[cnproj-cvs] cvs commit: doc/zh_CN.GB2312/books/handbook/security chapter.sgml
Fukang CHEN
loader在cvs.geekcn.org
星期六 二月 9 21:00:50 CST 2008
loader 2008/02/09 21:00:50 CST
The FreeBSD Chinese Project repository
Modified files: (Branch: CNPROJ)
zh_CN.GB2312/books/handbook/security chapter.sgml
Log:
MFen: 1.316 -> 1.320
Revision Changes Path
1.1.1000.36 +18 -35 doc/zh_CN.GB2312/books/handbook/security/chapter.sgml
Index: chapter.sgml
===================================================================
RCS file: /home/cnproj/doc/zh_CN.GB2312/books/handbook/security/chapter.sgml,v
retrieving revision 1.1.1000.35
retrieving revision 1.1.1000.36
diff -u -I$FreeBSD.*$ -r1.1.1000.35 -r1.1.1000.36
--- chapter.sgml 18 Dec 2007 15:48:14 -0000 1.1.1000.35
+++ chapter.sgml 9 Feb 2008 13:00:49 -0000 1.1.1000.36
@@ -2,8 +2,8 @@
The FreeBSD Documentation Project
The FreeBSD Simplified Chinese Project
- Original Revision: 1.316
- $FreeBSD: doc/zh_CN.GB2312/books/handbook/security/chapter.sgml,v 1.1.1000.35 2007/12/18 15:48:14 loader Exp $
+ Original Revision: 1.320
+ $FreeBSD: doc/zh_CN.GB2312/books/handbook/security/chapter.sgml,v 1.1.1000.36 2008/02/09 13:00:49 loader Exp $
-->
<chapter id="security">
@@ -50,7 +50,7 @@
<listitem>
<para>如何配置 <acronym>TCP</acronym> Wrappers 以便与
- <command>inetd</command> 配合使用。</para>
+ <application>inetd</application> 配合使用。</para>
</listitem>
<listitem>
@@ -327,21 +327,16 @@
尽管有 <groupname>wheel</groupname> 比什么都没有要强一些,
但它并不是一种绝对安全的办法。</para>
- <!-- XXX:
- This will need updating depending on the outcome of PR bin/71147.
- Personally I know what I'd like to see, which puts this in definite
- need of a rewrite, but we'll have to wait and see. ceri@
- -->
-
- <para>一种间接地提高员工帐号, 乃至 <username>root</username>
- 权限安全性的方法, 便是采用其他的登录访问方式,
- 并使用 <quote>星号</quote>
- 替代员工加密的口令。使用 &man.vipw.8; 命令,
- 可以把每一个加密的口令替换成一个 <quote><literal>*</literal></quote> 符。
- 这将更新 <filename>/etc/master.passwd</filename> 文件,以及
- 用户名/口令数据库,以禁用口令登录。</para>
+ <para>可以使用 &man.pw.8; 命令来完全禁止某一个帐号:</para>
- <para>如下面的员工帐号</para>
+ <screen>&prompt.root;<userinput>pw lock <replaceable>staff</replaceable></userinput></screen>
+
+ <para>这将阻止用户使用任何方法登录,包括 &man.ssh.1;。</para>
+
+ <para>另一个阻止某个帐户访问的方法是使用一个
+ <quote><literal>*</literal></quote> 字符替换掉加密后的口令。
+ 这将不会与任何加密后的口令匹配,从而阻止了用户的访问。
+ 举例说明:</para>
<programlisting>foobar:R9DT/Fa1/LV9U:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh</programlisting>
@@ -349,23 +344,11 @@
<programlisting>foobar:*:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh</programlisting>
- <para>这一更改将阻止一般的登录,因为加密的口令永远不会与
- <quote><literal>*</literal></quote> 匹配。一旦这么做之后,
- 任何员工都必须使用其他的方式来完成登录,例如,使用
- &man.kerberos.1; 或者通过 &man.ssh.1; 利用 公钥/密钥对
- 的方式来完成登录。当使用 Kerberos 这样的工具时,通常必须加强运行
- Kerberos 的服务器,以及桌面工作站的安全性。当使用 公钥/密钥对以
- ssh 登录时,通常必须加固用户 <emphasis>开始</emphasis>
- 登录的那台机器的安全 (通常这是他们的工作站)。
- 在这之上还可以增加一层安全性,即在使用 &man.ssh-keygen.1;
- 生成它的时候,使用口令来保护它们。 如果能够用
- <quote>星号</quote> 替换掉所有员工的口令,
- 那么,这也就保证了他们只能通过您设置的安全的方法来登录。
- 这将迫使所有的员工使用安全的、经过加密的连接来完成他们的会话,
- 而这将使得入侵者通过监听网络通讯, 从某些不相关的、
- 不太安全的机器上窃取口令成为不可能。</para>
+ <para>这会阻止用户 <username>foobar</username> 使用传统的方式登录。
+ 但是对于使用了 <application>Kerberos</application>
+ 或者配置了 &man.ssh.1; 公钥/密钥对的情况下,用户依然可以访问。</para>
- <para>另一种间接的安全机制则是,
+ <para>这些安全机制同样假定,
从严格受限的机器向限制更宽松的机器上登录。 例如,
如果您的服务器运行了所有的服务,那么,工作站应该什么都不运行。
为了让工作站尽可能地安全,应该避免运行任何没有必要的服务,
@@ -1086,7 +1069,7 @@
<author>
<firstname>Tom</firstname>
<surname>Rhodes</surname>
- <contrib>作者:</contrib>
+ <contrib>作者</contrib>
</author>
</authorgroup>
</sect1info>
@@ -4413,14 +4396,14 @@
<para>要显示关于刚刚发出的命令的相关信息,
则应使用 &man.lastcomm.1; 工具。
- <command>lastcomm</command> 可以用来显示在某一 &man.ttys.5;
+ <command>lastcomm</command> 命令可以用来显示在某一 &man.ttys.5;
上的用户信息, 例如:</para>
<screen>&prompt.root; <userinput>lastcomm ls
<username>trhodes</username> ttyp1</userinput></screen>
<para>将会显示出所有已知的 <username>trhodes</username>
- 在 ttyp1 终端上执行 <command>ls</command> 的情况。</para>
+ 在 <literal>ttyp1</literal> 终端上执行 <command>ls</command> 的情况。</para>
<para>更多的可用选项在联机手册
&man.lastcomm.1;、 &man.acct.5; 和 &man.sa.8; 中有所介绍。</para>
关于邮件列表 cnproj-cvs 的更多信息