ <listitem>
+ <para>Der Gateway jedes Netzwerks besitzt mindestens eine
+ externe <acronym>IP</acronym>-Adresse. In diesem Beispiel
+ ist die externe <acronym>IP</acronym>-Adresse des
+ Firmennetzwerks (<acronym>LAN</acronym>) <systemitem
+ class="ipaddress">172.16.5.4</systemitem> und das
+ Heimnetzwerk (<acronym>LAN</acronym>) hat die externe
+ <acronym>IP</acronym>-Adresse <systemitem
+ class="ipaddress">192.168.1.12</systemitem>.</para>
+ </listitem>
+
+ <listitem>
+ <para>Die intern verwendeten <acronym>IP</acronym>-Adressen
+ können private oder öffentliche Adressen sein. Sie dürfen
+ sich jedoch nicht überschneiden. Zum Beispiel sollten nicht
+ beide Netze <systemitem
+ class="ipaddress">192.168.1.x</systemitem> benutzen. In
+ diesem Beispiel ist die interne
+ <acronym>IP</acronym>-Adresse des Firmennetzwerks
+ (<acronym>LAN</acronym>) <systemitem
+ class="ipaddress">10.246.38.1</systemitem> und das
+ Heimnetzwerk (<acronym>LAN</acronym>) hat die interne
+ <acronym>IP</acronym>-Adresse <systemitem
+ class="ipaddress">10.0.0.5</systemitem>.</para>
+ </listitem>
+ </itemizedlist>
<sect2>
<info>
<title>Konfiguration eines <acronym>VPN</acronym> unter
&os;</title>
- <authorgroup>
- <author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><affiliation>
- <address><email>trhodes at FreeBSD.org</email></address>
- </affiliation><contrib>Geschrieben von </contrib></author>
- </authorgroup>
+ <authorgroup>
+ <author>
+ <personname>
+ <firstname>Tom</firstname>
+ <surname>Rhodes</surname>
+ </personname>
+ <affiliation>
+ <address><email>trhodes at FreeBSD.org</email></address>
+ </affiliation>
+ <contrib>Geschrieben von </contrib>
+ </author>
+ </authorgroup>
</info>
-
<para>Als erstes muss <package>security/ipsec-tools</package>
aus der Ports-Sammlung installiert werden. Diese Software
enthält einige Anwendungen, die bei der Konfiguration von
IPsec hilfreich sind.</para>
- <para>Als nächstes müssen zwei &man.gif.4;-Pseudogeräte
- angelegt werden, um die Pakete zu tunneln und dafür zu sorgen,
- dass beide Netzwerke richtig miteinander kommunizieren können.
- Geben Sie als <systemitem class="username">root</systemitem>
+ <para>Als nächstes müssen zwei &man.gif.4;-Pseudogeräte angelegt
+ werden, um die Pakete zu tunneln und dafür zu sorgen, dass
+ beide Netzwerke richtig miteinander kommunizieren können.
+ Geben Sie als <systemitem class="username">root</systemitem>
die folgenden Befehle ein, wobei Sie
*** DIFF OUTPUT TRUNCATED AT 1000 LINES ***
More information about the svn-doc-all
mailing list