svn commit: r48817 - head/de_DE.ISO8859-1/books/handbook/security
Bjoern Heidotting
bhd at FreeBSD.org
Sun May 15 22:43:54 UTC 2016
Author: bhd
Date: Sun May 15 22:43:52 2016
New Revision: 48817
URL: https://svnweb.freebsd.org/changeset/doc/48817
Log:
Update to r44520:
Editorial review of first 1/2 of OpenSSH chapter.
Modified:
head/de_DE.ISO8859-1/books/handbook/security/chapter.xml
Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml
==============================================================================
--- head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Sun May 15 14:42:05 2016 (r48816)
+++ head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Sun May 15 22:43:52 2016 (r48817)
@@ -5,7 +5,7 @@
$FreeBSD$
$FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $
- basiert auf: r44444
+ basiert auf: r44520
-->
<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="security">
<info><title>Sicherheit</title>
@@ -2591,25 +2591,23 @@ racoon_enable="yes"</programlisting>
<para><application>OpenSSH</application> stellt Werkzeuge bereit,
um sicher auf entfernte Maschinen zuzugreifen. Zusätzlich
- können TCP/IP-Verbindungen sicher durch <acronym>SSH</acronym>
- weitergeleitet (getunnelt) werden. Mit <acronym>SSH</acronym>
- werden alle Verbindungen verschlüsselt, dadurch wird verhindert,
- dass die Verbindung zum Beispiel abgehört oder übernommen
- (<foreignphrase>Hijacking</foreignphrase>) werden kann.</para>
-
- <para><application>OpenSSH</application> wird vom OpenBSD-Projekt
- gepflegt und wird in der Voreinstellung von &os; installiert.
- <application>OpenSSH</application> ist mit den
- <acronym>SSH</acronym>-Protokollen der Versionen 1 und 2
- kompatibel.</para>
-
- <para>Wenn Daten unverschlüsselt über das Netzwerk gesendet
- werden, besteht die Gefahr, dass Benutzer/Passwort
- Kombinationen oder alle Daten an beliebiger Stelle zwischen
- dem Client und dem Server abgehört werden. Mit
- <application>OpenSSH</application> stehen eine Reihe von
- Authentifizierungs- und Verschlüsselungsmethoden zur
- Verfügung, um das zu verhindern.</para>
+ können <acronym>TCP/IP</acronym>-Verbindungen sicher durch
+ <acronym>SSH</acronym> getunnelt oder weitergeleitet werden.
+ <application>OpenSSH</application> verschlüsselt alle
+ Verbindungen. Dadurch wird beispielsweise verhindert, dass die
+ Verbindung abgehört oder übernommen
+ (<foreignphrase>Hijacking</foreignphrase>) werden kann. Weitere
+ Informationen zu <application>OpenSSH</application> finden Sie
+ auf <link xlink:href="http://www.openssh.com/">
+ http://www.openssh.com/</link>.</para>
+
+ <para>Dieser Abschnitt enthält einen Überblick über die
+ integrierten Client-Werkzeuge, mit denen Sie sicher auf
+ entfernte Systeme zugreifen können, oder mit denen Sie sicher
+ Dateien austauschen können. Der Abschnitt beschreibt auch die
+ Konfiguration eines <acronym>SSH</acronym>-Servers auf einem
+ &os;-System. Weitere Informationen finden Sie in den hier
+ erwähnten Manualpages.</para>
<sect2>
<title>Die SSH Client-Werkzeuge benutzen</title>
@@ -2619,36 +2617,44 @@ racoon_enable="yes"</programlisting>
<secondary>Client</secondary>
</indexterm>
- <para>Benutzen Sie &man.ssh.1; um sich mit einem System zu
- verbinden, auf dem &man.sshd.8; läuft. Verwenden Sie dazu
- den Benutzernamen und den Namen des Rechners, mit dem Sie
- sich verbinden möchten:</para>
+ <para>Benutzen Sie <command>ssh</command> zusammen mit einem
+ Benutzernamen und einer <acronym>IP</acronym>-Adresse oder dem
+ Hostnamen, um sich an einem <acronym>SSH</acronym>-Server
+ anzumelden. Ist dies das erste Mal, dass eine Verbindung mit
+ dem angegebenen Server hergestellt wird, wird der Benutzer
+ aufgefordert, zuerst den Fingerabdruck des Servers zu
+ prüfen:</para>
<screen>&prompt.root; <userinput>ssh <replaceable>user at example.com</replaceable></userinput>
-Host key not found from the list of known hosts.
+The authenticity of host 'example.com (10.0.0.1)' can't be established.
+ECDSA key fingerprint is 25:cc:73:b5:b3:96:75:3d:56:19:49:d2:5c:1f:91:3b.
Are you sure you want to continue connecting (yes/no)? <userinput>yes</userinput>
-Host 'example.com' added to the list of known hosts.
-user at example.com's password: <userinput>*******</userinput></screen>
+Permanently added 'example.com' (ECDSA) to the list of known hosts.
+Password for user at example.com: <userinput><replaceable>user_password</replaceable></userinput></screen>
<para><acronym>SSH</acronym> speichert einen Fingerabdruck des
- Serverschlüssels. Die Aufforderung, <literal>yes</literal>
- einzugeben, erscheint nur bei der ersten Verbindung zu einem
- Server. Weitere Verbindungen zu dem Server werden gegen den
- gespeicherten Fingerabdruck des Schlüssels geprüft und
- der Client gibt eine Warnung aus, wenn sich der empfangene
- Fingerabdruck von dem gespeicherten unterscheidet. Die
- Fingerabdrücke werden in
- <filename>~/.ssh/known_hosts</filename> gespeichert.</para>
+ Serverschlüssels um die Echtheit des Servers zu überprüfen,
+ wenn der Client eine Verbindung herstellt. Wenn der Benutzer
+ den Fingerabdruck mit <literal>yes</literal> bestätigt, wird
+ eine Kopie des Schlüssels in
+ <filename>.ssh/known_hosts</filename> im Heimatverzeichnis des
+ Benutzers gespeichert. Zukünftige Verbindungen zu dem Server
+ werden gegen den gespeicherten Fingerabdruck des Schlüssels
+ geprüft und der Client gibt eine Warnung aus, wenn sich der
+ empfangene Fingerabdruck von dem gespeicherten unterscheidet.
+ Wenn dies passiert, sollte zunächst geprüft werden, ob sich
+ der Schlüssel geändert hat, bevor die Verbindung hergestellt
+ wird.</para>
<para>In der Voreinstellung akzeptieren aktuelle Versionen von
- &man.sshd.8; nur <acronym>SSH</acronym> v2 Verbindungen.
- Wenn möglich, wird der Client versuchen Version 2 zu
- verwenden, ist dies nicht möglich, fällt er auf Version 1
- zurück. Der Client kann gezwungen werden, nur eine der beiden
- Versionen zu verwenden, indem die Option <option>-1</option>
- oder <option>-2</option> übergeben wird. Die Unterstützung
- für Version 1 ist nur noch aus Kompatibilitätsgründen zu
- älteren Versionen enthalten.</para>
+ <application>OpenSSH</application>; nur
+ <acronym>SSH</acronym>v2 Verbindungen. Wenn möglich, wird der
+ Client versuchen Version 2 zu verwenden, ist dies nicht
+ möglich, fällt er auf Version 1 zurück. Der Client kann
+ gezwungen werden, nur eine der beiden Versionen zu verwenden,
+ indem die Option <option>-1</option> oder <option>-2</option>
+ übergeben wird. Weitere Optionen sind in &man.ssh.1;
+ beschrieben.</para>
<indexterm>
<primary>OpenSSH</primary>
@@ -2657,65 +2663,64 @@ user at example.com's password: <userinput>
<indexterm><primary>&man.scp.1;</primary></indexterm>
<para>Mit &man.scp.1; lassen sich Dateien in einer sicheren
- Weise auf entfernte Maschinen übertragen.</para>
+ Weise auf entfernte Maschinen übertragen. Dieses Beispiel
+ kopiert die Datei <filename>COPYRIGHT</filename> von einem
+ entfernten System in eine Datei mit dem gleichen Namen auf
+ das lokale System:</para>
<screen>&prompt.root; <userinput> scp <replaceable>user at example.com:/COPYRIGHT COPYRIGHT</replaceable></userinput>
-user at example.com's password:
+Password for user at example.com: <userinput><replaceable>*******</replaceable></userinput>
COPYRIGHT 100% |*****************************| 4735
00:00
&prompt.root;</screen>
- <para>Da der Fingerabdruck schon im vorigen Beispiel abgespeichert
- wurde, wird er bei der Verwendung von <command>scp</command> in
- diesem Beispiel überprüft. Da die Fingerabdrücke
- übereinstimmen, wird keine Warnung ausgegeben.</para>
-
- <para>Die Argumente, die &man.scp.1; übergeben werden, gleichen
- denen von &man.cp.1; in der Beziehung, dass die ersten
- Argumente die zu kopierenden Dateien sind und das letzte
- Argument den Bestimmungsort angibt. Da die Dateien über das
- Netzwerk kopiert werden, können ein oder mehrere Argumente die
- Form <option>user at host:<path_to_remote_file></option>
+ <para>Da der Fingerabdruck für diesen Rechner bereits bestätigt
+ wurde, wird er automatisch überprüft, bevor der Benutzer zur
+ Eingabe des Passworts aufgefordert wird.</para>
+
+ <para>Die Argumente, die <command>scp</command> übergeben
+ werden, gleichen denen von <command>cp</command> in der
+ Beziehung, dass die ersten Argumente die zu kopierenden
+ Dateien sind und das letzte Argument den Bestimmungsort
+ angibt. Da die Dateien über das Netzwerk kopiert werden,
+ können ein oder mehrere Argumente die Form
+ <option>user at host:<path_to_remote_file></option>
besitzen.</para>
<sect3 xml:id="security-ssh-keygen">
<title>Schlüsselbasierte Authentifizierung</title>
- <para>Mit &man.ssh-keygen.1; können <acronym>DSA</acronym>- oder
- <acronym>RSA</acronym>-Schlüssel für einen Benutzer erzeugt
- werden, die anstelle von Passwörtern verwendet werden
- können:</para>
+ <para>Ein Client kann bei der Verbindung auch Schlüssel
+ anstelle von Passwörtern verwenden. Mit
+ <command>ssh-keygen</command> können <acronym>DSA</acronym>-
+ oder <acronym>RSA</acronym>-Schlüssel erzeugt werden. Geben
+ Sie das entsprechende Protokoll an, wenn Sie einen
+ öffentlichen und einen privaten Schlüssel erzeugen. Folgen
+ Sie anschließend den Anweisungen des Programms. Es wird
+ empfohlen, die Schlüssel mit einer einprägsamen, aber schwer
+ zu erratenen Passphrase zu schützen.</para>
<screen>&prompt.user; <userinput>ssh-keygen -t <replaceable>dsa</replaceable></userinput>
Generating public/private dsa key pair.
Enter file in which to save the key (/home/user/.ssh/id_dsa):
Created directory '/home/user/.ssh'.
-Enter passphrase (empty for no passphrase):
-Enter same passphrase again:
+Enter passphrase (empty for no passphrase): <userinput><replaceable>type some passphrase here which can contain spaces</replaceable></userinput>
+Enter same passphrase again: <userinput><replaceable>type some passphrase here which can contain spaces</replaceable></userinput>
Your identification has been saved in /home/user/.ssh/id_dsa.
Your public key has been saved in /home/user/.ssh/id_dsa.pub.
The key fingerprint is:
bb:48:db:f2:93:57:80:b6:aa:bc:f5:d5:ba:8f:79:17 user at host.example.com</screen>
- <para>&man.ssh-keygen.1; erzeugt einen öffentlichen und einen
- privaten Schlüssel für die Authentifizierung. Der private
- Schlüssel wird in <filename>~/.ssh/id_dsa</filename> oder
- <filename>~/.ssh/id_rsa</filename> gespeichert, während
- sich der öffentliche Schlüssel in
- <filename>~/.ssh/id_dsa.pub</filename> oder
- <filename>~/.ssh/id_rsa.pub</filename> befindet, je nachdem,
- ob es sich um einen <acronym>DSA</acronym>- oder einen
- <acronym>RSA</acronym>-Schlüssel handelt.
- Der öffentliche Schlüssel muss sowohl für
- <acronym>RSA</acronym>- als auch für
- <acronym>DSA</acronym>-Schlüssel in
- <filename>~/.ssh/authorized_keys</filename> auf dem entfernten
- Rechner aufgenommen werden, damit der Schlüssel
- funktioniert.</para>
-
- <para>Damit werden Verbindungen zu der entfernten Maschine über
- <acronym>SSH</acronym>-Schlüsseln anstelle von Passwörtern
- authentifiziert.</para>
+ <para>Abhängig vom verwendeten Protokoll wird der private
+ Schlüssel in <filename>~/.ssh/id_dsa</filename> (oder
+ <filename>~/.ssh/id_rsa</filename>) und der öffentliche
+ Schlüssel in <filename>~/.ssh/id_dsa.pub</filename> (oder
+ <filename>~/.ssh/id_rsa.pub</filename>) gespeichert. Der
+ <emphasis>öffentliche</emphasis> Schlüssel muss zuerst auf
+ den entfernten Rechner nach
+ <filename>~/.ssh/authorized_keys</filename> kopiert werden,
+ damit die schlüsselbasierte Authentifizierung
+ funktioniert.</para>
<warning>
<para>Viele Benutzer denken, dass die Verwendung von
@@ -2736,12 +2741,10 @@ bb:48:db:f2:93:57:80:b6:aa:bc:f5:d5:ba:8
<acronym>IP</acronym>-Adresse anmelden darf.</para>
</warning>
- <warning>
<para>Die Optionen und Dateinamen sind
abhängig von der <application>OpenSSH</application>-Version.
Die für das System gültigen Optionen finden Sie in
&man.ssh-keygen.1;.</para>
- </warning>
<para>Wenn bei der Erzeugung des Schlüssels eine Passphrase
angegeben wurde, wird der Benutzer bei jeder Anmeldung am
@@ -2751,44 +2754,45 @@ bb:48:db:f2:93:57:80:b6:aa:bc:f5:d5:ba:8
laden, damit die Passphrase nicht jedes Mal eingegeben werden
muss.</para>
- <para>&man.ssh-agent.1; übernimmt die Authentifizierung
- von ihm geladener privater Schlüssel.
- &man.ssh-agent.1; sollte nur dazu verwendet werden, ein
- anderes Programm zu starten, beispielsweise eine Shell oder
- einen Window-Manager.</para>
-
- <para>Um &man.ssh-agent.1; in einer Shell zu verwenden, muss
- es mit einer Shell als Argument aufgerufen werden. Zudem muss
- die zu verwaltende Identität mit &man.ssh-add.1; sowie deren
- Passphrase für den privaten Schlüssel übergeben werden.
- Nachdem dies erledigt ist, kann sich ein Benutzer über
- &man.ssh.1; auf jedem Rechner anmelden, der einen
- entsprechenden öffentlichen Schlüssel besitzt. Dazu ein
- Beispiel:</para>
+ <para><command>ssh-agent</command> übernimmt die
+ Authentifizierung mit den geladenen privaten Schlüsseln.
+ <command>ssh-agent</command> sollte nur dazu verwendet werden,
+ ein anderes Programm zu starten, beispielsweise eine Shell
+ oder einen Window-Manager.</para>
+
+ <para>Um <command>ssh-agent</command> in einer Shell zu
+ verwenden, muss es mit einer Shell als Argument aufgerufen
+ werden. Zudem muss die zu verwaltende Identität mit
+ <command>ssh-add</command> sowie deren Passphrase für den
+ privaten Schlüssel übergeben werden. Nachdem dies erledigt
+ ist, kann sich ein Benutzer mit <command>ssh</command> auf
+ jedem Rechner anmelden, der einen entsprechenden öffentlichen
+ Schlüssel besitzt. Dazu ein Beispiel:</para>
<screen>&prompt.user; ssh-agent <replaceable>csh</replaceable>
&prompt.user; ssh-add
-Enter passphrase for /home/user/.ssh/id_dsa:
-Identity added: /home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa)
+Enter passphrase for /usr/home/user/.ssh/id_dsa: <userinput><replaceable>type passphrase here</replaceable></userinput>
+Identity added: /usr/home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa)
&prompt.user;</screen>
- <para>Um &man.ssh-agent.1; unter
- <application>&xorg;</application> zu verwenden, muss
- &man.ssh-agent.1; in <filename>~/.xinitrc</filename>
+ <para>Um <command>ssh-agent</command> unter
+ <application>&xorg;</application> zu verwenden, muss ein
+ Eintrag für das Programm in <filename>~/.xinitrc</filename>
aufgenommen werden. Dadurch können alle unter
<application>&xorg;</application> gestarteten Programme die
- Dienste von &man.ssh-agent.1; nutzen.
+ Dienste von <command>ssh-agent</command> nutzen.
<filename>~/.xinitrc</filename> könnte etwa so
aussehen:</para>
<programlisting>exec ssh-agent <replaceable>startxfce4</replaceable></programlisting>
<para>Dadurch wird bei jedem Start von
- <application>&xorg;</application> zuerst &man.ssh-agent.1;
- aufgerufen, das wiederum <application>XFCE</application>
- startet. Nachdem diese Änderung durchgeführt wurde, muss
+ <application>&xorg;</application> zuerst
+ <command>ssh-agent</command> aufgerufen, das wiederum
+ <application>XFCE</application> startet. Nachdem diese
+ Änderung durchgeführt wurde, muss
<application>&xorg;</application> neu gestartet werden.
- Danach können Sie mit &man.ssh-add.1; die
+ Danach können Sie mit <command>ssh-add</command> die
<acronym>SSH</acronym>-Schlüssel laden.</para>
</sect3>
More information about the svn-doc-all
mailing list