diff options
Diffstat (limited to 'es_ES.ISO8859-1/books/handbook/security/chapter.xml')
| -rwxr-xr-x | es_ES.ISO8859-1/books/handbook/security/chapter.xml | 718 |
1 files changed, 322 insertions, 396 deletions
diff --git a/es_ES.ISO8859-1/books/handbook/security/chapter.xml b/es_ES.ISO8859-1/books/handbook/security/chapter.xml index c13f55ec23..45cb57f875 100755 --- a/es_ES.ISO8859-1/books/handbook/security/chapter.xml +++ b/es_ES.ISO8859-1/books/handbook/security/chapter.xml @@ -8,23 +8,18 @@ $FreeBSD$ --> - -<chapter id="security"> - <chapterinfo> +<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="security"> + <info><title>Seguridad</title> <authorgroup> - <author> - <firstname>Matthew</firstname> - <surname>Dillon</surname> - <contrib>Gran parte del contenido de este capítulo - procede de la página de manual de security(7), de </contrib> - </author> + <author><personname><firstname>Matthew</firstname><surname>Dillon</surname></personname><contrib>Gran parte del contenido de este capítulo + procede de la página de manual de security(7), de </contrib></author> </authorgroup> - </chapterinfo> + </info> - <title>Seguridad</title> + <indexterm><primary>seguridad</primary></indexterm> - <sect1 id="security-synopsis"> + <sect1 xml:id="security-synopsis"> <title>Sinopsis</title> <para>Este capítulo contiene una introducción @@ -128,12 +123,11 @@ <para>En otras secciones de este manual se cubren aspectos adicionales sobre seguridad. Por ejemplo, MAC (controles de acceso obligatorio) - se explica en el <xref - linkend="mac"/> y los cortafuegos en el + se explica en el <xref linkend="mac"/> y los cortafuegos en el <xref linkend="firewalls"/>.</para> </sect1> - <sect1 id="security-intro"> + <sect1 xml:id="security-intro"> <title>Introducción</title> <para>La seguridad es un trabajo que que comienza y termina en el @@ -171,7 +165,7 @@ para distintos tipos de ataque, incluyendo intentos de <quote>tirar</quote> la máquina o dejarla en un estado inutilizable, pero que no impliquen intentos de comprometer el usuario - <username>root</username> Los problemas de seguridad pueden + <systemitem class="username">root</systemitem> Los problemas de seguridad pueden dividirse en diferentes categorías:</para> <orderedlist> @@ -249,11 +243,11 @@ <para>Se debe asumir <emphasis>siempre</emphasis> que, una vez que el atacante tiene acceso a una cuenta de usuario, el atacante - puede comprometer la cuenta <username>root</username>. En realidad + puede comprometer la cuenta <systemitem class="username">root</systemitem>. En realidad en un sistema bien mantenido y asegurado el acceso a una cuenta de usuario no necesariamente da al atacante acceso a - <username>root</username>. Esta precisión es importante - porque sin acceso a <username>root</username> el atacante + <systemitem class="username">root</systemitem>. Esta precisión es importante + porque sin acceso a <systemitem class="username">root</systemitem> el atacante difícilmente podrá esconder sus huellas; podrá, como mucho, hacer poco más que sembrar el caos en los ficheros del usuario o <quote>tirar</quote> la máquina. @@ -268,23 +262,23 @@ <para>Los administradores de sistemas deben tener presente que existen muchas formas potenciales de comprometer la cuenta - <username>root</username> de una máquina. El atacante puede - conocer la contraseña de <username>root</username>, el + <systemitem class="username">root</systemitem> de una máquina. El atacante puede + conocer la contraseña de <systemitem class="username">root</systemitem>, el atacante puede encontrar un error en un servidor que se ejecuta - como root y ser capaz de comprometer <username>root</username> a + como root y ser capaz de comprometer <systemitem class="username">root</systemitem> a través de una conexión de red a ese servidor; puede ser que el atacante sepa de la existencia de un error en un programa suid-root que le permita comprometer - <username>root</username> una vez dentro de una cuenta de usuario. + <systemitem class="username">root</systemitem> una vez dentro de una cuenta de usuario. Si un atacante encuentra la manera de comprometer la cuenta - <username>root</username> de una máquina puede que no + <systemitem class="username">root</systemitem> de una máquina puede que no necesite instalar una puerta trasera. Muchos de - los agujeros <username>root</username> encontrados y cerrados hasta + los agujeros <systemitem class="username">root</systemitem> encontrados y cerrados hasta la fecha implican una cantidad considerable de trabajo para el atacante limpiando todo después del ataque, así que la mayoría de los atacantes instalan puertas traseras. Una puerta trasera facilita al atacante una forma sencilla de - recuperar el acceso de <username>root</username> al sistema, + recuperar el acceso de <systemitem class="username">root</systemitem> al sistema, pero también proporciona al administrador de sistemas inteligente una forma de detectar la intrusión. Si hace imposible a un atacante la instalación de una puerta @@ -298,13 +292,13 @@ <orderedlist> <listitem> - <para>Asegurar <username>root</username> y cuentas + <para>Asegurar <systemitem class="username">root</systemitem> y cuentas administrativas.</para> </listitem> <listitem> <para>Asegurar los servidores que se ejecuten como - <username>root</username> los binarios suid/sgid.</para> + <systemitem class="username">root</systemitem> los binarios suid/sgid.</para> </listitem> <listitem> @@ -334,7 +328,7 @@ los puntos de arriba con mayor profundidad.</para> </sect1> - <sect1 id="securing-freebsd"> + <sect1 xml:id="securing-freebsd"> <title>Asegurar &os;</title> <indexterm> <primary>seguridad</primary> @@ -357,8 +351,8 @@ <link linkend="security-intro"> sección anterior</link> de este capítulo.</para> - <sect2 id="securing-root-and-staff"> - <title>Asegurar la cuenta <username>root</username> y las + <sect2 xml:id="securing-root-and-staff"> + <title>Asegurar la cuenta <systemitem class="username">root</systemitem> y las cuentas administrativas</title> <indexterm> <primary><command>su</command></primary> @@ -366,9 +360,9 @@ <para>En primer lugar, no se moleste en asegurar las cuentas administrativas (o <quote>staff</quote>) si no ha asegurado la - cuenta <username>root</username>. + cuenta <systemitem class="username">root</systemitem>. La mayoría de los sistemas tienen una contraseña - asignada para la cuenta <username>root</username>. Lo primero que + asignada para la cuenta <systemitem class="username">root</systemitem>. Lo primero que se hace es asumir que la contraseña está <emphasis>siempre</emphasis> amenazada. Esto no significa que deba eliminar la contraseña. La @@ -379,12 +373,12 @@ asegúrese de que sus ptys aparezcan como <emphasis>inseguras</emphasis> en el fichero <filename>/etc/ttys</filename>, con lo que hará que - los accesos como <username>root</username> vía + los accesos como <systemitem class="username">root</systemitem> vía <command>telnet</command> o <command>rlogin</command> no sean posibles. Si utiliza otros tipos de login como <application>sshd</application> asegúrese de que - los accesos al sistema como <username>root</username> + los accesos al sistema como <systemitem class="username">root</systemitem> estén también deshabilitados. Para ello edite su <filename>/etc/ssh/sshd_config</filename> y asegúrese de @@ -392,45 +386,45 @@ <literal>NO</literal>. Estudie cada método de acceso: hay servicios como FTP que frecuentemente son origen de grietas en la estructura del sistema. El acceso directo como usuario - <username>root</username> sólamente debe permitirse + <systemitem class="username">root</systemitem> sólamente debe permitirse a través de la consola.</para> <indexterm> - <primary><groupname>wheel</groupname></primary> + <primary><systemitem class="groupname">wheel</systemitem></primary> </indexterm> <para>Es evidente que, como administrador del sistema, debe usted - tener la posibilidad de acceder a <username>root</username>, + tener la posibilidad de acceder a <systemitem class="username">root</systemitem>, así que tendrá que abrir algunos agujeros, pero debe asegurarse de que estos agujeros necesiten contraseñas adicionales para verificar su correcto uso. Puede hacer - que <username>root</username> sea accesible añadiendo + que <systemitem class="username">root</systemitem> sea accesible añadiendo cuentas administrativas al grupo - <groupname>wheel</groupname> (en + <systemitem class="groupname">wheel</systemitem> (en <filename>/etc/group</filename>). El personal que administra los sistemas que aparezcan en el grupo - en el grupo <groupname>wheel</groupname> pueden hacer - <command>su</command> a <username>root</username>. + en el grupo <systemitem class="groupname">wheel</systemitem> pueden hacer + <command>su</command> a <systemitem class="username">root</systemitem>. Nunca debe de proporcionar al personal administrativo el acceso - nativo a <groupname>wheel</groupname> poniéndolos - en el grupo <groupname>wheel</groupname> en su entrada de + nativo a <systemitem class="groupname">wheel</systemitem> poniéndolos + en el grupo <systemitem class="groupname">wheel</systemitem> en su entrada de contraseña. Las cuentas administrativas deben colocarse - en un grupo <groupname>staff</groupname>, y agregarse - después al grupo <groupname>wheel</groupname> en + en un grupo <systemitem class="groupname">staff</systemitem>, y agregarse + después al grupo <systemitem class="groupname">wheel</systemitem> en <filename>/etc/group</filename>. Sólo aquellos administradores que realmente necesiten acceder a - <username>root</username> deben pertenecer al grupo - <groupname>wheel</groupname>. También es posible, + <systemitem class="username">root</systemitem> deben pertenecer al grupo + <systemitem class="groupname">wheel</systemitem>. También es posible, mediante un método de autentificación como Kerberos, usar el fichero <filename>.k5login</filename> en - la cuenta <username>root</username> para permitir un - &man.ksu.1; a <username>root</username> sin tener que + la cuenta <systemitem class="username">root</systemitem> para permitir un + &man.ksu.1; a <systemitem class="username">root</systemitem> sin tener que colocar a nadie en el grupo - <groupname>wheel</groupname>. Puede ser una mejor solución, - ya que el mecanismo <groupname>wheel</groupname> aún - permite a un atacante comprometer <username>root</username> + <systemitem class="groupname">wheel</systemitem>. Puede ser una mejor solución, + ya que el mecanismo <systemitem class="groupname">wheel</systemitem> aún + permite a un atacante comprometer <systemitem class="username">root</systemitem> si el intruso ha conseguido el fichero de contraseñas y puede comprometer una cuenta de administración. - Recurrir al mecanismo <groupname>wheel</groupname> es mejor que + Recurrir al mecanismo <systemitem class="groupname">wheel</systemitem> es mejor que no tener nada, pero no es necesariamente la opción más segura.</para> @@ -441,7 +435,7 @@ --> <para>Una manera indirecta de asegurar las cuentas de staff y - el acceso a <username>root</username> es utilizar un método + el acceso a <systemitem class="username">root</systemitem> es utilizar un método de acceso alternativo: es lo que se conoce como <quote>estrellar</quote> las contraseñas cifradas de las cuentas administrativas. Use &man.vipw.8; para reemplazar @@ -522,7 +516,7 @@ <sect2> <title>Asegurar servidores que se ejecutan como - <username>root</username> + <systemitem class="username">root</systemitem> y binarios SUID/SGID</title> <indexterm> @@ -557,10 +551,10 @@ ejecutando una versión desfasada de <application>imapd</application> o <application>popper</application> es como dar una entrada universal - de <username>root</username> al mundo entero. + de <systemitem class="username">root</systemitem> al mundo entero. Nunca ejecute un servidor que no haya revisado cuidadosamente. Muchos servidores no necesitan ejecutarse como - <username>root</username>. Por ejemplo, los dæmons + <systemitem class="username">root</systemitem>. Por ejemplo, los dæmons <application>ntalk</application>, <application>comsat</application> y <application>finger</application> pueden ejecutarse en una @@ -573,8 +567,8 @@ arena. Cuantas más capas tenga que romper el atacante menor será la posibilidad de éxito que tenga. Se han encontrado vías de entrada a - <username>root</username> en virtualmente todos los servidores - que se haya ejecutado como <username>root</username>, + <systemitem class="username">root</systemitem> en virtualmente todos los servidores + que se haya ejecutado como <systemitem class="username">root</systemitem>, incluyendo servidores básicos del sistema. Si está tiene una máquina a través de la cual la gente sólo entra por @@ -611,12 +605,12 @@ instalarlas puede requerir más trabajo del que tal vez esté dispuesto a realizar (el factor comodidad ataca de nuevo). Tal vez tenga que ejecutar estos servidores como - <username>root</username> y depender de otros mecanismos para + <systemitem class="username">root</systemitem> y depender de otros mecanismos para detectar intrusiones que puedan tener lugar a través de ellos.</para> <para>Los otros grandes agujeros potenciales de - <username>root</username> que encontramos en un sistema son los + <systemitem class="username">root</systemitem> que encontramos en un sistema son los binarios suid-root y sgid. La mayoría de estos binarios, como <application>rlogin</application>, están en <filename>/bin</filename>, <filename>/sbin</filename>, @@ -624,9 +618,9 @@ Aunque no hay nada absolutamente seguro los binarios suid y sgid del sistema por defecto pueden considerarse razonablemente seguros. Aún así, de vez en cuando aparecen - agujeros <username>root</username> en estos binarios. + agujeros <systemitem class="username">root</systemitem> en estos binarios. En 1998 se encontró un agujero - <username>root</username> en + <systemitem class="username">root</systemitem> en <literal>Xlib</literal>, que hacía a <application>xterm</application> (que suele ser suid) vulnerable. Es mejor prevenir que curar, y el administrador de @@ -646,7 +640,7 @@ las pulsaciones de teclado que se envien a través de ptys, incluyendo las ptys a las que acceden usuarios que emplean métodos seguros. Un intruso que comprometa el grupo - <groupname>tty</groupname> puede escribir en la pty de casi + <systemitem class="groupname">tty</systemitem> puede escribir en la pty de casi cualquier usuario. Si un usuario ejecuta un programa de terminal o un emulador capaz de simular un teclado, el intruso podría generar un flujo de datos que provoque que la terminal del @@ -654,7 +648,7 @@ ejecutará.</para> </sect2> - <sect2 id="secure-users"> + <sect2 xml:id="secure-users"> <title>Asegurar las cuentas de usuario</title> <para>Las cuentas de usuario suelen ser las más @@ -679,7 +673,7 @@ a tantas contraseñas como sea posible y utilizar ssh o Kerberos para acceder a esas cuentas. Aunque el fichero cifrado de contraseñas (<filename>/etc/spwd.db</filename>) - sólo puede ser legible para <username>root</username>, puede + sólo puede ser legible para <systemitem class="username">root</systemitem>, puede que un intruso consiga acceso de lectura a ese fichero, incluso sin haber alcanzado el acceso de escritura como root.</para> @@ -694,23 +688,23 @@ <title>Asegurar el Kernel, dispositivos en bruto y el sistema sistema de ficheros</title> - <para>Si un atacante compromete <username>root</username> puede + <para>Si un atacante compromete <systemitem class="username">root</systemitem> puede hacer cualquier cosa, pero hay ciertas cosas que puede usted preparar para <quote>curarse en salud</quote>. Por ejemplo, la mayoría de los kernel modernos tienen un dispositivo de los Kernels modernos tienen un integrado un dispositivo de paquetes. En &os; se llama - <devicename>bpf</devicename>. Un intruso típico + <filename>bpf</filename>. Un intruso típico tratará de ejecutar un <quote>sniffer</quote> de paquetes en una máquina comprometida. No debería darle a ese intruso tal recurso, y la mayoría de los sistemas no necesitan el dispositivo - <devicename>bpf</devicename>.</para> + <filename>bpf</filename>.</para> <indexterm> <primary><command>sysctl</command></primary> </indexterm> - <para>Pero si desactiva el dispositivo <devicename>bpf</devicename> + <para>Pero si desactiva el dispositivo <filename>bpf</filename> todavía tendrá que preocuparse por <filename>/dev/mem</filename> y <filename>/dev/kmem</filename>. @@ -719,7 +713,7 @@ una opción del kernel llamada cargador de módulos, &man.kldload.8;. Un intruso con iniciativa puede usar un módulo KLD para instalar su propio dispositivo - <devicename>bpf</devicename>, u otro dispositivo + <filename>bpf</filename>, u otro dispositivo que le permita el <quote>sniffing</quote> en un kernel en ejecución. Para prevenir estos problemas debe ejecutar el kernel en un nivel de seguridad mayor, al menos en securelevel 1. @@ -745,7 +739,7 @@ detección de una intrusión.</para> </sect2> - <sect2 id="security-integrity"> + <sect2 xml:id="security-integrity"> <title>Revisión de integridad de ficheros: binarios, ficheros de configuración, etc.</title> @@ -967,7 +961,7 @@ en los routers de frontera. La idea es prevenir ataques de saturación desde el exterior de la LAN, y no tanto para proteger servicios internos de compromisos - <username>root</username> basados en red. + <systemitem class="username">root</systemitem> basados en red. Configure siempre un cortafuegos exclusivo, esto es, <quote>restringir todo <emphasis>menos</emphasis> los puertos A, B, C, D y M-Z</quote>. De esta manera restringirá @@ -1104,7 +1098,7 @@ y hace ssh a una máquina insegura, sus llaves se pueden utilizar. Las llaves en sí no se exponen, pero ssh crea un puerto de reenvío durante el login, y si un - atacante ha comprometido el <username>root</username> + atacante ha comprometido el <systemitem class="username">root</systemitem> de la máquina insegura, puede utilizar ese puerto para usar sus llaves y obtener acceso a cualquier otra máquina que sus llaves abran.</para> @@ -1129,19 +1123,15 @@ </sect2> </sect1> - <sect1 id="crypt"> - <sect1info> + <sect1 xml:id="crypt"> + <info><title>DES, MD5 y Crypt</title> <authorgroup> - <author> - <firstname>Bill</firstname> - <surname>Swingle</surname> - <contrib>Secciones reescritas y actualizadas por </contrib> - </author> + <author><personname><firstname>Bill</firstname><surname>Swingle</surname></personname><contrib>Secciones reescritas y actualizadas por </contrib></author> </authorgroup> - <!-- 21 Mar 2000 --> - </sect1info> + + </info> - <title>DES, MD5 y Crypt</title> + <indexterm> <primary>seguridad</primary> <secondary>crypt</secondary> @@ -1230,7 +1220,7 @@ </sect2> </sect1> - <sect1 id="one-time-passwords"> + <sect1 xml:id="one-time-passwords"> <title>Contraseñas de un solo uso</title> <indexterm><primary>Contraseñas de un solo uso</primary></indexterm> <indexterm> @@ -1534,7 +1524,7 @@ GAME GAG WELT OUT DOWN CHAT</screen> <screen>login: <userinput><nombre_de_usuario></userinput> s/key 97 fw13894 -Password: <userinput><<keycap>Enter</keycap> para activar el eco></userinput> +Password: <userinput><Enter para activar el eco></userinput> s/key 97 fw13894 Password [echo on]: WELD LIP ACTS ENDS ME HAAG Last login: Tue Mar 21 11:56:41 from 10.0.0.2 ... </screen> @@ -1625,7 +1615,7 @@ permit port ttyd0</programlisting> <para>La segunda línea (<literal>permit user</literal>) permite al nombre de usuario especificado, en este caso - <username>fnord</username>, utilizar contraseñas &unix; + <systemitem class="username">fnord</systemitem>, utilizar contraseñas &unix; en cualquier momento. Hablando en general, esto solo debe ser usado por gente que no puede usar el programa <command>key</command>, como aquellos con terminales tontas o refractarios al @@ -1661,18 +1651,14 @@ permit port ttyd0</programlisting> </sect2> </sect1> - <sect1 id="tcpwrappers"> - <sect1info> + <sect1 xml:id="tcpwrappers"> + <info><title>TCP Wrappers</title> <authorgroup> - <author> - <firstname>Tom</firstname> - <surname>Rhodes</surname> - <contrib>Escrito por: </contrib> - </author> + <author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><contrib>Escrito por: </contrib></author> </authorgroup> - </sect1info> + </info> - <title>TCP Wrappers</title> + <indexterm><primary>TCP Wrappers</primary></indexterm> @@ -1772,7 +1758,7 @@ permit port ttyd0</programlisting> de configuración simple puede generarse mediante datos así de simples. Por ejemplo, para permitir conexiones <acronym>POP</acronym>3 mediante el dæmon - <filename role="package">mail/qpopper</filename>, añada + <package>mail/qpopper</package>, añada las siguientes líneas a <filename>hosts.allow</filename>:</para> @@ -1854,7 +1840,7 @@ ALL : .ejemplo.com \ : deny</programlisting> <para>Esto denegará todos los intentos de conexión - desde el dominio <hostid role="fqdn">*.ejemplo.com</hostid>; + desde el dominio <systemitem class="fqdomainname">*.ejemplo.com</systemitem>; simultáneamente creará una entrada con el nombre del equipo, dirección <acronym>IP</acronym> y el dæmon al que intentó conectarse al fichero @@ -1912,25 +1898,17 @@ sendmail : PARANOID : deny</programlisting> </sect2> </sect1> - <sect1 id="kerberosIV"> - <sect1info> + <sect1 xml:id="kerberosIV"> + <info><title><application>KerberosIV</application></title> <authorgroup> - <author> - <firstname>Mark</firstname> - <surname>Murray</surname> - <contrib>Escrito por </contrib> - </author> + <author><personname><firstname>Mark</firstname><surname>Murray</surname></personname><contrib>Escrito por </contrib></author> </authorgroup> <authorgroup> - <author> - <firstname>Mark</firstname> - <surname>Dapoz</surname> - <contrib>Basado en un texto de </contrib> - </author> + <author><personname><firstname>Mark</firstname><surname>Dapoz</surname></personname><contrib>Basado en un texto de </contrib></author> </authorgroup> - </sect1info> + </info> - <title><application>KerberosIV</application></title> + <para>Kerberos es un sistema/protocolo de red agregado que permite a los usuarios identificarse a través de los servicios de un @@ -1968,7 +1946,7 @@ sendmail : PARANOID : deny</programlisting> <para>También puede instalar la implementación de Kerberos del MIT desde la colección de ports - (<filename role="package">security/krb5</filename>).</para> + (<package>security/krb5</package>).</para> </sect2> <sect2> @@ -1995,7 +1973,7 @@ README krb.conf krb.realms</screen> y <filename>krb.realms</filename> para definir su dominio Kerberos. En nuestro ejemplo el dominio será <literal>EJEMPLO.COM</literal> y el servidor es - <hostid role="fqdn">grunt.ejemplo.com</hostid>. + <systemitem class="fqdomainname">grunt.ejemplo.com</systemitem>. Editamos o creamos <filename>krb.conf</filename>:</para> <screen>&prompt.root; <userinput>cat krb.conf</userinput> @@ -2030,10 +2008,10 @@ ARC.NASA.GOV trident.arc.nasa.gov</screen> de Kerberos.</para> <para>Ahora añadiremos - <hostid role="fqdn">grunt.ejemplo.com</hostid> al dominio + <systemitem class="fqdomainname">grunt.ejemplo.com</systemitem> al dominio <literal>EJEMPLO.COM</literal> y también una entrada para poner todos los equipos en el dominio - <hostid role="domainname">.ejemplo.com</hostid> Kerberos + <systemitem class="fqdomainname">.ejemplo.com</systemitem> Kerberos <literal>EJEMPLO.COM</literal>. Puede actualizar su <filename>krb.realms</filename> del siguiente modo:</para> @@ -2187,7 +2165,7 @@ Generating 'grunt-new-srvtab'....</screen> <para>Si el fichero es para un sistema cliente y la red no puede considerarse segura copie el - <filename><replaceable>cliente</replaceable>-new-srvtab</filename> + <filename>cliente-new-srvtab</filename> en un medio extraíble y transpórtelo por medios físicos seguros. Asegúrese de cambiar su nombre a <filename>srvtab</filename> en el directorio @@ -2203,7 +2181,7 @@ Generating 'grunt-new-srvtab'....</screen> <para>Ahora tenemos que añadir entradas de usuarios a la base de datos. Primero vamos a crear una entrada para el usuario - <username>jane</username>. Para ello usaremos + <systemitem class="username">jane</systemitem>. Para ello usaremos <command>kdb_edit</command>:</para> <screen>&prompt.root; <userinput>kdb_edit</userinput> @@ -2266,7 +2244,7 @@ Current Kerberos master key version is 1. Master key entered. BEWARE!</screen> <para>Ahora podemos probar a usar <command>kinit</command> - para obtener un ticket para el ID <username>jane</username> + para obtener un ticket para el ID <systemitem class="username">jane</systemitem> que creamos antes:</para> <screen>&prompt.user; <userinput>kinit jane</userinput> @@ -2302,11 +2280,11 @@ Password changed.</screen> <title>Añadir privilegios de <command>su</command></title> <para>Kerberos nos permite dar a <emphasis>cada</emphasis> - usuario que necesite privilegios de <username>root</username> + usuario que necesite privilegios de <systemitem class="username">root</systemitem> su <emphasis>propia</emphasis> contraseña para &man.su.1;. Podemos agregar un ID que esté autorizado a ejecutar - &man.su.1; <username>root</username>. Esto se controla - con una instancia de <username>root</username> + &man.su.1; <systemitem class="username">root</systemitem>. Esto se controla + con una instancia de <systemitem class="username">root</systemitem> asociada con un usuario. Vamos a crear una entrada <literal>jane.root</literal> en la base de datos, para lo que recurrimos a <command>kdb_edit</command>:</para> @@ -2349,7 +2327,7 @@ Kerberos Initialization for "jane.root" <prompt>Password:</prompt></screen> <para>Hemos de agregar al usuario al - <filename>.klogin</filename> de <username>root</username>:</para> + <filename>.klogin</filename> de <systemitem class="username">root</systemitem>:</para> <screen>&prompt.root; <userinput>cat /root/.klogin</userinput> jane.root@EJEMPLO.COM</screen> @@ -2379,12 +2357,12 @@ May 2 20:43:12 May 3 04:43:12 krbtgt.EJEMPLO.COM@EJEMPLO.COM</screen> el procedimiento por defecto en Kerberos: <literal><principal>.<instancia></literal> con la estructura - <literal><nombre de usuario>.</literal><username>root</username> + <literal><nombre de usuario>.</literal><systemitem class="username">root</systemitem> permitirá que <literal><nombre de usuario></literal> - haga &man.su.1; a <username>root</username> si existen + haga &man.su.1; a <systemitem class="username">root</systemitem> si existen las entradas necesarias en el <filename>.klogin</filename> que hay en el directorio home de - <username>root</username>:</para> + <systemitem class="username">root</systemitem>:</para> <screen>&prompt.root; <userinput>cat /root/.klogin</userinput> jane.root@EJEMPLO.COM</screen> @@ -2398,14 +2376,14 @@ jack@EJEMPLO.COM</screen> <para>significa que cualquier usuario del dominio <literal>EJEMPLO.COM</literal> que se identifique como - <username>jane</username> o como <username>jack</username> + <systemitem class="username">jane</systemitem> o como <systemitem class="username">jack</systemitem> (vía <command>kinit</command>, ver más arriba) - podrá acceder a la cuenta de <username>jane</username> o - a los ficheros de este sistema (<hostid>grunt</hostid>) vía + podrá acceder a la cuenta de <systemitem class="username">jane</systemitem> o + a los ficheros de este sistema (<systemitem>grunt</systemitem>) vía &man.rlogin.1;, &man.rsh.1; o &man.rcp.1;.</para> - <para>Veamos por ejemplo cómo <username>jane</username> se + <para>Veamos por ejemplo cómo <systemitem class="username">jane</systemitem> se se identifica en otro sistema mediante Kerberos:</para> <screen>&prompt.user; <userinput>kinit</userinput> @@ -2418,9 +2396,9 @@ Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994 FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995</screen> - <para>Aquí <username>jack</username> se identifica con la - cuenta de <username>jane</username> en la misma - máquina (<username>jane</username> tiene configurado + <para>Aquí <systemitem class="username">jack</systemitem> se identifica con la + cuenta de <systemitem class="username">jane</systemitem> en la misma + máquina (<systemitem class="username">jane</systemitem> tiene configurado su fichero <filename>.klogin</filename> como se ha mostrado antes, y la persona encargada de la administración de Kerberos ha configurado un usuario principal @@ -2437,25 +2415,17 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995</screen> </sect2> </sect1> - <sect1 id="kerberos5"> - <sect1info> + <sect1 xml:id="kerberos5"> + <info><title><application>Kerberos5</application></title> <authorgroup> - <author> - <firstname>Tillman</firstname> - <surname>Hodgson</surname> - <contrib>Texto de </contrib> - </author> + <author><personname><firstname>Tillman</firstname><surname>Hodgson</surname></personname><contrib>Texto de </contrib></author> </authorgroup> <authorgroup> - <author> - <firstname>Mark</firstname> - <surname>Murray</surname> - <contrib>Basado en un texto de </contrib> - </author> + <author><personname><firstname>Mark</firstname><surname>Murray</surname></personname><contrib>Basado en un texto de </contrib></author> </authorgroup> - </sect1info> + </info> - <title><application>Kerberos5</application></title> + <para>Cada versión de &os; posterior a &os;-5.1 incluye soporte solamente para <application>Kerberos5</application>. @@ -2468,7 +2438,7 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995</screen> &os;-5.0 o posteriores. Los usuarios que deséen utilizar <application>KerberosIV</application> pueden instalar el port - <filename role="package">security/krb4</filename>.</para> + <package>security/krb4</package>.</para> <para><application>Kerberos</application> es un sistema/protocolo agregado para red que permite a los usuarios validar su identidad @@ -2564,14 +2534,14 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995</screen> de los EEUU. El <application>Kerberos</application> del <acronym>MIT</acronym> existe como un port en - (<filename role="package">security/krb5</filename>). Heimdal + (<package>security/krb5</package>). Heimdal <application>Kerberos</application> es otra implementación de la versión 5, y fué desarrollada de forma intencionada fuera de los <acronym>EEUU</acronym> para sortear las regulaciones de exportación (y por eso puede incluirse en versiones no comerciales de &unix;). La distribución Heimdal <application>Kerberos</application> está en el - port (<filename role="package">security/heimdal</filename>), y + port (<package>security/heimdal</package>), y se incluye una instalación mínima en el sistema base de &os;.</para> @@ -2634,7 +2604,7 @@ kerberos_stash="YES"</programlisting> <para>Tenga en cuenta que este <filename>/etc/krb5.conf</filename> implica que su <acronym>KDC</acronym> tendrá el nombre de equipo completo calificado de - <hostid role="fqdn">kerberos.ejemplo.org</hostid>. + <systemitem class="fqdomainname">kerberos.ejemplo.org</systemitem>. Necesitará añadir una entrada CNAME (alias) a su fichero de zona si su <acronym>KDC</acronym> tiene un nombre de equipo diferente.</para> @@ -2648,7 +2618,7 @@ kerberos_stash="YES"</programlisting> default_realm = EJEMPLO.ORG</programlisting> <para>Con las siguientes líneas agregadas al - fichero de zona <hostid role="fqdn">ejemplo.org</hostid>:</para> + fichero de zona <systemitem class="fqdomainname">ejemplo.org</systemitem>:</para> <programlisting>_kerberos._udp IN SRV 01 00 88 kerberos.ejemplo.org. _kerberos._tcp IN SRV 01 00 88 kerberos.ejemplo.org. @@ -2704,9 +2674,9 @@ Master key: <userinput>xxxxxxxx</userinput> Verifying password - Master key: <userinput>xxxxxxxx</userinput> &prompt.root; <userinput>kadmin -l</userinput> -kadmin> <userinput>init EJEMPLO.ORG</userinput> +kadmin> <userinput>init EJEMPLO.ORG</userinput> Realm max ticket life [unlimited]: -kadmin> <userinput>add tillman</userinput> +kadmin> <userinput>add tillman</userinput> Max ticket life [unlimited]: Max renewable life [unlimited]: Attributes []: @@ -2723,7 +2693,7 @@ Verifying password - Password: <userinput>xxxxxxxx</userinput></screen> (usuario) que acaba de crear en la línea de órdenes de <acronym>KDC</acronym>:</para> - <screen>&prompt.user; <userinput>k5init <replaceable>tillman</replaceable></userinput> + <screen>&prompt.user; <userinput>k5init tillman</userinput> tillman@EJEMPLO.ORG's Password: &prompt.user; <userinput>k5list</userinput> @@ -2798,12 +2768,12 @@ Aug 27 15:37:58 Aug 28 01:37:58 krbtgt/EJEMPLO.ORG@EJEMPLO.ORG</screen> del equipo servidor a su propio keybat. Por ejemplo:</para> <screen>&prompt.root; <userinput>kadmin</userinput> -kadmin><userinput> add --random-key host/myserver.ejemplo.org</userinput> +kadmin><userinput> add --random-key host/myserver.ejemplo.org</userinput> Max ticket life [unlimited]: Max renewable life [unlimited]: Attributes []: -kadmin><userinput> ext host/miservidor.ejemplo.org</userinput> -kadmin><userinput> exit</userinput></screen> +kadmin><userinput> ext host/miservidor.ejemplo.org</userinput> +kadmin><userinput> exit</userinput></screen> <para>Tenga en cuenta que <command>ext</command> (contracción de <quote>extract</quote>) almacena la @@ -2815,15 +2785,15 @@ kadmin><userinput> exit</userinput></screen> <acronym>KDC</acronym> (posiblemente por razones de seguridad) y por lo tanto carece de acceso remoto a <command>kadmin</command> puede añadir el principal de equipo - (<username>host/miservidor.EJEMPLO.ORG</username>) directamente + (<systemitem class="username">host/miservidor.EJEMPLO.ORG</systemitem>) directamente en el <acronym>KDC</acronym> y entonces extraerlo a un fichero temporal (para evitar sobreescribir <filename>/etc/krb5.keytab</filename> en el <acronym>KDC</acronym>) mediante algo parecido a esto:</para> <screen>&prompt.root; <userinput>kadmin</userinput> -kadmin><userinput> ext --keytab=/tmp/ejemplo.keytab host/miservidor.ejemplo.org</userinput> -kadmin><userinput> exit</userinput></screen> +kadmin><userinput> ext --keytab=/tmp/ejemplo.keytab host/miservidor.ejemplo.org</userinput> +kadmin><userinput> exit</userinput></screen> <para>Puede entonces copiar de forma segura el keytab al servidor (usando <command>scp</command> o un diquete). @@ -2933,18 +2903,18 @@ kadmin><userinput> exit</userinput></screen> <para>Suele ser habitual que los usuarios de un dominio <application>Kerberos</application> (o <quote>principales</quote>) tengan su usuario - (por ejemplo <username>tillman@EJEMPLO.ORG</username>) mapeado + (por ejemplo <systemitem class="username">tillman@EJEMPLO.ORG</systemitem>) mapeado a una cuenta de usuario local (por ejemplo un usuario llamado - llamado <username>tillman</username>). Las aplicaciones cliente + llamado <systemitem class="username">tillman</systemitem>). Las aplicaciones cliente como <command>telnet</command> normalmente no requieren un nombre de usuario o un principal.</para> <para>Es posible que de vez en cuando quiera dar acceso a una una cuenta de usuario local a alguien que no tiene un principal <application>Kerberos</application>. - Por ejemplo, <username>tillman@EJEMPLO.ORG</username> puede + Por ejemplo, <systemitem class="username">tillman@EJEMPLO.ORG</systemitem> puede necesitar acceso a la cuenta de usuario local - <username>webdevelopers</username>. + <systemitem class="username">webdevelopers</systemitem>. Otros principales tal vez necesiten acceso a esas cuentas locales.</para> @@ -2961,7 +2931,7 @@ kadmin><userinput> exit</userinput></screen> jdoe@example.org</screen> <para>en el directorio home del usuario local - <username>webdevelopers</username> ambos + <systemitem class="username">webdevelopers</systemitem> ambos principales listados tendrían acceso a esa cuenta sin requerir una contraseña compartida.</para> @@ -3011,8 +2981,8 @@ jdoe@example.org</screen> <para>Si cambia su nombre de equipo debe cambiar también el <quote>apellido</quote> de su principal y actualizar su keytab. Esto también se aplica a entradas especiales - en keytab como el principal <username>www/</username> - que usa el <filename role="package">www/mod_auth_kerb</filename> + en keytab como el principal <systemitem class="username">www/</systemitem> + que usa el <package>www/mod_auth_kerb</package> de Apache.</para> </listitem> @@ -3033,7 +3003,7 @@ jdoe@example.org</screen> <para>Algunos sistemas operativos que puede usar como clientes de su <acronym>KDC</acronym> no activan los permisos para <command>ksu</command> como - setuid <username>root</username>. Esto hará que + setuid <systemitem class="username">root</systemitem>. Esto hará que <command>ksu</command> no funcione, lo cual es muy seguro pero un tanto molesto. Tenga en cuenta que no se debe a un error de <acronym>KDC</acronym>.</para> @@ -3046,7 +3016,7 @@ jdoe@example.org</screen> <acronym>MIT</acronym> debe usar <command>modify_principal</command> en <command>kadmin</command> para cambiar <quote>maxlife</quote> tanto del principal en - cuestión como del <username>krbtgt</username> del + cuestión como del <systemitem class="username">krbtgt</systemitem> del principal. Hecho esto, el principal puede utilizar la opción <literal>-l</literal> con <command>kinit</command> para @@ -3143,7 +3113,7 @@ jdoe@example.org</screen> lograr lo mismo. Le recomendamos seguir las instrucciones de la página web de <application>Kerberos</application> del <acronym>MIT</acronym> - (<ulink url="http://web.mit.edu/Kerberos/www/"></ulink>). + (<uri xlink:href="http://web.mit.edu/Kerberos/www/">http://web.mit.edu/Kerberos/www/</uri>). Sea cuidadoso con los parches: el port del <acronym>MIT</acronym> se instala por defecto en <filename>/usr/local/</filename>, y las @@ -3153,7 +3123,7 @@ jdoe@example.org</screen> directorios del sistema.</para> <note><para>Si usa el port del <acronym>MIT</acronym> - <filename role="package">security/krb5</filename> + <package>security/krb5</package> proporcionado por &os; asegúrese de leer el fichero <filename>/usr/local/share/doc/krb5/README.FreeBSD</filename> instalado por el port si quiere entender por qué los @@ -3266,7 +3236,7 @@ jdoe@example.org</screen> (por ejemplo) <quote>troyanizada</quote> <command>kinit</command> puede grabar todos los usuarios y sus contraseñas. Puede usar - <filename role="package">security/tripwire</filename> o + <package>security/tripwire</package> o alguna otra herramienta de revisión de integridad de sistemas de ficheros para intentar evitar problemas como este.</para> @@ -3284,48 +3254,43 @@ jdoe@example.org</screen> <itemizedlist> <listitem> - <para><ulink - url="http://www.faqs.org/faqs/Kerberos-faq/general/preamble.html"> + <para><link xlink:href="http://www.faqs.org/faqs/Kerberos-faq/general/preamble.html"> Las preguntas frecuentes (FAQ) de - <application>Kerberos</application></ulink></para> + <application>Kerberos</application></link></para> </listitem> <listitem> - <para><ulink url="http://web.mit.edu/Kerberos/www/dialogue.html">Designing an - Authentication System: a Dialog in Four Scenes</ulink></para> + <para><link xlink:href="http://web.mit.edu/Kerberos/www/dialogue.html">Designing an + Authentication System: a Dialog in Four Scenes</link></para> </listitem> <listitem> - <para><ulink url="http://www.ietf.org/rfc/rfc1510.txt?number=1510">RFC 1510, + <para><link xlink:href="http://www.ietf.org/rfc/rfc1510.txt?number=1510">RFC 1510, The <application>Kerberos</application> Network Authentication Service - (V5)</ulink></para> + (V5)</link></para> </listitem> <listitem> - <para><ulink url="http://web.mit.edu/Kerberos/www/">Página web de <application>Kerberos</application> - del <acronym>MIT</acronym></ulink></para> + <para><link xlink:href="http://web.mit.edu/Kerberos/www/">Página web de <application>Kerberos</application> + del <acronym>MIT</acronym></link></para> </listitem> <listitem> - <para><ulink url="http://www.pdc.kth.se/heimdal/">Página web de - <application>Kerberos</application> Heimdal</ulink></para> + <para><link xlink:href="http://www.pdc.kth.se/heimdal/">Página web de + <application>Kerberos</application> Heimdal</link></para> </listitem> </itemizedlist> </sect2> </sect1> - <sect1 id="openssl"> - <sect1info> + <sect1 xml:id="openssl"> + <info><title>OpenSSL</title> <authorgroup> - <author> - <firstname>Tom</firstname> - <surname>Rhodes</surname> - <contrib>Escrito por: </contrib> - </author> + <author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><contrib>Escrito por: </contrib></author> </authorgroup> - </sect1info> - <title>OpenSSL</title> + </info> + <indexterm> <primary>seguridad</primary> <secondary>OpenSSL</secondary> @@ -3342,16 +3307,16 @@ jdoe@example.org</screen> la validación cifrada de clientes de correo, las transacciones basadas en web como pagos con tarjetas de crédito, etc. Muchos ports, como - <filename role="package">www/apache13-ssl</filename> y - <filename role="package">mail/sylpheed-claws</filename> + <package>www/apache13-ssl</package> y + <package>mail/sylpheed-claws</package> ofrecen soporte de compilación para <application>OpenSSL</application>.</para> <note> <para>En la mayoría de los casos la colección de ports tratará de compilar el port - <filename role="package">security/openssl</filename> a menos - que la variable de make <makevar>WITH_OPENSSL_BASE</makevar> + <package>security/openssl</package> a menos + que la variable de make <varname>WITH_OPENSSL_BASE</varname> sea puesta explícitamente a <quote>yes</quote>.</para> </note> @@ -3367,7 +3332,7 @@ jdoe@example.org</screen> por defecto debido a patentes en vigor en los Estados Unidos. Si quiere usarlo debe revisar la licencia, y si las restricciones le parecen aceptables active la variable - <makevar>MAKE_IDEA</makevar> en + <varname>MAKE_IDEA</varname> en <filename>make.conf</filename>.</para> </note> @@ -3380,7 +3345,7 @@ jdoe@example.org</screen> <quote>autoridades certificadoras</quote> o <acronym>CA</acronym>, suele generarse una advertencia al respecto. Una autoridad de certificados es una compañia, como - <ulink url="http://www.verisign.com">VeriSign</ulink>, que + <link xlink:href="http://www.verisign.com">VeriSign</link>, que firma certificados para validar credenciales de individuos o compañias. Este proceso tiene un costo asociado y no es un requisito imprescindible para usar certificados, aunque @@ -3410,18 +3375,18 @@ There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- -Country Name (2 letter code) [AU]:<userinput><replaceable>US</replaceable></userinput> -State or Province Name (full name) [Some-State]:<userinput><replaceable>PA</replaceable></userinput> -Locality Name (eg, city) []:<userinput><replaceable>Pittsburgh</replaceable></userinput> -Organization Name (eg, company) [Internet Widgits Pty Ltd]:<userinput><replaceable>Mi compañía</replaceable></userinput> -Organizational Unit Name (eg, section) []:<userinput><replaceable>Administrador de sistemas</replaceable></userinput> -Common Name (eg, YOUR name) []:<userinput><replaceable>localhost.ejemplo.org</replaceable></userinput> -Email Address []:<userinput><replaceable>trhodes@FreeBSD.org</replaceable></userinput> +Country Name (2 letter code) [AU]:<userinput>US</userinput> +State or Province Name (full name) [Some-State]:<userinput>PA</userinput> +Locality Name (eg, city) []:<userinput>Pittsburgh</userinput> +Organization Name (eg, company) [Internet Widgits Pty Ltd]:<userinput>Mi compañía</userinput> +Organizational Unit Name (eg, section) []:<userinput>Administrador de sistemas</userinput> +Common Name (eg, YOUR name) []:<userinput>localhost.ejemplo.org</userinput> +Email Address []:<userinput>trhodes@FreeBSD.org</userinput> Please enter the following 'extra' attributes to be sent with your certificate request -A challenge password []:<userinput><replaceable>UNA CONTRASEÑA</replaceable></userinput> -An optional company name []:<userinput><replaceable>Otro nombre</replaceable></userinput></screen> +A challenge password []:<userinput>UNA CONTRASEÑA</userinput> +An optional company name []:<userinput>Otro nombre</userinput></screen> <para>Tenga en cuenta que la respuesta directamente después de <quote>prompt</quote> <quote>Common Name</quote> muestra un @@ -3450,23 +3415,23 @@ An optional company name []:<userinput><replaceable>Otro nombre</replaceable></u puede crear y firmar usted mismo su certificado. Primero, genere la llave <acronym>RSA</acronym>:</para> - <screen>&prompt.root; <userinput>openssl dsaparam -rand -genkey -out <filename>myRSA.key</filename> 1024</userinput></screen> + <screen>&prompt.root; <userinput>openssl dsaparam -rand -genkey -out myRSA.key 1024</userinput></screen> <para>A continuación genere la llave <acronym>CA</acronym>:</para> - <screen>&prompt.root; <userinput>openssl gendsa -des3 -out <filename>myca.key</filename> <filename>myRSA.key</filename></userinput></screen> + <screen>&prompt.root; <userinput>openssl gendsa -des3 -out myca.key myRSA.key</userinput></screen> <para>Utilice esta llave para crear el certificado:</para> - <screen>&prompt.root; <userinput>openssl req -new -x509 -days 365 -key <filename>myca.key</filename> -out <filename>new.crt</filename></userinput></screen> + <screen>&prompt.root; <userinput>openssl req -new -x509 -days 365 -key myca.key -out new.crt</userinput></screen> <para>Deberín aparecer dos nuevos ficheros en su directorio: un fichero de firma de autoridad de certificados (<filename>myca.key</filename>) y el certificado en sí, <filename>new.crt</filename>. Deben ubicarse en un directorio, que se recomienda que sea - <filename class="directory">/etc</filename>, que es legible - solo para <username>root</username>. Para terminar, es recomendable + <filename>/etc</filename>, que es legible + solo para <systemitem class="username">root</systemitem>. Para terminar, es recomendable asignar permisos 0700 para el fichero con <command>chmod</command>.</para> </sect2> @@ -3501,14 +3466,14 @@ define(`confSERVER_CERT',`/etc/certs/new.crt')dnl define(`confSERVER_KEY',`/etc/certs/myca.key')dnl define(`confTLS_SRV_OPTIONS', `V')dnl</programlisting> - <para><filename class="directory">/etc/certs/</filename> + <para><filename>/etc/certs/</filename> es el directorio destinado a almacenamiento de los ficheros de certificado y llave en local. El último requisito es una reconstrucción del fichero <filename>.cf</filename> local. Solo tiene que teclear <command>make</command> <parameter>install</parameter> en el directorio - <filename class="directory">/etc/mail</filename>. + <filename>/etc/mail</filename>. A continuación ejecute un <command>make</command> <parameter>restart</parameter>, que debería reiniciar el dæmon <application>Sendmail</application>.</para> @@ -3522,12 +3487,12 @@ define(`confTLS_SRV_OPTIONS', `V')dnl</programlisting> conéctese al servidor de correo mediante &man.telnet.1;:</para> - <screen>&prompt.root; <userinput>telnet <replaceable>ejemplo.com</replaceable> 25</userinput> + <screen>&prompt.root; <userinput>telnet ejemplo.com 25</userinput> Trying 192.0.34.166... -Connected to <hostid role="fqdn">ejemplo.com</hostid>. +Connected to <systemitem class="fqdomainname">ejemplo.com</systemitem>. Escape character is '^]'. -220 <hostid role="fqdn">ejemplo.com</hostid> ESMTP Sendmail 8.12.10/8.12.10; Tue, 31 Aug 2004 03:41:22 -0400 (EDT) -<userinput>ehlo <replaceable>ejemplo.com</replaceable></userinput> +220 <systemitem class="fqdomainname">ejemplo.com</systemitem> ESMTP Sendmail 8.12.10/8.12.10; Tue, 31 Aug 2004 03:41:22 -0400 (EDT) +<userinput>ehlo ejemplo.com</userinput> 250-ejemplo.com Hello ejemplo.com [192.0.34.166], pleased to meet you 250-ENHANCEDSTATUSCODES 250-PIPELINING @@ -3540,7 +3505,7 @@ Escape character is '^]'. 250-DELIVERBY 250 HELP <userinput>quit</userinput> -221 2.0.0 <hostid role="fqdn">ejemplo.com</hostid> closing connection +221 2.0.0 <systemitem class="fqdomainname">ejemplo.com</systemitem> closing connection Connection closed by foreign host.</screen> <para>Si la línea <quote>STARTTLS</quote> aparece en la @@ -3548,21 +3513,16 @@ Connection closed by foreign host.</screen> </sect2> </sect1> - <sect1 id="ipsec"> - <sect1info> + <sect1 xml:id="ipsec"> + <info><title>VPN sobre IPsec</title> <authorgroup> - <author> - <firstname>Nik</firstname> - <surname>Clayton</surname> - <affiliation> + <author><personname><firstname>Nik</firstname><surname>Clayton</surname></personname><affiliation> <address><email>nik@FreeBSD.org</email></address> - </affiliation> - <contrib>Escrito por </contrib> - </author> + </affiliation><contrib>Escrito por </contrib></author> </authorgroup> - </sect1info> + </info> - <title>VPN sobre IPsec</title> + <indexterm> <primary>IPsec</primary> @@ -3573,20 +3533,15 @@ Connection closed by foreign host.</screen> (<quote>gateways</quote>) &os;.</para> <sect2> - <sect2info> + <info><title>Qué es IPsec</title> <authorgroup> - <author> - <firstname>Hiten M.</firstname> - <surname>Pandya</surname> - <affiliation> + <author><personname><firstname>Hiten M.</firstname><surname>Pandya</surname></personname><affiliation> <address><email>hmp@FreeBSD.org</email></address> - </affiliation> - <contrib>Escrito por </contrib> - </author> + </affiliation><contrib>Escrito por </contrib></author> </authorgroup> - </sect2info> + </info> - <title>Qué es IPsec</title> + <para>Esta sección le guiará a través del proceso de configuración de IPsec, y de su uso en un @@ -3602,7 +3557,7 @@ Connection closed by foreign host.</screen> a dos o más equipos comunicarse de forma segura (de ahí el nombre). La <quote>pila de red</quote> IPsec de &os; se basa en la implementación - <ulink url="http://www.kame.net/">KAME</ulink>, que incluye + <link xlink:href="http://www.kame.net/">KAME</link>, que incluye soporte para las dos familias de protocolos, IPv4 e IPv6.</para> <note> @@ -3779,7 +3734,7 @@ options IPSEC_DEBUG #debug for IP security <para>Si lo que intenta es conectar dos redes y ambas usan el mismo rango de direcciones IP privadas (por ejemplo las dos usan - <hostid role="ipaddr">192.168.1.x</hostid>)debería renumerar + <systemitem class="ipaddress">192.168.1.x</systemitem>)debería renumerar una de las dos redes.</para> <para>La topología de red se parecería a esto:</para> @@ -3821,11 +3776,9 @@ Network #2 [ Internal Hosts ] Observe también que internamente las dos máquinas que hacen de puerta de enlace tienen la dirección IP .1, y que las dos redes tienen direcciones IP privadas diferentes - (<hostid - role="ipaddr">192.168.1.x</hostid> y <hostid - role="ipaddr">192.168.2.x</hostid> respectivamente). Todas las + (<systemitem class="ipaddress">192.168.1.x</systemitem> y <systemitem class="ipaddress">192.168.2.x</systemitem> respectivamente). Todas las máquinas de las redes privadas están configuradas para - utilizar la máquina <hostid role="ipaddr">.1</hostid> + utilizar la máquina <systemitem class="ipaddress">.1</systemitem> como su puerta de enlace por defecto.</para> <para>La intención es que, desde el punto de vista de la @@ -3835,7 +3788,7 @@ Network #2 [ Internal Hosts ] ocasional a tirar paquetes).</para> <para>Esto significa que (por ejemplo), la máquina - <hostid role="ipaddr">192.168.1.20</hostid> debe ser + <systemitem class="ipaddress">192.168.1.20</systemitem> debe ser capaz de ejecutar</para> <programlisting>ping 192.168.2.34</programlisting> @@ -3881,46 +3834,43 @@ Network #2 [ Internal Hosts ] red <quote>virtual</quote></title> <para>Suponga que está en la puerta de enlace de la red - red #1 (con dirección IP pública <hostid - role="ipaddr">A.B.C.D</hostid>, dirección IP privada - <hostid role="ipaddr">192.168.1.1</hostid>), y ejecuta + red #1 (con dirección IP pública <systemitem class="ipaddress">A.B.C.D</systemitem>, dirección IP privada + <systemitem class="ipaddress">192.168.1.1</systemitem>), y ejecuta <command>ping 192.168.2.1</command>, que es la dirección privada de la máquina con dirección IP - <hostid role="ipaddr">W.X.Y.Z</hostid>. ?Qué + <systemitem class="ipaddress">W.X.Y.Z</systemitem>. ?Qué hace falta para esto?</para> <orderedlist> <listitem> <para>La puerta de enlace necesita saber cómo alcanzar - a <hostid role="ipaddr">192.168.2.1</hostid>. En otras - palabras, necesita tener una ruta hasta <hostid - role="ipaddr">192.168.2.1</hostid>.</para> + a <systemitem class="ipaddress">192.168.2.1</systemitem>. En otras + palabras, necesita tener una ruta hasta <systemitem class="ipaddress">192.168.2.1</systemitem>.</para> </listitem> <listitem> <para>Las direcciones IP privadas, como las que están - en el rango <hostid role="ipaddr">192.168.x</hostid> + en el rango <systemitem class="ipaddress">192.168.x</systemitem> no deberían aparecer en Internet. Por eso, cada paquete - que mande a <hostid role="ipaddr">192.168.2.1</hostid> + que mande a <systemitem class="ipaddress">192.168.2.1</systemitem> necesitará encerrarse dentro de otro paquete. Este paquete debe tener todas las características de haber sido enviado desde - <hostid role="ipaddr">A.B.C.D</hostid>, - y tendrá que ser enviado a <hostid - role="ipaddr">W.X.Y.Z</hostid>. Este proceso recibe el nombre + <systemitem class="ipaddress">A.B.C.D</systemitem>, + y tendrá que ser enviado a <systemitem class="ipaddress">W.X.Y.Z</systemitem>. Este proceso recibe el nombre de <firstterm>encapsulado</firstterm>.</para> </listitem> <listitem> <para>Una vez que este paquete llega a - <hostid role="ipaddr">W.X.Y.Z</hostid> necesitará + <systemitem class="ipaddress">W.X.Y.Z</systemitem> necesitará ser <quote>desencapsulado</quote>, y entregado a - <hostid role="ipaddr">192.168.2.1</hostid>.</para> + <systemitem class="ipaddress">192.168.2.1</systemitem>.</para> </listitem> </orderedlist> <para>Puede verlo como si necesitara un <quote>túnel</quote> entre las dos redes. Las dos <quote>bocas del túnel</quote> - son las direcciones IP <hostid role="ipaddr">A.B.C.D</hostid> y - <hostid role="ipaddr">W.X.Y.Z</hostid>, y debe hacer que el + son las direcciones IP <systemitem class="ipaddress">A.B.C.D</systemitem> y + <systemitem class="ipaddress">W.X.Y.Z</systemitem>, y debe hacer que el túnel sepa cuáles serán las direcciones IP privadas que tendrán permitido el paso a través de él. El túnel se usa para transferir tráfico @@ -3928,8 +3878,8 @@ Network #2 [ Internal Hosts ] pública.</para> <para>Este túnel se crea mediante la interfaz genérica, - o dispositivo <devicename>gif</devicename> en &os;. Como - puede imaginarse la interfaz <devicename>gif</devicename> + o dispositivo <filename>gif</filename> en &os;. Como + puede imaginarse la interfaz <filename>gif</filename> de cada puerta de enlace debe configurarse con cuatro direcciones IP: dos para las direcciones IP públicas, y dos para las direcciones IP privadas.</para> @@ -3984,11 +3934,11 @@ physical address inet A.B.C.D --> W.X.Y.Z </screen> <para>Como puede ver se ha creado un túnel entre las direcciones - físicas <hostid role="ipaddr">A.B.C.D</hostid> y - <hostid role="ipaddr">W.X.Y.Z</hostid>, y el tráfico + físicas <systemitem class="ipaddress">A.B.C.D</systemitem> y + <systemitem class="ipaddress">W.X.Y.Z</systemitem>, y el tráfico que puede pasar a través del túnel es entre - <hostid role="ipaddr">192.168.1.1</hostid> y - <hostid role="ipaddr">192.168.2.1</hostid>.</para> + <systemitem class="ipaddress">192.168.1.1</systemitem> y + <systemitem class="ipaddress">192.168.2.1</systemitem>.</para> <para>Esto también habrá agregado una entrada en la tabla de rutas de ambas máquinas, que puede @@ -4034,7 +3984,7 @@ Destination Gateway Flags Refs Use Netif Expire <para>Esto es suficiente para permitir a cada puerta de enlace hacer un ping entre ellas. En - <hostid role="ipaddr">192.168.1.1</hostid> deberí poder + <systemitem class="ipaddress">192.168.1.1</systemitem> deberí poder ejecutar</para> <programlisting>ping 192.168.2.1</programlisting> @@ -4056,12 +4006,12 @@ Destination Gateway Flags Refs Use Netif Expire </programlisting> <para>Esto significa <quote>Para alcanzar los equipos en - la red <hostid role="ipaddr">192.168.2.0</hostid>, envía + la red <systemitem class="ipaddress">192.168.2.0</systemitem>, envía los paquetes al equipo - <hostid role="ipaddr">192.168.2.1</hostid></quote>. + <systemitem class="ipaddress">192.168.2.1</systemitem></quote>. Necesitará ejecutar una orden similar en la otra puerta de enlace, pero obviamente con las direcciones - <hostid role="ipaddr">192.168.1.x</hostid>.</para> + <systemitem class="ipaddress">192.168.1.x</systemitem>.</para> <para>El tráfico IP de equipos en una red no será capaz de alcanzar equipos en la otra red.</para> @@ -4222,14 +4172,14 @@ options IPSEC_ESP la gestión de asociaciones de seguridad en &os;. En este texto se muestra cómo usar uno de ellos, racoon (que puede instalar desde - <filename role="package">security/racoon</filename> en la + <package>security/racoon</package> en la colección de ports de &os;.</para> <indexterm> <primary>racoon</primary> </indexterm> - <para>El software <filename role="package">security/racoon</filename> + <para>El software <package>security/racoon</package> debe ejecutarse en las dos puertas de enlace. En cada equipo debe configurar la dirección IP del otro extremo de la VPN y una llave secreta (que usted puede y debe elegir, y debe ser @@ -4293,7 +4243,7 @@ options IPSEC_ESP extremo remoto, y la misma llave secreta. <filename>psk.txt</filename> debe tener modo <literal>0600</literal> (es decir, modo de solo - lectura/escritura para <username>root</username>) antes de + lectura/escritura para <systemitem class="username">root</systemitem>) antes de que ejecute racoon.</para> <para>Debe ejecutar racoon en ambas puertas de enlace. @@ -4335,7 +4285,7 @@ ipfw add 1 allow udp from W.X.Y.Z to A.B.C.D isakmp contiene datos acerca del paquete. La cabecera incluye la dirección IP de destino y del origen. Como ya sabemos, las direcciones IP privadas como el rango - <hostid role="ipaddr">192.168.x.y</hostid> no deberían + <systemitem class="ipaddress">192.168.x.y</systemitem> no deberían aparezcan en Internet. Dado que es a través de Internet por donde los queremos transmitir los debemos encapsular dentro de otro paquete. Este paquete debe contener tanto la dirección @@ -4387,7 +4337,7 @@ ipfw add 1 allow udp from W.X.Y.Z to A.B.C.D isakmp </textobject> </mediaobject> - <para>El dispositivo <devicename>gif</devicename> se encarga + <para>El dispositivo <filename>gif</filename> se encarga del encapsulado. Como puede ver el paquete tiene una dirección IP real en el exterior, y nuestro paquete original ha sido envuelto como dato dentro del paquete que @@ -4397,33 +4347,29 @@ ipfw add 1 allow udp from W.X.Y.Z to A.B.C.D isakmp las VPN vaya cifrado. Pongamos esto último en palabras para comprenderlo mejor:</para> - <para><quote>Si un paquete sale desde <hostid - role="ipaddr">A.B.C.D</hostid>, y tiene como destino - <hostid role="ipaddr">W.X.Y.Z</hostid>, cífralo + <para><quote>Si un paquete sale desde <systemitem class="ipaddress">A.B.C.D</systemitem>, y tiene como destino + <systemitem class="ipaddress">W.X.Y.Z</systemitem>, cífralo utilizando las asociaciones de seguridad necesarias.</quote></para> - <para><quote>Si un paquete llega desde <hostid - role="ipaddr">W.X.Y.Z</hostid>, y tiene como destino - <hostid role="ipaddr">A.B.C.D</hostid>, descífralo + <para><quote>Si un paquete llega desde <systemitem class="ipaddress">W.X.Y.Z</systemitem>, y tiene como destino + <systemitem class="ipaddress">A.B.C.D</systemitem>, descífralo utilizando las asociaciones de seguridad necesarias.</quote></para> <para>Este planteamiento se aproxima bastante, pero no es exactamente lo que queremos hacer. Si lo hiciera así todo el tráfico desde y hacia - <hostid role="ipaddr">W.X.Y.Z</hostid>, incluso el tráfico + <systemitem class="ipaddress">W.X.Y.Z</systemitem>, incluso el tráfico que no forma parte de la VPN, será cifrado; esto no es lo que queremos. La política correcta es la siguiente:</para> - <para><quote>Si un paquete sale desde <hostid - role="ipaddr">A.B.C.D</hostid>, y está + <para><quote>Si un paquete sale desde <systemitem class="ipaddress">A.B.C.D</systemitem>, y está encapsulando a otro paquete, y tiene como destino - <hostid role="ipaddr">W.X.Y.Z</hostid>, cífralo + <systemitem class="ipaddress">W.X.Y.Z</systemitem>, cífralo utilizando las asociaciones de seguridad necesarias.</quote></para> - <para><quote>Si un paquete llega desde <hostid - role="ipaddr">W.X.Y.Z</hostid>, y está + <para><quote>Si un paquete llega desde <systemitem class="ipaddress">W.X.Y.Z</systemitem>, y está encapsulando a otro paquete, y tiene como destino - <hostid role="ipaddr">A.B.C.D</hostid>, descífralo + <systemitem class="ipaddress">A.B.C.D</systemitem>, descífralo utilizando las asociaciones de seguridad necesarias.</quote></para> <para>Un cambio sutil, pero necesario.</para> @@ -4439,9 +4385,9 @@ ipfw add 1 allow udp from W.X.Y.Z to A.B.C.D isakmp <para>La configuración en la puerta de enlace #1 (que tiene la dirección IP pública - <hostid role="ipaddr">A.B.C.D</hostid>) para forzar que todo + <systemitem class="ipaddress">A.B.C.D</systemitem>) para forzar que todo el tráfico saliente hacia - <hostid role="ipaddr">W.X.Y.Z</hostid> vaya cifrado es:</para> + <systemitem class="ipaddress">W.X.Y.Z</systemitem> vaya cifrado es:</para> <programlisting> spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require; @@ -4457,8 +4403,8 @@ spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/req políticas de seguridad. El resto de la línea especifica qué paquetes se ajustarán a esta política. - <hostid role="ipaddr">A.B.C.D/32</hostid> y - <hostid role="ipaddr">W.X.Y.Z/32</hostid> son las direcciones IP + <systemitem class="ipaddress">A.B.C.D/32</systemitem> y + <systemitem class="ipaddress">W.X.Y.Z/32</systemitem> son las direcciones IP y máscaras de red que identifican la red o equipos a los que se aplicará esta política. En nuestro caso queremos aplicarla al tráfico entre estos dos equipos. @@ -4471,8 +4417,8 @@ spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/req protocolo que se utilizará, mientras que <option>tunnel</option> indica que el paquete será después encapsulado en un paquete IPsec. El uso repetido de - <hostid role="ipaddr">A.B.C.D</hostid> y - <hostid role="ipaddr">W.X.Y.Z</hostid> se utiliza para + <systemitem class="ipaddress">A.B.C.D</systemitem> y + <systemitem class="ipaddress">W.X.Y.Z</systemitem> se utiliza para seleccionar la asociación de seguridad a usar, y por último <option>require</option> exige que los paquetes deben cifrarse si concuerdan con esta @@ -4489,7 +4435,7 @@ spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/req IP.</para> <para>La otra puerta de enlace (que tiene la dirección - IP pública <hostid role="ipaddr">W.X.Y.Z</hostid>) + IP pública <systemitem class="ipaddress">W.X.Y.Z</systemitem>) necesitará reglas similares.</para> <programlisting>spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require; @@ -4545,13 +4491,13 @@ ipfw add 1 allow ipencap from W.X.Y.Z to A.B.C.D serán descifrados (utilizando las asociaciones de seguridad que han sido negociadas por racoon). Después entrarán al interfaz - <devicename>gif</devicename>, que desenvuelve la segunda capa, + <filename>gif</filename>, que desenvuelve la segunda capa, hasta que nos quedamos con paquete má interno, que puede entonces viajar a la red interna.</para> <para>Puede revisar la seguridad utilizando la misma prueba de &man.ping.8; anterior. Primero, inicie una sesión en - la puerta de enlace <hostid role="ipaddr">A.B.C.D</hostid>, + la puerta de enlace <systemitem class="ipaddress">A.B.C.D</systemitem>, y ejecute:</para> <programlisting>tcpdump dst host 192.168.2.1</programlisting> @@ -4582,7 +4528,7 @@ options IPSEC_ESP </programlisting> </listitem> <listitem> - <para>Instale <filename role="package">security/racoon</filename>. + <para>Instale <package>security/racoon</package>. Edite <filename>${PREFIX}/etc/racoon/psk.txt</filename> en ambas puertas de enlace añadiendo una entrada para la dirección IP del equipo remoto y una llave secreta que @@ -4644,19 +4590,15 @@ ipfw add 1 allow ipencap from W.X.Y.Z to A.B.C.D </sect2> </sect1> - <sect1 id="openssh"> - <sect1info> + <sect1 xml:id="openssh"> + <info><title>OpenSSH</title> <authorgroup> - <author> - <firstname>Chern</firstname> - <surname>Lee</surname> - <contrib>Escrito por </contrib> - </author> + <author><personname><firstname>Chern</firstname><surname>Lee</surname></personname><contrib>Escrito por </contrib></author> <!-- 21 April 2001 --> </authorgroup> - </sect1info> + </info> - <title>OpenSSH</title> + <indexterm><primary>OpenSSH</primary></indexterm> <indexterm> <primary>seguridad</primary> @@ -4727,7 +4669,7 @@ ipfw add 1 allow ipencap from W.X.Y.Z to A.B.C.D <para>&man.ssh.1; funciona de manera similar a &man.rlogin.1;.</para> - <screen>&prompt.root; <userinput>ssh <replaceable>user@example.com</replaceable></userinput> + <screen>&prompt.root; <userinput>ssh user@example.com</userinput> Host key not found from the list of known hosts. Are you sure you want to continue connecting (yes/no)? <userinput>yes</userinput> Host 'ejemplo.com' added to the list of known hosts. @@ -4772,7 +4714,7 @@ usuario@ejemplo.com's password: <userinput>*******</userinput></screen> copia un fichero desde o hacia un sistema remoto, con la diferencia de que lo hace de una forma segura.</para> - <screen>&prompt.root; <userinput> scp <replaceable>usuario@ejemplo.com:/COPYRIGHT COPYRIGHT</replaceable></userinput> + <screen>&prompt.root; <userinput> scp usuario@ejemplo.com:/COPYRIGHT COPYRIGHT</userinput> usuario@ejemplo.com's password: <userinput>*******</userinput> COPYRIGHT 100% |*****************************| 4735 00:00 @@ -4813,13 +4755,13 @@ COPYRIGHT 100% |*****************************| 4735 ofrecer más niveles de configuración.</para> </sect2> - <sect2 id="security-ssh-keygen"> + <sect2 xml:id="security-ssh-keygen"> <title>ssh-keygen</title> <para>&man.ssh-keygen.1; le permite validar a un usuario sin pedirle la contraseña:</para> - <screen>&prompt.user; <userinput>ssh-keygen -t <replaceable>dsa</replaceable></userinput> + <screen>&prompt.user; <userinput>ssh-keygen -t dsa</userinput> Generating public/private dsa key pair. Enter file in which to save the key (/home/user/.ssh/id_dsa): Created directory '/home/user/.ssh'. @@ -4861,7 +4803,7 @@ bb:48:db:f2:93:57:80:b6:aa:bc:f5:d5:ba:8f:79:17 usuario@host.ejemplo.com &man.ssh-keygen.1;.</para></warning> </sect2> - <sect2 id="security-ssh-agent"> + <sect2 xml:id="security-ssh-agent"> <title>ssh-agent y ssh-add</title> <para>&man.ssh-agent.1; y &man.ssh-add.1; ofrecen @@ -4906,7 +4848,7 @@ Identity added: /home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa) cargar todas sus llaves SSH.</para> </sect2> - <sect2 id="security-ssh-tunneling"> + <sect2 xml:id="security-ssh-tunneling"> <title>Túneles SSH</title> <indexterm> <primary>OpenSSH</primary> @@ -4920,7 +4862,7 @@ Identity added: /home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa) <para>La siguiente orden le dice a &man.ssh.1; que cree un túnel para <application>telnet</application>:</para> - <screen>&prompt.user; <userinput>ssh -2 -N -f -L <replaceable>5023:localhost:23 usuario@foo.ejemplo.com</replaceable></userinput> + <screen>&prompt.user; <userinput>ssh -2 -N -f -L 5023:localhost:23 usuario@foo.ejemplo.com</userinput> &prompt.user;</screen> <para>Veamos las opciones que se le han suministrado a @@ -4977,14 +4919,14 @@ Identity added: /home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa) <para>Un túnel SSH crea un socket que escucha - en <hostid>localhost</hostid> en el puerto especificado. + en <systemitem>localhost</systemitem> en el puerto especificado. Luego reenvía cualquier conexión recibida en el puerto/equipo local vía la conexión SSH al puerto o equipo remoto especificado.</para> <para>En el ejemplo el puerto <replaceable>5023</replaceable> en - <hostid>localhost</hostid> se reenvía al puerto - <replaceable>23</replaceable> del <hostid>localhost</hostid> + <systemitem>localhost</systemitem> se reenvía al puerto + <replaceable>23</replaceable> del <systemitem>localhost</systemitem> de la máquina remota. Ya que <replaceable>23</replaceable> es <application>telnet</application>, esto crearía una sesión <application>telnet</application> segura a @@ -4996,7 +4938,7 @@ Identity added: /home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa) <example> <title>Uso de SSH para crear un túnel seguro para SMTP</title> - <screen>&prompt.user; <userinput>ssh -2 -N -f -L <replaceable>5025:localhost:25 usuario@correo.ejemplo.com</replaceable></userinput> + <screen>&prompt.user; <userinput>ssh -2 -N -f -L 5025:localhost:25 usuario@correo.ejemplo.com</userinput> usuario@correo.ejemplo.com's password: <userinput>*****</userinput> &prompt.user; <userinput>telnet localhost 5025</userinput> Trying 127.0.0.1... @@ -5027,15 +4969,15 @@ Escape character is '^]'. conexión SSH al servidor SSH de su oficina y llegar por un túnel al servidor de correo.</para> - <screen>&prompt.user; <userinput>ssh -2 -N -f -L <replaceable>2110:correo.ejemplo.com:110 usuario@servidor-ssh.ejemplo.com</replaceable></userinput> + <screen>&prompt.user; <userinput>ssh -2 -N -f -L 2110:correo.ejemplo.com:110 usuario@servidor-ssh.ejemplo.com</userinput> usuario@servidor-ssh.ejemplo.com's password: <userinput>******</userinput></screen> <para>cuando el túnel esté funcionando haga que su cliente de correo envíe peticiones - POP3 a <hostid>localhost</hostid> en el puerto 2110. + POP3 a <systemitem>localhost</systemitem> en el puerto 2110. La conexión será reenviada de forma totalmente segura a traveés del túnel a - <hostid>correo.ejemplo.com</hostid>.</para> + <systemitem>correo.ejemplo.com</systemitem>.</para> </sect4> <sect4> @@ -5059,13 +5001,13 @@ usuario@servidor-ssh.ejemplo.com's password: <userinput>******</userinput></scre fuera del cortafuegos de su red y utilizarla para hacer un túnel al servidor Ogg Vorbis.</para> - <screen>&prompt.user; <userinput>ssh -2 -N -f -L <replaceable>8888:musica.ejemplo.com:8000 usuario@sistema-no-filtrado.ejemplo.org</replaceable></userinput> + <screen>&prompt.user; <userinput>ssh -2 -N -f -L 8888:musica.ejemplo.com:8000 usuario@sistema-no-filtrado.ejemplo.org</userinput> usuario@sistema-no-filtrado.ejemplo.org's password: <userinput>*******</userinput></screen> <para>Haga que el programa con el que suele escuchar música haga peticiones a - <hostid>localhost</hostid> puerto 8888, que será - reenviado a <hostid>musica.ejemplo.com</hostid> + <systemitem>localhost</systemitem> puerto 8888, que será + reenviado a <systemitem>musica.ejemplo.com</systemitem> puerto 8000, evadiendo con éxito el cortafuegos.</para> </sect4> </sect3> @@ -5078,14 +5020,14 @@ usuario@sistema-no-filtrado.ejemplo.org's password: <userinput>*******</userinpu suele ser razonable. La opción <literal>AllowUsers</literal> le permite configurarlo, por ejemplo, para permitir entrar solamente al usuario - <username>root</username> desde - <hostid role="ipaddr">192.168.1.32</hostid>. Puede hacerlo + <systemitem class="username">root</systemitem> desde + <systemitem class="ipaddress">192.168.1.32</systemitem>. Puede hacerlo con algo parecido a esto en <filename>/etc/ssh/sshd_config</filename>:</para> <programlisting>AllowUsers root@192.168.1.32</programlisting> - <para>Para permitir al usuario <username>admin</username> la + <para>Para permitir al usuario <systemitem class="username">admin</systemitem> la entrada desde cualquier lugar, solamente introduzca el nombre de usuario:</para> @@ -5112,25 +5054,21 @@ usuario@sistema-no-filtrado.ejemplo.org's password: <userinput>*******</userinpu <sect2> <title>Lecturas complementarias</title> - <para><ulink url="http://www.openssh.com/">OpenSSH</ulink></para> + <para><link xlink:href="http://www.openssh.com/">OpenSSH</link></para> <para>&man.ssh.1; &man.scp.1; &man.ssh-keygen.1; &man.ssh-agent.1; &man.ssh-add.1; &man.ssh.config.5;</para> <para>&man.sshd.8; &man.sftp-server.8; &man.sshd.config.5;</para> </sect2> </sect1> - <sect1 id="fs-acl"> - <sect1info> + <sect1 xml:id="fs-acl"> + <info><title>Listas de control de acceso a sistemas de ficheros</title> <authorgroup> - <author> - <firstname>Tom</firstname> - <surname>Rhodes</surname> - <contrib>Contribuido por </contrib> - </author> + <author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><contrib>Contribuido por </contrib></author> </authorgroup> - </sect1info> + </info> - <title>Listas de control de acceso a sistemas de ficheros</title> + <indexterm> <primary>ACL</primary> @@ -5243,7 +5181,7 @@ drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html</programlisting> fichero <filename>test</filename>, uno podría usar lo siguiente:</para> - <screen>&prompt.user; <userinput>getfacl <filename>test</filename></userinput> + <screen>&prompt.user; <userinput>getfacl test</userinput> #file:test #owner:1001 #group:1001 @@ -5254,7 +5192,7 @@ drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html</programlisting> <para>Para cambiar las configuraciones de las <acronym>ACL</acronym> en este fichero use &man.setfacl.1;. Observe:</para> - <screen>&prompt.user; <userinput>setfacl -k <filename>test</filename></userinput></screen> + <screen>&prompt.user; <userinput>setfacl -k test</userinput></screen> <para>La bandera <option>-k</option> eliminará todas las <acronym>ACL</acronym>s definidas para un fichero o sistema @@ -5263,7 +5201,7 @@ drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html</programlisting> imprescindibles para que las <acronym>ACL</acronym> sigan funcionando.</para> - <screen>&prompt.user; <userinput>setfacl -m u:trhodes:rwx,group:web:r--,o::--- <filename>test</filename></userinput></screen> + <screen>&prompt.user; <userinput>setfacl -m u:trhodes:rwx,group:web:r--,o::--- test</userinput></screen> <para>La opción <option>-m</option> se usa para modificar las entradas por defecto de las <acronym>ACL</acronym>. @@ -5273,22 +5211,18 @@ drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html</programlisting> Tenga en cuenta que si añade un nuevo usuario o grupo aparecerá el error <errorname>Invalid argument</errorname> en la salida estándar - <devicename>stdout</devicename>.</para> + <filename>stdout</filename>.</para> </sect2> </sect1> - <sect1 id="security-portaudit"> - <sect1info> + <sect1 xml:id="security-portaudit"> + <info><title>Monitorización de fallos de seguridad de aplicaciones</title> <authorgroup> - <author> - <firstname>Tom</firstname> - <surname>Rhodes</surname> - <contrib>Texto de </contrib> - </author> + <author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><contrib>Texto de </contrib></author> </authorgroup> - </sect1info> + </info> - <title>Monitorización de fallos de seguridad de aplicaciones</title> + <indexterm> <primary>Portaudit</primary> @@ -5312,7 +5246,7 @@ drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html</programlisting> medida que se detectan. <application>Portaudit</application> existe para hacer ese trabajo.</para> - <para>El port <filename role="port">security/portaudit</filename> + <para>El port <package role="port">security/portaudit</package> consulta una base de datos, actualizada y mantenida por el equipo de seguridad y por los desarrolladores de &os; en busca de incidentes de seguridad que hayan sido detectados.</para> @@ -5327,13 +5261,13 @@ drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html</programlisting> haciendo que <application>Portaudit</application> aparezca en el mensaje sobre la seguridad del sistema que diariamente Recuerde que ese correo (que se envia a la cuenta - <username>root</username> es muy importante y debería + <systemitem class="username">root</systemitem> es muy importante y debería leerlo. No hay ninguna configuración que deba modificar o crear.</para> <para>Después de la instalación un administrador debe actualizar la base de datos alojada en local en - <filename class="directory">/var/db/portaudit</filename> + <filename>/var/db/portaudit</filename> mediante:</para> <screen>&prompt.root; <userinput>portaudit -F</userinput></screen> @@ -5375,18 +5309,14 @@ You are advised to update or deinstall the affected package(s) immediately.</pro combina con el port <application>Portupgrade</application>.</para> </sect1> - <sect1 id="security-advisories"> - <sect1info> + <sect1 xml:id="security-advisories"> + <info><title>&os; Security Advisories</title> <authorgroup> - <author> - <firstname>Tom</firstname> - <surname>Rhodes</surname> - <contrib>Texto de </contrib> - </author> + <author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><contrib>Texto de </contrib></author> </authorgroup> - </sect1info> + </info> - <title>&os; Security Advisories</title> + <indexterm> <primary>Advertencias de seguridad en FreeBSD</primary> @@ -5413,13 +5343,13 @@ You are advised to update or deinstall the affected package(s) immediately.</pro &os;-SA-XX:XX.UTIL Security Advisory The &os; Project -Topic: denial of service due to some problem<co id="co-topic"/> +Topic: denial of service due to some problem<co xml:id="co-topic"/> -Category: core<co id="co-category"/> -Module: sys<co id="co-module"/> -Announced: 2003-09-23<co id="co-announce"/> -Credits: Person@EMAIL-ADDRESS<co id="co-credit"/> -Affects: All releases of &os;<co id="co-affects"/> +Category: core<co xml:id="co-category"/> +Module: sys<co xml:id="co-module"/> +Announced: 2003-09-23<co xml:id="co-announce"/> +Credits: Person@EMAIL-ADDRESS<co xml:id="co-credit"/> +Affects: All releases of &os;<co xml:id="co-affects"/> &os; 4-STABLE prior to the correction date Corrected: 2003-09-23 16:42:59 UTC (RELENG_4, 4.9-PRERELEASE) 2003-09-23 20:08:42 UTC (RELENG_5_1, 5.1-RELEASE-p6) @@ -5429,33 +5359,33 @@ Corrected: 2003-09-23 16:42:59 UTC (RELENG_4, 4.9-PRERELEASE) 2003-09-23 16:49:46 UTC (RELENG_4_6, 4.6-RELEASE-p21) 2003-09-23 16:51:24 UTC (RELENG_4_5, 4.5-RELEASE-p33) 2003-09-23 16:52:45 UTC (RELENG_4_4, 4.4-RELEASE-p43) - 2003-09-23 16:54:39 UTC (RELENG_4_3, 4.3-RELEASE-p39)<co id="co-corrected"/> -&os; only: NO<co id="co-only"/> + 2003-09-23 16:54:39 UTC (RELENG_4_3, 4.3-RELEASE-p39)<co xml:id="co-corrected"/> +&os; only: NO<co xml:id="co-only"/> For general information regarding FreeBSD Security Advisories, including descriptions of the fields above, security branches, and the following sections, please visit http://www.FreeBSD.org/security/. -I. Background<co id="co-backround"/> +I. Background<co xml:id="co-backround"/> -II. Problem Description<co id="co-descript"/> +II. Problem Description<co xml:id="co-descript"/> -III. Impact<co id="co-impact"/> +III. Impact<co xml:id="co-impact"/> -IV. Workaround<co id="co-workaround"/> +IV. Workaround<co xml:id="co-workaround"/> -V. Solution<co id="co-solution"/> +V. Solution<co xml:id="co-solution"/> -VI. Correction details<co id="co-details"/> +VI. Correction details<co xml:id="co-details"/> -VII. References<co id="co-ref"/></programlisting> +VII. References<co xml:id="co-ref"/></programlisting> <calloutlist> @@ -5595,18 +5525,14 @@ VII. References<co id="co-ref"/></programlisting> </sect2> </sect1> - <sect1 id="security-accounting"> - <sect1info> + <sect1 xml:id="security-accounting"> + <info><title>Contabilidad de procesos</title> <authorgroup> - <author> - <firstname>Tom</firstname> - <surname>Rhodes</surname> - <contrib>Texto de </contrib> - </author> + <author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><contrib>Texto de </contrib></author> </authorgroup> - </sect1info> + </info> - <title>Contabilidad de procesos</title> + <indexterm> <primary>Contabilidad de procesos</primary> @@ -5636,11 +5562,11 @@ VII. References<co id="co-ref"/></programlisting> tendrá que habilitarla. Ejecute la siguiente orden:</para> - <screen>&prompt.root; <userinput>touch <filename>/var/account/acct</filename></userinput> + <screen>&prompt.root; <userinput>touch /var/account/acct</userinput> -&prompt.root; <userinput>accton <filename>/var/account/acct</filename></userinput> +&prompt.root; <userinput>accton /var/account/acct</userinput> -&prompt.root; <userinput>echo 'accounting_enable="YES"' >> <filename>/etc/rc.conf</filename></userinput></screen> +&prompt.root; <userinput>echo 'accounting_enable="YES"' >> /etc/rc.conf</userinput></screen> <para>Una vez habilitada, la contabilidad de procesos empezará a seguir el rastro de estadísticas @@ -5661,10 +5587,10 @@ VII. References<co id="co-ref"/></programlisting> específicas. Veamos un ejemplo:</para> <screen>&prompt.root; <userinput>lastcomm ls - <username>trhodes</username> ttyp1</userinput></screen> + trhodes ttyp1</userinput></screen> <para>Imprimiría todas las veces (conocidas) que - el usuario <username>trhodes</username> ha usado + el usuario <systemitem class="username">trhodes</systemitem> ha usado <command>ls</command> en la terminal ttyp1.</para> |