diff options
Diffstat (limited to 'de_DE.ISO8859-1/books/handbook/mac/chapter.xml')
-rw-r--r-- | de_DE.ISO8859-1/books/handbook/mac/chapter.xml | 145 |
1 files changed, 65 insertions, 80 deletions
diff --git a/de_DE.ISO8859-1/books/handbook/mac/chapter.xml b/de_DE.ISO8859-1/books/handbook/mac/chapter.xml index 289f99fffd..2fd76c432f 100644 --- a/de_DE.ISO8859-1/books/handbook/mac/chapter.xml +++ b/de_DE.ISO8859-1/books/handbook/mac/chapter.xml @@ -7,28 +7,19 @@ $FreeBSDde: de-docproj/books/handbook/mac/chapter.xml,v 1.8 2010/12/18 09:58:33 jkois Exp $ basiert auf: 1.80 --> - -<chapter id="mac"> - <chapterinfo> +<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="mac"> + <info><title>Verbindliche Zugriffskontrolle</title> <authorgroup> - <author> - <firstname>Tom</firstname> - <surname>Rhodes</surname> - <contrib>Written by </contrib> - </author> + <author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><contrib>Written by </contrib></author> </authorgroup> <authorgroup> - <author> - <firstname>Benjamin</firstname> - <surname>Lukas</surname> - <contrib>Übersetzt von </contrib> - </author> + <author><personname><firstname>Benjamin</firstname><surname>Lukas</surname></personname><contrib>Übersetzt von </contrib></author> </authorgroup> - </chapterinfo> + </info> - <title>Verbindliche Zugriffskontrolle</title> + - <sect1 id="mac-synopsis"> + <sect1 xml:id="mac-synopsis"> <title>Übersicht</title> <indexterm><primary>MAC</primary></indexterm> <indexterm> @@ -111,8 +102,7 @@ <listitem> <para>Einige Vorkenntnisse über Sicherheitskonzepte im Allgemeinen - und deren Umsetzung in &os; im Besonderen mitbringen (<xref - linkend="security"/>).</para> + und deren Umsetzung in &os; im Besonderen mitbringen (<xref linkend="security"/>).</para> </listitem> </itemizedlist> @@ -155,7 +145,7 @@ </sect2> </sect1> - <sect1 id="mac-inline-glossary"> + <sect1 xml:id="mac-inline-glossary"> <title>Schlüsselbegriffe</title> <para>Bevor Sie weiterlesen, müssen noch einige Schlüsselbegriffe @@ -293,7 +283,7 @@ </itemizedlist> </sect1> - <sect1 id="mac-initial"> + <sect1 xml:id="mac-initial"> <title>Erläuterung</title> <para>Mit all diesen neuen Begriffen im Kopf können wir nun @@ -406,7 +396,7 @@ </caution> </sect1> - <sect1 id="mac-understandlabel"> + <sect1 xml:id="mac-understandlabel"> <title>MAC Labels verstehen</title> <para>MAC Label sind Sicherheitsmerkmale, die, wenn sie zum Einsatz kommen, @@ -471,12 +461,12 @@ <para><emphasis>Moment mal, dass ist doch dasselbe wie <acronym>DAC</acronym>! Ich dachte, <acronym>MAC</acronym> würde die Kontrolle strengstens an den Administrator binden!</emphasis> Diese - Aussage hält immer noch stand - <username>root</username> ist + Aussage hält immer noch stand - <systemitem class="username">root</systemitem> ist derjenige, der die Kontrolle ausübt und die Richtlinie konfiguriert, so dass Nutzer in die entsprechenden, angemessenen Kategorien / Zugriffsklassen eingeordnet werden. Nunja, einige Module schränken - <username>root</username> selbst ein. Die Kontrolle über Objekte - wird dann einer Gruppe zugewiesen, jedoch hat <username>root</username> + <systemitem class="username">root</systemitem> selbst ein. Die Kontrolle über Objekte + wird dann einer Gruppe zugewiesen, jedoch hat <systemitem class="username">root</systemitem> die Möglichkeit, die Einstellungen jederzeit zu widerrufen oder zu ändern. Dies ist das Hierarchie/Freigabe-Modell, das durch Richtlinien wie MLS oder Biba bereitgestellt wird.</para> @@ -824,7 +814,7 @@ test: biba/high</screen> </sect2> </sect1> - <sect1 id="mac-planning"> + <sect1 xml:id="mac-planning"> <title>Planung eines Sicherheitsmodells</title> <para>Wann immer eine neue Technologie eingepflegt werden soll, ist es @@ -889,7 +879,7 @@ test: biba/high</screen> der Wahl.</para> </sect1> - <sect1 id="mac-modules"> + <sect1 xml:id="mac-modules"> <title>Modulkonfiguration</title> <para>Jedes Modul, das in der <acronym>MAC</acronym> enthalten ist, kann @@ -919,7 +909,7 @@ test: biba/high</screen> </para> </sect1> - <sect1 id="mac-seeotheruids"> + <sect1 xml:id="mac-seeotheruids"> <title>Das MAC Modul seeotheruids</title> <indexterm> @@ -957,7 +947,7 @@ test: biba/high</screen> <literal>security.mac.seeotheruids.specificgid_enabled</literal> kann eine spezifizierte Nutzergruppe von dieser Richtlinie ausnehmen. Die entsprechende Gruppe muß an den Parameter - <literal>security.mac.seeotheruids.specificgid=<replaceable>XXX</replaceable></literal> + <literal>security.mac.seeotheruids.specificgid=XXX</literal> übergeben werden, wobei <replaceable>XXX</replaceable> die ID der Gruppe ist, die von der Richtlinie ausgenommen werden soll.</para> @@ -975,7 +965,7 @@ test: biba/high</screen> </itemizedlist> </sect1> - <sect1 id="mac-bsdextended"> + <sect1 xml:id="mac-bsdextended"> <title>Das MAC Modul bsdextended</title> <indexterm> @@ -1027,7 +1017,7 @@ test: biba/high</screen> <para>Wie erwartet, sind keine Regeln definiert. Das bedeutet, das auf alle Teile des Dateisystems zugegriffen werden kann. Um eine Regel zu definieren, die jeden Zugriff durch Nutzer blockiert und nur die Rechte - von <username>root</username> unangetastet läßt, muß + von <systemitem class="username">root</systemitem> unangetastet läßt, muß lediglich dieses Kommando ausgeführt werden:</para> <screen>&prompt.root; <userinput>ugidfw add subject not uid root new object not uid root mode n</userinput></screen> @@ -1037,23 +1027,23 @@ test: biba/high</screen> untersagt wird. Angemessener wäre etwas wie:</para> - <screen>&prompt.root; <userinput>ugidfw set 2 subject uid <replaceable>user1</replaceable> object uid <replaceable>user2</replaceable> mode n</userinput> -&prompt.root; <userinput>ugidfw set 3 subject uid <replaceable>user1</replaceable> object gid <replaceable>user2</replaceable> mode n</userinput></screen> + <screen>&prompt.root; <userinput>ugidfw set 2 subject uid user1 object uid user2 mode n</userinput> +&prompt.root; <userinput>ugidfw set 3 subject uid user1 object gid user2 mode n</userinput></screen> - <para>Diese Befehle bewirken, dass <username>user1</username> keinen + <para>Diese Befehle bewirken, dass <systemitem class="username">user1</systemitem> keinen Zugriff mehr auf Dateien und Programme hat, die - <username><replaceable>user2</replaceable></username> gehören. + <systemitem class="username"><replaceable>user2</replaceable></systemitem> gehören. Dies schließt das Auslesen von Verzeichniseinträgen ein. </para> - <para>Anstelle <option>uid</option> <username>user1</username> + <para>Anstelle <option>uid</option> <systemitem class="username">user1</systemitem> könnte auch <option>not uid <replaceable>user2</replaceable></option> als Parameter übergeben werden. Dies würde diesselben Einschränkungen für alle Nutzer bewirken anstatt nur einen einzigen.</para> <note> - <para><username>root</username> ist von diesen Einstellungen nicht + <para><systemitem class="username">root</systemitem> ist von diesen Einstellungen nicht betroffen.</para> </note> @@ -1064,7 +1054,7 @@ test: biba/high</screen> </sect2> </sect1> - <sect1 id="mac-ifoff"> + <sect1 xml:id="mac-ifoff"> <title>Das MAC Modul ifoff</title> <indexterm> @@ -1112,12 +1102,12 @@ test: biba/high</screen> die Überwachung des Netzwerks in einer Umgebung, in der kein Netzwerkverkehr während des Bootvorgangs erlaubt werden soll. Eine andere mögliche Anwendung wäre ein Script, das mit Hilfe von - <filename role="package">security/aide</filename> automatisch alle + <package>security/aide</package> automatisch alle Schnittstellen blockiert, sobald Dateien in geschützten Verzeichnissen angelegt oder verändert werden.</para> </sect1> - <sect1 id="mac-portacl"> + <sect1 xml:id="mac-portacl"> <title>Das MAC Modul portacl</title> <indexterm> @@ -1135,7 +1125,7 @@ test: biba/high</screen> an die lokalen <acronym>TCP</acronym> und <acronym>UDP</acronym> Ports durch eine Vielzahl von <command>sysctl</command> Variablen beschränkt werden. Genauer gesagt ermöglicht - &man.mac.portacl.4; Nutzern ohne <username>root</username>-Rechten den + &man.mac.portacl.4; Nutzern ohne <systemitem class="username">root</systemitem>-Rechten den Zugriff auf zu bestimmende privilegierte Ports, also denen innerhalb der ersten 1024.</para> @@ -1158,7 +1148,7 @@ test: biba/high</screen> <listitem> <para><literal>security.mac.portacl.suser_exempt</literal> nimmt, wenn es einen Wert ungleich Null zugewiesen bekommt, - <username>root</username> von der Richtlinie aus.</para> + <systemitem class="username">root</systemitem> von der Richtlinie aus.</para> </listitem> <listitem> @@ -1193,7 +1183,7 @@ test: biba/high</screen> <para>Auf &unix;-artigen Betriebssystemen sind die Ports kleiner 1024 privilegierten Prozessen vorbehalten, müssen also mit als/von - <username>root</username> gestartet werden und weiterhin laufen. Damit + <systemitem class="username">root</systemitem> gestartet werden und weiterhin laufen. Damit &man.mac.portacl.4; die Vergabe von Ports kleiner als 1024 an nicht privilegierte Prozesse übernehmen kann, muß die &unix; Standardeinstellung deaktiviert werden. Dazu ändert man die @@ -1218,7 +1208,7 @@ test: biba/high</screen> <screen>&prompt.root; <userinput>sysctl security.mac.portacl.suser_exempt=1</userinput></screen> - <para> Da <username>root</username> von dieser Richtlinie nicht + <para> Da <systemitem class="username">root</systemitem> von dieser Richtlinie nicht beeinträchtigt werden soll, setzen wir hier <literal>security.mac.portacl.suser_exempt</literal> auf einen Wert ungleich Null. Das Modul &man.mac.portacl.4; ist nun so eingerichtet, @@ -1227,8 +1217,8 @@ test: biba/high</screen> <screen>&prompt.root; <userinput>sysctl security.mac.portacl.rules=uid:80:tcp:80</userinput></screen> <para>Nun erlauben wir dem Nutzer mit der <acronym>UID</acronym> 80, - normalerweise dem Nutzer <username>www</username>, den Port 80 zu verwenden. Dadurch kann der Nutzer <username>www</username> einen Webserver - betreiben, ohne dafür mit <username>root</username>-Privilegien + normalerweise dem Nutzer <systemitem class="username">www</systemitem>, den Port 80 zu verwenden. Dadurch kann der Nutzer <systemitem class="username">www</systemitem> einen Webserver + betreiben, ohne dafür mit <systemitem class="username">root</systemitem>-Privilegien ausgestattet zu sein.</para> <screen>&prompt.root; <userinput>sysctl security.mac.portacl.rules=uid:1001:tcp:110,uid:1001:tcp:995</userinput></screen> @@ -1241,7 +1231,7 @@ test: biba/high</screen> </sect2> </sect1> - <sect1 id="mac-partition"> + <sect1 xml:id="mac-partition"> <title>Das MAC Modul partition</title> <indexterm> @@ -1310,14 +1300,14 @@ test: biba/high</screen> <para>Das nächste Kommando liefert das Label der Prozeß-Partition eines anderen Nutzers - <username>trhodes</username> und dessen gegenwärtig laufenden + <systemitem class="username">trhodes</systemitem> und dessen gegenwärtig laufenden Prozesse zurück.</para> <screen>&prompt.root; <userinput>ps -ZU trhodes</userinput></screen> <note> <para>Jeder Nutzer kann die Prozesse in der Prozeß-Partition von - <username>root</username> betrachten, solange nicht die Richtlinie + <systemitem class="username">root</systemitem> betrachten, solange nicht die Richtlinie &man.mac.seeotheruids.4; geladen wurde.</para> </note> @@ -1334,7 +1324,7 @@ test: biba/high</screen> </sect2> </sect1> - <sect1 id="mac-mls"> + <sect1 xml:id="mac-mls"> <title>Das MAC Modul Multi-Level Security</title> <indexterm> @@ -1465,8 +1455,7 @@ test: biba/high</screen> <para>Dies ist eine Zusammenstellung der Merkmale von <filename>test</filename>. Ein anderer Ansatz ist, für diese - Richtlinie eine Konfigurationsdatei in <filename - class="directory">/etc</filename> abzulegen, die alle Informationen + Richtlinie eine Konfigurationsdatei in <filename>/etc</filename> abzulegen, die alle Informationen enthält und mit der dann das Kommando <command>setfmac</command> gefüttert wird. Diese Vorgehensweise wird erklärt, nachdem alle Richtlinien vorgestellt wurden.</para> @@ -1517,7 +1506,7 @@ test: biba/high</screen> </sect2> </sect1> - <sect1 id="mac-biba"> + <sect1 xml:id="mac-biba"> <title>Das MAC Modul Biba</title> <indexterm> @@ -1681,7 +1670,7 @@ test: biba/low</screen> </sect2> </sect1> - <sect1 id="mac-lomac"> + <sect1 xml:id="mac-lomac"> <title>Das MAC Modul LOMAC</title> <indexterm> @@ -1737,7 +1726,7 @@ test: biba/low</screen> </sect2> </sect1> - <sect1 id="mac-implementing"> + <sect1 xml:id="mac-implementing"> <title>Beispiel 1: Nagios in einer MAC Jail</title> <indexterm> @@ -1755,10 +1744,7 @@ test: biba/low</screen> <para>Bevor es losgeht, muß jedes Dateisystem mit der Option <option>multilabel</option>, wie weiter oben beschrieben, markiert werden. Dies nicht zu tun, führt zu Fehlern. Außerdem - müssen die Ports <filename - role="package">net-mngt/nagios-plugins</filename>, <filename - role="package">net-mngt/nagios</filename> und <filename - role="package">www/apache13</filename> installiert und konfiguriert sein, + müssen die Ports <package>net-mngt/nagios-plugins</package>, <package>net-mngt/nagios</package> und <package>www/apache13</package> installiert und konfiguriert sein, so dass sie ordentlich laufen.</para> <sect2> @@ -1816,12 +1802,12 @@ mac_seeotheruids_load="YES"</programlisting> <sect2> <title>Nutzer einrichten</title> - <para>Ordnen Sie den Superuser <username>root</username> der Klasse + <para>Ordnen Sie den Superuser <systemitem class="username">root</systemitem> der Klasse <literal>default</literal> zu:</para> <screen>&prompt.root; <userinput>pw usermod root -L default</userinput></screen> - <para>Alle Nutzerkonten, die weder <username>root</username> noch + <para>Alle Nutzerkonten, die weder <systemitem class="username">root</systemitem> noch Systemkonten sind, brauchen nun eine Loginklasse, da sie sonst keinen Zugriff auf sonst übliche Befehle erhalten, wie bspw. &man.vi.1;. Das folgende <command>sh</command> Skript wird diese Aufgabe @@ -1830,8 +1816,8 @@ mac_seeotheruids_load="YES"</programlisting> <screen>&prompt.root; <userinput>for x in `awk -F: '($3 >= 1001) && ($3 != 65534) { print $1 }' \</userinput> <userinput>/etc/passwd`; do pw usermod $x -L default; done;</userinput></screen> - <para>Verschieben Sie die Nutzer <username>nagios</username> und - <username>www</username> in die <literal>insecure</literal> + <para>Verschieben Sie die Nutzer <systemitem class="username">nagios</systemitem> und + <systemitem class="username">www</systemitem> in die <literal>insecure</literal> Klasse:</para> <screen>&prompt.root; <userinput>pw usermod nagios -L insecure</userinput></screen> @@ -1884,7 +1870,7 @@ mac_seeotheruids_load="YES"</programlisting> <para>Die Richtlinie erzwingt Sicherheit, indem der Informationsfluß Einschränkungen unterworfen wird. In der vorliegenden Konfiguration kann kein Nutzer, weder - <username>root</username> noch andere, auf + <systemitem class="username">root</systemitem> noch andere, auf <application>Nagios</application> zugreifen. Konfigurationsdateien und die Prozesse, die Teil von <application>Nagios</application> sind, werden durch unsere <acronym>MAC</acronym> vollständig @@ -1939,9 +1925,9 @@ default_labels socket ?biba <para>Versichern Sie sich, dass der Webserver und <application>Nagios</application> nicht automatisch geladen werden und starten Sie den Rechner neu. Prüfen Sie nun, ob - <username>root</username> wirklich keinen Zugriff auf die Dateien im + <systemitem class="username">root</systemitem> wirklich keinen Zugriff auf die Dateien im Konfigurationsverzeichnis von <application>Nagios</application> hat. - Wenn <username>root</username> den Befehl &man.ls.1; auf + Wenn <systemitem class="username">root</systemitem> den Befehl &man.ls.1; auf <filename>/var/spool/nagios</filename> ausführen kann, ist irgendwas schief gelaufen. Es sollte ein <errorname>permission denied</errorname> Fehler ausgegeben werden.</para> @@ -1974,13 +1960,13 @@ setpmac biba/10\(10-10\) /usr/local/etc/rc.d/nagios.sh forcestart</userinput></s eingeschränkt. Wenn &man.setpmac.8; einen Befehl außerhalb der definierten Schranken ausführen soll, wird ein Fehler zurückgeliefert. In so einem Fall muß - <username>root</username> auf <literal>biba/high(high-high)</literal> + <systemitem class="username">root</systemitem> auf <literal>biba/high(high-high)</literal> gesetzt werden.</para> </note> </sect2> </sect1> - <sect1 id="mac-userlocked"> + <sect1 xml:id="mac-userlocked"> <title>Beispiel 2: User Lock Down</title> <para>Grundlage dieses Beispiels ist ein relativ kleines System zur @@ -2023,7 +2009,7 @@ setpmac biba/10\(10-10\) /usr/local/etc/rc.d/nagios.sh forcestart</userinput></s <para>Solange nicht die speziellen <command>sysctl</command>-Variablen geändert wurden, hat der Superuser noch vollen Zugriff. Sobald auch diese Einstellungen angepaßt wurden, führen Sie ruhig auch - den obigen Test als <username>root</username> aus.</para> + den obigen Test als <systemitem class="username">root</systemitem> aus.</para> <note> <para>Wenn ein neuer Benutzer hinzugefügt wird, ist für diesen @@ -2034,7 +2020,7 @@ setpmac biba/10\(10-10\) /usr/local/etc/rc.d/nagios.sh forcestart</userinput></s </note> </sect1> - <sect1 id="mac-troubleshoot"> + <sect1 xml:id="mac-troubleshoot"> <title>Fehler im MAC beheben</title> <indexterm> @@ -2116,15 +2102,14 @@ setpmac biba/10\(10-10\) /usr/local/etc/rc.d/nagios.sh forcestart</userinput></s <para>Gehen Sie die Label-Richtlinien Schritt für Schritt nocheinmal durch. Achten Sie darauf, dass für den Nutzer, bei dem das Problem auftritt, für X11 und das Verzeichnis - <filename class="directory">/dev</filename> alle Einstellungen + <filename>/dev</filename> alle Einstellungen korrekt sind.</para> </step> <step> <para>Falls all dies nicht helfen sollte, senden Sie die Fehlermeldung und eine Beschreibung ihrer Arbeitsumgebung an die - (englisch-sprachige) TrustedBSD Diskussionsliste auf der <ulink - url="http://www.TrustedBSD.org">TrustedBSD</ulink> Webseite oder an + (englisch-sprachige) TrustedBSD Diskussionsliste auf der <link xlink:href="http://www.TrustedBSD.org">TrustedBSD</link> Webseite oder an die &a.questions; Mailingliste.</para> </step> </procedure> @@ -2134,7 +2119,7 @@ setpmac biba/10\(10-10\) /usr/local/etc/rc.d/nagios.sh forcestart</userinput></s <title>Error: &man..secure.path.3; cannot stat <filename>.login_conf</filename></title> - <para>Wenn ich versuche, von <username>root</username> zu einem anderen + <para>Wenn ich versuche, von <systemitem class="username">root</systemitem> zu einem anderen Nutzer des Systems zu wechseln, erhalte ich die Fehlermeldung <errorname>_secure_path: unable to state .login_conf</errorname>. </para> @@ -2142,12 +2127,12 @@ setpmac biba/10\(10-10\) /usr/local/etc/rc.d/nagios.sh forcestart</userinput></s <para>Diese Meldung wird gewöhnlich ausgegeben, wenn der Nutzer ein höhere Label-Einstellung hat als der, dessen Identität man annehmen möchte. Ausführlich: Wenn ein Nutzer - <username>joe</username> als <option>biba/low</option> gelabelt wurde, - kann <username>root</username>, der <option>biba/high</option> als + <systemitem class="username">joe</systemitem> als <option>biba/low</option> gelabelt wurde, + kann <systemitem class="username">root</systemitem>, der <option>biba/high</option> als Voreinstellung trägt, das Heimatverzeichnis von - <username>joe</username> nicht einsehen. Das passiert unabhänig - davon, ob <username>root</username> vorher mit <command>su</command> - die Identität von <username>joe</username> angenommen hat oder + <systemitem class="username">joe</systemitem> nicht einsehen. Das passiert unabhänig + davon, ob <systemitem class="username">root</systemitem> vorher mit <command>su</command> + die Identität von <systemitem class="username">joe</systemitem> angenommen hat oder nicht, da das Label sich nicht ändert. Hier haben wir also einen Fall, in dem das Gewährleistungsmodell von Biba verhindert, das der Superuser Objekte einer niedrigeren Integrität betrachten @@ -2155,10 +2140,10 @@ setpmac biba/10\(10-10\) /usr/local/etc/rc.d/nagios.sh forcestart</userinput></s </sect2> <sect2> - <title>Der Nutzer <username>root</username> ist kaputt!</title> + <title>Der Nutzer <systemitem class="username">root</systemitem> ist kaputt!</title> <para>Im normalen oder sogar im Einzelbenutzermodus wird - <username>root</username> nicht anerkannt. Das Kommando + <systemitem class="username">root</systemitem> nicht anerkannt. Das Kommando <command>whoami</command> liefert 0 (null) und <command>su</command> liefert <errorname>who are you?</errorname> zurück. Was geht da vor?</para> |