diff options
author | Remko Lodder <remko@FreeBSD.org> | 2005-01-24 19:31:34 +0000 |
---|---|---|
committer | Remko Lodder <remko@FreeBSD.org> | 2005-01-24 19:31:34 +0000 |
commit | e5bdf424df0807752b0dd3f93ee2df27586125c2 (patch) | |
tree | 99af18ee1d436e4990aead81fe2fea8dbd57e273 /nl_NL.ISO8859-1/books/handbook/security | |
parent | 122b31c2da26a20406a427381a8e6d8b848a1b74 (diff) | |
download | doc-e5bdf424df0807752b0dd3f93ee2df27586125c2.tar.gz doc-e5bdf424df0807752b0dd3f93ee2df27586125c2.zip |
MFen:
security -> 1.260
and a little consistency update.
Obtained from: The FreeBSD Dutch Documentation Project
Notes
Notes:
svn path=/head/; revision=23634
Diffstat (limited to 'nl_NL.ISO8859-1/books/handbook/security')
-rw-r--r-- | nl_NL.ISO8859-1/books/handbook/security/chapter.sgml | 65 |
1 files changed, 33 insertions, 32 deletions
diff --git a/nl_NL.ISO8859-1/books/handbook/security/chapter.sgml b/nl_NL.ISO8859-1/books/handbook/security/chapter.sgml index fdbd76a1a8..0e2cd7bbfa 100644 --- a/nl_NL.ISO8859-1/books/handbook/security/chapter.sgml +++ b/nl_NL.ISO8859-1/books/handbook/security/chapter.sgml @@ -2,8 +2,8 @@ The FreeBSD Dutch Documentation Project $FreeBSD$ - $FreeBSDnl: nl_NL.ISO8859-1/books/handbook/security/chapter.sgml,v 1.59 2005/01/14 22:40:55 siebrand Exp $ - gebaseerd op: 1.259 + $FreeBSDnl: nl_NL.ISO8859-1/books/handbook/security/chapter.sgml,v 1.62 2005/01/23 12:55:34 siebrand Exp $ + gebaseerd op: 1.260 --> <chapter id="security"> @@ -127,7 +127,7 @@ enige inherente beveiliging kennen, is het bouwen en onderhouden van additionele beveiligingsmechanismen om de gebruikers <quote>eerlijk</quote> te houden waarschijnlijk een van de - zwaarste taken voor de systeembeheerder. Machines zijn zo veilig + zwaarste taken voor de systeembeheerder. Machines zijn zo veilig als ze gemaakt worden en beveiligingsoverwegingen staan altijd op gespannen voet met de wens om gebruiksvriendelijkheid. &unix; systemen zijn in het algemeen in staat tot het tegelijkertijd @@ -158,7 +158,7 @@ verschillende vormen van aanvallen, zoals een poging om een systeem te crashen of op een andere manier onstabiel te maken, zonder te proberen de <username>root</username> account aan te - vallen (<quote>break root</quote>). Aandachtspunten voor + vallen (<quote>break root</quote>). Aandachtspunten voor beveiliging kunnen opgesplitst worden in categorieën:</para> <orderedlist> @@ -251,7 +251,7 @@ belang dit onderscheid te maken, omdat een aanvaller zonder toegang tot <username>root</username> in het algemeen zijn sporen niet kan wissen en op z'n best wat kan rommelen met bestanden van - de gebruiker of de machine kan crashen. Gecompromitteerde + de gebruiker of de machine kan crashen. Gecompromitteerde gebruikersaccounts zijn vrij normaal omdat gebruikers normaliter niet de voorzorgsmaatregelen nemen die systeembeheerders nemen.</para> @@ -537,7 +537,7 @@ een oude versie van <application>imapd</application> of <application>popper</application> gelijk aan het weggeven van de <username>root</username> account aan de hele wereld. Draai - nooit een server die niet zorgvuldig is onderzocht. Veel + nooit een server die niet zorgvuldig is onderzocht. Veel servers hoeven niet te draaien als <username>root</username>. Zo kunnen de <application>ntalk</application>, <application>comsat</application> en @@ -606,7 +606,7 @@ speciale groep toe te wijzen en de suid bestanden die niemand gebruikt te lozen (<command>chmod 000</command>). Een server zonder monitor heeft normaal gezien - <application>xterm</application> niet nodig. Sgid bestanden + <application>xterm</application> niet nodig. Sgid bestanden kunnen bijna net zo gevaarlijk zijn. Als een inbreker een sgid-kmem stuk kan krijgen, dan kan hij wellicht <filename>/dev/kmem</filename> lezen en dus het gecodeerde @@ -668,7 +668,7 @@ <para>Als een aanvaller toegang krijgt tot <username>root</username> dan kan hij ongeveer alles, maar er - zijn een paar slimmigheidjes. Zo hebben bijvoorbeeld de meeste + zijn een paar slimmigheidjes. Zo hebben bijvoorbeeld de meeste moderne kernels een ingebouwde pakketsnuffeldriver (<quote>packet sniffing</quote>). Bij &os; is dat het <devicename>bpf</devicename> device. Een inbreker zal in het @@ -747,7 +747,7 @@ <application>ssh</application> sleutelparen in te stellen om het systeem met beperkte toegang een <application>ssh</application> verbinding te laten maken met de - andere machines. Buiten het netwerkverkeer, is NFS de minst + andere machines. Buiten het netwerkverkeer, is NFS de minst zichtbare methode. Hierdoor kunnen de bestandssystemen op alle client machines vrijwel ongezien gemonitord worden. Als de server met beperkte toegang verbonden is met de client @@ -1118,9 +1118,9 @@ gecodeerd kunnen worden maar niet gedecodeerd. Met andere woorden, wat net gesteld werd is helemaal niet waar: het besturingssysteem kent het <emphasis>echte</emphasis> wachtwoord - niet. De enige manier om een wachtwoord in - <quote>platte tekst</quote> te verkrijgen, is door er met brute - kracht naar te zoeken in alle mogelijke wachtwoorden.</para> + niet. De enige manier om een wachtwoord in <quote>platte + tekst</quote> te verkrijgen, is door er met brute kracht naar + te zoeken in alle mogelijke wachtwoorden.</para> <para>Helaas was DES, de Data Encryption Standard, de enige manier om wachtwoorden veilig te coderen toen &unix; ontstond. @@ -1907,7 +1907,7 @@ sendmail : PARANOID : deny</programlisting> VS.</para> <para>Het is ook mogelijk te kiezen voor de MIT implementatie van - Kerberos via de ports collectie: <filename + Kerberos via de Portscollectie: <filename role="package">security/krb5</filename>.</para> </sect2> @@ -2169,7 +2169,7 @@ Edit O.K. <sect2> <title>Alles Testen</title> - <para>Eerst moeten de Kerberos daemons gestart worden. Als de + <para>Eerst moeten de Kerberos daemons gestart worden. Als de juiste wijziging in <filename>/etc/rc.conf</filename> zijn gemaakt, dan gebeurt dit automatisch na een herstart. Dit hoeft alleen ingesteld te worden op de Kerberos server. @@ -2718,7 +2718,7 @@ Aug 27 15:37:58 Aug 28 01:37:58 krbtgt/EXAMPLE.ORG@EXAMPLE.ORG</screen> Met <command>add --random-key</command> kan de host principal toegevoegd worden en met <command>ext</command> kan de host principal van de server naar zijn eigen keytab - getrokken worden. Bijvoorbeeld:</para> + getrokken worden. Bijvoorbeeld:</para> <screen>&prompt.root; <userinput>kadmin</userinput> kadmin><userinput> add --random-key host/myserver.example.org</userinput> @@ -2944,7 +2944,7 @@ jdoe@example.org</screen> <para>Sommige besturingssystemen van clients voor een <acronym>KDC</acronym> zetten wellicht geen setuid <username>root</username> voor <command>ksu</command>. - Dit betekent dat <command>ksu</command> niet werkt. Dat + Dit betekent dat <command>ksu</command> niet werkt. Dat is vanuit beveiligingsoogpunt een prima idee, maar wel lastig. Dit is dus geen <acronym>KDC</acronym> fout.</para> @@ -3109,8 +3109,8 @@ jdoe@example.org</screen> werkstations met een gebruiker</title> <para>In een multi-user omgeving is - <application>Kerberos</application> minder veilig. Dit komt - doordat de tickets worden opgeslagen in de map + <application>Kerberos</application> minder veilig. Dit + komt doordat de tickets worden opgeslagen in de map <filename>/tmp</filename>, waar gelezen kan worden door alle gebruikers. Als een gebruiker een computer deelt met andere gebruikers op hetzelfde moment (dus multi-user), dan @@ -3270,7 +3270,7 @@ jdoe@example.org</screen> <application>OpenSSL</application> in te bouwen.</para> <note> - <para>In de meeste gevallen zal de portscollectie proberen de + <para>In de meeste gevallen zal de Portscollectie proberen de port <filename role="package">security/openssl</filename> te bouwen, tenzij de make variabele <makevar>WITH_OPENSSL_BASE</makevar> expliciet naar @@ -3302,11 +3302,12 @@ jdoe@example.org</screen> <quote>Certificate Authorities</quote> of <acronym>CA</acronym>'s, dan komt er een waarschuwing. Een Certificate Authority is een bedrijf, zoals <ulink - url="www.verisign.com">VeriSign</ulink>, dat certificaten - ondertekent zodat de eigenschappen van een bedrijf of individu - geldig verklaard kunnen worden. Dit proces kost geld en het is - zeker geen voorwaarde voor het gebruik van certificaten. Het - stelt wel de meer paranoïde gebruikers gerust.</para> + url="http://www.verisign.com">VeriSign</ulink>, dat + certificaten ondertekent zodat de eigenschappen van een bedrijf + of individu geldig verklaard kunnen worden. Dit proces kost geld + en het is zeker geen voorwaarde voor het gebruik van + certificaten. Het stelt wel de meer paranoïde gebruikers + gerust.</para> <sect2> <title>Certificaten Maken</title> @@ -3469,7 +3470,7 @@ Connection closed by foreign host.</screen> <sect1info> <authorgroup> <author> - <firstname>Nik</firstname> + <firstname>Nik</firstname> <surname>Clayton</surname> <affiliation> <address><email>nik@FreeBSD.org</email></address> @@ -3719,7 +3720,7 @@ Netwerk #2 [ Internal Hosts ] zien, gedeelde bestanden kunnen benaderen, enzovoort, op dezelfde manier als ze dat kunnen op het lokale netwerk.</para> - <para>En dat alles moet veilig zijn. Dat betekent dat verkeer + <para>En dat alles moet veilig zijn. Dat betekent dat verkeer tussen de twee netwerken versleuteld moet zijn.</para> <para>Het opzetten van een VPN tussen twee netwerken is een @@ -3819,7 +3820,7 @@ Netwerk #2 [ Internal Hosts ] <programlisting>pseudo-device gif</programlisting> - <para>Het instellen van de tunnel gaat in twee stappen. Eerst + <para>Het instellen van de tunnel gaat in twee stappen. Eerst moet de tunnel verteld worden wat de <acronym>IP</acronym> adressen aan de buitenkant (publiek) zijn met &man.gifconfig.8;. Daarna moeten de private @@ -4071,7 +4072,7 @@ options IPSEC_ESP</programlisting> <para>Er zijn een aantal daemons beschikbaar voor het bijhouden van beveiligingssamenwerking in &os;. In dit artikel wordt beschreven hoe dat met racoon gaat. racoon zit in de &os; - portscollectie in de security/ categorie en kan op de + Portscollectie in de security/ categorie en kan op de gebruikelijke manier geïnstalleerd worden.</para> <para>racoon moet draaien op beide gateway hosts. Op iedere @@ -4160,7 +4161,7 @@ ipfw add 1 allow udp from W.X.Y.Z to A.B.C.D isakmp</programlisting> <para>Het bovenstaande commando toont de beveiligingssamenwerkingsingsinformatie.</para> - <para>Dat is de ene helft van het probleem. De andere helft is + <para>Dat is de ene helft van het probleem. De andere helft is het instellen van het beveiligingsbeleid.</para> <para>Voor er een zinvol beveiligingsbeleid opgesteld kan @@ -4615,7 +4616,7 @@ user@example.com's password: <userinput>*******</userinput></screen> <indexterm><primary><command>scp</command></primary></indexterm> <para>Het commando &man.scp.1; (secure copy) werkt gelijk aan - &man.rcp.1;. Het kopieert een bestand van of naar een andere + &man.rcp.1;. Het kopieert een bestand van of naar een andere machine, maar doet dat veilig.</para> <screen>&prompt.root; <userinput> scp <replaceable>user@example.com:/COPYRIGHT COPYRIGHT</replaceable></userinput> @@ -4969,7 +4970,7 @@ user@unfirewalled-system.example.org's password: <userinput>*******</userinput>< </note> <para><acronym>ACL</acronym>s worden ingeschakeld door de - beheersvlag <option>acls</option> op het moment van mounten. Dit + beheersvlag <option>acls</option> op het moment van mounten. Dit kan ook in <filename>/etc/fstab</filename> staan. De vlag op het moment van mounten kan ook automatisch gezet worden op een persistente wijze met &man.tunefs.8; door een superblok in de @@ -5188,7 +5189,7 @@ VII. References<co id="co-ref"></programlisting> Project kwetsbaar is, zoals <application>sendmail</application>. Tenslotte geeft de categorie <literal>ports</literal> aan dat een optionele - component uit de portscollectie kwetsbaar is.</para> + component uit de Portscollectie kwetsbaar is.</para> </callout> <callout arearefs="co-module"> |