svn commit: r48836 - head/de_DE.ISO8859-1/books/handbook/security
Bjoern Heidotting
bhd at FreeBSD.org
Fri May 20 21:54:54 UTC 2016
Author: bhd
Date: Fri May 20 21:54:52 2016
New Revision: 48836
URL: https://svnweb.freebsd.org/changeset/doc/48836
Log:
Update to r44593:
Editorial review of TCP Wrapper chapter.
Change application name to singular.
Reviewed by: bcr
Differential Revision: https://reviews.freebsd.org/D6476
Modified:
head/de_DE.ISO8859-1/books/handbook/security/chapter.xml
Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml
==============================================================================
--- head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Fri May 20 13:12:02 2016 (r48835)
+++ head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Fri May 20 21:54:52 2016 (r48836)
@@ -5,7 +5,7 @@
$FreeBSD$
$FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $
- basiert auf: r44530
+ basiert auf: r44593
-->
<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="security">
<info><title>Sicherheit</title>
@@ -62,7 +62,7 @@
</listitem>
<listitem>
- <para><acronym>TCP</acronym>-Wrapper für &man.inetd.8;
+ <para><application>TCP Wrapper</application> für &man.inetd.8;
einrichten können.</para>
</listitem>
@@ -999,59 +999,64 @@ Enter secret pass phrase: <userinput><
</sect1>
<sect1 xml:id="tcpwrappers">
- <info><title>TCP-Wrapper</title>
+ <info><title>TCP Wrapper</title>
<authorgroup>
<author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><contrib>Beigetragen von </contrib></author>
</authorgroup>
</info>
-
-
<indexterm>
- <primary>TCP-Wrapper</primary>
+ <primary>TCP Wrapper</primary>
</indexterm>
- <para><acronym>TCP</acronym>-Wrapper erweitern die Fähigkeiten von
- <xref linkend="network-inetd"/>. Beispielsweise können
- Verbindungen protokolliert, Nachrichten zurückgesandt oder nur
- interne Verbindungen angenommen werden. Einige dieser
- Fähigkeiten können auch über eine Firewall implementiert werden,
- <acronym>TCP</acronym>-Wrapper fügen jedoch noch eine weitere
- Sicherheitsschicht und Kontrollmöglichkeiten hinzu, die eine
- Firewall nicht bieten kann.</para>
-
- <para><acronym>TCP</acronym>-Wrapper sollten nicht als Ersatz für
- eine ordentlich konfigurierte Firewall angesehen werden, sondern
- stattdessen in Verbindung mit einer Firewall und anderen
- Sicherheitsmechanismen eingesetzt werden.</para>
-
- <sect2>
- <title>TCP-Wrapper einrichten</title>
-
- <para>Um <acronym>TCP</acronym>-Wrapper unter &os; zu benutzen,
- muss der &man.inetd.8;-Server aus <filename>rc.conf</filename>
- mit den Optionen <option>-Ww</option> gestartet werden.
- Anschließend muss <filename>/etc/hosts.allow</filename>
+ <para><application>TCP Wrapper</application> ist ein
+ rechnerbasiertes Zugriffskontrollsystem, das die Fähigkeiten von
+ <xref linkend="network-inetd"/> erweitert. Beispielsweise
+ können Verbindungen protokolliert, Nachrichten zurückgesandt
+ oder nur interne Verbindungen angenommen werden. Weitere
+ Informationen über <application>TCP Wrapper</application> und
+ dessen Funktionen finden Sie in &man.tcpd.8;.</para>
+
+ <para><application>TCP Wrapper</application> sollten nicht als
+ Ersatz für eine ordentlich konfigurierte Firewall angesehen
+ werden. Stattdessen sollten
+ <application>TCP Wrapper</application> in Verbindung mit einer
+ Firewall und anderen Sicherheitsmechanismen eingesetzt werden,
+ um bei der Umsetzung einer Sicherheitsrichtlinie eine weitere
+ Sicherheitsschicht zu bieten.</para>
+
+ <sect2>
+ <title>Konfiguration</title>
+
+ <para>Um <application>TCP Wrapper</application> unter &os; zu
+ aktivieren, fügen Sie die folgenden Zeilen in
+ <filename>/etc/rc.conf</filename> ein:</para>
+
+ <programlisting>inetd_enable="YES"
+inetd_flags="-Ww"</programlisting>
+
+ <para>Anschließend muss <filename>/etc/hosts.allow</filename>
richtig konfiguriert werden.</para>
<note>
<para>Im Gegensatz zu anderen Implementierungen der
- <acronym>TCP</acronym>-Wrapper wird vom Gebrauch
- der Datei <filename>hosts.deny</filename> abgeraten.
- Die Konfiguration sollte sich vollständig in der
- Datei <filename>/etc/hosts.allow</filename> befinden.</para>
+ <application>TCP Wrapper</application> wird unter &os; vom
+ Gebrauch der Datei <filename>hosts.deny</filename>
+ abgeraten. Die Konfiguration sollte sich vollständig in
+ <filename>/etc/hosts.allow</filename> befinden.</para>
</note>
<para>In der einfachsten Konfiguration werden Dienste
- abhängig vom Inhalt der Datei
+ abhängig von den Optionen in
<filename>/etc/hosts.allow</filename> erlaubt oder
gesperrt. Unter &os; wird in der Voreinstellung
- jeder von &man.inetd.8; gestartete Dienst
+ jeder von <application>inetd</application> gestartete Dienst
erlaubt.</para>
<para>Eine Konfigurationszeile ist wie folgt aufgebaut:
<literal>Dienst : Adresse : Aktion</literal>.
- <literal>Dienst</literal> ist der von &man.inetd.8;
+ <literal>Dienst</literal> ist der von
+ <application>inetd</application>
gestartete Dienst (auch Daemon genannt). Die
<literal>Adresse</literal> ist ein gültiger
Rechnername, eine <acronym>IP</acronym>-Adresse oder
@@ -1075,8 +1080,8 @@ Enter secret pass phrase: <userinput><
<programlisting># This line is required for POP3 connections:
qpopper : ALL : allow</programlisting>
- <para>Nachdem Sie die Zeile hinzugefügt haben, muss
- &man.inetd.8; neu gestartet werden:</para>
+ <para>Jedes Mal, wenn diese Datei bearbeitet wird, muss
+ <application>inetd</application> neu gestartet werden:</para>
<screen>&prompt.root; <userinput>service inetd restart</userinput></screen>
</sect2>
@@ -1084,7 +1089,7 @@ qpopper : ALL : allow</programlisting>
<sect2>
<title>Erweiterte Konfiguration</title>
- <para><acronym>TCP</acronym>-Wrapper besitzen
+ <para><application>TCP Wrapper</application> besitzen
weitere Optionen, die bestimmen, wie Verbindungen
behandelt werden. In einigen Fällen ist es
gut, wenn bestimmten Rechnern oder Diensten eine
@@ -1096,11 +1101,8 @@ qpopper : ALL : allow</programlisting>
Wildcards, Metazeichen und der Ausführung externer
Programme möglich.</para>
- <sect3>
- <title>Externe Kommandos</title>
-
<para>Stellen Sie sich vor, eine Verbindung soll
- verhindert werden und gleichzeitig soll demjenigen,
+ verhindert werden und gleichzeitig soll dem Rechner,
der die Verbindung aufgebaut hat, eine Nachricht
geschickt werden. Solch eine Aktion ist mit
<option>twist</option> möglich. <option>twist</option>
@@ -1116,8 +1118,8 @@ ALL : ALL \
<para>Für jeden Dienst, der nicht vorher in
<filename>hosts.allow</filename> konfiguriert wurde, wird
die Meldung <quote>You are not allowed to use
- <literal>daemon</literal> from
- <literal>hostname</literal>.</quote> zurückgegeben.
+ <replaceable>daemon name</replaceable> from
+ <replaceable>hostname</replaceable>.</quote> zurückgegeben.
Dies ist nützlich, wenn die Gegenstelle sofort
benachrichtigt werden soll, nachdem die Verbindung getrennt
wurde. Der Text der Meldung <emphasis>muss</emphasis> in
@@ -1133,7 +1135,7 @@ ALL : ALL \
<para>Eine weitere Möglichkeit bietet <option>spawn</option>.
Wie <option>twist</option> verbietet <option>spawn</option>
die Verbindung und führt externe Kommandos aus. Allerdings
- sendet <option>spawn</option> der Gegenstelle keine
+ sendet <option>spawn</option> dem Rechner keine
Rückmeldung. Sehen Sie sich die nachstehende
Konfigurationsdatei an:</para>
@@ -1149,16 +1151,10 @@ ALL : .example.com \
<filename>/var/log/connections.log</filename>
protokolliert. Das Protokoll enthält den
Rechnernamen, die <acronym>IP</acronym>-Adresse
- und den Dienst, der angesprochen wurde.</para>
-
- <para>In diesem Beispiel wurden die Metazeichen
- <literal>%a</literal> und <literal>%h</literal> verwendet.
- Eine vollständige Liste der Metazeichen finden Sie in
- &man.hosts.access.5;.</para>
- </sect3>
-
- <sect3>
- <title>Wildcards</title>
+ und den Dienst, der angesprochen wurde. In diesem Beispiel
+ wurden die Metazeichen <literal>%a</literal> und
+ <literal>%h</literal> verwendet. Eine vollständige Liste
+ der Metazeichen finden Sie in &man.hosts.access.5;.</para>
<para>Die Wildcard <literal>ALL</literal> passt auf jeden
Dienst, jede Domain oder jede <acronym>IP</acronym>-Adresse.
@@ -1168,7 +1164,7 @@ ALL : .example.com \
Dies ist beispielsweise der Fall, wenn der Verbindungsaufbau
von einer <acronym>IP</acronym>-Adresse erfolgt, die nicht
zu dem übermittelten Rechnernamen passt. In diesem Beispiel
- werden alle Verbindungsanfragen zu &man.sendmail.8;
+ werden alle Verbindungsanfragen zu <application>Sendmail</application>
abgelehnt, wenn die <acronym>IP</acronym>-Adresse nicht zum
Rechnernamen passt:</para>
@@ -1176,22 +1172,21 @@ ALL : .example.com \
sendmail : PARANOID : deny</programlisting>
<caution>
- <para>Die Wildcard <literal>PARANOID</literal>
- kann einen Dienst unbrauchbar machen, wenn der
+ <para>Die Wildcard <literal>PARANOID</literal> wird
+ Verbindungen ablehnen, wenn der
Client oder der Server eine fehlerhafte
- <acronym>DNS</acronym>-Konfiguration besitzt.
- Seien Sie daher besonders vorsichtig, wenn Sie diese Wildcard
- in Ihre Konfiguration aufnehmen wollen.</para>
+ <acronym>DNS</acronym>-Konfiguration besitzt.</para>
</caution>
<para>Weitere Informationen über Wildcards und deren Funktion
finden Sie in &man.hosts.access.5;.</para>
- <para>Damit die gezeigten Beispiele funktionieren, muss die
- erste Konfigurationszeile in
- <filename>hosts.allow</filename> auskommentiert
- werden.</para>
- </sect3>
+ <note>
+ <para>Wenn Sie neue Einträge zur Konfiguration hinzufügen,
+ sollten Sie sicherstellen, dass nicht benötigte Einträge
+ in <filename>hosts.allow</filename> auskommentiert
+ werden.</para>
+ </note>
</sect2>
</sect1>
More information about the svn-doc-all
mailing list