diff --git a/nl_NL.ISO8859-1/books/handbook/mirrors/chapter.sgml b/nl_NL.ISO8859-1/books/handbook/mirrors/chapter.sgml
index 1fd03eee42..370b2f80f3 100644
--- a/nl_NL.ISO8859-1/books/handbook/mirrors/chapter.sgml
+++ b/nl_NL.ISO8859-1/books/handbook/mirrors/chapter.sgml
@@ -1,3345 +1,3329 @@
&os; verkrijgenCD-ROM en DVD uitgeversWinkelproducten in doos&os; is beschikbaar in een doos (&os; CD-ROMs, additionele
software en gedrukte documentatie) bij verschillende
verkopers:CompUSA
WWW: Frys Electronics
WWW: CD-ROMs en DVD's&os; CD-ROMs en DVD's zijn te koop bij veel online
winkels:&os; Mall, Inc.700 Harvest Park Ste FBrentwood, CA94513Verenigde Staten
Telefoon: +1 925 240-6652
Fax: +1 925 674-0821
E–mail: info@freebsdmall.com
WWW: Dr. Hinner EDVSt. Augustinus-Str. 10D-81825MünchenDuitsland
Telefoon: (089) 428 419
WWW: Ikarios22-24 rue Voltaire92000NanterreFrankrijk
WWW: JMC SoftwareIerland
Telefoon: 353 1 6291282
WWW: The Linux EmporiumHilliard House, Lester WayWallingfordOX10 9TAVerenigd Koninkrijk
Telefoon: +44 1491 837010
Fax: +44 1491 837016
WWW: Linux+ DVD MagazineLewartowskiego 6Warsaw00-190Polen
Telefoon: +48 22 860 18 18
E–mail: editors@lpmagazine.org
WWW: Linux System Labs Australia21 Ray DriveBalwyn NorthVIC - 3104Australië
Telefoon: +61 3 9857 5918
Fax: +61 3 9857 8974
WWW: LinuxCenter.RuGalernaya Street, 55Saint-Petersburg190000Rusland
Telefoon: +7-812-3125208
E–mail: info@linuxcenter.ru
WWW: DistributeursWederverkopers die &os; CD-ROM producten willen verkopen
kunnen contact opnemen met een distributeur:Cylogistics809B Cuesta Dr., #2149Mountain View, CA94040Verenigde Staten
Telefoon: +1 650 694-4949
Fax: +1 650 694-4953
E–mail: sales@cylogistics.com
WWW: Ingram Micro1600 E. St. Andrew PlaceSanta Ana, CA92705-4926Verenigde Staten
Telefoon: 1 (800) 456-8000
WWW: Kudzu, LLC7375 Washington Ave. S.Edina, MN55439Verenigde Staten
Telefoon: +1 952 947-0822
Fax: +1 952 947-0876
E–mail: sales@kudzuenterprises.comLinuxCenter.RuGalernaya Street, 55Saint-Petersburg190000Rusland
Telefoon: +7-812-3125208
E–mail: info@linuxcenter.ru
WWW: Navarre Corp7400 49th Ave SouthNew Hope, MN55428Verenigde Staten
Telefoon: +1 763 535-8333
Fax: +1 763 535-0341
WWW: FTP sitesDe officiële broncode voor &os; is beschikbaar via
anoniem toegankelijke FTP in de hele wereld via vele mirrorsites.
De site
heeft een goede verbinding en staat veel verbindingen toe, maar
het is waarschijnlijk beter om een mirrorsite te zoeken die
dichterbij is (zeker als het doel is ook een
soort mirrorsite op te zetten).De &os; mirrorsites
database is beter bijgewerkt dan die in het
Handboek omdat die lijst uit DNS komt in plaats van een met de
hand ingevoerde lijst.&os; is beschikbaar via de onderstaande anonieme FTP mirror
sites. Bij het kiezen van anonieme FTP voor het verkrijgen van
&os; wordt aangeraden een site die dichtbij ligt te kiezen. De
mirrorsites die in de lijst staan als Primaire
Mirrorsites hebben meestal het complete &os; archief
(alle beschikbare versies voor alle architecturen) maar downloads
zijn waarschijnlijk sneller van een site die in het land of de
regio van de gebruiker staat. De regionale sites hebben de
meeste recente versies voor de meest populaire architecturen,
maar hebben wellicht niet het complete archief. Alle sites geven
toegang via anonieme FTP, maar een aantal sites hebben ook andere
toegangsmogelijkheden. De toegangsmogelijkheden voor iedere site
staan tussen haakjes achter de hostnaam. De rest van deze
paragraaf wordt automatisch samengesteld en is niet
vertaald.
&chap.mirrors.ftp.inc;
BitTorrentBitTorrentDe ISO-afbeeldingen voor de basis-CD's van de uitgaven zijn
beschikbaar via BitTorrent. Een verzameling torrent-bestanden om
de afbeeldingen binnen te halen is beschikbaar op http://torrents.freebsd.org:8080De software voor de BitTorrent-cliënt is beschikbaar via
de port net-p2p/py-bittorrent,
of als voorgecompileerd pakket.Nadat de ISO-afbeelding met BitTorrent is gedownload, kan het
op CD of DVD gebrand worden zoals beschreven in burncd.Anonieme CVSInleidingCVSanoniemAnonieme CVS (of ook wel bekend als
anoncvs) is een functie die beschikbaar is
met de hulpprogramma's die bij &os; zitten om te synchroniseren
met een elders aanwezig CVS depot. Het staat gebruikers van
&os; onder andere toe om zonder bijzondere rechten alleen-lezen
operaties uit te voeren op een van de officiële anoncvs
servers van het &os; project. Om het te kunnen gebruiken dient
de omgevingsvariabele CVSROOT zo ingesteld te
worden dat hij wijst naar de gewenste anoncvs server, dient het
bekende wachtwoord anoncvs bij het commando
cvs login opgegeven te worden en kan daarna
&man.cvs.1; gebruikt worden om het te benaderen als ieder
lokaal aanwezig depot.Het commando cvs login slaat de
wachtwoorden die voor aanmelden bij de CVS server op in een
bestand met de naam .cvspass in de map
HOME. Als dit bestand niet bestaat, is het
mogelijk dat er een foutmelding wordt gegeven als
cvs login de eerste keer wordt gebruikt.
Dat kan opgelost worden door een leeg bestand
.cvspass te maken en dan opnieuw aan te
melden.Hoewel de diensten CVSup en
anoncvs beiden vrijwel dezelfde functie
invullen, zijn er redenen die de keuze voor de
synchronisatiemethode beïnvloeden. In een notendop is
CVSup veel efficiënter in het
gebruik van netwerkbronnen en is het de meest geavanceerde van
de twee, maar daar staat iets tegenover. Voor het gebruik van
CVSup moet eerst een speciale client
geïnstalleerd en ingesteld worden voordat er bits kunnen
gaan stromen en dat kan dan alleen in de redelijk grote brokken
die in CVSupcollections heten.Anoncvs kan daarentegen gebruikt
worden om alles te bekijken van een individueel bestand tot aan
een specifiek programma (als ls of
grep) door aan de naam van de CVS module
te refereren. Ook anoncvs is alleen
geschikt voor alleen-lezen operaties op het CVS depot, dus als
het de bedoeling is om lokaal ontwikkelwerk en hetzelfde depot
met delen uit het &os; project te combineren, dan biedt alleen
CVSup daar een oplossing
voor.Anonieme CVS gebruikenHet instellen van &man.cvs.1; om gebruik te maken van
een Anoniem CVS depot is een kwestie van het instellen van de
omgevingsvariabele CVSROOT op een van de
anoncvs servers van het &os; project. Op
het moment van schrijven zijn de volgende servers
beschikbaar:Frankrijk:
:pserver:anoncvs@anoncvs.fr.FreeBSD.org:/home/ncvs
(pserver (wachtwoord anoncvs), ssh
(geen wachtwoord)Japan:
:pserver:anoncvs@anoncvs.jp.FreeBSD.org:/home/ncvs
Gebruik cvs login en gebruik als
wachtwoord anoncvsTaiwan:
:pserver:anoncvs@anoncvs.tw.FreeBSD.org:/home/ncvs
(pserver (gebruik cvs login en
vul een willekeurig wachtwoord in wanneer daarom
gevraagd wordt), ssh (geen wachtwoord))SSH2 HostKey: 1024 e8:3b:29:7b:ca:9f:ac:e9:45:cb:c8:17:ae:9b:eb:55 /etc/ssh/ssh_host_dsa_key.pubVS:
freebsdanoncvs@anoncvs.FreeBSD.org:/home/ncvs
(alleen ssh - geen wachtwoord)SSH HostKey: 1024 a1:e7:46:de:fb:56:ef:05:bc:73:aa:91:09:da:f7:f4 root@sanmateo.ecn.purdue.edu
SSH2 HostKey: 1024 52:02:38:1a:2f:a8:71:d3:f5:83:93:8d:aa:00:6f:65 ssh_host_dsa_key.pubVS:
anoncvs@anoncvs1.FreeBSD.org:/home/ncvs (alleen ssh2 - geen
wachtwoord)SSH2 HostKey: 2048 4d:59:19:7b:ea:9b:76:0b:ca:ee:da:26:e2:3a:83:b8 ssh_host_dsa_key.pubOmdat met CVS vrijwel iedere versie die ooit beschikbaar is
geweest uitgecheckt kan worden, is het van
belang op de hoogte te zijn van de &man.cvs.1; vlag voor
revisie () en welke waarden zie zoal kan
aannemen in het &os; Project depot.Er zijn twee soorten labels (tags): revisielabels en
taklabels (branch). Een revisielabel refereert aan een
specifieke revisie. De betekenis blijft van dag tot dag
gelijk. Aan de andere kant refereert een taklabel aan de
laatste revisie in een bepaalde ontwikkellijn op een bepaald
moment. Omdat een taklabel niet refereert aan een specifieke
revisie, kan die morgen anders zijn dan vandaag. bevat revisielabels waar
gebruikers in geïnteresseerd kunnen zijn. Nogmaals: deze
zijn allemaal niet geldig voor de Portscollectie omdat de
Portscollectie geen meerdere ontwikkel takken kent.Als een specifiek taklabel wordt aangegeven, worden als
alles goed gaat, de laatste revisies uit een bepaalde
ontwikkellijn ontvangen. Als er een oudere versie opgehaald
moet worden, kan dat door met de vlag een datum aan te geven. In &man.cvs.1; staan
meer details.VoorbeeldenHoewel het sterk wordt aangeraden eerst de hulppagina's
voor &man.cvs.1; grondig door te lezen, volgen hier een aantal
snelle voorbeelden die feitelijk aangeven hoe Anonieme CVS
gebruikt kan worden.SSH gebruiken om de src/ tree uit
te checken:&prompt.user; cvs -d freebsdanoncvs@anoncvs.FreeBSD.org:/home/ncvs co src
The authenticity of host 'anoncvs.freebsd.org (128.46.156.46)' can't be established.
DSA key fingerprint is 52:02:38:1a:2f:a8:71:d3:f5:83:93:8d:aa:00:6f:65.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'anoncvs.freebsd.org' (DSA) to the list of known hosts.Iets uitchecken uit -CURRENT (&man.ls.1;):&prompt.user; setenv CVSROOT :pserver:anoncvs@anoncvs.tw.FreeBSD.org:/home/ncvs
&prompt.user; cvs loginOp de prompt, voer een willekeurig wachtwoord inwachtwoord.
&prompt.user; cvs co lsSSH gebruiken om de src/
structuur uit te checken:&prompt.user; cvs -d freebsdanoncvs@anoncvs.FreeBSD.org:/home/ncvs co src
The authenticity of host 'anoncvs.freebsd.org (128.46.156.46)' can't be established.
DSA key fingerprint is 52:02:38:1a:2f:a8:71:d3:f5:83:93:8d:aa:00:6f:65.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'anoncvs.freebsd.org' (DSA) to the list of known hosts.De versie van &man.ls.1; in de 6-STABLE tak
uitchecken:&prompt.user; setenv CVSROOT :pserver:anoncvs@anoncvs.tw.FreeBSD.org:/home/ncvs
&prompt.user; cvs loginOp de prompt, voer een willekeurig wachtwoord inwachtwoord.
&prompt.user; cvs co -rRELENG_6 lsEen lijst wijzigingen maken (als unified diffs) voor
&man.ls.1;&prompt.user; setenv CVSROOT :pserver:anoncvs@anoncvs.tw.FreeBSD.org:/home/ncvs
&prompt.user; cvs loginOp de prompt, voer een willekeurig wachtwoord inwachtwoord.
&prompt.user; cvs rdiff -u -rRELENG_5_3_0_RELEASE -rRELENG_5_4_0_RELEASE lsUitzoeken welke modulenamen gebruikt kunnen
worden:&prompt.user; setenv CVSROOT :pserver:anoncvs@anoncvs.tw.FreeBSD.org:/home/ncvs
&prompt.user; cvs loginOp de prompt, voer een willekeurig wachtwoord inwachtwoord.
&prompt.user; cvs co modules
&prompt.user; more modules/modulesAndere bronnenDe volgende bronnen kunnen bijdragen aan een beter begrip
van CVS:CVS
Tutorial van Cal Poly.CVS Home,
de CVS gemeenschap voor ontwikkeling en
ondersteuning.CVSweb
is de &os; Project webinterface voor CVS.CTM gebruikenCTMCTM is een methode om een map
elders gesynchroniseerd te houden met een centrale. Het is
ontwikkeld voor gebruik met de &os; broncode, hoewel sommigen het
ook voor andere doeleinden handig vinden. Er bestaat op dit
moment weinig tot geen documentatie over het proces van het maken
van delta's. Voor informatie over het gebruik van
CTM kan het beste contact gezocht
worden met de &a.ctm-users.name; mailinglijst.Waarom CTM gebruiken?CTM geeft een lokale kopie van
de &os; broncode. Die is in een aantal smaken
beschikbaar. Of het gaat om slechts één tak of
de complete CVS structuur, CTM kan
het bieden. CTM is gewoon gemaakt
voor actieve ontwikkelaars die met &os; werken, maar geen of
een slechte Internetverbinding hebben of gewoon automatisch de
laatste wijzigingen willen ontvangen. De meest actieve takken
kennen op z'n hoogst drie delta's per dag. Het is het
overwegen waard om ze per automatische mail te laten sturen.
De grootte van de updates wordt altijd zo klein mogelijk
gehouden. Meestal kleiner dan 5 K en soms (in tien
procent van de gevallen) is het 10–50 K. In
uitzonderlijke gevallen komt het voor dat een mail van
100 K of meer wordt gestuurd.Het is wel van belang op de hoogte te zijn van de valkuilen
die een rol spelen bij het direct werken met broncode in plaats
van met een voorverpakte release. Dit geldt nog meer als wordt
gewerkt met de current code. Het lezen van
Bijblijven met &os; wordt sterk
aangeraden.Wat is er nodig om CTM te
gebruiken?Voor het gebruik van CTM zijn
twee dingen nodig: het CTM
programma en de initiële delta's om de applicatie te
voeden en naar een current niveau te
komen.CTM is al onderdeel van &os;
sinds versie 2.0 is uitgebracht en is te vinden in
/usr/src/usr.sbin/ctm, als de broncode
aanwezig is.De delta's voor
CTM kunnen op twee manieren komen:
met FTP of per e-mail. De volgende FTP sites bieden
ondersteuning voor CTM:Er staan er nog meer in de paragraaf mirrors.FTP de relevante map en download het bestand
README vanaf daar.Voor delta's via e-mail:Er dient een abonnement genomen te worden op een van de
CTM distributielijsten.
&a.ctm-cvs-cur.name; ondersteunt de complete CVS structuur.
&a.ctm-src-cur.name; ondersteunt het hoofd van de ontwikkeltak.
&a.ctm-src-4.name; ondersteunt de 4.X release tak, enzovoort.
Om te abonneren kan geklikt worden op de bovenstaande links of
via &a.mailman.lists.link; kan in een lijst geklikt worden op
de lijst waarvoor waarvoor een abonnement gewenst is. De
lijstpagina bevat instructies over hoe te abonneren.Na het ontvangen van CTM updates
per mail, kan ctm_rmail gebruikt worden voor
het uitpakken en verwerken. ctm_rmail kan
zelfs direct vanuit /etc/aliases gebruikt
worden om het proces volledig automatisch te laten verlopen.
In de hulppagina van ctm_rmail staan meer
details.Welke methode ook gebruikt wordt voor de
CTM delta's, het is belangrijk een
abonnement te nemen op de &a.ctm-announce.name; mailinglijst.
In de toekomst worden alleen op die lijst aankondigingen
gedaan over het CTM systeem.
Abonneren kan door op de link hierboven te klikken en de
instructies te volgen.CTM de eerste keer
gebruikenVoordat de CTM delta's gebruikt
kunnen worden, moet er een startpunt voor bepaald
worden.Eerst moet bepaald worden wat er al is. Het is mogelijk te
beginnen vanuit een lege map. Dan moet een
initiële Empty delta gebruikt worden om een
door CTM ondersteunde structuur te
starten. Het is de bedoeling dat deze start
delta's ooit voor het gemak op de CD-ROM komen te staan, maar
dit is nog niet het geval.Omdat de structuren tientallen megabytes groot zijn, heeft
het de voorkeur om al met iets te beginnen. Als er een
-RELEASE CD-ROM beschikbaar is, kan de initiële broncode
gekopieerd of uitgepakt worden. Dit bespaart nogal wat
dataverkeer.De start delta's kunnen herkend worden aan
de X die aan het nummer is toegevoegd
(bijvoorbeeld src-cur.3210XEmpty.gz). De
nummering achter de X komt overeen met de
oorsprong van het initiële zaad.
Empty is een lege map. Er wordt in het
algemeen iedere honderd delta's een basistransitie voor
Empty gemaakt. Die zijn trouwens groot: 70
tot 80 Megabytes gzip data is normaal voor
de XEmpty delta's.Als er een delta als startpunt is gekozen, zijn ook alle
delta's met hogere volgnummers nodig.CTM in het dagelijks leven
gebruikenOm de delta's toe te passen:&prompt.root; cd /where/ever/you/want/the/stuff
&prompt.root; ctm -v -v /where/you/store/your/deltas/src-xxx.*CTM begrijpt delta's in
gzip formaat, dus het niet nodig om eerst
gunzip te gebruiken. Dat spaart
diskruimte.Tenzij het zeker is van de veiligheid van het proces, doet
CTM niets met de structuur. Om een
delta te verifiëren kan ook de vlag
gebruikt worden en dan komt
CTM ook niet aan een structuur. Dan
wordt alleen de integriteit van de delta gecontroleerd en of
die zonder problemen op de huidige structuur kan worden
toegepast.CTM kent nog meer opties die in
de hulppagina's worden besproken.Meer is er niet. Iedere keer dat er een delta wordt
ontvangen, moet die door CTM gehaald
worden om de broncode bijgewerkt te houden.Delta's kunnen het beste niet verwijderd worden als het
lastig is ze opnieuw te downloaden. Dan kunnen ze het beste
bewaard worden voor het geval er eens iets gebeurt. Zelfs als
er alleen floppy's beschikbaar zijn, is het wellicht verstandig
die te gebruiken met fdwrite.Lokale wijzigingen behoudenEen ontwikkelaar wil graag experimenteren met bestanden in
de structuur en die bestanden veranderen.
CTM ondersteunt lokale wijzigingen
in beperkte mate: alvorens te kijken of bestand
foo bestaat, zoekt het eerst naar
foo.ctm. Als dat bestand bestaat, past
CTM de wijzigigen daarop toe in
plaats van op foo.Dit gedrag biedt een eenvoudige mogelijkheid om lokale
wijzigingen bij te houden. Dat kan dus door bestanden die
gewijzigd gaan worden te kopiëren naar een bestand met
dezelfde naam met de toevoeging .ctm. Dan
kan er vrijelijk gespeeld worden met de code, terwijl
CTM het bestand
.ctm bijwerkt.Andere interessante mogelijkheden van
CTMUitvinden wat precies wordt veranderd met
bijwerkenHet is mogelijk een lijst met wijzigingen te maken die
CTM zou maken op het broncodedepot
met de optie .Dit is nuttig als het gewenst is om een logboek bij te
houden van de wijzigingen, de te wijzigen bestanden voor- of
na te bewerken op welke manier dan ook, of als de gebruiker
gewoon een beetje paranoïde is.Back-ups maken vóór bijwerkenSoms kan het wenselijk zijn om een back-up te maken van
alle bestanden die gewijzigd gaan worden door een
CTM update.Met back-upt
CTM alle bestanden die gewijzigd
gaan worden door een CTM delta
naar back–upbestand.Te wijzigen bestanden door bijwerken beperkenSoms is het wenselijk de reikwijdte voor een
CTM update te beperken of kan het
wenselijk zijn om maar een paar bestanden bij te werken uit
een aantal delta's.Een lijst met bestanden die
CTM mag bewerken kan aangegeven
worden met de opties en
en het opgeven van regular
expressions.Om bijvoorbeeld een bijgewerkte kopie van
lib/libc/Makefile te maken uit de
verzameling met opgeslagen CTM
delta's, kan het volgende commando uitgevoerd worden:&prompt.root; cd /where/ever/you/want/to/extract/it/
&prompt.root; ctm -e '^lib/libc/Makefile' ~ctm/src-xxx.*Voor ieder te wijzigen bestand in een
CTM delta worden de opties
en toegepast in de
volgorde waarin ze op de commandoregel staan. Het bestand
wordt alleen door CTM verwerkt als
het passend is bevonden na het toepassen van alle parameters
in en .Toekomstige plannen voor
CTMDie zijn er:Een of andere vorm van authenticatie in het
CTM systeem bouwen zodat
vervalste CTM updates
afgevangen kunnen worden;De opties voor CTM opruimen
omdat ze verwarrend zijn geworden.Nog meerEr zijn ook delta's voor de
portscollectie, maar daar is nog niet zo
veel belangstelling voor.CTM mirrorsCTM/&os; is op de volgende
mirrorsites via anonieme FTP beschikbaar. Als voor
CTM anonieme FTP wordt gebruikt,
heeft het de voorkeur een site die in geografische zin dichtbij
is te gebruiken.Bij problemen kan contact gezocht worden met de
&a.ctm-users.name; mailinglijst.Californië, Bay Area, officiële bronZuid-Afrika, back-upserver voor oude delta'sTaiwan/R.O.C.Als er geen mirror dichtbij is of als die incompleet is,
kan een zoekmachine als alltheweb gebruikt
worden.CVSup gebruikenInleidingCVSup is een softwarepakket voor
het verspreiden en bijwerken van broncodestructuren vanaf een
master CVS depot op een andere server. De &os; broncode wordt
beheerd in een broncode depot op een centrale ontwikkelmachine
in Californië. Met CVSup
kunnen &os; gebruikers op eenvoudige wijze hun broncode
bijwerken.CVSup gebruikt een zogenaamd
pull model voor het bijwerken. In het
pull-model vraagt iedere client de server om updates als die
nodig zijn. De server wacht passief op een verzoek om updates
van zijn clients. Alle updates worden dus op initiatief van de
client gedaan. De server stuurt nooit ongevraagde updates.
Gebruikers moeten de CVSup client
handmatig draaien om te updaten of een cron
taak instellen om op regelmatige basis bij te werken.De term CVSup, op de gegeven
wijze geschreven, doelt op het complete softwarepakket. De
belangrijkste componenten zijn de client
cvsup, die op de machine van een gebruiker
draait, en de server cvsupd, die op alle
&os; mirrorsites draait.In de &os; documentatie en op de mailinglijsten zijn
referenties aan sup te vinden.
Sup was de voorloper van
CVSup en diende hetzelfde doel.
CVSup wordt op dezelfde manier
gebruikt als sup en gebruikt zelfs bestanden met instellingen
die ook te gebruiken zijn met sup.
Sup wordt niet langer gebruikt in
het &os; project omdat CVSup sneller
en flexibeler is.De csup applicatie is een
herschreven versie van CVSup in de
C taal. Het grootste voordeel ervan is dat het sneller is en
dat het niet afhankelijk is van de Modula-3 taal, dus dat hoeft
niet geïnstalleerd te worden als afhankelijkheid. Sterker nog
als gebruik wordt gemaakt van &os; 6.2 of later, wordt
de applicatie standaard meegeleverd, oudere versies hebben dit
echter niet, maar deze kunnen simpel de
net/csup port installeren
of een vooraf gecompileerd pakket. Als je echter complete
repositories wilt schaduwen, is CVSup
nog steeds noodzakelijk. Als ervoor gekozen is om
csup te gebruiken, sla dan de
installatie stappen voor CVSup over
en vervang de referenties naar CVSup
met csup terwijl de rest van het
artikel gevolgd wordt.InstallatieDe meest eenvoudige wijze van installatie van
CVSup is met het voorgecompileerde
pakket net/cvsup uit de
&os; pakkettencollectie. Als het
gewenst is, kan CVSup ook uit de
broncode gebouwd worden in net/cvsup. De net/cvsup port is afhankelijk van
het Modula-3 systeem en dat kan wel even duren en er is ook
nogal wat schijfruimte voor nodig om het te downloaden en te
bouwen.Als CVSup gebruikt gaat
worden op een machine waarop geen
&xfree86; of
&xorg; staat, zoals een server,
dan dient de port waar geen
CVSup GUI bij
zit geïnstalleerd te worden: net/cvsup-without-gui.Als csup geïnstalleerd
moet worden op &os; 6.1 of eerder, kan gebruik gemaakt
worden van een van te voren gecompileerd
net/csup pakket van de
&os; pakkettencollectie, of als
de voorkeur wordt gegeven aan het volledig compileren van
csup, kan gebruik gemaakt worden
van de net/csup port.CVSup instellingenDe werking van CVSup wordt
gestuurd door een bestand met instellingen met de naam
supfile. Er staan een aantal
supfiles als voorbeeld in de map /usr/share/examples/cvsup/.De informatie in een supfile
beantwoordt de volgende vragen voor
CVSup:Welke bestanden
moeten ontvangen worden?Welke versies daarvan
moeten ontvangen worden?Waar moeten ze
vandaan komen?Waar moeten ze komen
te staan?Waar moet
cvsup zijn statusbestanden
bijhouden?In de volgende paragrafen wordt een
supfile bestand opgebouwd door
achtereenvolgens alle gestelde vragen te beantwoorden. Als
eerste wordt de algemene structuur van een
supfile beschreven.Een supfile is een tekstbestand.
Commentaar begint met een # en loopt tot het
einde van de regel. Lege regels en regels die alleen
commentaar bevatten worden genegeerd.Iedere regel die overblijft slaat op een groep bestanden
die ontvangen moet worden. De regel begint met de naam van een
collectie, een logische groep bestanden op de
server. De naam van de collectie geeft de server aan welke
bestanden er gestuurd moeten worden. Na de naam van de
collectie komen er geen of meer velden die gescheiden worden
door witruimte. Die velden beantwoorden de hierboven gestelde
vragen. Er zijn twee soorten velden: vlagvelden en
waardevelden. Een vlagveld bestaat uit een alleenstaand
sleutelwoord, bijvoorbeeld delete of
compress. Een waardeveld begint ook met
een sleutelwoord, maar het sleutelwoord wordt direct (zonder
witruimte) gevolgd door = en een tweede
woord. release=cvs is bijvoorbeeld een
waardeveld.In een supfile wordt meestal
aangegeven dat er meerdere collecties ontvangen moeten worden.
Het is mogelijk om een supfile te
structureren door expliciet alle relevante velden aan te geven
voor iedere collectie, maar dat maakt de regels in de
supfile nogal lang en het is onhandig
omdat de meeste velden hetzelfde zijn voor alle collecties in
een supfile.
CVSup biedt een systeem met
standaardinstellingen om dit probleem te omzeilen. Regels die
beginnen met de speciale pseudo-collectienaam
*default kunnen gebruikt worden om
standaarden in te stellen voor de collecties die er in de
supfile achteraan komen. Een
standaardwaarde kan voor individuele collecties overschreven
worden door een andere waarde in de collectie zelf aan te
geven. Standaarden kunnen ook middenin het bestand gewijzigd
of aangevuld worden met extra *default
regels.Na deze achtergronden wordt er nu een
supfile samengesteld voor het ontvangen en
bijwerken van de hoofd broncodestructuur van &os;-CURRENT.Welke bestanden moeten
ontvangen worden?De bestanden die via CVSup
beschikbaar zijn, zijn beschikbaar in groepen die
collecties heten. De beschikbare collecties
staan beschreven in de volgende paragraaf. In dit
voorbeeld is het de bedoeling dat de hele hoofd
broncodestructuur voor &os; wordt ontvangen. Daar is
één grote collectie voor:
src-all. De eerste stap in het maken
van een supfile is het opsommen van de
gewenste collecties, één per regel (in dit
geval maar één regel):src-allWelke versies daarvan
moeten ontvangen worden?Met CVSup kan vrijwel iedere
versie van de broncode die ooit heeft bestaan opgehaald
worden. Dat kan omdat de cvsupd
server direct vanaf het CVS depot werkt, dat alle versies
bevat. Er kan aangegeven welke ontvangen moeten worden met
de waardevelden tag= en
.Voorzichtigheid is geboden bij het correct aangeven
van velden met tag=. Sommige labels
zijn alleen geldig voor bepaalde collecties of bestanden.
Als ze incorrect worden aangeven of als er een spelfout
wordt gemaakt in een label, verwijdert
CVSup bestanden waarvan dat
waarschijnlijk niet de bedoeling is. Het label
tag=. dient eigenlijk
alleen gebruikt te worden voor de
ports-* collecties.Het veld tag= benoemt een symbolisch
label in het depot. Er zijn twee soorten labels:
revisielabels en taklabels. Een revisielabel refereert aan
een specifieke revisie. De betekenis blijft altijd
hetzelfde. Een taklabel refereert echter aan de laatste
revisie van een gegeven ontwikkellijn op een gegeven
moment. Omdat een taklabel niet refereert aan een
specifieke revisie, kan het morgen iets anders betekenen
dan vandaag. beschrijft de meest
interessante taklabels. Als er in het instellingenbestand
van CVSup een label wordt
aangegeven, moet dat vooraf gegaan worden door
tag= (RELENG_4 zal
tag=RELENG_4 worden). Voor de
Portscollectie is alleen tag=.
relevant.Labels dienen exact zo ingegeven te worden als ze
staan beschreven. CVSup kan
geen onderscheid maken tussen geldige en ongeldige
labels. Als er een spelfout in een label wordt gemaakt,
doet CVSup alsof er een geldig
label is ingegeven dat aan geen enkel bestand refereert.
Dan zal CVSup de bestaande
broncode wissen.Bij het aangeven van een taklabel wordt meestal de
laatste versie van de bestanden voor een bepaalde
ontwikkellijn ontvangen. Om een oudere versie te
ontvangen kan in het veld een datum
opgegeven worden. In &man.cvsup.1; staat hoe dat
werkt.Om bijvoorbeeld &os;-CURRENT te ontvangen dient het
volgende aan het begin van supfile
toegevoegd te worden:*default tag=.Er ontstaat een belangrijk speciaal geval als er geen
velden met tag= of
date= worden aangegeven. In dat geval
worden de eigenlijke RCS bestanden direct uit het CVS depot
van de server ontvangen in plaats van dat een bepaalde
versie wordt ontvangen. Ontwikkelaars geven in het
algemeen de voorkeur aan deze optie. Door zelf een kopie
van de broncode op hun systeem te hebben, krijgen ze de
mogelijkheid om zelf door eerdere versies van bestanden te
bladeren en de geschiedenis ervan te bekijken. Dit
voordeel kost wel veel schijfruimte.Waar moeten ze vandaan
komen?Het veld host= wordt gebruikt om
cvsup aan te geven waar de updates
vandaan moeten komen. Dat kan van elke CVSup mirrorsite, hoewel
er wordt aangeraden een site die geografisch dichtbij ligt
te kiezen. In dit voorbeeld wordt een fictieve &os;
distributiesite gebruikt, cvsup99.FreeBSD.org:*default host=cvsup99.FreeBSD.orgIn een werkelijke situatie dient de hostnaam gewijzigd
te worden in een host die echt bestaat voordat
CVSup gaat draaien. Iedere keer
dat cvsup wordt gestart, kan er een
andere host op de commandoregel opgegeven worden met de
optie .Waar moeten ze komen te
staan?Het veld prefix= geeft
cvsup aan waar de ontvangen bestanden
terecht moeten komen. In dit voorbeeld worden de bestanden
direct in de hoofd broncodestructuur
/usr/src geplaatst. De map
src is al impliciet in de gekozen
collecties, vandaar dat het onderstaande de juiste
instelling is:*default prefix=/usrWaar moet
cvsup zijn statusbestanden
bijhouden?De CVSup client houdt
statusbestanden bij in een map die base
wordt genoemd. Die bestanden helpen
CVSup efficiënter te
werken door bij te houden welke updates al eerder zijn
ontvangen. Hier wordt de standaard basemap gebruikt,
/var/db:*default base=/var/dbDe bovenstaande instelling wordt standaard gebruikt als
die niet wordt aangegeven in de
supfile, dus hij is eigenlijk niet
nodig.Als de basemap niet al bestaat, moet die gemaakt
worden. De cvsup client weigert te
draaien als de basemap niet bestaat.Allerlei supfile
instellingen:Er is nog een regel die in een
supfile moet staan:*default release=cvs delete use-rel-suffix compressrelease=cvs geeft de server aan dat
de informatie uit het &os; hoofd CVS depot moet komen. Dat
is eigenlijk altijd het geval, maar er zijn mogelijkheden
die buiten het bereik van dit handboek vallen.delete geeft
CVSup het recht om bestanden te
verwijderen. Dit moet altijd aangegeven worden zodat
CVSup de broncode altijd kan
bijwerken. CVSup gaat
voorzichtig om met het verwijderen van bestanden waar het
verantwoordelijk voor is. Extra bestanden in de structuur
worden met rust gelaten.use-rel-suffix is nogal
geheimzinnig. Voor de nieuwsgierigen staat er meer over in
&man.cvsup.1;. Anders kan het gewoon ingesteld worden
zonder erover na te denken.compress schakelt het gebruikt van
gzip compressie in voor het communicatiekanaal. Als de
verbinding een E1 of sneller is, hoeft er geen compressie
gebruikt te worden. Anders helpt het aanzienlijk.Alles combinerend:Hieronder staat de hele supfile
uit het voorbeeld:*default tag=.
*default host=cvsup99.FreeBSD.org
*default prefix=/usr
*default base=/var/db
*default release=cvs delete use-rel-suffix compress
src-allHet bestand refuseZoals hierboven al is aangegeven, gebruikt
CVSup een pull
methode. Dat betekent eigenlijk dat er een
verbinding wordt gemaakt met de
CVSup server en die zegt dan:
Dit kan er van mij gedownload worden..., en
dan antwoordt de client met: Oké, ik wil dit en
dat en zus en zo. Met de standaardinstellingen haalt
de CVSup client alle bestanden die
bij een collectie en het label horen dat in het bestand met
de instellingen is opgegeven. Maar dat is niet altijd
wenselijk, in het bijzonder als de doc,
ports of www
structuren worden gesynchroniseerd. De meeste mensen kunnen
geen vier of vijf talen lezen en die hebben de taalspecifieke
bestanden dus niet nodig. Als de Portscollectie met
CVSup wordt opgehaald, is het
mogelijk om iedere collectie apart aan te geven (bijvoorbeeld
ports-astrology,
ports-biology, enzovoort, in plaats van
eenvoudigweg ports-all). Maar omdat
de doc en www
structuren geen taalspecifieke collecties hebben, moet er
gebruik gemaakt worden van een van de vele mooie
mogelijkheden van CVSup: het
bestand refuse.Het bestand refuse geeft
CVSup in feite aan dat niet ieder
bestand uit een collectie opgehaald moet worden. Het geeft
dus aan dat de client bepaalde bestanden van de server moet
weigeren. Het bestand
refuse staat in (of kan gemaakt worden
in)
base/sup/.
base staat ingesteld in
supfile. De standaardlocatie voor
base is
/var/db. De standaardplaats voor
refuse is dus
/var/db/sup/refuse.Het bestand refuse heeft een erg
eenvoudige opmaak. Het bevat de namen van de bestanden die
niet gedownload mogen worden. Als een gebruiker bijvoorbeeld
geen andere talen spreekt dan Engels en Nederlands, maar
de Nederlandse vertaling van de documentatie hoeft niet
binnengehaald te worden, dan kan het volgende in het bestand
refuse gezet worden:doc/bn_*
doc/da_*
doc/de_*
doc/el_*
doc/es_*
doc/fr_*
doc/hu_*
doc/it_*
doc/ja_*
doc/mn_*
doc/nl_*
doc/no_*
doc/pl_*
doc/pt_*
doc/ru_*
doc/sr_*
doc/tr_*
doc/zh_*Dit gaat zo door voor de andere talen. De volledige
lijst staat in het &os;
CVS depot.Met deze handige eigenschap kunnen gebruikers met
langzamere verbindingen of zij die per minuut voor hun
Internetverbinding betalen waardevolle tijd besparen omdat er
geen bestanden meer gedownload worden die nooit gebruikt
worden. Meer informatie over refuse
bestanden en andere leuke mogelijkheden van
CVSup staat in de
handleiding.CVSup draaienNu kan het bijwerken beginnen. Het commando is best wel
eenvoudig:&prompt.root; cvsup supfileDe supfile
is de naam van het supfile bestand dat
gebruikt moet worden. Aangenomen dat er X11 draait op een
machine, toont cvsup een GUI venster met
wat knoppen om de bekende acties uit te voeren. Het proces
start na het klikken op de knop
go.Omdat in dit voorbeeld de werkelijke structuur in
/usr/src wordt bijgewerkt, moet het
programma als root uitgevoerd worden,
zodat cvsup de rechten heeft die het nodig
heeft om de bestanden bij te werken. Het is voorstelbaar dat
de benodigde rechten, het net gemaakte bestand met instellingen
en het voor de eerste keer draaien van een programma zorgt voor
wat onrust. Daarom is het mogelijk proef te draaien zonder
dat er bestanden gewijzigd worden. Dat kan door ergens een
lege map te maken en een extra argument mee te geven op de
commandoregel:&prompt.root; mkdir /var/tmp/dest
&prompt.root; cvsup supfile /var/tmp/destDe opgegeven map is de bestemming voor alle
bestandsupdates. CVSup bekijkt wel
de bestanden in /usr/src, maar wijzigt ze
niet. Alle updates belanden in
/var/tmp/dest/usr/src.
CVSup werkt ook de statusbestanden
niet bij als het op deze wijze wordt uitgevoerd. De nieuwe
versies van de bestanden worden naar de aangegeven map
geschreven. Als er maar leestoegang is tot
/usr/src, hoeft een gebruiker zelfs geen
root te zijn bij het uitvoeren van dit
experiment.Als er geen X11 draait of als het niet wenselijk is een GUI
te gebruiken, dan kunnen daarvoor opties op de commandoregel
meegegeven worden bij het draaien van
cvsup:&prompt.root; cvsup -g -L 2 supfileDe optie geeft
CVSup aan dat de GUI niet gebruikt
hoeft te worden. Dit gebeurt automatisch als X11 niet draait,
maar anders moet het aangegeven worden.De optie geeft
CVSup aan dat details getoond
moeten worden over alle bestanden die bijgewerkt worden. Er
zijn drie niveaus van uitvoerigheid, van
tot . Standaard is het 0, wat betekent
dat er geen enkel bericht wordt getoond, met uitzondering van
foutmeldingen.Er zijn nog veel andere opties beschikbaar. Met
cvsup -H wordt een lijst met korte uitleg
getoond. Beschrijvingen met meer details staan in de
handleiding.Als het bijwerken op de gewenste manier loopt, kan het
regulier draaien van CVSup met
&man.cron.8; ingesteld worden. Natuurlijk hoort
CVSup zonder GUI te draaien als het
programma vanuit de &man.cron.8; draait.CVSup
bestandscollectiesDe via CVSup beschikbare
bestandscollecties zijn hiërarchisch georganiseerd. Er
zijn een paar grote collecties en die zijn opgedeeld in
kleinere subcollecties. Het ontvangen van een collectie is
hetzelfde als het ontvangen van alle subcollecties. De
hiërarchische relatie tussen de collecties wordt
hieronder aangegeven door het niveau van inspringen.De meest gebruikte collecties zijn
src-all en ports-all. De
andere collecties worden door kleine groepen mensen gebruikt
voor bijzondere doeleinden en sommige mirrorsites hebben ze
niet allemaal.cvs-all release=cvsHet &os; CVS hoofddepot, inclusief de cryptografische
code.distrib release=cvsBestanden die betrekking hebben op het
verspreiden en spiegelen van &os;.doc-all release=cvsBroncode voor het &os; Handboek en andere
documentatie, zonder de bestanden voor de &os;
website.ports-all release=cvsDe &os; Portscollectie.Als ports-all (het
complete portssysteem) niet bijgewerkt hoeft te
worden, maar enkele van de onderstaande
subcollecties, dan moet
altijd ook de
ports-base subcollectie
bijgewerkt worden! Als er iets wijzigt in de
infrastructuur van de ports waar
ports–base voor staat,
is het vrijwel zeker dat die wijzigingen heel
snel door echte ports gebruikt
gaan worden. Dus als alleen de
echte ports bijgewerkt worden en
als die gebruik maken van nieuwe mogelijkheden,
dan is de kans groot dat het bouwen daarvan
foutloopt met een vage foutmelding. Het
eerste dat gedaan moeten
worden is ervoor zorgen dat de
ports-base subcollectie is
bijgewerkt.Bij het zelf bouwen van een lokale kopie van
ports/INDEXmoetports-all geaccepteerd worden
(de hele port structuur). Het bouwen van
ports/INDEX met een
gedeeltelijke structuur wordt niet ondersteund.
Zie ook de FAQ.ports-accessibility
release=cvsSoftware voor minder valide
gebruikers.ports-arabic
release=cvsOndersteuning voor de Arabische
taal.ports-archivers
release=cvsArchiveringshulpmiddelen.ports-astro
release=cvsAstronomie ports.ports-audio
release=cvsGeluidsondersteuning.ports-base
release=cvsDe infrastructuur van de Portscollectie.
Bestanden uit de mappen
Mk/ en
Tools/ van
/usr/ports.Zie ook de belangrijke
waarschuwing hierboven: deze
subcollectie dient
altijd bijgewerkt te
worden als er een onderdeel van de &os;
Portscollectie wordt bijgewerkt!ports-benchmarks
release=cvsBenchmarks.ports-biology
release=cvsBiologie.ports-cad
release=cvsComputer aided design programma's.ports-chinese
release=cvsOndersteuning voor de Chinese
taal.ports-comms
release=cvsCommunicatiesoftware.ports-converters
release=cvsKaraktercode omzetters.ports-databases
release=cvsDatabases.ports-deskutils
release=cvsDingen die op een bureaublad stonden
voordat computers waren uitgevonden.ports-devel
release=cvsOntwikkelhulpmiddelen.ports-dns
release=cvsDNS gerelateerde software.ports-editors
release=cvsEditors.ports-emulators
release=cvsEmulatoren voor
besturingssystemen.ports-finance
release=cvsMonetaire, financiële en
gerelateerde applicaties.ports-ftp
release=cvsFTP client en server programma's.ports-games
release=cvsSpelletjes.ports-german
release=cvsOndersteuning voor de Duitse taal.ports-graphics
release=cvsGrafische programma's.ports-hebrew
release=cvsOndersteuning voor de Hebreeuwse
taal.ports-hungarian
release=cvsOndersteuning voor de Hongaarse
taal.ports-irc
release=cvsInternet Relay Chat
hulpprogramma's.ports-japanese
release=cvsOndersteuning voor de Japanse
taal.ports-java
release=cvs&java; programma's.ports-korean
release=cvsOndersteuning voor de Koreaanse
taal.ports-lang
release=cvsProgrammeertalen.ports-mail
release=cvsMailsoftware.ports-math
release=cvsNumerieke rekensoftware.ports-mbone
release=cvsMBone applicaties.ports-misc
release=cvsVerschillende programma's.ports-multimedia
release=cvsMultimedia software.ports-net
release=cvsNetwerksoftware.ports-net-im
release=cvsBerichtenuitwisseling.ports-net-mgmt
release=cvsNetwerkbeheersoftware.ports-net-p2p
release=cvsPeer to Peer Netwerkenports-news
release=cvsUSENET news software.ports-palm
release=cvsSoftwareondersteuning voor
Palm
apparatuur.ports-polish
release=cvsOndersteuning voor de Poolse taal.ports-ports-mgmt
release=cvsProgramma's om ports en pakketten te
beheren.ports-portuguese
release=cvsOndersteuning voor de Portugese
taal.ports-print
release=cvsPrintsoftware.ports-russian
release=cvsOndersteuning voor de Russische
taal.ports-science
release=cvsWetenschappelijk.ports-security
release=cvsBeveiligingsprogramma's.ports-shells
release=cvsCommandoregelshells.ports-sysutils
release=cvsSysteemprogramma's.ports-textproc
release=cvsTekstverwerkingsprogramma's (zonder
desktop publishing).ports-ukrainian
release=cvsOndersteuning voor de Oekraïense
taal.ports-vietnamese
release=cvsOndersteuning voor de Viëtnamese
taal.ports-www
release=cvsSoftware gerelateerd aan het Wereldwijde
Web.ports-x11
release=cvsPorts voor het X windowsysteem.ports-x11-clocks
release=cvsX11 klokken.ports-x11-drivers
release=cvsX11-stuurprogramma'sports-x11-fm
release=cvsX11 bestandsbeheerders.ports-x11-fonts
release=cvsX11 lettertypen en
lettertypeprogramma's.ports-x11-toolkits
release=cvsX11 hulpprogramma's.ports-x11-servers
release=cvsX11 servers.ports-x11-themesX11 thema's.ports-x11-wm
release=cvsX11 vensterbeheerprogramma's.projects-all release=cvsBroncode's voor de &os; projecten
repository.src-all release=cvsDe hoofdbroncode van &os;, inclusief de
cryptografische code.src-base
release=cvsVerschillende bestanden bovenin de
/usr/src
structuur.src-bin
release=cvsGebruikersprogramma's die wellicht nodig
zijn in single-user modus
(/usr/src/bin).src-cddl
release=cvsProgramma's en bibliotheken die uitgegeven
zijn onder de CDDL licentie
(/usr/src/cddl).src-contrib
release=cvsProgramma's en bibliotheken van buiten
het &os; project die vrijwel ongewijzigd
gebruikt worden
(/usr/src/contrib).src-crypto release=cvsCryptografische programma's en
bibliotheken van buiten het &os; project, die
vrijwel ongewijzigd worden gebruikt
(/usr/src/crypto).src-eBones release=cvsKerberos en DES
(/usr/src/eBones). Niet
gebruikt in recente uitgaves van &os;.src-etc
release=cvsBestanden met systeeminstellingen
(/usr/src/etc).src-games
release=cvsSpelletjes
(/usr/src/games).src-gnu
release=cvsProgramma's die onder de GNU Public
License vallen
(/usr/src/gnu).src-include
release=cvsHeaderbestanden
(/usr/src/include).src-kerberos5
release=cvsKerberos5 beveiligingspakket
(/usr/src/kerberos5).src-kerberosIV
release=cvsKerberosIV beveiligingspakket
(/usr/src/kerberosIV).src-lib
release=cvsBibliotheken
(/usr/src/lib).src-libexec
release=cvsSysteemprogramma's die meestal door
andere programma's worden uitgevoerd
(/usr/src/libexec).src-release
release=cvsBestanden die nodig zijn voor het
maken van een &os; release
(/usr/src/release).src-release
release=cvsStatisch gelinkte programma's voor nood
onderhoud, zie &man.rescue.8;
(/usr/src/rescue).src-sbin release=cvsSysteemprogramma's voor single-user modus
(/usr/src/sbin).src-secure
release=cvsCryptografische bibliotheken en
commando's
(/usr/src/secure).src-share
release=cvsBestanden die tussen meerdere systemen
gedeeld kunnen worden
(/usr/src/share).src-sys
release=cvsDe kernel
(/usr/src/sys).src-sys-crypto
release=cvsCryptografische kernelcode
(/usr/src/sys/crypto).src-tools
release=cvsVerschillende hulpprogramma's voor het
onderhoud van &os;
(/usr/src/tools).src-usrbin
release=cvsGebruikersprogramma's
(/usr/src/usr.bin).src-usrsbin
release=cvsSysteemprogramma's
(/usr/src/usr.sbin).www release=cvsDe broncode voor de &os; website.distrib release=selfDe instellingenbestanden van de
CVSup server zelf. Gebruikt
door de CVSup
mirrorsites.gnats release=currentDe GNATS bug-tracking database.mail-archive release=current&os; mailinglijstarchief.www release=currentDe voorbewerkte &os; websitebestanden (niet de
broncode). Gebruikt door WWW mirrorsites.Voor meer informatieDe CVSup FAQ en andere
informatie over CVSup is te vinden
op De CVSup Homepage.De meeste &os;–gerelateerde discussie over
CVSup vindt plaats op de
&a.hackers;. Daar worden nieuwe versies van de software
aangekondigd, net als op de &a.announce;.Voor vragen en foutrapporten moet een kijkje genomen worden
op
de CVSup FAQCVSup sitesCVSup servers voor &os; draaien
op de onderstaande sites. Het overige deel van deze paragraaf
wordt automatisch samengesteld en is daarom niet vertaald.
&chap.mirrors.cvsup.inc;
CVS labelsBij het ophalen of bijwerken van broncode met
cvs of
CVSup moet een revisielabel meegegeven
worden. Een revisielabel refereert aan een specifieke lijn in
de &os; ontwikkeling of aan een specifiek moment in de tijd. Het
eerste type heet taklabel (branch tag) en het
tweede type heet releaselabel (release
tag).TaklabelsDeze zijn, met uitzondering van HEAD
(dat altijd een geldig label is), alleen van toepassing op de
src/ structuur. De
ports/, doc/ en
www/ structuren kennen geen takken.HEADSymbolische naam voor de hoofdlijn van &os;-CURRENT.
Ook de standaard als geen revisie is aangegeven.In CVSup wordt dit label
aangegeven met een . (dat is dus geen
interpunctie, maar een echt .
karakter).In CVS is dit de standaard als er geen revisielabel
is aangegeven. Het is meestal
geen goed idee om een checkout of
update van CURRENT broncode op een STABLE machine te
doen, tenzij dat expliciet de bedoeling is.RELENG_7De ontwikkellijn voor &os;-7.X, ook bekend als
&os; 7-STABLE.RELENG_7_1De uitgavetak voor &os;-7.1, alleen gebruikt voor
beveiligingswaarschuwingen en andere kritische
aanpassingen.RELENG_7_0De uitgavetak voor &os;-7.0, alleen gebruikt voor
beveiligingswaarschuwingen en andere kritische
aanpassingen.RELENG_6De ontwikkellijn voor &os;-6.X, ook bekend als
&os; 6-STABLE.RELENG_6_4De uitgavetak voor &os;-6.4, alleen gebruikt voor
beveiligingsadviezen en andere kritieke reparaties.RELENG_6_3De uitgavetak voor &os;-6.3, alleen gebruikt voor
beveiligingswaarschuwingen en andere kritische
aanpassingen.RELENG_6_2De releasetak voor &os;-6.2, alleen gebruikt voor
beveiligingswaarschuwingen en andere kritische
aanpassingen.RELENG_6_1De releasetak voor &os;-6.1, alleen gebruikt voor
beveiligingswaarschuwingen en andere kritische
aanpassingen.RELENG_6_0De releasetak voor &os;-6.0, alleen gebruikt voor
beveiligingswaarschuwingen en andere kritische
aanpassingen.RELENG_5De ontwikkellijn voor &os;-5.X, ook bekend als
&os; 5-STABLE.RELENG_5_5De releasetak voor &os;-5.5, alleen gebruikt voor
beveiligingswaarschuwingen en andere kritische
aanpassingen.RELENG_5_4De releasetak voor &os;-5.4, alleen gebruikt voor
beveiligingswaarschuwingen en andere kritische
aanpassingen.RELENG_5_3De releasetak voor &os;-5.3, alleen gebruikt voor
beveiligingswaarschuwingen en andere kritische
aanpassingen.RELENG_5_2De releasetak voor &os;-5.2 en &os;-5.2.1, alleen
gebruikt voor beveiligingswaarschuwingen en andere
kritische aanpassingen.RELENG_5_1De releasetak voor &os;-5.1, alleen gebruikt voor
beveiligingswaarschuwingen en andere kritische
aanpassingen.RELENG_5_0De releasetak voor &os;-5.0, alleen gebruikt voor
beveiligingswaarschuwingen en andere kritische
aanpassingen.RELENG_4De ontwikkellijn voor &os;-4.X, ook bekend als &os;
4-STABLE.RELENG_4_11De releasetak voor &os;-4.11, alleen gebruikt voor
beveiligingswaarschuwingen en andere kritische
aanpassingen.RELENG_4_10De releasetak voor &os;-4.10, alleen gebruikt voor
beveiligingswaarschuwingen en andere kritische
aanpassingen.RELENG_4_9De releasetak voor &os;-4.9, alleen gebruikt voor
beveiligingswaarschuwingen en andere kritische
aanpassingen.RELENG_4_8De releasetak voor &os;-4.8, alleen gebruikt voor
beveiligingswaarschuwingen en andere kritische
aanpassingen.RELENG_4_7De releasetak voor &os;-4.7, alleen gebruikt voor
beveiligingswaarschuwingen en andere kritische
aanpassingen.RELENG_4_6De releasetak voor &os;-4.6 en &os;-4.6.2,
alleen gebruikt voor beveiligingswaarschuwingen en andere
kritische aanpassingen.RELENG_4_5De releasetak voor &os;-4.5, alleen gebruikt voor
beveiligingswaarschuwingen en andere kritische
aanpassingen.RELENG_4_4De releasetak voor &os;-4.4, alleen gebruikt voor
beveiligingswaarschuwingen en andere kritische
aanpassingen.RELENG_4_3De releasetak voor &os;-4.3, alleen gebruikt voor
beveiligingswaarschuwingen en andere kritische
aanpassingen.RELENG_3De ontwikkellijn voor &os;-3.X, ook bekend als
3.X-STABLE.RELENG_2_2De ontwikkellijn voor &os;-2.2.X, ook bekend als
2.2-STABLE. Deze tak is sterk verouderd.ReleaselabelsDeze labels refereren aan een specifiek moment in de tijd
waarop een versie van &os; is uitgegeven. Het proces om tot
een release te komen is gedetailleerder beschreven in de
Release Engineering
Informatie en Release
Proces documenten. De src structuur gebruikt
labelnamen die beginnen met RELENG_ labels.
De ports en doc structuren gebruiken labels
waarvan de naam begint met het label
RELEASE. De www tenslotte, is niet
gemarkeerd met een bijzondere naam bij releases.RELENG_7_1_0_RELEASE&os; 7.1RELENG_7_0_0_RELEASE&os; 7.0RELENG_6_4_0_RELEASE&os; 6.4RELENG_6_3_0_RELEASE&os; 6.3RELENG_6_2_0_RELEASE&os; 6.2RELENG_6_1_0_RELEASE&os; 6.1RELENG_6_0_0_RELEASE&os; 6.0RELENG_5_5_0_RELEASE&os; 5.5RELENG_5_4_0_RELEASE&os; 5.4RELENG_4_11_0_RELEASE&os; 4.11RELENG_5_3_0_RELEASE&os; 5.3RELENG_4_10_0_RELEASE&os; 4.10RELENG_5_2_1_RELEASE&os; 5.2.1RELENG_5_2_0_RELEASE&os; 5.2RELENG_4_9_0_RELEASE&os; 4.9RELENG_5_1_0_RELEASE&os; 5.1RELENG_4_8_0_RELEASE&os; 4.8RELENG_5_0_0_RELEASE&os; 5.0RELENG_4_7_0_RELEASE&os; 4.7RELENG_4_6_2_RELEASE&os; 4.6.2RELENG_4_6_1_RELEASE&os; 4.6.1RELENG_4_6_0_RELEASE&os; 4.6RELENG_4_5_0_RELEASE&os; 4.5RELENG_4_4_0_RELEASE&os; 4.4RELENG_4_3_0_RELEASE&os; 4.3RELENG_4_2_0_RELEASE&os; 4.2RELENG_4_1_1_RELEASE&os; 4.1.1RELENG_4_1_0_RELEASE&os; 4.1RELENG_4_0_0_RELEASE&os; 4.0RELENG_3_5_0_RELEASE&os;-3.5RELENG_3_4_0_RELEASE&os;-3.4RELENG_3_3_0_RELEASE&os;-3.3RELENG_3_2_0_RELEASE&os;-3.2RELENG_3_1_0_RELEASE&os;-3.1RELENG_3_0_0_RELEASE&os;-3.0RELENG_2_2_8_RELEASE&os;-2.2.8RELENG_2_2_7_RELEASE&os;-2.2.7RELENG_2_2_6_RELEASE&os;-2.2.6RELENG_2_2_5_RELEASE&os;-2.2.5RELENG_2_2_2_RELEASE&os;-2.2.2RELENG_2_2_1_RELEASE&os;-2.2.1RELENG_2_2_0_RELEASE&os;-2.2.0AFS sitesEr draaien AFS servers voor &os; op de volgende sites:SwedenThe path to the files are:
/afs/stacken.kth.se/ftp/pub/FreeBSD/stacken.kth.se # Stacken Computer Club, KTH, Sweden
130.237.234.43 #hot.stacken.kth.se
130.237.237.230 #fishburger.stacken.kth.se
130.237.234.3 #milko.stacken.kth.seBeheerder: ftp@stacken.kth.sersync sitesDe volgende sites bieden &os; aan via het protocol rsync.
Het programma rsync werkt vrijwel
hetzelfde als &man.rcp.1;, maar kent meer mogelijkheden en
gebruikt het rsync remote-update protocol, dat alleen verschillen
tussen twee groepen bestanden overbrengt, waardoor het
synchroniseren via een netwerk drastisch wordt versneld. Dit
kan het beste gedaan worden als er een mirrorsite voor de
&os; FTP server of het &os; CVS depot draait. De
rsync suite is voor veel
besturingssystemen beschikbaar. Voor &os; kan het pakket of de
port uit net/rsync
geïnstalleerd worden.Tsjechische Republiekrsync://ftp.cz.FreeBSD.org/Beschikbare collecties:ftp: een gedeeltelijke mirror van de &os;
FTP server.&os;: een volledige mirror van de &os; FTP
server.
-
- Duitsland
-
-
- rsync://grappa.unix-ag.uni-kl.de/
-
- Beschikbare collecties:
-
- freebsd-cvs: het volledige &os; CVS
- depot.
-
- Deze machine mirrort onder andere ook de CVS depots
- voor de NetBSD en OpenBSD projecten.
-
-
-
Nederlandrsync://ftp.nl.FreeBSD.org/Beschikbare collecties:vol/4/freebsd-core: een volledige mirror
van de &os; FTP server.Ruslandrsync://cvsup4.ru.FreeBSD.org/Beschikbare collecties:FreeBSD-gnats: De GNATS bug-tracking database.Taiwanrsync://ftp.tw.FreeBSD.org/rsync://ftp2.tw.FreeBSD.org/rsync://ftp6.tw.FreeBSD.org/Beschikbare collecties:FreeBSD: een volledige mirror van de &os;
FTP server.Verenigd Koninkrijkrsync://rsync.mirror.ac.uk/Beschikbare collecties:ftp.FreeBSD.org: een volledige mirror van
de &os; FTP server.Verenigde Statenrsync://ftp-master.FreeBSD.org/Deze server mag alleen gebruikt worden door &os;
primaire mirrorsites.Beschikbare collecties:&os;: het masterarchief van de &os;
FTP server.acl: de &os; master ACL
lijst.rsync://ftp13.FreeBSD.org/Beschikbare collecties:&os;: een volledige mirror van de &os; FTP
server.
diff --git a/nl_NL.ISO8859-1/books/handbook/ports/chapter.sgml b/nl_NL.ISO8859-1/books/handbook/ports/chapter.sgml
index 792c0e8fd5..3b3105e981 100644
--- a/nl_NL.ISO8859-1/books/handbook/ports/chapter.sgml
+++ b/nl_NL.ISO8859-1/books/handbook/ports/chapter.sgml
@@ -1,1689 +1,1689 @@
RenéKetelaarsVertaald door SiebrandMazelandApplicaties installeren: pakketten en portsOverzichtportspakketten&os; bevat een grote collectie aan systeemgereedschappen
als onderdeel van het basissysteem. De mogelijkheden reiken
echter niet heel ver en daarom is er snel een applicatie van een
andere partij nodig. &os; bevat twee complementaire
technologieën om andere applicaties te installeren: de &os;
Portscollectie (voor het installeren vanuit broncode) en pakketten
(voor het installeren vanuit voorgecompileerde binaire
bestanden). Beide systemen kunnen gebruikt worden om de nieuwste
versies van een gewenste applicatie te installeren van lokale
media of rechtstreeks van het netwerk.Na het lezen van dit hoofdstuk weet de lezer:Hoe binaire softwarepakketten van derden te
installeren;Hoe software van derden vanuit de Portscollectie vanuit
broncode te installeren;Hoe eerder geïnstalleerde pakketten of ports te
verwijderen;Hoe standaardwaarden die door de ports worden gebruikt te
wijzigen;Hoe het juiste softwarepakket te vinden;Hoe applicaties bij te werken.Overzicht van softwareinstallatieAls u eerder gebruik heeft gemaakt van een &unix;-systeem dan
is het bekend dat de standaardprocedure voor het installeren van
software van derden ongeveer als volgt is:Download de software als broncode of als binair
bestand;Pak de software uit vanuit zijn originele distributietype
(meestal een tar-bestand gecomprimeerd met &man.compress.1;,
&man.gzip.1;, of &man.bzip2.1;);Zoek de documentatie (meestal een
INSTALL of README
bestand of enkele bestanden in een submap
doc/) en lees zorgvuldig hoe de software
geïnstalleerd moet worden;Als de software als broncode is gedistribueerd, moet de
broncode gecompileerd worden. Dit kan wijzigingen in een
Makefile vereisen of het draaien van een
configure script en andere
werkzaamheden;De software installeren en testen.En dat geldt alleen als alles goed gaat. Als er een
softwarepakket geïnstalleerd wordt dat niet specifiek
gemaakt is voor &os; moet mogelijkerwijs zelfs de code aangepast
worden om alles goed te laten werken.Als de gebruiker het wenst, kan hij in &os; doorgaan met het
installeren van software op de traditionele
manier. &os; levert echter twee technologieën die veel
moeite kunnen besparen: pakketten en ports. Op dit moment zijn zo
meer dan &os.numports; applicaties beschikbaar.Voor iedere gewenste applicatie is het &os; pakket voor die
applicatie één te downloaden bestand. Het pakket
bevat voorgecompileerde kopiën met alle commando's voor de
applicatie en alle instellingenbestanden of documentatie. Een
gedownload pakketbestand kan gemanipuleerd worden met &os;
pakketbeheercommando's zoals &man.pkg.add.1;,
&man.pkg.delete.1;, &man.pkg.info.1;, enzovoort. Het installeren
van een nieuwe applicatie kan met één
commando.Een &os; port van een applicatie is een groep bestanden
ontworpen om het proces van compileren van een applicatie vanuit
broncode te automatiseren.Het is te vergelijken met de stappen die normaal gevolgd
worden om een programma te compileren (downloaden, uitpakken,
aanpassen, compileren en installeren). De bestanden die samen
een port vormen bevatten alle noodzakelijke informatie om het
systeem dit te laten doen. Met een aantal eenvoudige commando's
wordt de broncode voor de applicatie automatisch gedownload,
uitgepakt, aangepast, gecompileerd en geïnstalleerd.Het portssysteem kan zelfs gebruikt worden om pakketten te
maken die later weer gemanipuleerd kunnen worden met
pkg_add en andere pakketbeheercommando's,
waarover later meer uitleg wordt gegeven.Zowel pakketten als ports kennen afhankelijkheden
(dependencies). Stel dat er een applicatie
geïnstalleerd gaat worden die er vanuit gaat dat een
specifieke bibliotheek wordt geïnstalleerd. Zowel de
applicatie als de bibliotheek zijn beschikbaar als &os; ports
en pakketten. Als het commando pkg_add of
het portssysteem wordt gebruikt om de applicatie toe te voegen,
dan zien beiden dat de bibliotheek niet geïnstalleerd is
en wordt deze automatisch eerst geïnstalleerd.Gezien het feit dat beide technologieën vrijwel identiek
zijn, kan de vraag rijzen waarom &os; de moeite neemt om beide te
faciliteren. Pakketten en ports hebben ieder hun eigen kracht.
Welke gebruikt wordt hangt af van voorkeuren en
omstandigheden.Voordelen van pakkettenEen gecomprimeerd pakket tar-bestand is meestal kleiner
dan het gecomprimeerde tar-bestand met de broncode van de
applicatie;Pakketten vereisen geen additionele compilatie. Voor
grote applicaties als Mozilla,
KDE of
GNOME kan dit belangrijk zijn,
vooral als een systeem wat trager is;Pakketten vereisen geen begrip van het proces van het
compileren van software op &os;.Voordelen van portsPakketten worden meestal gecompileerd met conservatieve
opties, omdat ze moeten draaien op een maximaal aantal
systemen. Bij het installeren vanuit de port kunnen de
compilatie-instellingen aangepast worden om zo bijvoorbeeld
code te maken die specifiek voor een Pentium 4 of een Athlon
processor is;Sommige applicaties hebben compilatie-instellingen
gerelateerd aan wat ze wel of niet kunnen doen.
Apache kan bijvoorbeeld ingesteld
worden met een uitgebreide hoeveelheid verschillende
ingebouwde instellingen. Door vanuit de port te werken
hoeven niet alle standaardinstellingen geaccepteerd te worden
en kunnen ze ingesteld worden;In sommige gevallen zijn er meerdere pakketten voor
dezelfde applicatie om specifieke instellingen aan te geven.
Ghostscript is bijvoorbeeld
beschikbaar als een ghostscript pakket
en ghostscript-nox11 pakket,
afhankelijk van het al dan niet geïnstalleerd hebben van
een X11 server. Deze ruwe vorm van tweaking is mogelijk met
pakketten, maar dit wordt snel onmogelijk als een applicatie
meer dan één of twee verschillende
compilatie-instellingen heeft;De licentievoorwaarden van sommige softwaredistributies
verbieden binaire distributie. Ze moeten dus gedistribueerd
worden als broncode;Sommige mensen vertrouwen binaire distributies niet.
Broncode kan tenminste (in theorie) zelf doorgelezen en
gecontroleerd worden op potentiële problemen;Als er lokale modificaties zijn, is de broncode nodig om
ze toe te passen;Sommige mensen hebben graag de broncode zodat ze die
kunnen lezen als ze zich vervelen, erin kunnen hacken, code
kunnen overnemen (indien de licentie dit toestaat
natuurlijk), enzovoort.Om vernieuwingen van ports bij te houden kan een abonnement
genomen worden op de &a.ports; en/of de &a.ports-bugs;.Voordat een applicatie wordt geïnstalleerd is het aan
te raden op
na kijken of er geen beveiligingsproblemen voor de gewenste
applicatie bekend zijn.Het is ook mogelijk om ports-mgmt/portaudit te installeren,
dat automatisch alle geïnstalleerde applicaties
controleert op bekende fouten. Deze controle wordt ook
uitgevoerd voordat een port wordt geïnstalleerd.
Met het commando portaudit -F -a
kunnen de pakketten die al geïnstalleerd zijn worden
gecontroleerd.In de rest van dit hoofdstuk wordt uitgelegd hoe pakketten en
ports gebruikt kunnen worden om software in &os; te installeren
en te beheren.Applicaties zoekenVoordat een applicatie geïnstalleerd kan worden, moeten
de doelen bekend zijn en hoe de applicatie heet.De lijst met voor &os; beschikbare applicaties groeit
continu. Gelukkig zijn er een aantal manieren om te
zoeken:Op de &os; website staat een recente doorzoekbare lijst
met alle beschikbare applicaties: http://www.FreeBSD.org/ports/.
De ports zijn onderverdeeld in categorieën. Er kan naar
een applicatie gezocht worden op naam (als die bekend is) of
alle applicaties in een categorie kunnen bekeken
worden.FreshPortsDan Langille onderhoudt FreshPorts op . FreshPorts
volgt veranderingen in applicaties in de ports en biedt de
mogelijkheid om of meer ports te volgen. Er wordt dan een
email gestuurd als de port is bijgewerkt.FreshMeatAls de naam van de gewenst applicatie niet bekend is, is
het wellicht mogelijk deze te achterhalen via een website als
FreshMeat ()
en kan daarna op de &os; site gecontroleerd worden of de
applicatie al geschikt gemaakt is voor gebruik met
&os;.Als de precieze naam van de port bekend is, maar niet
bekend is in welke categorie deze staat, kan dit achterhaald
worden met &man.whereis.1;. Door simpelweg whereis
bestand in te geven,
waar bestand het te installeren
programma is. Als het op het systeem staat, wordt dat als
volgt aangegeven:&prompt.root; whereis lsof
lsof: /usr/ports/sysutils/lsofDit geeft aan dat lsof (een
systeemhulpprogramma) in de map
/usr/ports/sysutils/lsof staat.U kunt ook een eenvoudig &man.echo.1;-statement gebruiken
om uit te zoeken waar een port zich in te ports tree bevindt.
Bijvoorbeeld:&prompt.root; echo /usr/ports/*/*lsof*
/usr/ports/sysutils/lsofMerk op dat dit alle overeenkomstige bestanden die
gedownload zijn in de map /usr/ports/distfiles
terruggeeft.Nog een andere manier om een port op te sporen is door het
ingebouwde zoekmechanisme van de Portscollectie te
gebruiken. Hiervoor moet het huidige pad de map
/usr/ports zijn. Vanuit die map kan
make search
name=programmanaam
uitgevoerd worden, waar
programmanaam de naam is van het
programma dat wordt gezocht. Als bijvoorbeeld
lsof wordt gezocht:&prompt.root; cd /usr/ports
&prompt.root; make search name=lsof
Port: lsof-4.56.4
Path: /usr/ports/sysutils/lsof
Info: Lists information about open files (similar to fstat(1))
Maint: obrien@FreeBSD.org
Index: sysutils
B-deps:
R-deps:Het belangrijkste onderdeel van de uitvoer is in dit geval
de regel waarop Path: staat, omdat die aangeeft
waar de port staat. De andere informatie is niet nodig voor de
installatie van de port en wordt hier niet behandeld.Voor nog dieper zoeken kan ook make
search
key=string
gebruikt worden waar string tekst is
waarnaar gezocht moet worden. Hiermee wordt naar namen van
ports, commentaar, beschrijvingen en afhankelijkheden gezocht
en dit kan gebruikt worden om ports te vinden die te maken
hebben met een bepaald onderwerp als onbekend is hoe het
gezochte programma heet.In beide gevallen is de zoekstring niet
hoofdlettergevoelig. Zoeken naar LSOF geeft
hetzelfde resultaat als zoeken naar lsof.ChernLeeBijgedragen door Het pakkettensysteem gebruikenEr zijn verschillende gereedschappen die gebruikt worden om
pakketten op &os; te beheren:
- sysinstall kan op een draaiend systeem
- worden gebruikt om beschikbare en geïnstalleerde
- pakketten te installeren, te verwijderen, en weer te geven.
- Zie voor meer informatie Instellingen na de installatie.
+ Het gereedschap sysinstall kan op een
+ draaiend systeem worden gebruikt om beschikbare en
+ geïnstalleerde pakketten te installeren, te verwijderen,
+ en weer te geven. Zie voor meer informatie .De opdrachtregelgereedschappen om pakketten te beheren,
welke het onderwerp van de rest van deze sectie zijn.Pakketten installerenpakketteninstallerenpkg_addMet &man.pkg.add.1; kan een &os; softwarepakket
geïnstalleerd worden vanaf een lokaal bestand of vanaf een
server op het netwerk.Handmatig pakketten downloaden en lokaal
installeren&prompt.root; ftp -a ftp2.FreeBSD.org
Connected to ftp2.FreeBSD.org.
220 ftp3.FreeBSD.org FTP server (Version 6.00LS) ready.
331 Guest login ok, send your email address as password.
230-
230- This machine is in Vienna, VA, USA, hosted by Verio.
230- Questions? E-mail freebsd@vienna.verio.net.
230-
230-
230 Guest login ok, access restrictions apply.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>cd /pub/FreeBSD/ports/packages/sysutils/
250 CWD command successful.
ftp>get lsof-4.56.4.tgz
local: lsof-4.56.4.tgz remote: lsof-4.56.4.tgz
200 PORT command successful.
150 Opening BINARY mode data connection for 'lsof-4.56.4.tgz' (92375 bytes).
100% |**************************************************| 92375 00:00 ETA
226 Transfer complete.
92375 bytes received in 5.60 seconds (16.11 KB/s)
ftp>exit
&prompt.root; pkg_add lsof-4.56.4.tgzAls er lokaal geen bron is voor pakketten (zoals de &os;
CD-ROM-verzameling) dan is het waarschijnlijk makkelijker om de
optie te gebruiken met &man.pkg.add.1;.
Deze optie zorgt er voor dat het hulpprogramma automatisch het
correcte formaat en de juiste versie bepaalt en die daarna
binnenhaalt en installeert vanaf een FTP site.pkg_add&prompt.root; pkg_add -r lsofHet voorbeeld hierboven haalt het correcte pakket binnen
en installeert het zonder dat de gebruiker iets hoeft te doen.
Als u een alternatieve &os; Pakkettenmirror wilt specificeren,
in plaats van de hoofddistributiesite, dan moet u de
omgevingsvariabele PACKAGESITE overeenkomstig
instellen om de standaardinstellingen aan te passen.
&man.pkg.add.1; gebruikt &man.fetch.3; om de bestanden binnen te
halen, dat gebruik maakt van diverse omgevingsvariabelen zoals
FTP_PASSIVE_MODE, FTP_PROXY, en
FTP_PASSWORD. Mogelijk moeten ook
één of meer van deze variabelen gebruikt worden
als een machine achter een firewall staat of als gebruik
gemaakt moet worden van een FTP/HTTP proxy. In &man.fetch.3;
staat de complete lijst. In het voorbeeld hierboven is gebruik
gemaakt van lsof in plaats van
lsof-4.56.4. Als het pakket wordt
binnengehaald met behulp van de bovenstaande instellingen, dan
moet het versienummer van het pakket niet gebruikt worden.
&man.pkg.add.1; haalt automatisch de laatste versie van de
applicatie binnen.&man.pkg.add.1; downloadt de meest recente versie van een
applicatie als &os.current; of &os.stable;. Als een
-RELEASE versie wordt gebruikt, wordt het pakket dat bij die
release hoort gebruikt. Het is mogelijk dit gedrag te
veranderen door PACKAGESITE te wijzigen. Als u
bijvoorbeeld &os; 5.4-RELEASE draait, dan haalt
&man.pkg.add.1; standaard de pakketten uit
ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-5.4-release/Latest/.
Om &man.pkg.add.1; de &os; 5-STABLE pakketten te laten
downloaden kan PACKAGESITE ingesteld worden op
ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-5-stable/Latest/.Pakketbestanden worden gedistribueerd in de formaten
.tgz en .tbz. Ze
zijn te vinden op
of op de &os; CD-ROM-distributie. Iedere CD-ROM in de
&os; 4-CD-ROM-verzameling (en de PowerPak, enzovoort) bevat
pakketten in de map /packages. De opbouw
van de pakketten is ongeveer gelijk aan die van
/usr/ports. Iedere categorie heeft zijn
eigen map en ieder pakket staat ook in de map
All.De mappenstructuur van het pakkettensysteem is gelijk aan
die van het portssysteem. Samen vormen ze het
pakket/portssysteem.Pakketten beherenpakkettenbeheren&man.pkg.info.1; is een hulpprogramma dat de diverse
geïnstalleerde pakketten toont en beschrijft.pkg_info&prompt.root; pkg_info
cvsup-16.1 A general network file distribution system optimized for CV
docbook-1.2 Meta-port for the different versions of the DocBook DTD
...&man.pkg.version.1; is een hulpprogramma dat een
samenvatting van de versie van alle geïnstalleerde
pakketten geeft. Het vergelijkt de versie van het pakket met
de huidige versie in de Portscollectie.pkg_version&prompt.root; pkg_version
cvsup =
docbook =
...De symbolen in de tweede kolom geven aan hoe de
geïnstalleerde versie staat ten opzichte van de versie die
beschikbaar is in de lokale Portscollectie.SymboolBetekenis=De versie van het geïnstalleerde pakket komt
overeen met die in de lokale Portscollectie.<De geïnstalleerde versie is ouder dan die
beschikbaar is in de ports.>De geïnstalleerde versie is nieuwer dan die
in de lokale Portscollectie. De lokale Portscollectie
is waarschijnlijk verouderd.?Het geïnstalleerde pakket kan niet gevonden
worden in index van de Portscollectie. Dit kan
bijvoorbeeld gebeuren als een geïnstalleerde port
uit de Portscollectie wordt verwijderd of
hernoemd.*Er zijn meerdere versies van het pakket.!Het geïnstalleerde pakket bestaat in de index
maar om de een of andere reden was
pkg_version niet in staat om het
versienummer van het geïnstalleerde pakket met de
overeenkomstige ingang in de index te
vergelijken.Pakketten verwijderenpkg_deletepakkettenverwijderenVoor het verwijderen van een geïnstalleerd pakket
wordt het hulpprogramma &man.pkg.delete.1; gebruikt.&prompt.root; pkg_delete xchat-1.7.1Merk op dat &man.pkg.delete.1; de volledige naam en het
volledige nummer van het pakket nodig heeft; het bovenstaande
commando zou niet werken als xchat
in plaats van xchat-1.7.1 was
gegeven. Het is echter eenvoudig om &man.pkg.version.1; te
gebruiken om de versie van het geïnstalleerde pakket te
achterhalen. U zou ook eenvoudigweg een wildcard kunnen
gebruiken:&prompt.root; pkg_delete xchat\*In dit geval zullen alle pakketten waarvan de naam met
xchat begint worden verwijderd.DiversenAlle informatie over pakketten wordt opgeslagen in de map
/var/db/pkg. De lijst met
geïnstalleerde bestanden en beschrijvingen van ieder
pakket staat in de bestanden in deze map.De Portscollectie gebruikenIn de volgende paragrafen worden basisinstructies gegeven
over het gebruik van de Portscollectie om programma's op een
systeem te installeren of ervan te verwijderen. Een
gedetailleerde beschrijving van de make-doelen
en omgevingsvariabelen staat in &man.ports.7;.De PortscollectieVoordat ports geïnstalleerd kunnen worden moet eerst
de Portscollectie op een systeem staan, die in essentie een set
van Makefiles, patches en bestanden met
beschrijvingen is in /usr/ports.Tijdens het installeren van een &os; systeem, vraagt
sysinstall of de Portscollectie
geïnstalleerd moet worden. Als daar NO is
aangegeven, dan kan met behulp van de volgende instructies
alsnog de Portscollectie op een systeem gezet worden:Met CVSupDit is een snelle methode voor het verkrijgen en
bijhouden van een kopie van Portscollectie met behulp van het
CVSup-protocol. Meer informatie
over CVSup staat in CVSup gebruiken.De implementatie van het
CVSup-protocol dat met &os; wordt
geleverd heet csup. Het
verscheen voor het eerst in &os; 6.2. Gebruikers van oudere
uitgaven kunnen het via de port of het pakket net/csup installeren.Zorg ervoor dat
/usr/ports leeg is
voordat csup voor het eerst
gebruikt wordt! Als er reeds een Ports Collectie aanwezig is
die via een andere bron is opgehaald, zal
csup verwijderde patchbestanden
niet verwijderen.Draai csup:&prompt.root; csup -L 2 -h cvsup.FreeBSD.org /usr/share/examples/cvsup/ports-supfileWijzig cvsup.FreeBSD.org
in een CVSup server in de buurt.
In CVSup Mirrors
() staat een complete lijst
van mirrorsites;Het kan wenselijk zijn een aangepaste
ports-supfile te gebruiken,
bijvoorbeeld om een CVSup
server niet mee te hoeven geven op de
commandoregel.Kopieer in dit geval, als
root,
/usr/share/examples/cvsup/ports-supfile
naar een nieuwe locatie, zoals /root of een
thuismap.Wijzig ports-supfile.Wijzig
CHANGE_THIS.FreeBSD.org in
een CVSup server in de
buurt. In CVSup
Mirrors ()
staat een volledige lijst met mirrorsites.Roep nu als volgt csup
aan:&prompt.root; csup -L 2 /root/ports-supfileHet later draaien van &man.csup.1; zal alle recente
veranderingen aan uw Portscollectie downloaden en toepassen,
behalve het eigenlijke herbouwen van ports voor uw eigen
systeem.Met PortsnapPortsnap is een alternatief systeem voor het
distribueren van de Portscollectie. In Portsnap
gebruiken staat een gedetailleerde beschrijving van
alle mogelijkheden van Portsnap.Download een gecomprimeerd snapshot van de
Portscollectie naar /var/db/portsnap. Na deze
stap kan eventueel de verbinding met Internet verbroken
worden.&prompt.root; portsnap fetchAls Portsnap voor de eerste
keer draait, pak het snapshot dan uit in /usr/ports:
&prompt.root; portsnap extractAls /usr/ports
al gevuld is en er alleen wordt bijgewerkt, voer dan het
volgende commando uit in plaats van het
bovenstaande:&prompt.root; portsnap updateMet sysinstallBij deze methode wordt
sysinstall gebruikt om de
Portscollectie van installatiemedia te installeren. Hier
wordt wel de Portscollectie op het moment dat de release
gemaakt is geïnstalleerd. Bij toegang tot Internet is
het advies altijd een andere methode te gebruiken.Draai als rootsysinstall
(/stand/sysinstall in &os;
versies ouder dan 5.2) zoals hieronder aangegeven:&prompt.root; sysinstallScroll naar beneden en selecteer
Configure, druk op
Enter.Scroll naar beneden en selecteer
Distributions, druk op
Enter.Scroll naar ports, druk op
Space.Scroll naar boven naarExit,
druk op Enter.Selecteer de gewenste installatiemedia, zoals CD-ROM,
FTP, enzovoort.Scroll omhoog naar Exit en
druk op Enter.Druk op X om
sysinstall af te sluiten.Ports installerenportsinstallerenHet eerste wat uitleg behoeft als het over de
Portscollectie gaat is de term skelet
(skeleton). In een notendop is een portskelet
een minimaal aantal bestanden dat &os; aangeeft hoe een
programma gecompileerd en geïnstalleerd kan worden. Ieder
portskelet bevat:Een Makefile. De
Makefile bevat verschillende
definities die aangeven hoe de applicatie gecompileerd moet
worden en waar die op een systeem geïnstalleerd moet
worden;Een bestand distinfo. Dit bestand
bevat informatie over de bestanden die gedownload moeten
worden om de port te bouwen, en hun checksums (door gebruik
te maken van &man.md5.1; en &man.sha256.1;), om vast te
stellen dat de bestanden niet corrupt zijn geraakt tijdens
de download;Een map files. Deze map bevat
patches om het programma op een &os; systeem te laten
compileren en installeren. Patches zijn in essentie kleine
bestanden waarin kleine veranderingen aan andere,
specifieke, bestanden staan aangegeven. Ze zijn opgesteld
in platte tekst en er staan dingen in als Verwijder
regel 10 of Wijzig regel 26 in
.... Patches staan ook wel bekend als
diffs omdat ze gemaakt worden met het
programma &man.diff.1;.Deze map kan ook andere bestanden bevatten die gebruikt
worden om de port te bouwen;Een bestand pkg-descr. Dit is een
meer gedetailleerde beschrijving van het programma, vaak in
één regel;Een bestand pkg-plist. Dit is een
lijst met alle bestanden die door de port
geïnstalleerd worden. Het geeft het portssysteem ook
aan welke bestanden bij het verwijderen van de port weer
verwijderd kunnen worden.Sommige ports bevatten nog andere bestanden, zoals
pkg-message. Het portssysteem gebruikt
die bestanden voor het afhandelen van bijzondere situaties.
Meer details over die bestanden en over ports in het algemeen
zijn na te lezen in het &os; Handboek
voor Porters.De port bevat instructies over hoe de broncode gebouwd moet
worden, maar de broncode zelf is er geen onderdeel van. De
broncode staat op een CD-ROM of op Internet. De broncode
wordt verspreid op de wijze waarop de auteur dat wenst. Vaak
is dat als een tar of gzip bestand, maar het kan ook ingepakt
zijn met een ander programma of helemaal niet ingepakt zijn.
De broncode van een programma, in welke vorm dan ook, heet een
distributiebestand. De twee methoden om een &os;
port te installeren worden hieronder beschreven.Ports installeren dient als root te
gebeuren.Voordat een port wordt geïnstalleerd is het aan
te raden op
na kijken of er geen beveiligingsproblemen voor de
gewenste port bekend zijn.Er kan automatisch een controle op beveiligingsproblemen
door portaudit gedaan worden
voordat er een nieuwe applicatie wordt geïnstalleerd.
Dit gereedschap kan in de Portscollectie gevonden worden
(ports-mgmt/portaudit).
Overweeg om portaudit -F te draaien voordat
er een nieuwe port wordt geïnstalleerd, om de huidige
database met beveiligingsproblemen op te halen. Tijdens de
dagelijkse beveiligingscontrole van het systeem zal er een
beveiligingsaudit en een update van de database plaatsvinden.
Lees voor meer informatie de hulppagina's &man.portaudit.1; en
&man.periodic.8;.De Portscollectie neemt aan dat er een werkende
Internetverbinding is. Als die niet aanwezig is, zet dan
handmatig een kopie van het benodigde distributiebestand in
/usr/ports/distfiles.Ga om te beginnen naar de juiste map voor een port:&prompt.root; cd /usr/ports/sysutils/lsofEenmaal in de map lsof is het skelet
van de port te zien. In de volgende stap wordt de broncode
voor de port gecompileerd of gebouwd. Dit
wordt gedaan door op het prompt make in te
voeren. Dat levert iets als het volgende op:&prompt.root; make
>> lsof_4.57D.freebsd.tar.gz doesn't seem to exist in /usr/ports/distfiles/.
>> Attempting to fetch from ftp://lsof.itap.purdue.edu/pub/tools/unix/lsof/.
===> Extracting for lsof-4.57
...
[uitvoer van uitpakken verwijderd]
...
>> Checksum OK for lsof_4.57D.freebsd.tar.gz.
===> Patching for lsof-4.57
===> Applying FreeBSD patches for lsof-4.57
===> Configuring for lsof-4.57
...
[uitvoer van configure verwijderd]
...
===> Building for lsof-4.57
...
[uitvoer van compileren verwijderd]
...
&prompt.root;Als het compileren is afgerond is het prompt weer
zichtbaar. In de volgende stap wordt de port
geïnstalleerd. Om dat te bewerkstelligen wordt het woord
install aan make
toegevoegd:&prompt.root; make install
===> Installing for lsof-4.57
...
[uitvoer installatie verwijderd]
...
===> Generating temporary packing list
===> Compressing manual pages for lsof-4.57
===> Registering installation for lsof-4.57
===> SECURITY NOTE:
This port has installed the following binaries which execute with
increased privileges.
&prompt.root;Als de prompt weer beschikbaar is, is de applicatie
klaar voor gebruik. Omdat lsof met
verhoogde rechten wordt uitgevoerd, wordt er een
waarschuwing getoond. Tijdens het bouwen en installeren van
ports zijn de getoonde waarschuwingen van belang.Het is verstandig om de submap die als werkmap wordt
gebruikt te verwijderen. Hierin staan alle tijdelijke
bestanden die tijdens het compileren worden gebruikt. Die
bestanden gebruiken niet alleen waardevolle schijfruimte, maar
ze kunnen later ook problemen veroorzaken als de port wordt
bijgewerkt.&prompt.root; make clean
===> Cleaning for lsof-4.57
&prompt.root;Het is mogelijk twee stappen minder te gebruiken door
make install clean
uit te voeren in plaats van make,
make install
en make clean als
drie afzonderlijke stappen.Sommige shells houden een cache bij van de commando's
die in de mappen uit de omgevingsvariabele
PATH staan om het opzoeken van een uitvoerbaar
bestand te versnellen. Als zo'n shell wordt gebruikt, moet
er na de installatie van een port het commando
rehash worden uitgevoerd voordat zojuist
geïnstalleerde commando's kunnen worden gebruikt. Dit
commando werkt voor shells zoals tcsh.
Gebruik voor shells als shhash
-r. In de documentatie van een shell staat meer
informatie.Sommige DVD-ROM-producten van andere partijen, zoals de
&os; Toolkit van de FreeBSD Mall
bevatten distributiebestanden. Die kunnen met de Portscollectie
gebruikt worden. Koppel de DVD-ROM aan op
/cdrom. Stel bij gebruik van een ander
aankoppelpunt de make variabele CD_MOUNTPTS
in. De benodigde distributiebestanden worden automatisch
gebruikt als ze op de schijf aanwezig zijn.Licenties van sommige ports staan niet toe dat de code
wordt opgenomen in een CD-ROM. Dit kan komen doordat er een
formulier ingevuld moet worden voor een download of doordat
herdistributie niet is toegestaan of om een andere reden.
Om een port te installeren die niet op de CD-ROM staat moet
de computer waarop de port geïnstalleerd wordt een
Internetverbinding hebben.Het portssysteem gebruikt &man.fetch.1; om bestanden te
downloaden. Dat programma maakt gebruik van een aantal
omgevingsvariabelen, waaronder FTP_PASSIVE_MODE,
FTP_PROXY, en FTP_PASSWORD. Als
een systeem achter een firewall staat, is het wellicht
noodzakelijk om een of meer van deze omgevingsvariabelen in te
stellen of om gebruik te maken van een FTP/HTTP proxy. In
&man.fetch.3; staat een complete lijst.Als er geen continue Internetverbinding is, kan gebruik
gemaakt worden van make
fetch. Door dit commando
in de map /usr/ports uit te voeren worden
alle benodigde bestanden gedownload. Dit
commando werkt ook op een lager niveau als
/usr/ports/net of
/usr/ports/net/xmule. Als een port
afhankelijk is van bibliotheken of andere ports dan worden de
distributiebestanden van die ports niet
opgehaald. Om dat de bereiken dient
fetch vervangen te worden door
fetch-recursive.Het is mogelijk alle ports in een categorie te bouwen
door make in een hogere map uit te voeren,
naar analogie van het voorbeeld voor make
fetch. Dit is wel
gevaarlijk, omdat sommige ports niet tegelijk met andere
geïnstalleerd kunnen zijn. In andere gevallen
installeren twee ports hetzelfde bestand met een andere
inhoud.In zeldzame gevallen willen of moeten gebruikers de
tar-bestanden van een andere site dan de
MASTER_SITES halen (de locatie waar de
bestanden vandaan komen). Dat is mogelijk met de optie
MASTER_SITES met een volgend
commando:&prompt.root; cd /usr/ports/directory
&prompt.root; make MASTER_SITE_OVERRIDE= \
ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/distfiles/ fetchIn het voorgaande voorbeeld is de optie
MASTER_SITES gewijzigd naar ftp.FreeBSD.org/pub/FreeBSD/ports/distfiles/.Sommige ports staan toe (of schrijven zelfs voor) dat er
een aantal instellingen worden meegegeven die bepaalde
onderdelen (niet gebruikt, beveiligingsinstellingen en andere
aanpassingen) van de applicatie in- of uitschakelen.
Voorbeelden van ports waarbij dat het geval is zijn www/mozilla, security/gpgme en mail/sylpheed-claws. Er wordt
een bericht getoond als dit soort instellingen beschikbaar
zijn.Standaardmappen voor ports wijzigenSoms is het handig (of verplicht) om een andere map voor
werk of ports te gebruiken. Met de variabelen
WRKDIRPREFIX en PREFIX
kunnen de standaardmappen veranderd worden:&prompt.root; make WRKDIRPREFIX=/usr/home/example/ports installHet voorbeeld hierboven compileert de port in
/usr/home/example/ports en installeert
alles in /usr/local.&prompt.root; make PREFIX=/usr/home/example/local installHet voorbeeld hierboven compileert in
/usr/ports en installeert in
/usr/home/example/local.&prompt.root; make WRKDIRPREFIX=../ports PREFIX=../local installHet voorbeeld hierboven combineert de twee instellingen.
Het gaat te ver om dit volledig in het handboek te
beschrijven, maar hier krijgt de lezer een idee van de
mogelijkheden.Het is ook mogelijk de bovenstaande variabelen als deel
van de omgeving in te stellen. In de hulppagina's van de
gebruikte shell staat hoe dat mogelijk is.Omgaan met imakeEr zijn ports die imake gebruiken
(een onderdeel van het X Window systeem) die niet goed werken
met PREFIX en erop staan te installeren in
/usr/X11R6. Er zijn ook een aantal Perl
ports die PREFIX negeren en in de Perl
hiërarchie installeren. Deze ports op de
PREFIX locatie laten installeren is
meestal erg moeilijk of onmogelijk.Ports herconfigurerenTijdens het bouwen van bepaalde ports kan er een menu dat
op ncurses is gebaseerd verschijnen waaruit u bepaalde
bouwopties kunt selecteren. Het is niet ongebruikelijk dat
gebruikers dit menu opnieuw willen bezoeken om deze opties toe
te voegen, te verwijderen, of te veranderen nadat een port is
gebouwd. Er zijn vele manieren om dit te doen. Eén
optie is om naar de map waarin de port staat te gaan en
make config te
typen, wat eenvoudigweg het menu opnieuw toont met daarin de
zelfde opties geselecteerd. Een andere optie is om
make showconfig te
gebruiken, wat alle instelopties voor de port aan u laat zien.
Nog een andere optie is om make
rmconfig uit te voeren wat
alle geselecteerde opties zal verwijderen en u toestaat
opnieuw te beginnen. Al deze opties, en anderen, worden zeer
gedetailleerd uitgelegd in de hulppagina voor &man.ports.7;.Geïnstalleerde ports verwijderenportsverwijderenNu u weet hoe ports te installeren, zult u zich
waarschijnlijk afvragen hoe ze te verwijderen, in het geval dat
u er een installeert en later besluit dat u de verkeerde port
heeft geïnstalleerd. We zullen ons vorige voorbeeld
(lsof) verwijderen. Ports worden op
precies dezelfde manier verwijderd als pakketten met het
commando &man.pkg.delete.1; (zoals beschreven in het onderdeel
Pakketten):&prompt.root; pkg_delete lsof-4.57Ports bijwerkenportsbijwerkenStel als eerste een lijst samen met ports waarvoor een
nieuwere versie beschikbaar is in de Portscollectie met het
commando &man.pkg.version.1;:&prompt.root; pkg_version -v/usr/ports/UPDATINGAls de Portscollectie eenmaal is bijgewerkt
vóór het bijwerken van ports, is het verstandig
het bestand /usr/ports/UPDATING te
raadplegen. In dat bestand staan aanwijzingen en wijzigingen
voor gebruikers die van belang zijn bij het bijwerken van
ports, zoals het veranderen van bestandsformaten, veranderen
van de locatie van configuratie bestanden, en andere
incompatibiliteiten met voorgaande versies.Als UPDATING tegenstrijdig is met
wat hier beschreven is, moet men UPDATING
als waar beschouwen.Ports bijwerken met portupgradeportupgradeHet hulpprogramma portupgrade
is ontworpen om geïnstalleerde ports eenvoudig bij te
werken. Het is beschikbaar via de port ports-mgmt/portupgrade.
Installeer het net als iedere andere port met het commando
make install
clean:&prompt.root; cd /usr/ports/ports-mgmt/portupgrade
&prompt.root; make install cleanScan de lijst met geïnstalleerde ports met het
commando pkgdb -F en corrigeer alle
gerapporteerde inconsistenties. Het is verstandig dit
regelmatig te doen, voor iedere keer bijwerken.Door het draaien van portupgrade -a
zal portupgrade beginnen met het
bijwerken van alle geïnstalleerde ports op een systeem
waarvoor een nieuwere versie beschikbaar is. Met de vlag
is het mogelijk in te stellen dat voor
iedere bij te werken port om bevestiging wordt
gevraagd.&prompt.root; portupgrade -aiGebruik om alleen een specifieke applicatie bij te werken
en niet alle beschikbare ports portupgrade
pkgname. Gebruik de
vlag om
portupgrade eerst alle ports bij
te laten werken die voor een bij te werken toepassing
benodigd zijn.&prompt.root; portupgrade -R firefoxGebruik de vlag om bij installatie
van pakketten in plaats van ports gebruik te maken. Met deze
optie zoekt portupgrade in de
lokale mappen uit PKG_PATH of haalt de
pakketten via het netwerk op als ze lokaal niet worden
aangetroffen. Als een pakket niet lokaal en niet via het
netwerk wordt gevonden, dan gebruikt
portupgrade ports. Om het gebruik
van ports te voorkomen kan gebruik gemaakt worden van de
optie :&prompt.root; portupgrade -PP gnome2Om alleen de distributiebestanden op te halen (of
pakketten als is opgegeven), zonder bouwen
of installeren, is beschikbaar. Meer
informatie staat in &man.portupgrade.1;.Ports bijwerken met portmanagerportmanagerPortmanager is een ander
hulpprogramma voor het eenvoudig bijwerken van
geïnstalleerde ports. Het is beschikbaar via de port
ports-mgmt/portmanager:&prompt.root; cd /usr/ports/sysutils/portmanager
&prompt.root; make install cleanAlle geïnstalleerde ports kunnen bijgewerkt worden
met het volgende eenvoudige commando:&prompt.root; portmanager -uMet de vlag kan ingesteld worden dat
voor iedere stap die Portmanager
wil uitvoeren vooraf toestemming moet worden gegeven.
Portmanager kan ook nieuwe ports
op een systeem installeren. Anders dan met het bekende
commando make install
clean worden alle afhankelijkheden
bijgewerkt voordat de geselecteerde port wordt gebouwd en
geïnstalleerd:&prompt.root; portmanager x11/gnome2Als er problemen zijn ten aanzien van de afhankelijkheden
voor een geselecteerde port, dan kan
Portmanager ze allemaal herbouwen
in de juiste volgorde. Als dat is afgerond, wordt daarna
ook de port die problemen opleverde opnieuw gebouwd:&prompt.root; portmanager graphics/gimp -fMeer informatie staat in &man.portmanager.1;.Ports bijwerken met PortmasterportmasterPortmaster is nog een
gereedschap voor het bijwerken van geïnstalleerde ports.
Portmaster was ontworpen om gebruik
te maken van de gereedschappen die in het basis
systeem te vinden zijn (het hangt niet af andere ports) en het
gebruikt de informatie in /var/db/pkg om te bepalen welke
ports bij te werken. Het is beschikbaar via de port ports-mgmt/portmaster:&prompt.root; cd /usr/ports/ports-mgmt/portmaster
&prompt.root; make install cleanPortmaster verdeelt ports in
vier categoriën:Wortelpoorten (geen afhankelijkheden, wordt niet van
afgehangen)Stampoorten (geen afhankelijkheden, wordt van
afgehangen)Takpoorten (hebben afhankelijkheden, wordt van
afgehangen)Bladpoorten (hebben afhankelijkheden, wordt niet van
afgehangen)U kunt de optie gebruiken om alle
geïnstalleerde ports tonen en naar updates te zoeken:&prompt.root; portmaster -L
===>>> Root ports (No dependencies, not depended on)
===>>> ispell-3.2.06_18
===>>> screen-4.0.3
===>>> New version available: screen-4.0.3_1
===>>> tcpflow-0.21_1
===>>> 7 root ports
...
===>>> Branch ports (Have dependencies, are depended on)
===>>> apache-2.2.3
===>>> New version available: apache-2.2.8
...
===>>> Leaf ports (Have dependencies, not depended on)
===>>> automake-1.9.6_2
===>>> bash-3.1.17
===>>> New version available: bash-3.2.33
...
===>>> 32 leaf ports
===>>> 137 total installed ports
===>>> 83 have new versions available
Alle geïnstalleerde ports kunnen met dit eenvoudige
commando worden bijgewerkt:&prompt.root; portmaster -aStandaard maakt Portmaster
een backup-pakket aan voordat het een bestaande port
verwijderd. Als de installatie van de nieuwe versie
succesvol is, zal Portmaster de
reservekopie verwijderen. Het gebruik van
zal
Portmaster instrueren om de
reservekopie niet automatisch te verwijderen. Het toevoegen
van de optie zal
Portmaster in interactieve modus
opstarten, en u vragen voordat het elke port bijwerkt.Als u fouten tegenkomt tijdens het bijwerkproces, kunt u
de optie gebruiken om alle ports bij te
werken/te herbouwen:&prompt.root; portmaster -afU kunt Portmaster ook gebruiken
om nieuwe ports op het systeem te installeren, en alle
afhankelijkheden bijwerken voordat de nieuwe port gebouwd en
geïnstalleerd wordt:&prompt.root; portmaster shells/bashBekijk &man.portmaster.8; voor meer informatie.Ports en schijfruimteportsdisk-spaceWerken met de Portscollectie kan in de loop der tijd veel
schijfruimte gebruiken. Na het bouwen en installeren van
software uit de ports, is het van belang altijd de tijdelijke
mappen work op te ruimen
met het commando make
clean. De complete
Portscollectie kan geschoond worden met het volgende
commando:&prompt.root; portsclean -CIn de loop der tijd komen ook veel oude bestanden met
broncode in de map distfiles te staan. Die kunnen
handmatig verwijderd worden of met het volgende commando dat
alle distributiebestanden waarnaar in de huidige ports geen
verwijzingen meer staan verwijdert:&prompt.root; portsclean -DOf om alle distributiebestanden te verwijderen waardoor
momenteel door geen één geïnstalleerde port
op uw systeem wordt verwezen:&prompt.root; portsclean -DDHet hulpprogramma portsclean is
onderdeel van de suite
portupgrade.Vergeet niet ports die niet langer gebruikt worden te
verwijderen. Een handig hulpmiddel hiervoor kan de port
ports-mgmt/pkg_cutleaves
zijn.Activiteiten na het installerenNa het installeren van een nieuwe applicatie is het meestal
verstandig om de documentatie te lezen die bij een applicatie
zit, bestanden met instellingen die vereist zijn aan te passen,
ervoor te zorgen dat de applicatie start na het opstarten (als het
een daemon is), enzovoort.De exacte stappen om een applicatie in te stellen zijn
natuurlijk voor iedere applicatie anders. Maar als er net een
nieuwe applicatie is geïnstalleerd en het is niet
vanzelfsprekend hoe verder te gaan, dan kunnen de volgende tips
helpen:Met &man.pkg.info.1; kan uitgevonden worden welke
bestanden geïnstalleerd zijn en waar. Om bijvoorbeeld
uit te vinden welke bestanden door FooPackage versie 1.0.0
zijn geïnstalleerd:&prompt.root; pkg_info -L foopackage-1.0.0 | lessBestanden in mapnamen met man/
zijn hulppagina's, etc/ bevat bestanden
met instellingen en doc/ bevat
uitgebreidere documentatie.Als niet helemaal duidelijk is welke versie van het
programma is geïnstalleerd, kan een commando als volgt
gebruikt worden:&prompt.root; pkg_info | grep -i foopackageHiermee worden alle pakketten getoond waar
foopackage in de pakketnaam
voorkomt.Als de hulppagina's zijn gevonden, kunnen die bekeken
worden met &man.man.1;. Zo kan er ook in de bestanden met
voorbeeldinstellingen gekeken worden en naar aanvullende
documentatie, als die is bijgeleverd.Als er een website is voor de applicatie staat daar
vaak ook aanvullende documentatie, veelgestelde vragen,
enzovoort. Als het webadres niet bekend is, kan dat nog
staan in de uitvoer van het volgende commando:&prompt.root; pkg_info foopackage-1.0.0Als er een regel met WWW: in staat, is
dat de URL naar de website voor de applicatie.Ports die na het opstarten moeten starten (zoals Internet
diensten) hebben meestal een voorbeeldscript in
/usr/local/etc/rc.d. Dit script kan
bekeken, aangepast en hernoemd worden waar nodig. Meer
informatie staat in Diensten
Starten.Omgaan met kapotte portsAls een port niet werkt, zijn er een aantal mogelijke
manieren om verder te komen:Zoek uit of er een oplossing voor de port staat te
wachten in de Problem Report
database. Als dat zo is kan wellicht de
voorgestelde reparatie gebruikt worden.Vraag de beheerder van de port om hulp. Voor het
emailadres van de beheerder kan make
maintainer getypt worden
of het kan in de Makefile staan. Zet in
de mail in ieder geval de naam en versie van de port (de regel
met $&os;: in de
Makefile) en de uitvoer tot en met de
foutmelding.Sommige ports worden niet beheerd door een individu
maar in plaats daarvan door een mailinglijst.
Veel, maar niet alle, van deze adressen zien eruit als
freebsd-lijstnaam@FreeBSD.org.
Houd hier alstublieft rekening mee bij het formuleren van
vragen.In het bijzonder worden ports die geregistreerd staan
als onderhouden door ports@FreeBSD.org helemaal niet
onderhouden. Reparaties en ondersteuning, als dat al
beschikbaar is, komt vanuit de gemeenschap die is
geabonneerd op die mailinglijst. Meer vrijwilligers zijn
altijd nodig!Als er geen antwoord komt, stuur dan met &man.send-pr.1;
een foutrapport in. Zie Writing
&os; Problem Reports).Repareren! In het Handboek
voor de Porter is gedetailleerde informatie te
vinden over de infrastructuur van de Ports,
zodat een kapotte port gemaakt kan worden of er zelfs een
nieuwe port ingestuurd kan worden.Zoek een pakket van een FTP site in de buurt. De
master pakketcollectie staat op ftp.FreeBSD.org in de map
pakketten, maar het is van belang dat er
eerstin de buurt
wordt gekeken! Dat het pakket werkt is waarschijnlijker dan
wanneer uit de broncode wordt gecompileerd en het is nog
sneller ook. Een pakket kan met &man.pkg.add.1;
geïnstalleerd worden.
diff --git a/nl_NL.ISO8859-1/books/handbook/ppp-and-slip/chapter.sgml b/nl_NL.ISO8859-1/books/handbook/ppp-and-slip/chapter.sgml
index 8a14bb6602..ea0bd1b1ad 100644
--- a/nl_NL.ISO8859-1/books/handbook/ppp-and-slip/chapter.sgml
+++ b/nl_NL.ISO8859-1/books/handbook/ppp-and-slip/chapter.sgml
@@ -1,3437 +1,3442 @@
JimMockGeherstructureerd, gereorganiseerd en geupdate
door RemkoLodderVertaald door PPP en SLIPOverzichtPPPSLIP&os; heeft een aantal manieren om de ene computer met de
andere te verbinden. Om een netwerk of internet verbinding
op te zetten door een inbel modem, of om anderen toe te
staan dit te doen door de machine heen vereist het gebruik
van PPP en SLIP. Dit hoofdstuk beschrijft het opzetten van
op modems gebaseerde diensten in meer detail.Na het lezen van dit hoofdstuk weet u:Hoe gebruikers PPP opgezet kan worden.Hoe kernel PPP opgezet kan worden.Hoe PPPoE opgezet kan worden (PPP
over Ethernet).Hoe PPPoA opgezet kan worden (PPP
over ATM).Hoe een SLIP server en cliënt opgezet kan worden en
hoe dat geconfigureerd wordt.PPPgebruiker PPP
-
+
PPPkernel PPP
-
+
PPPover EthernetVoordat dit hoofdstuk gelezen wordt, moet u:Bekend zijn met basis netwerk terminologie.De basis en doeleinden van een inbel verbinding
en van PPP en/of SLIP.U kunt zich afvragen wat het verschil is tussen gebruiker PPP
en kernel PPP. Het antwoord is simpel: gebruiker PPP verwerkt
inkomend en uitgaande data in het gebruikersland in plaats van
in de kernel. Dit is duur in de zin van het kopiëren van de
data tussen de kernel en het gebruikersland, maar levert meer
mogelijkheden voor de PPP implementatie. Gebruikers PPP gebruikt
het tun apparaat om te communiceren met
de buitenwereld. Kernel PPP maakt gebruik van het
ppp apparaat.Voor de rest van dit hoofdstuk, zal gebruiker PPP gebruikt
worden als ppp tenzij er onderscheid
gemaakt moet worden met andere PPP software zoals
pppd. Tenzij anders vermeld moeten
alle uitgelegde commando's in dit hoofdstuk gestart worden als
de root gebruiker.
-
- Tom
- Rhodes
- Geupdate en uitgebreid door
-
+
+ Tom
+ Rhodes
+ Bijgewerkt en uitgebreid door
+
-
- Brian
- Somers
+
+ Brian
+ SomersOrigineel bijgedragen door
-
+ NikClaytonMet input van
-
-
+
+ Dirk
- Frömberg
-
-
- Peter
- Childs
-
+ Frömberg
+
+
+ Peter
+ Childs
+ Gebruik maken van gebruiker PPPGebruiker PPPVereistenDit document gaat er vanuit dat u de volgende punten
beschikbaar heeft:ISPPPPEen account bij een Internet Service Provider (ISP)
waarmee verbinding gemaakt wordt door middel van
PPP.U heeft een modem of een ander apparaat verbonden
met uw pc en correct geconfigureerd wat het u mogelijk
maakt om verbinding te maken met uw ISP.De inbelnummers van uw ISP.PAPCHAPUNIXloginnaamwachtwoordUw loginnaam en wachtwoord (danwel een standaard &unix;
stijl login en wachtwoord combinatie of een PAP of CHAP
login en wachtwoord combinatie).naamserverHet IP adres van één of meerdere
naamservers. Normaal gesproken krijgt u twee IP
adressen van uw ISP om te gebruiken. Als u er echter geen
één gekregen heeft, kunt u het commando
enable dns gebruiken in
ppp.conf en
ppp zal de naamservers voor
u configureren. Deze optie is afhankelijk van de PPP
implementatie van de ISP, welke DNS onderhandeling
moet ondersteunen.De volgende informatie kan aangeleverd worden door uw
ISP maar is niet echt noodzakelijk:Het IP adres van de router van uw ISP. De router is
de machine waarmee u verbinding maakt en welke ingesteld
wordt als de standaard route. Als
u deze informatie niet heeft, kunt u een willekeurig
adres verzinnen waarna de PPP server van de ISP het juiste
adres vertelt zodra u verbinding maakt.Dit IP adres wordt door pppHISADDR genoemd.Het netwerkmasker wat gebruikt moet worden. Als uw ISP
deze niet heeft opgegeven, kan 255.255.255.255 gebruikt
worden.statisch ip adresAls uw ISP u een vast IP adres en hostnaam levert,
kunt u deze invoeren. In andere gevallen bepaalt de
andere kant welk adres er uitgegeven wordt.
-
+
Als u niet in bezit bent van de vereiste informatie, moet
u contact opnemen met uw ISP.Door de rest van dit hoofdstuk worden in veel van de
voorbeelden configuratie bestanden genummerd per
regel. Deze nummers dienen alleen als hulp voor de
presentatie en discussie en zijn verder niet bedoeld om
daadwerkelijk geïmplementeerd te worden. Een juiste
inspringing met tabs en spaties zijn daarbij ook
belangrijk.
- Automatische PPP configuratie
+ Automatische PPP configuratiePPPconfiguratieZowel ppp als pppd
(de implementatie van PPP op kernel niveau) gebruiken de
- configuratie bestanden die zich in de
- /etc/ppp directory bevinden. Voorbeelden
+ configuratie bestanden die zich in de map /etc/ppp bevinden. Voorbeelden
configuraties voor gebruiker PPP kunnen gevonden worden in
- /usr/share/examples/ppp/.
+ /usr/share/examples/ppp/.
Het configureren van ppp vereist
dat u een aantal bestanden bewerkt, afhankelijk van uw
eisen. Wat u moet invoeren is deels afhankelijk van wat
uw ISP u aanbied met oog op statische IP adressen (lees u
krijgt een statisch adres welke u altijd gebruikt) of
dynamisch (lees: uw IP adres veranderd elke keer als
u verbinding maakt met uw ISP).PPP en statische ip adressenPPPmet statische IP adressenU moet het /etc/ppp/ppp.conf
bewerken. Het zou dan als volgend eruit moeten zien:Regels die eindigen met een :
starten in de eerste kolom (het begin van de regel)
— alle andere regels moeten inspringen zoals
getoond door middel van spaties of tabs.1 default:
2 set log Phase Chat LCP IPCP CCP tun command
3 ident user-ppp VERSION (built COMPILATIONDATE)
4 set device /dev/cuad0
5 set speed 115200
6 set dial "ABORT BUSY ABORT NO\\sCARRIER TIMEOUT 5 \
7 \"\" AT OK-AT-OK ATE1Q0 OK \\dATDT\\T TIMEOUT 40 CONNECT"
8 set timeout 180
9 enable dns
10
11 provider:
12 set phone "(123) 456 7890"
13 set authname foo
14 set authkey bar
15 set login "TIMEOUT 10 \"\" \"\" gin:--gin: \\U word: \\P col: ppp"
16 set timeout 300
17 set ifaddr x.x.x.xy.y.y.y 255.255.255.255 0.0.0.0
18 add default HISADDRRegel 1:Deze regel identificeert de standaard regel.
Commando's in deze regel worden automatisch gestart
zodra ppp gestart wordt.Regel 2:Zet de log paramaters aan. Zodra de configuratie
naar verwachting werkt, moet deze regel aangepast
worden naar:
- set log phase tun
+ set log phase tunom te voorkomen dat er extreem grote log files
gemaakt worden.Regel 3:Vertelt PPP hoe het zich moet identificeren
aan de router aan de andere kant, als deze
problemen heeft met het onderhandelen en het
opzetten van de link en het leveren van informatie
die de beheerders van de andere kant nuttig kunnen
vinden om zulke problemen te onderzoeken.Regel 4:
- Identificeert het apparaat waaraan de modem
+ Identificeert het apparaat waarmee het modem
verbonden is. COM1 is
- /dev/cuad0
+ /dev/cuad0
en
COM2 is
- /dev/cuad1.
+ /dev/cuad1.Regel 5:Stelt de snelheid in waarmee verbinding gemaakt
wordt. Als 115200 niet werkt (wat wel zou moeten
kunnen met elke nieuwe modem), probeert u dan de
instelling van 38400.Regels 6 & 7:PPPgebruiker PPPDe inbelregel. Gebruiker PPP gebruikt een
expect-send syntax wat vergelijkbaar is
met het &man.chat.8; programma. Bekijk de handleiding
voor meer informatie over de mogelijkheden van deze
taal.Let op dat dit commando doorgaat op de volgende
regel zodat deze leesbaar blijft. Elk commando in
ppp.conf kan dit doen als het
laatste karakter op een regel, het \ karakter is.Regel 8:Stelt de idle timeout in voor een link. 180
seconden is standaard, dus deze regel is puur
cosmetisch.Regel 9:Vertelt PPP om de andere kant te vragen om een
bevestiging van de lokale naamserver instellingen. Als
u een lokale naamserver draait moet deze regel
uitgecommentarieërd of verwijderd worden.Regel 10:Een blanco regel voor de leesbaarheid. Blanco
regels worden door PPP genegeerd.Regel 11:Identificeert een sectie voor de provider die
provider genoemd wordt. Dit kan
gewijzigd worden in de naam van uw provider zodat er
later gebruik gemaakt van worden bij de optie
om een verbinding op te zetten.Regel 12:Stelt het telefoonnummer in voor deze provider.
Meerdere telefoonnummers kunnen gespecificeerd worden
door gebruik te maken van de dubbele punt
(:) of het pipe karakter
(|) als scheidingsteken. Het
verschil tussen de twee scheidingstekens wordt
beschreven in de &man.ppp.8; handleiding.
Om samen te vatten, als u wilt rouleren tussen de
nummers gebruikt u dan een dubbelepunt. Als u altijd
het eerste nummer als eerste wilt draaien en alleen de
andere nummers wilt draaien als het eerste nummer
niet werkt, gebruik dan het pipe karakter. Quote altijd
de hele set van telefoonnummers zoals getoond.
-
+
U moet het telefoonnummer citeren met dubbele quotes
(") als er enige intentie is in het
gebruik van spaties in het telefoonummer. Dit kan een
simpele, maar subtiele fout creeëren.Regels 13 & 14:Identificeert de gebruikersnaam en het
wachtwoord. Wanneer gebruik gemaakt wordt van een
&unix; stijl login worden deze waarden verwezen
door het set login commando door
gebruik te maken van de \U en \P variabelen.
Wanneer er verbinding gemaakt wordt door PPP en CHAP
worden deze waardes gebruikt tijdens het
authenticeren.Regels 15:PAPCHAPAls u gebruik maakt van PPP en CHAP, zal er geen
login op dit moment zijn, en moet deze regel
uitgecommentarieërd of verwijderd worden. Zie het
PAP en CHAP
authenticatie hoofdstuk voor meer details.De login regel is hetzelfde als de chat-achtige
syntax van de inbelregel. In dit voorbeeld werkt
de reegl voor een dienst wiens login sessie als
volgt eruit ziet:J. Random Provider
login: foo
password: bar
protocol: pppU moet dit script aanpassen om aan uw behoeften
te voldoen. Wanneer u dit script voor het eerst
schrijft, moet u ervoor zorgen dat u de
chat log optie heeft aangezet zodat u
kunt bepalen of de communicatie gaat zoals
verwacht.Regel 16:timeoutSelt de standaard idle timeout in (in seconden)
voor de connectie. Hier wordt de connectie
automatisch afgesloten na 300 seconden van
inactiviteit. Als u nooit een timeout wilt krijgen,
kunt u de waarde op nul zetten of gebruik maken van
de optie op de commando
regel.Regel 17:ISPStelt het interface adres in. De regel
x.x.x.x moet vervangen
worden door het IP adres dat uw provider aan u heeft
uitgegeven. De regel
y.y.y.y moet vervangen
worden door het IP adres dat uw provider aan u
heeft gegeven voor de router (de machine waarmee
u verbinding maakt). Als uw ISP u geen router
adres heeft gegeven, gebruik dan 10.0.0.2/0. Als u gebruik
moet maken van een gegokt, zorg ervoor
- dat er een regel staat in
+ dat er een regel staat in
/etc/ppp/ppp.linkup zoals
beschreven in de instructies voor PPP en dynamische IP
adressen. Als deze regel weggelaten wordt
kan ppp niet in
mode starten.Regel 18:Voegt een standaard routering toe naar uw providers
router. Het speciale HISADDR
woord, wordt vervangen door het router adres zoals
gespecificeerd op regel 17. Het is belangrijk dat
deze regel na regel 17 komt, anders is
HISADDR nog niet
geïnitialiseerd.Als u ppp niet in
mode wilt draaien, moet deze regel verplaatst
worden naar het ppp.linkup
bestand.Het is niet nodig om een regel toe te voegen aan
ppp.linkup wanneer u een statisch
IP adres krijgt en ppp met de mode
gestart is omdat uw routerings tabel al correcte regels
heeft voordat u verbinding maakt. U kunt echter een regel
aanmaken om programma's te starten nadat de verbinding
opgezet is. Dit wordt later uitgelegd met een voorbeeld
over sendmail.
- Voorbeeld configuratie bestanden kunnen gevonden worden
- in de usr/share/examples/ppp
- directory.
+ Voorbeeld van configuratiebestanden kunnen gevonden
+ worden in de map usr/share/examples/ppp.PPP en dynamische ip adressenPPPmet dynamische ip adressenIPCPAls uw provider geen statisch IP adres aanlevert kan
ppp geconfigureerd worden om het lokale
en het remote adres te onderhandelen. Dit wordt gedaan door
het gokken van een IP adres en PPP toestaan
dit adres te corrigeren door gebruik te maken van het
IP Configuration Protocol (IPCP) nadat er een verbinding
opgezet is. De ppp.conf configuratie
is verders hetzelfde als voor de
PPP en statische IP
adressen, met de volgende wijziging:17 set ifaddr 10.0.0.1/0 10.0.0.2/0 255.255.255.255Nogmaals, het regelnummer hoeft niet te worden
toegevoegd, deze dient puur ter referentie. Indentatie
van minstens één spatie is vereist.Regel 17:Het nummer achter het / karakter
is het aantal netwerk master bits van het adres die ppp
eist. Het is mogelijk dat u IP adressen wilt gebruiken
die meer van toepassing zijn op uw situatie, maar
bovenstaand voorbeeld zal altijd werken.Het laatste argument (0.0.0.0)
vertelt PPP om te onderhandelen met het adres 0.0.0.0 in plaats van met
10.0.0.1 en is benodigd
voor sommige ISPs. Gebruik 0.0.0.0
niet als eerste argument voor het commando
set ifaddr, omdat dit ervoor zorgt
dat PPP geen initiële route kan opzetten in
mode.Als u niet draait in mode, moet
u een nieuwe regel toevoegen aan
/etc/ppp/ppp.linkup.
ppp.linkup wordt uitgevoerd nadat een
connectie is opgezet. Op dit moment krijgt
ppp het interface adres en is het mogelijk
om regels toe te voegen aan de route tabel:1 provider:
2 add default HISADDRRegel 1:Bij het tot stand brengen van een verbinding
zal ppp kijken voor een
corresponderende regel in
ppp.linkup volgens de volgende
criteria: Als eerste, probeert het hetzelfde label te
vinden zoals gebruikt in ppp.conf.
Als dat mislukt, zoek dan een regel waarin het IP adres
van onze router in voorkomt. Deze regel bevat een IP
stijl van 4 octetten. Als nu nog steeds geen
corresponderende regel gevonden is wordt er gezocht
naar de HISADDR regel.Regel 2:Deze regel verteld ppp om
een standaard routering toe te voegen die wijst
richting HISADDR.
HISADDR wordt vervangen door
het IP adres van de router zoals onderhandeld door
IPCP.Zie de pmdemand regel in de bestanden
/usr/share/examples/ppp/ppp.conf.sample
en
/usr/share/examples/ppp/ppp.linkup.sample
voor een gedetailleerd voorbeeld.Het ontvangen van binnenkomende gesprekkenPPPontvangen van inkomende gesprekkenWanneer ppp geconfigureerd
is om inkomende gesprekken te ontvangen op een machine die
verbonden is met een LAN, moet u beslissen of er pakketten
worden doorgestuurd naar het LAN. Als u dat doet, moet
u de andere kant een IP adres geven uit het subnet van uw
LAN, en zult u gebruik moeten maken van het command
enable proxy in het
/etc/ppp/ppp.conf bestand. U zult ook
moeten controleren of het /etc/rc.conf
bestand het volgende bevat:gateway_enable="YES"Welke getty?Het configureren van &os; voor
inbel diensten levert een goede beschrijving van
het inschakelen van inbeldiensten door gebruik te maken
van &man.getty.8;.Een alternatief voor getty is mgetty,
een betere versie van getty ontworpen
voor onder andere inbellijnen.De voordelen van het gebruik van
mgetty is dat het actief
communiceert met modems, wat betekend
dat als de port uitgeschakeld is in
/etc/ttys, de modem de telefoon niet
zal beantwoorden.Latere versies van mgetty (vanaf
0.99beta en later) ondersteunen ook het automatisch
detecteren van PPP stromen waardoor cliënten
zonder extra scripting toegang kunnen krijgen tot uw
server.Raadpleeg naar Mgetty en
AutoPPP voor meer informatie over
mgetty.PPP PermissiesHet ppp commando moet normaal
gesproken gestart worden door de root
gebruiker. Als u echter wilt toestaan dat
ppp in server mode gestart wordt door
een normale gebruiker door het uitvoeren van
ppp, zoals beschreven hieronder, moet
deze gebruiker permissie krijgen om
ppp te starten. Dit kan gedaam worden
door de gebruiker toe te voegen aan de
network groep van het
/etc/group bestand.U moet de gebruiker ook toegang geven tot
één of meerdere secties van het configuratie
bestand door gebruik te maken van het allow
commando:allow users fred maryAls dit commando wordt gebruikt in de
default sectie, geeft ppp alle
opgegeevn gebruikers toegang tot alle opties.PPP shells voor dynamische IP gebruikersPPP shellsCreeër een bestand genaamd
/etc/ppp/ppp-shell welke de volgende
gegevens bevat:#!/bin/sh
IDENT=`echo $0 | sed -e 's/^.*-\(.*\)$/\1/'`
CALLEDAS="$IDENT"
TTY=`tty`
if [ x$IDENT = xdialup ]; then
IDENT=`basename $TTY`
fi
echo "PPP voor $CALLEDAS op $TTY"
echo "Starten van PPP voor $IDENT"
exec /usr/sbin/ppp -direct $IDENTDit script moet uitvoerbaar zijn. Ook moet er een
symbolische link gemaakt worden naar dit script met de naam
ppp-dialup door gebruik te maken van
de volgende commando's:&prompt.root; ln -s ppp-shell /etc/ppp/ppp-dialupU moet dit script gebruiken als de
shell voor al uw inbel gebruikers.
Dit is een voorbeeld uit /etc/passwd
voor een PPP inbelgebruiker met de gebruikersnaam
pchilds (Let op, u mag niet direct het
wachtwoord bestand bewerken, gebruik daarom het programma
&man.vipw.8;).pchilds:*:1011:300:Peter Childs PPP:/home/ppp:/etc/ppp/ppp-dialup
- Creeër vervolgens een /home/ppp
- directory die door iedereen gelezen en beschreven kan worden
- en zet daar de volgende 0 byte grote bestanden in:
+ Creeër vervolgens een map /home/ppp die door iedereen
+ gelezen en beschreven kan worden en zet daar de volgende 0
+ byte grote bestanden in:-r--r--r-- 1 root wheel 0 May 27 02:23 .hushlogin
-r--r--r-- 1 root wheel 0 May 27 02:22 .rhostswelke voorkomen dat /etc/motd
getoond wordt.PPP shells voor statische IP gebruikersPPP shellsCreeër het ppp-shell bestand
zoals hierboven, en voor elk account met een statisch
toegewezen IP adres creeërt u een symbolische link naar
ppp-shell.Als u bijvoorbeeld drie inbel gebruikers hebt genaamd
fred, sam en
mary waar u een /24 CIDR netwerk voor
routeert, moet u het volgende typen:&prompt.root; ln -s /etc/ppp/ppp-shell /etc/ppp/ppp-fred
&prompt.root; ln -s /etc/ppp/ppp-shell /etc/ppp/ppp-sam
&prompt.root; ln -s /etc/ppp/ppp-shell /etc/ppp/ppp-maryElk van deze inbelgebruikers moet de shell ingesteld
hebben op de symbolische link die hierboven is gecreeërd
(bijvoorbeeld mary's shell moet zijn
/etc/ppp/ppp-mary).Het instellen van ppp.conf voor
dynamische IP gebruikers
-
+
Het /etc/ppp/ppp.conf bestand moet
iets zoals hieronder bevatten:
-
+
default:
set debug phase lcp chat
set timeout 0
ttyd0:
set ifaddr 203.14.100.1 203.14.100.20 255.255.255.255
enable proxy
ttyd1:
set ifaddr 203.14.100.1 203.14.100.21 255.255.255.255
enable proxyHet inspringen is belangrijk.De default: sectie wordt altijd
geladen. Voor elke inbellijn die ingeschakeld is in
/etc/ttys moet een soortgelijke
regel worden gemaakt als die voor ttyd0:
hierboven. Elke regel moet een uniek IP adres krijgen van
uw pool van IP adressen voor dynamische gebruikers.Het instellen van ppp.conf voor
statische IP gebruikers.Samen met de inhoud van het voorbeeld
/usr/share/examples/ppp/ppp.conf
bestand hierboven moet een sectie aangemaakt worden voor
elke van de statisch ingestelde inbelgebruikers. We
gaan door met ons fred,
sam en mary
voorbeeld.fred:
set ifaddr 203.14.100.1 203.14.101.1 255.255.255.255
sam:
set ifaddr 203.14.100.1 203.14.102.1 255.255.255.255
mary:
set ifaddr 203.14.100.1 203.14.103.1 255.255.255.255Het /etc/ppp/ppp.linkup bestand
moet ook informatie over routeringen bevatten voor elke
statische IP gebruiker waar nodig. De regel hieronder
voegt een routering toe voor het
203.14.201.0/24 netwerk
via de ppp link van de gebruiker.fred:
add 203.14.101.0 netmask 255.255.255.0 HISADDR
sam:
add 203.14.102.0 netmask 255.255.255.0 HISADDR
mary:
add 203.14.103.0 netmask 255.255.255.0 HISADDRmgetty en AutoPPPmgettyAutoPPPLCPHet configureren en compileren van
mgetty met de AUTO_PPP
optie ingeschakeld stelt mgetty in staat
om de LCP fase van PPP connecties te detecteren en aan de
hand daarvan automatisch een ppp shell te creeëren.
Echter, de standaard login procedure vindt in deze mode
niet plaats, waardoor het nodig is om de gebruikers te
authenticeren door middel van PAP of CHAP.De volgende sectie gaat er vanuit dat u succesvol
een versie van mgetty met de
AUTO_PPP optie (v0.99beta of
later) heeft geconfigureerd, gecompileerd en
geïnstalleerd.Zorg ervoor dat uw
/usr/local/etc/mgetty+sendfax/login.config
bestand de volgende inhoud heeft:/AutoPPP/ - - /etc/ppp/ppp-pap-dialupDit verteld mgetty om het
ppp-pap-dialup script te starten
wanneer er een PPP connectie gedetecteerd wordt.Creeër een bestand genaamd
/etc/ppp/ppp-pap-dialup met de volgende
inhoud (het bestand moet uitvoerbaar zijn):#!/bin/sh
exec /usr/sbin/ppp -direct pap$IDENTVoor elke inbelregel die ingeschakeld is in
/etc/ttys, creeër een
corresponderende regel in
/etc/ppp/ppp.conf. Dit gaat goed
samen met de definities die hierboven gedaan zijn.pap:
- enable pap
+ enable pap
set ifaddr 203.14.100.1 203.14.100.20-203.14.100.40
enable proxyElke gebruiker die op deze manier inlogt moet een
gebruikersnaam en wachtwoord hebben in het
/etc/ppp/ppp.secret bestand of de
volgende optie moet worden toegevoegd om gebruikers te
authenticeren via PAP vanuit het
/etc/passwd bestand.enable passwdauthAls u een aantal gebruikers een statisch IP adres wilt
geven, kan dat gespecificeerd worden als het derde argument
in /etc/ppp/ppp.secret. Zie
/usr/share/examples/ppp/ppp.secret.sample
voor een voorbeeld.µsoft; ExtensiesDNSNetBIOSPPPµsoft; extensiesHet is mogelijk om PPP dusdanig te configuren dat deze
DNS en NetBIOS naamserver adressen meegeeft.Om deze extensies in te schakelen met PPP versie 1.x
kunnen de volgende regels toegevoegd worden aan de relevante
sectie in /etc/ppp/ppp.conf:enable msext
set ns 203.14.100.1 203.14.100.2
set nbns 203.14.100.5en voor PPP versie 2 en hoger:accept dns
set dns 203.14.100.1 203.14.100.2
set nbns 203.14.100.5Dit verteld de cliënt het primaire en secundaire
naamserver adres, en geeft een NetBIOS naamserver
adres.In versie 2 en hoger zal PPP gebruik maken van de
instellingen in /etc/resolv.conf
als de regel set dns niet wordt
gevonden.
-
+ PAP en CHAP authenticatie
- PAP
+ PAP
- CHAP
+ CHAPSommige providers stellen hun systemen dusdanig in dat
het authenticatie gedeelte van uw verbinding wordt
afgehandeld door het PAP of CHAP authenticatie mechanisme.
Als dit het geval is zal uw provider u niet voorzien van een
login: prompt wanneer u verbinding maakt
maar zal deze meteen gaan communiceren over het PPP
protocol.PAP is minder veilig dan CHAP, maar beveiliging is meestal
geen probleem omdat wachtwoorden, ook al worden deze in platte
tekst verstuurd met PAP, alleen worden verstuurd via een
seriële lijn. Hier is maar weinig ruimte voor crackers
om stiekem mee te luisteren.Terug verwijzende naar de PPP en statische IP adressen
of PPP en dynamische IP adressen
secties moeten de volgende aanpassingen gedaan worden:13 set authname Mijngebruikersnaam
14 set authkey Mijnwachtwoord
15 set loginRegel 13:Deze regel geeft uw PPP/CHAP gebruikersnaam aan.
U moet de juiste waardes invullen voor
Mijngebruikersnaam.Regel 14:passwordDeze regel geeft uw PPP/CHAP wachtwoord aan.
U moet de juiste waarde invullen voor
Mijnwachtwoord. Misschien
wilt u een extra regel toevoegen als:
-
+
16 accept PAPof16 accept CHAPom duidelijk te maken op welke manier u wilt
authenticeren, standaard worden zowel PAP als CHAP
geaccepteerd.Regel 15:Uw ISP zal normaal gesprokken niet eisen dat u
op de server aanlogt als u gebruik maakt van PAP of
CHAP. Daarom moet u de set login regel
uitschakelen.Het aanpassen van uw ppp configuratie
terwijl deze in gebruik isHet is mogelijk om tegen met het ppp
programma te communiceren terwijl deze in gebruik is op de
achtergrond, maar dat kan alleen als er een geschikte
diagnostische poort ingesteld is. Om dit te kunnen doen
moet de volgende regel worden toegevoegd aan de
configuratie:set server /var/run/ppp-tun%d DiagnosticPassword 0177Dit vertelt PPP om te luisteren naar het gespecificeerde
&unix; domein socket, waarbij de cliënten gevraagd
worden om het opgegeven wachtwoord voordat toegang
verleend kan worden. Het %d in de
naam wordt vervangen door het tun
apparaat dat gebruikt wordt voor de verbinding.Zodra een socket ingesteld is kan het &man.pppctl.8;
programma gebruikt worden in scripts die het draaiende
programma willen bewerken.PPP's netwerk adres translatie mogelijkheden
gebruikenPPPNATPPP heeft de mogelijkheid om interne NAT te gebruiken zonder
dat de kernel hiervoor iets hoeft te doen. Deze functionaliteit
kan worden ingeschakeld door de volgende regel in
/etc/ppp/ppp.conf:nat enable yesOok kan PPP NAT ingeschakeld worden door de optie
-nat. Er is ook een
/etc/rc.conf optie genaamd
ppp_nat welke standaard ingeschakeld
is.Als u gebruik wilt maken van deze optie, kunt u de
volgende /etc/ppp/ppp.conf opties ook
nuttig vinden om binnenkomende connecties door te sturen:nat port tcp 10.0.0.2:ftp ftp
nat port tcp 10.0.0.2:http httpof als u niets vertrouwd vanaf buitenaf:nat deny_incoming yesLaatste systeem configuratiePPPconfiguratieU heeft nu ppp geconfigurerd, maar er
moeten nog een aantal dingen gedaan worden voordat deze klaar
is om te kunnen werken. Hiervoor moeten een aantal
aanpassingen gedaan worden in het bestand
/etc/rc.conf.Van boven naar beneden kijkende zorgen we er als eerste
voor dat de hostname= regel ingesteld
is met bijvoorbeeld:hostname="foo.example.com"Als uw provider u een statisch adres en een naam heeft
gegeven is het waarschijnlijk handig dat u deze naam gebruikt
als uw hostnaam.Zoek naar de network_interfaces
variabele. Als u uw systeem wilt configuren om in te bellen
bij uw provider wanneer nodig, zorg er dan voor dat het
tun0 apparaat is toegevoegd aan deze
lijst. Haal deze anders weg.network_interfaces="lo0 tun0"
ifconfig_tun0=De ifconfig_tun0 variabele moet
leeg zijn, en een bestand genaamd
/etc/start_if.tun0 moet aangemaakt
worden met de volgende inhoud:ppp -auto mysystemDit script wordt uitgevoerd tijdens de netwerk
configuratie, waarbij uw ppp daemon wordt gestart in
automatische mode. Als u een LAN heeft waarvoor deze
machine een router is wilt u wellicht ook de
meegeven. Bekijk de handleiding
voor verdere details.Zorg ervoor dat het router programma is ingesteld op
NO door middel van de volgende regel in
uw /etc/rc.conf bestand:router_enable="NO"routedHet is belangrijk dat de routed daemon
niet gestart wordt, omdat routed de neiging
heeft om de standaard routeringtabel regels die gemaakt
worden door ppp te verwijderen.Het is waarschijnlijk een goed idee om te zorgen dat de
sendmail_flags regel de
optie niet wordt meegenomen, anders zal
sendmail periodiek een zoek actie
verrichten op het netwerk, wat ervoor zorgt dat uw machine
gaat uitbellen. U kunt het volgende instellen:sendmail_flags="-bd"sendmailHet nadeel hiervan is dat u sendmail
moet forceren om de mailqueue periodiek te bekijken zodra
de ppp link op is door het typen van:&prompt.root; /usr/sbin/sendmail -qU wilt wellicht gebruik maken van het
!bg commando in
ppp.linkup om dit automatisch te
doen:1 provider:
2 delete ALL
3 add 0 0 HISADDR
4 !bg sendmail -bd -q30m
-
+ SMTPAls u dit niet wilt doen, is het mogelijk om een
dfiler in te stellen welke SMTP verkeer
blokkeert. Raadpleeg naar de voorbeeld bestanden voor
verdere details.Alles wat nu nog nodig is, is het herstarten van de
machine. Na het herstarten kunt het volgende typen:&prompt.root; pppen daarna dial provider om de PPP
sessie te starten, of u indien u dat wilt kan
ppp automatisch sessies opzetten wanneer
er uitgaand verkeer is (en wanneer u geen
start_if.tun0 script heeft aangemaakt),
typt u:&prompt.root; ppp -auto providerSamenvattingOm samen te vatten zijn de volgende stappen benodigd om PPP
voor de eerste keer in te stellen:Aan de cliënt zijde:Zorg ervoor dat het tun
apparaat is ingeschakeld in uw kernel.
- Zorg ervoor dat het
- tunN
- apparaat bestand beschikbaar is in de
- /dev directory.
+ Zorg ervoor dat het apparaatbestand
+ tunN
+ beschikbaar is in de map /dev.Creeër een regel in
/etc/ppp/ppp.conf. Het
pmdemand voorbeeld zou moeten
volstaand voor de meeste providers.Als u dynamische IP adressen heeft, creeër een
regel in /etc/ppp/ppp.linkup.Update uw /etc/rc.conf
bestand.Creeër een start_if.tun0
script als u op verzoek wilt inbellen.Aan de server zijde:Zorg ervoor dat het tun
apparaat is ingeschakeld in uw kernel.
- Zorg ervoor dat het
- tunN
- apparaat bestand beschikbaar is in de
- /dev directory.
+ Zorg ervoor dat het apparaatbestand
+ tunN
+ beschikbaar is in de map /dev.Creeër een regel in
/etc/passwd (door gebruik te maken
van het &man.vipw.8; programma).Creeër een profiel in deze gebruikers home
directory die
ppp -direct direct-server start of
iets in die trant.Creeër een regel in
/etc/ppp/ppp.conf. Het
direct-server voorbeeld zou moeten
volstaan.Creeër een regel in
/etc/ppp/ppp.linkup.Update uw /etc/rc.conf
bestand.
-
- Gennady B.
- Sorokopud
- Delen origineel bijgedragen door
-
-
- Robert
- Huff
-
+
+ Gennady B.
+ Sorokopud
+ Delen origineel bijgedragen door
+
+
+ Robert
+ Huff
+ Kernel PPP gebruikenHet opzetten van kernel PPPPPPkernel PPPVoordat u begint met het opzetten van PPP op uw machine,
zorg ervoor dat het pppd commando zich
- bevind in de /usr/sbin directory en dat
- de directory /etc/ppp bestaat.
+ bevindt in de map /usr/sbin
+ en dat de map /etc/ppp
+ bestaat.
pppd kan in twee verschillende modes
werken:Als een cliënt — u wilt uw
machine verbinden met de buitenwereld via een seriële
PPP verbinding of een modem lijn.
-
+ PPPserverAls een server — uw machine bevind
zich in het netwerk en wordt gebruikt om andere computers
te verbinden door middel van PPP.In beide gevallen moet u een bestand met opties instellen
- (/etc/ppp/options of
+ (/etc/ppp/options of
~/.ppprc als er meer dan één
gebruiker is op uw machine die gebruik maakt van PPP).U heeft ook enige modem/seriële software nodig
(comms/kermit wordt
aanbevolen), zodat u de andere kant kunt bellen en een
verbinding kunt opzetten.TrevRoydhouseGebaseerd op informatie geleverd door
-
+
Gebruik maken van pppd als
cliëntPPPcliëntCiscoDe volgende /etc/ppp/options kan
gebruikt worden om met een Cisco terminal server PPP lijn
verbinding te maken.crtscts # Schakel hardware flow controle in
modem # modem controle lijn
noipdefault # De PPP server aan de andere kant moet uw IP adres
# opgeven, als de machine aan de andere kant uw IP
# adres niet meegeeft tijdens de IPCP onderhandeling
# moet deze optie worden verwijderd
passive # Wacht op LCP pakketten
domain ppp.foo.com # Vul uw domein naam hier in
:remote_ip # Vul het IP adres van de PPP
# server in deze wordt gebruikt om pakketten te
# routeren via de PPP link. Als u de noipdefault optie
# niet heeft aangegeven verander dan deze regel in
# local_ip:remote_ip
defaultroute # Vul dit in als u wilt dat de PPP server de standaard
# router wordtOm verbinding te maken:KermitmodemBel naar de machine aan de andere kant door middel van
Kermit (of een ander modem
programma), en vul uw gebruikersnaam en wachtwoord in (of
wat er ook nodig is om de verbinding op te brengen met de
machine aan de andere kant).Stop Kermit (zonder de lijn
op te hangen).Type het volgende:&prompt.root; /usr/sbin/pppd /dev/tty0119200Wees er zeker van dat de juiste snelheid en het juiste
apparaat wordt aangesproken.Uw computer is nu verbonden met PPP. Als de connectie
faalt, kan de optie worden meegegeven
in het /etc/ppp/options bestand waarna op
de console berichten kunnen worden geraadpleegd om het probleem
te achterhalen.
-
+
Het volgende /etc/ppp/pppup script
zal alle drie de stappen automatisch doen:#!/bin/sh
pgrep -l pppd
pid=`pgrep pppd`
if [ "X${pid}" != "X" ] ; then
echo 'killing pppd, PID=' ${pid}
kill ${pid}
fi
pgrep -l kermit
pid=`pgrep kermit`
if [ "X${pid}" != "X" ] ; then
echo 'killing kermit, PID=' ${pid}
kill -9 ${pid}
fi
ifconfig ppp0 down
ifconfig ppp0 delete
kermit -y /etc/ppp/kermit.dial
pppd /dev/tty01 19200Kermit/etc/ppp/kermit.dial is een
Kermit script dat belt en alle
benodigde authorisaties doet op de machine aan de andere
kant (een voorbeeld van zo'n script is bijgevoegd aan het
einde van dit document).Gebruik het volgende /etc/ppp/pppdown
- script om de PPP lijn af te breken:
+ script om de PPP lijn af te breken:
#!/bin/sh
pid=`pgrep pppd`
if [ X${pid} != "X" ] ; then
echo 'killing pppd, PID=' ${pid}
kill -TERM ${pid}
fi
pgrep -l kermit
pid=`pgrep kermit`
if [ "X${pid}" != "X" ] ; then
echo 'killing kermit, PID=' ${pid}
kill -9 ${pid}
fi
/sbin/ifconfig ppp0 down
/sbin/ifconfig ppp0 delete
kermit -y /etc/ppp/kermit.hup
/etc/ppp/ppptestControleer of pppd nog steeds draait door
het uitvoeren van /usr/etc/ppp/ppptest,
welke er als volgend uitziet:#!/bin/sh
pid=`pgrep pppd`
if [ X${pid} != "X" ] ; then
echo 'pppd running: PID=' ${pid-NONE}
else
echo 'No pppd running.'
fi
set -x
netstat -n -I ppp0
ifconfig ppp0Om de modem op te hangen, voer het
/etc/ppp/kermit.hup script uit
welke het volgende bevat:set line /dev/tty01 ; vul hier uw modem in
set speed 19200
set file type binary
set file names literal
set win 8
set rec pack 1024
set send pack 1024
set block 3
set term bytesize 8
set command bytesize 8
set flow none
pau 1
out +++
inp 5 OK
out ATH0\13
echo \13
exitHier is een alternatieve methode welke gebruik maakt
van chat in plaats van
kermit:De volgende twee regels zijn voldoende om een
pppd verbinding op te zetten./etc/ppp/options:/dev/cuad1 115200
crtscts # Schakel hardware flow controle in
modem # modem controle lijn
connect "/usr/bin/chat -f /etc/ppp/login.chat.script"
noipdefault # De PPP server aan de andere kant moet uw IP adres
# opgeven, als de machine aan de andere kant uw IP
# adres niet meegeeft tijdens de IPCP onderhandeling
# moet deze optie worden verwijderd
passive # Wacht op LCP pakketten
domain your.domain # Vul uw domein naam hier in
:remote_ip # Vul het IP adres van de PPP
# server in deze wordt gebruikt om pakketten te
# routeren via de PPP link. Als u de noipdefault optie
# niet heeft aangegeven verander dan deze regel in
# local_ip:remote_ip
defaultroute # Vul dit in als u wilt dat de PPP server de standaard
# router wordt/etc/ppp/login.chat.script:Het volgende moet op één regel.ABORT BUSY ABORT 'NO CARRIER' "" AT OK ATDTtelefoon.nummer
CONNECT "" TIMEOUT 10 ogin:-\\r-ogin: login-id
TIMEOUT 5 sword: passwordZodra deze zijn geïnstalleerd en correct aangepast is
het enige dat gedaan moet worden, het starten van
pppd zoals volgt:&prompt.root; pppdGebruik maken van pppd als
server/etc/ppp/options moet ongeveer het
volgende bevatten:crtscts # Hardware flow controle
netmask 255.255.255.0 # netmask (niet vereist)
192.114.208.20:192.114.208.165 # IP's van lokale en niet lokale hosten
# het lokale ip moet anders zijn dan
# degeen die is toegewezen aan de
# Ethernet (of andere) interface op uw
# machine. remote IP is het IP adres
# dat wordt toegewezen aan de machine
# aan de andere kant
domain ppp.foo.com # uw domein
passive # Wacht op LCP
modem # modem lijnHet volgende /etc/ppp/pppserv script
zal pppd vertellen zich te gedragen
als server:
- #!/bin/sh
+ #!/bin/sh
pgrep -l pppd
pid=`pgrep pppd`
if [ "X${pid}" != "X" ] ; then
echo 'killing pppd, PID=' ${pid}
kill ${pid}
fi
pgrep -l kermit
pid=`pgrep kermit`
if [ "X${pid}" != "X" ] ; then
echo 'killing kermit, PID=' ${pid}
kill -9 ${pid}
fi
# reset ppp interface
ifconfig ppp0 down
ifconfig ppp0 delete
# enable autoanswer mode
kermit -y /etc/ppp/kermit.ans
# run ppp
pppd /dev/tty01 19200Gebruik dit /etc/ppp/pppservdown script
om de server te stoppen:
- #!/bin/sh
+ #!/bin/sh
pgrep -l pppd
pid=`pgrep pppd`
if [ "X${pid}" != "X" ] ; then
echo 'killing pppd, PID=' ${pid}
kill ${pid}
fi
pgrep -l kermit
pid=`pgrep kermit`
if [ "X${pid}" != "X" ] ; then
echo 'killing kermit, PID=' ${pid}
kill -9 ${pid}
fi
ifconfig ppp0 down
ifconfig ppp0 delete
kermit -y /etc/ppp/kermit.noansHet volgende Kermit script
(/etc/ppp/kermit.ans) zal het automatisch
beantwoorden van uw modem in of uitschakelen. Het moet eruit
zien als volgend:set line /dev/tty01
set speed 19200
set file type binary
set file names literal
set win 8
set rec pack 1024
set send pack 1024
set block 3
set term bytesize 8
set command bytesize 8
set flow none
pau 1
out +++
inp 5 OK
out ATH0\13
inp 5 OK
echo \13
out ATS0=1\13 ; Verander dit in out ATS0=0\13 als u automatisch
; beantwoorden wilt uitschakelen
inp 5 OK
echo \13
exitEen script genaamd /etc/ppp/kermit.dial
wordt gebruikt voor het bellen en authenticeren van de machine
aan de andere kant. U moet deze aanpassen aan uw wensen. Vul
uw inlognaam en wachtwoord in in dit script, u moet ook het input
statement aanpassen afhankelijk hoe uw modem antwoord en de
communicatie van de machine aan de andere kant.;
; Vul de seriële lijn in welke verbonden is met de modem
;
set line /dev/tty01
;
; Stel de modem snelheid in:
;
set speed 19200
set file type binary ; volledige 8 bit bestands xfer
set file names literal
set win 8
set rec pack 1024
set send pack 1024
set block 3
set term bytesize 8
set command bytesize 8
set flow none
set modem hayes
set dial hangup off
set carrier auto ; Daarna stel SET CARRIER in indien nodig
set dial display on ; Stel daarna SET DIAL in indien nodig
set input echo on
set input timeout proceed
set input case ignore
def \%x 0 ; login prompt teller
goto slhup
:slcmd ; stel de modem in op command mode
echo Stel de modem in op command mode.
clear ; Verwijder ongelezen karakters uit de input buffer
pause 1
output +++ ; hayes escape sequence
input 1 OK\13\10 ; wacht op OK
if success goto slhup
output \13
pause 1
output at\13
input 1 OK\13\10
if fail goto slcmd ; Als de modem niet antwoord met OK, probeer het opnieuw
:slhup ; hang de telefoon op
clear ; Verwijder ongelezen karakters uit de input buffer
pause 1
echo De telefoon wordt opgehangen.
output ath0\13 ; hayes command voo on hook
input 2 OK\13\10
if fail goto slcmd ; Als er geen OK antwoord is, stel de modem in op command mode
:sldial ; Draai het nummer
pause 1
echo Bellen.
output atdt9,550311\13\10 ; put phone number here
assign \%x 0 ; zero the time counter
:look
clear ; Verwijder ongelezen karakters uit de input buffer
increment \%x ; Tel de seconden
input 1 {CONNECT }
if success goto sllogin
reinput 1 {NO CARRIER\13\10}
if success goto sldial
reinput 1 {NO DIALTONE\13\10}
if success goto slnodial
reinput 1 {\255}
if success goto slhup
reinput 1 {\127}
if success goto slhup
if < \%x 60 goto look
else goto slhup
:sllogin ; login
assign \%x 0 ; Stel de tijd teller in op nul
pause 1
echo Zoeken naar de login prompt
:slloop
increment \%x ; Tel de seconden
clear ; Verwijder ongelezen karakters uit de input buffer
output \13
;
; Stel hier de verwachte login prompt in:
;
input 1 {Username: }
if success goto sluid
reinput 1 {\255}
if success goto slhup
reinput 1 {\127}
if success goto slhup
if < \%x 10 goto slloop ; Probeer 10 x om een login prompt te krijgen
else goto slhup ; Hang op en probeer het nogmaals als er 10 mislukte pogingen zijn
:sluid
;
; Vul hier uw gebruikersnaam in:
;
output ppp-login\13
input 1 {Password: }
;
; Vul hier uw wachtwoord in:
;
output ppp-password\13
input 1 {Entering SLIP mode.}
echo
quit
:slnodial
echo \7Er is geen kiestoon, controleer de telefoon lijn!\7
exit 1
; local variables:
; mode: csh
; comment-start: "; "
; comment-start-skip: "; "
; end:TomRhodesBijgedragen door Het problemen oplossen van PPP verbindingenPPPtroubleshootenDeze sectie behandelt een paar problemen die kunnen
optreden wanneer PPP wordt gebruikt over een modem verbinding.
Bijvoorbeeld, misschien moet u exact weten wat de prompt is
die het systeem waarop u inbelt presenteert. Sommige
providers presenteren de ssword
prompt terwijl anderen password tonen
als het ppp script niet goed geschreven is
en de inlogin poging faalt. De meest standaard manier om
ppp verbindingen te onderzoeken op problemen
is door handmatig een connectie op te zetten. De volgende
informatie helpt u om stap voor stap een handmatige connectie op
te zetten.Controleer de apparaat nodesAls u de kernel opnieuw geconfigureerd heeft herinnert
u zich ongetwijfeld het sio
apparaat. Als u uw kernel niet opnieuw heeft geconfigureerd
is er geen reden tot paniek. U kunt de resultaten van het
van het dmesg commando inzien voor het
modem apparaat door middel van:&prompt.root; dmesg | grep sioU zou enige informatie moeten ontvangen over de
sio apparaten. Deze bevinden zich
op de COM poorten die we nodig hebben. Als uw modem zich
gedraagt als een standaard seriële poort zou u deze
moeten vinden als zijnde sio1 of
COM2. Als dat klopt hoeft u de
kernel niet opnieuw te bouwen. Wanneer u de sio apparaten
- controlleert en de modem is op sio1
+ controleert en de modem is op sio1
te vinden of als COM2 als u zich
- onder &ms-dos; bevind, dan is uw modem apparaat
- /dev/cuad1.
+ onder &ms-dos; bevindt, dan is uw modem apparaat
+ /dev/cuad1.
Handmatig verbinding makenVerbinding maken met het internet door handmatig controle
te hebben over ppp is snel, makkelijk en een
geweldige manier om problemen te vinden bij een verbinding
of zelfs voor alleen het verkrijgen van inforamtie over hoe uw
provider de ppp cliënt verbindingen
behandelt. Laten we starten met PPP
vanaf de commando regel. Let op dat in al onze voorbeelden we
gebruik maken van example als hostnaam
van de machine die PPP draait. U
start ppp door enkel het commando
ppp te typen:&prompt.root; pppWe hebben nu ppp gestart.
- ppp ON example> set device /dev/cuad1
+ ppp ON example> set device /dev/cuad1We stellen ons modem in, in dit geval is dat
cuad1.ppp ON example> set speed 115200We stellen de verbindings snelheid in, in dit geval
gebruiken we 115,200 kbps.ppp ON example> enable dnsVertel ppp om onze naam vertaler te
configuren, en de juiste naamserver regels toe te voegen aan
/etc/resolv.conf. Als ppp
onze hostnaam niet kan bepalen, kunnen we deze later
instellen.ppp ON example> termWissel naar terminal mode zodat we handmatig
de modem kunnen bedienen.
- deflink: Entering terminal mode on /dev/cuad1
+ deflink: Entering terminal mode on /dev/cuad1
type '~h' for helpat
OK
atdt123456789Gebruik at om de modem te initialiseren,
en daarna atdt en het nummer voor uw provider
om het inbel proces te beginnen.CONNECTBevestiging van de verbinding, als we tegen problemen
aanlopen met de verbinding, welke niet gerelateerd zijn aan de
hardware, is dit de plek om te beginnen om de problemen op te
lossen.provider login:myusernameHier wordt u gevraagd om een gebruikersnaam. Geef de
gebruikersnaam op welke aangeleverd is door de provider.provider pass:mypasswordDeze keer worden we gevraagd voor een wachtwoord.
Vul uw wachtwoord in welke u is aangeleverd door de provider.
Net zoals het aanloggen op &os; zal het wachtwoord niet
getoond worden.Shell or PPP:pppAfhankelijk van uw provider wordt deze prompt wellicht
nooit getoond. Hier wordt ons gevraagd of we een shell willen
starten op de host van de provider, of dat we
ppp willen starten. In dit geval is er
gekozen voor ppp omdat we een internet
verbinding willen.Ppp ON example>Let op dat in dit voorbeeld de eerste
een hoofdletter geworden is. Dit geeft aan dat we succesvol
verbonden zijn met de provider.PPp ON example>We hebben ons succesvol geauthenticeerd bij onze
provider en we wachten op een IP adres dat ons wordt
toegewezen.PPP ON example>We hebben een IP adres verkregen en
hebben succesvol een verbinding opgebouwd.PPP ON example>add default HISADDRHier wordt een standaard route toegevoegd. Deze moet worden
toegevoegd voordat we kunnen communiceren met de buitenwereld
aangezien de enige verbinding op dit moment met de andere machine
is. Als dit niet lukt omdat er al een route bestaat, kan er een
bang karakter (!) geplaatst
worden voor de optie. Als alternatief kan
dit ook gedaan worden voordat de verbinding opgezet wordt,
waarna een nieuwe route onderhandeld wordt.Als alles goed gegaan is, zou er nu een actieve
verbinding moeten zijn met het internet, welke in de
achtergrond gezet kan worden door het gebruik te maken van
CTRLz. Als u ziet dat het
PPP commando terugkeert naar
ppp is de verbinding afgebroken. Dit is
goed om te weten, aangezien dit de status van de verbinding
toont. Hoofdletter P's betekenen dat er een verbinding is met
de provider, en kleine letters betekend dat de verbinding
verloren is gegaan om welke reden dan ook.
ppp kent alleen deze twee statussen.DebuggenAls u een directe lijn heeft en geen verbinding kan
maken, zet dan hardware flow CTS/RTS uit
met de optie. Dit is meestal
het geval voor een PPP terminal
server waar PPP hangt wanneer deze
probeert te schrijven naar uw communicatie link, dus moet deze
wachten op een CTS of een Clear To Send
signaal welke misschien nooit komt. Als u deze optie gebruikt,
moet u ook de optie gebruiken
welke benodigd kan zijn om hardware afhankelijkheden te
omzeilen door bepaalde karakters over en weer te sturen,
meestal XON/XOFF. Zie de &man.ppp.8; handleiding voor meer
informatie over deze optie en hoe deze gebruikt kan worden.Als u een oudere modem heeft, kan het voorkomen dat u ook
de optie moet gebruiken.
De parity is standaard ingesteld op none maar wordt gebruikt
voor fout controle (met als gevolg een grote verhoging van
de hoeveelheid data) bij oudere modems en sommige
providers. Dit is bijvoorbeeld een benodigde optie bij de
Compuserve provider.Het kan voorkomen dat PPP niet
terugkeert naar de commando mode, wat meestal betekent dat er
een onderhandelings fout is waarbij de provider wacht op uw
kant om de onderhandeling te kunnen beginnen. Op dit
moment kunt u gebruik maken van het ~p
commando om ppp te forceren om de configuratie informatie
te versturen.Als u nooit een inlogin prompt krijgt is het zeer
waarschijnlijk dat u PAP of
CHAP authenticatie moet gebruiken in plaats
van de &unix; stijl in het voorbeeld hierboven. Om gebruik te
maken van PAP of CHAP
voegt u het volgende opties toe aan
PPP voordat u de terminal mode
ingaat:ppp ON example> set authname mijngebruikersnaamWaarbij mijngebruikersnaam moet
worden vervangen met de gebruikersnaam die wordt toegewezen
door de provider.ppp ON example> set authkey mijnwachtwoordWaarbij mijnwachtwoord moet
worden vervangen door het wachtwoord wat u is toegewezen door
de provider.Als u een goed werkende verbinding kunt maken maar het
onmogelijk lijkt om een domeinnaam te vinden, probeert u
dan &man.ping.8; te gebruiken met een IP
adres en kijk of er enige informatie terugkomt. Als u 100
procent (100%) packet loss ziet is het zeer waarschijnlijk
dat u geen default route heeft gekregen. Controleer nogmaals
of de optie
ingesteld is tijdens de connectie. Als u verbinding kunt
maken met een extern IP adres is het
mogelijk dat een naamserver niet is toegevoegd aan het
/etc/resolv.conf bestand. Dit bestand
moet er uitzien als volgend:domain example.com
nameserver x.x.x.x
nameserver y.y.y.yWaar x.x.x.x en
y.y.y.y moet worden vervangen door
het IP adres van uw providers
naamservers. Deze informatie kan mogelijk wel of niet
geleverd zijn toen u zich inschreef, maar een snel telefoontje
naar uw provider zou hierin uitkomst kunnen bieden.U kunt ook &man.syslog.3; gebruiken om een log functie
voor PPP aan te maken. Voeg het
volgende toe aan /etc/syslog.conf:!ppp
*.* /var/log/ppp.logDeze functionaliteit bestaat in de meeste gevallen al.
-
- Jim
- Mock
- Bijgedragen (vanaf http://node.to/freebsd/how-tos/how-to-freebsd-pppoe.html) door
+
+ Jim
+ Mock
+ Bijgedragen (vanaf http://node.to/freebsd/how-tos/how-to-freebsd-pppoe.html) door PPP gebruiken over Ethernet (PPPoE)PPPover EthernetPPPoEPPP, over EthernetDeze sectie beschrijft hoe PPP over Ethernet opgezet kan worden
(PPPoE).Het configureren van de kernelInmiddels is het niet langer benodigd om de kernel
configuratie aan te passen voor PPPoE. Als de benodigde
netgraph ondersteuning niet in de kernel aanwezig is zal deze
dynamisch geladen worden door
ppp.Het instellen van ppp.confHieronder volgt een voorbeeld van een werkende
- ppp.conf:
+ ppp.conf:
default:
set log Phase tun command # Er kan meer gedetailleerde logging ingeschakeld worden indien gewenst
set ifaddr 10.0.0.1/0 10.0.0.2/0
name_of_service_provider:
set device PPPoE:xl1 # Vervang x11 met uw ethernet apparaat
set authname UWLOGINNAAM
set authkey UWWACHTWOORD
set dial
set login
add default HISADDRHet draaien van pppAls de root gebruiker kunt u het
volgende draaien:&prompt.root; ppp -ddial name_of_service_providerHet pstarten van ppp tijdens het
opstartenVoeg het volgende toe aan uw
/etc/rc.conf bestand:ppp_enable="YES"
ppp_mode="ddial"
ppp_nat="YES" # Indien u nat wilt inschakelen voor het lokale netwerk, gebruik anders NO
ppp_profile="naam_van_service_provider"Gebruik maken van een PPPoE service labelSoms is het nodig om een service tag te gebruiken om
verbinding te kunnen maken. Service tags worden gebruikt om
onderscheid te maken tussen de verschillende PPPoE servers
die verbonden zijn met een netwerk.Uw provider zou u de juiste service tag gegevens verstrekt
moeten hebben in de documentatie die opgeleverd is. Als u deze
niet kunt vinden in de documentatie moet u deze opvragen bij uw
technische support afdeling van uw provider.Als allerlaatste optie kunt u de aangerade methode gebruiken
van het
Roaring Penguin
PPPoE programma welke gevonden kan worden in de Ports Collectie. Houd u echter in uw
achterhoofd dat dit uw modem ernstige schade kan toebrengen,
dus denkt u er goed over na voordat u het uitprobeert.
Installeer simpelweg het programma dat is meegeleverd bij de
modem door uw provider. Open hierna het
System menu vanuit het programma. De naam van
uw profiel moet hier te vinden zijn. Meestal is deze
ISP.De naam van het profiel (servicetag) zal worden gebruikt in
de PPPoE configuratie regel van ppp.conf
in het provider gedeelte van het set device
commando (zie de &man.ppp.8; handleiding voor meer informatie
hierover). Dit zou er als volgend uit moeten zien:set device PPPoE:xl1:ISPVergeet u niet om xl1 te
vervangen door het juiste apparaat voor uw Ethernet
kaart.Vergeet u niet om ISP te
vergangen door het profiel wat hierboven ingesteld is.Voor meer informatie zie:Cheaper
Broadband with FreeBSD on DSL door Renaud
Waldura.
Nutzung von T-DSL und T-Online mit FreeBSD
door Udo Erdelhoff (in het Duits).PPPoE met een &tm.3com; HomeConnect ADSL Modem Dual
LinkDeze modem volgt RFC 2516
niet (Een methode voor het versturen van PPP over
Ethernet (PPPoE) geschreven door by L. Mamakos,
K. Lidl, J. Evarts, D. Carrel, D. Simone, and R. Wheeler).
Daarentegen is een ander type pakket code gebruikt voor de
Ethernet frames. Klaagt u alstublift bij
3Com als u vind dat
ze zich aan de PPPoE specificatie moeten houden.Om &os; in staat te stellen om te communiceren met dit
apparaat, moet er een sysctl ingesteld worden. Dit kan
automatisch tijdens het opstarten gedaan worden door het
bewerken van /etc/sysctl.conf:net.graph.nonstandard_pppoe=1Dit kan ook direct gedaan worden met het commando:&prompt.root; sysctl net.graph.nonstandard_pppoe=1Helaas is het, doordat dit een systeem brede instelling is,
niet mogelijk om tegelijkertijd met een normale PPPoE
cliënt of server en een
&tm.3com; HomeConnect
ADSL modem te communiceren.Gebruik maken van PPP over ATM
(PPPoA)PPPover ATMPPPoAPPP, over ATMHet volgende beschrijft hoe PPP over ATM (PPPoA) opgezet kan
worden. PPPoA is een populaire keuze binnen Europese DSL
providers.Gebruik maken van PPPoA met de Alcatel &speedtouch; USBPPPoA ondersteuning voor dit apparaat wordt geleverd door
middel van een port in &os; omdat de firmware wordt
gedistribueerd onder Alcatel's
licentie overeenkomst en mag derhalve niet vrijelijk
verspreid worden met het basis systeem van &os;.Om de software te installeren, wordt simpelweg de Ports Collectie gebruikt. Installeer de
net/pppoa port en volg de
instructies die meegeleverd worden.Zoals de meeste USB apparaten moet de Alcatel &speedtouch;
USB zijn firmware downloaden van de host computer om correct
te kunnen werken. Het is mogelijk om dit proces te automatiseren
binnen &os; zodat deze overdracht elke keer gebeurd als het
apparaat in een USB poort wordt gestoken. De volgende informatie
kan worden toegevoegd aan het /etc/usbd.conf
bestand om deze automatische overdracht in te schakelen. Dit
bestand moet bewerkt worden door de root
gebruiker.device "Alcatel SpeedTouch USB"
devname "ugen[0-9]+"
vendor 0x06b9
product 0x4061
attach "/usr/local/sbin/modem_run -f /usr/local/libdata/mgmt.o"Om de USB daemon, usbd, te starten
moet de volgende regel toegevoegd worden aan
/etc/rc.conf:usbd_enable="YES"Het is ook mogelijk om ppp op te
zetten om in te bellen tijdens het opstarten. Om dit te doen
moet de volgende regel worden toegevoegd aan
/etc/rc.conf. Voor deze procedure moet
er ook aangelogt zijn als de root
gebruiker.ppp_enable="YES"
ppp_mode="ddial"
ppp_profile="adsl"Om dit correct te laten werken moet het voorbeeld
ppp.conf bestand gebruikt worden welke
geleverd wordt door de
net/pppoa port.Gebruik maken van mpdU kunt mpd gebruiken om met een
variateit aan diensten verbinding te maken, in het bijzonder
PPTP diensten. U kunt mpd vinden in
de Ports Collectie, net/mpd.
Veel ADSL modems vereisen dat er een PPTP tunnel wordt
gecreeërd tussen de modem en de computer, een voorbeeld
van zo'n modem is de Alcatel &speedtouch; Home.Eerst moet u de port installeren waarna
mpd geconfigureerd kan worden om
uw eisen en provider instellingen op te geven. De port
- plaatst een set van voorbeeld configuratie bestanden welke
- goed gedocumenteerd zijn in
- PREFIX/etc/mpd/.
+ plaatst een verzameling voorbeeldconfiguratiebestanden welke
+ goed gedocumenteerd zijn in PREFIX/etc/mpd/.
Let op dat PREFIX betekend dat dit de
directory is waar uw ports in worden geïnstalleerd.
- Standaard is dit /usr/local/. Een complete
+ Standaard is dit /usr/local/. Een complete
handleiding om mpd te configureren is
beschikbaar in HTML formaat zodra de port geïnstalleerd is.
- Deze wordt geplaatst in
- PREFIX/share/doc/mpd/.
+ Deze wordt geplaatst in PREFIX/share/doc/mpd/.
Hieronder staat een voorbeeld configuratie om verbinding te
maken met een ADSL dienstverlener door het gebruik van
mpd. De configuratie is verspreid
over twee bestanden, allereerst het mpd.conf
bestand:default:
load adsl
adsl:
new -i ng0 adsl adsl
set bundle authname gebruikersnaam
set bundle password wachtwoord
set bundle disable multilink
-
+
set link no pap acfcomp protocomp
set link disable chap
set link accept chap
set link keep-alive 30 10
-
+
set ipcp no vjcomp
set ipcp ranges 0.0.0.0/0 0.0.0.0/0
-
+
set iface route default
set iface disable on-demand
set iface enable proxy-arp
set iface idle 0
openDe gebruikersnaam die gebruikt wordt om uzelf te
authenticeren aan uw provider.Het wachtwoord wat gebruikt wordt om uzelf te
authenticeren aan uw provider.Het mpd.links bestand bevat informatie
over de link, of linken waarmee u verbinding wilt maken. Een
voorbeeld mpd.links wat bij bovenstaand
voorbeeld hoort is hieronder gegeven:adsl:
set link type pptp
set pptp mode active
set pptp enable originate outcall
set pptp self 10.0.0.1
set pptp peer 10.0.0.138Het IP adres van uw &os; computer waar vanaf
mpd gebruikt wordt.Het IP adres van uw ADSL modem. Voor de Alcatel
&speedtouch; Home is dit adres standaard 10.0.0.138.Het is mogelijk om de verbinding makkelijk te initialiseren
door het volgende commando als root uit te
voeren:&prompt.root; mpd -b adslU kunt de status van de verbinding zien met het volgende
commando:&prompt.user; ifconfig ng0
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1500
inet 216.136.204.117 --> 204.152.186.171 netmask 0xffffffff
-
+
Het gebruik van mpd is de
aangeraden manier om met een ADSL dienst te verbinden met
&os;.Gebruik maken van pptpclient
-
+
Het is ook mogelijk om &os; te gebruiken om naar een
andere PPPoA dienstenm verbinding te maken door middel van de
net/pptpclient port.
-
+
Om gebruik te maken van net/pptpclient om naar een DSL dienst
verbinding te maken, installeert u de port of package en bewerkt
u /etc/ppp/ppp.conf U moet dit onder de
root gebruiker doen, om beide acties uit te
voeren. Een voorbeeld sectie van ppp.conf
is hieronder gegeven. Voor meer informatie over
ppp.conf consulteert u de &man.ppp.8;
handleiding.adsl:
set log phase chat lcp ipcp ccp tun command
set timeout 0
enable dns
set authname gebruikersnaam
set authkey wachtwoord
set ifaddr 0 0
add default HISADDRDe gebruikersnaam van uw account bij uw DSL
provider.Het wachtwoord voor uw account.Omdat u het wachtwoord van uw account in het
ppp.conf bestand in leesbare vorm moet
plaatsen, moet u ervoor zorgen dat niemand anders de inhoud
van dit bestand kan lezen. De volgende serie van commando's
zorgt ervoor dat het bestand alleen leesbaar is door de
root gebruiker. Raadpleeg de
handleidingen van &man.chmod.1; en &man.chown.8; voor verdere
informatie.&prompt.root; chown root:wheel /etc/ppp/ppp.conf
&prompt.root; chmod 600 /etc/ppp/ppp.confDit opent een tunnel voor een PPP sessie naar uw DSL router.
Ethernet DSL modems hebben een voor geconfigureerd LAN IP
adres waarmee u verbinding maakt. In het geval van de Alcatel
&speedtouch; home is 10.0.0.138
het adres. Uw router documentatie vertelt u welk adres uw
apparaat gebruikt. Om de tunnel te openen en om een PPP sessie
op te zetten, start u het volgende commando:&prompt.root; pptp addressadslHet kan wenselijk zijn om een ampersand
(&) toe te voegen aan het einde van het
vorige commando, omdat pptp
uw prompt niet teruggeeft.
-
+
Er wordt een tun virtueel tunnel
apparaat gecreeërd voor interactie tussen de
pptp en ppp
processen. Zodra u terugbent op uw prompt, of als
pptp bevestigd dat er een verbinding
is, kunt u de tunnel als volgend inzien:&prompt.user; ifconfig tun0
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
- inet 216.136.204.21 --> 204.152.186.171 netmask 0xffffff00
+ inet 216.136.204.21 --> 204.152.186.171 netmask 0xffffff00
Opened by PID 918Als het niet mogelijk is om verbinding te maken, controleert
u de configuratie van uw router, welke meestal bereikbaar is
door middel van telnet of via een
web browser. Als u nog steeds geen verbinding kunt maken moet
u de resultaten van het pptp onderzoeken
en de inhoud van het ppp log
bestand, /var/log/ppp.log voor meer hints
over wat er mis kan zijn.SatoshiAsamiOrigineel bijgedragen door GuyHelmerMet input van Piero
- Serini
+ SeriniGebruik maken van SLIPSLIPHet opzetten van een SLIP cliëntSLIPcliëntHet volgende is één manier om een &os; machine
in te stellen voor gebruik met SLIP op een statisch host netwerk.
Voor dynamische hostnaam toewijzing (uw adres veranderd elke keer
als u inbelt), heeft u waarschijnlijk een meer complexe opzet
nodig.Bepaal eerst aan welke seriële poort uw modem verbonden
is. Veel mensen gebruiken hiervoor een symbolische link zoals
- /dev/modem welke verwijst naar de echte
- naam van het apparaat /dev/cuadN. Dit
+ /dev/modem welke
+ verwijst naar de echte naam van het apparaat /dev/cuadN. Dit
geeft de mogelijkheid om naam abstract te houden, voor het geval
de modem ooit verplaatst wordt naar een andere poort. Het kan
- best een vervelende klus zijn wanneer er een aantal bestanden
- gerepareerd moeten worden in /etc en
+ best een vervelende klus zijn wanneer er een aantal bestanden in
+ /etc en
.kermrc bestanden verspreid over het gehele
- systeem!
+ systeem gerepareerd moeten worden!
- /dev/cuad0
+ /dev/cuad0
is
- COM1, cuad1
+ COM1, cuad1
is
COM2, etc.Zorg ervoor dat u het volgende in uw kernel configuratie
bestand hebt:
-
+
device slDeze is standaard opgenomen in de
GENERIC kernel, dus dat zou geen problemen
moeten opleveren tenzij u deze verwijderd heeft.Dingen die u maar éénmalig hoeft uit te voerenVoeg uw machine, de router en de naamservers toe
aan uw /etc/hosts bestand. Ons
bestand ziet er als volgend uit:127.0.0.1 localhost loghost
136.152.64.181 water.CS.Example.EDU water.CS water
136.152.64.1 inr-3.CS.Example.EDU inr-3 slip-gateway
128.32.136.9 ns1.Example.EDU ns1
128.32.136.12 ns2.Example.EDU ns2Zorg ervoor dat u files voor
dns in de hosts:
sectie van uw /etc/nsswitch.conf
bestand. Zonder deze parameters zouden er interessante
dingen kunnen gebeuren.Bewerk het /etc/rc.conf
bestand.Stel uw hostnaam in door de regel te bewerken die
aangeeft:
-
+
hostname="myname.my.domain"De volledig gekwalificeerde internet hostnaam
moet hier geplaatst worden.standaard routeringStel de standaard router in door het aanpassen
van de volgende regel van:defaultrouter="NO"naar:defaultrouter="slip-gateway"Creeër en bestand genaamd
/etc/resolv.conf welke het volgende
bevat:domain CS.Example.EDU
nameserver 128.32.136.9
nameserver 128.32.136.12naamserverdomeinnaamZoals u kunt zien, stellen deze de naamserver hosten
in. Uiteraard is het echte domein en adres afhankelijk
van uw omgeving.Stel het wachtwoord in voor de
root en de toor
gebruikers (en elke andere gebruiker die geen wachtwoord
heeft).Herstart de machine en controleeer of deze opkomt
met de correcte hostnaam.Het opzetten van een SLIP verbindingSLIPverbinding maken metBel in, type slip op de prompt
en voer uw machine naam en wachtwoord in. Wat is
vereist, is afhankelijk van uw omgeving. Als u gebruik
maakt van Kermit kan een
script als de volgende gebruikt worden:# kermit setup
set modem hayes
set line /dev/modem
set speed 115200
set parity none
set flow rts/cts
set terminal bytesize 8
set file type binary
# De volgende macro zal inbellen en ons inloggen.
define slip dial 643-9600, input 10 =>, if failure stop, -
output slip\x0d, input 10 Username:, if failure stop, -
output silvia\x0d, input 10 Password:, if failure stop, -
output ***\x0d, echo \x0aCONNECTED\x0aUiteraard moet u uw gebruikersnaam en wachtwoord
wijzigen zodat deze overeenkomen met die van u. Nadat
dit gedaan is kunt u slip invullen op
de Kermit prompt om verbinding
te maken.Het achterlaten van uw wachtwoord in leesbare tekst
waar dan ook op het bestandssysteem is zeker een
slecht idee. Doe dit op eigen
risico.Laat Kermit daar (het
programma kan tijdelijk uitgeschakeld worden door
Ctrlz) en type vervolgens als
root:&prompt.root; slattach -h -c -s 115200 /dev/modemAls u in staat bent om andere hosten met
ping te benaderen aan de andere kant
van de router, bent u verbonden! Als dit niet werkt kunt
u wellicht de gebruiken in plaats van
de als argument voor
- slattach.
+ slattach.
Hoe de verbinding afgebroken moet wordenDoe het volgende::&prompt.root; kill -INT `cat /var/run/slattach.modem.pid`om slattach te stoppen. Houd in uw
achterhoofd dat u dit als root moet
doen. Ga hierna terug naar kermit (door
het intypen van fg als u deze tijdelijk
uitgeschakeld had) en verlaat de applicatie
(q).De &man.slattach.8; handleiding zegt dat
ifconfig sl0 down uitgevoerd moet worden
om de interface uit te schakelen, maar dit lijkt geen verschil
op te leveren. (ifconfig sl0 lijkt
hetzelfde resultaat te geven.)Soms kan het gebeuren dat de modem weigert om de carrier
los te laten. Start in dat geval simpelweg
kermit en stop deze wederom. Meestal stopt
het met de tweede poging.Problemen oplossenAls dit niet werkt, voelt u zich dan vrij om rond te vragen
op de &a.net.name; mailing lijst. De volgende dingen zijn
mensen al eens tegen aangelopen:Het niet gebruiken van de of
optie voor slattach
(Dit zou niet fataal moeten zijn, maar sommige mensen
hebben aangegeven dat het de problemen oplostte.)Het intypen van in plaats van
(het verschil is wellicht lastig te
zien met sommige fonts).Probeer ifconfig sl0 uit te voeren
om de interface status te zien. U kunt bijvoorbeeld
krijgen:&prompt.root; ifconfig sl0
sl0: flags=10<POINTOPOINT>
inet 136.152.64.181 --> 136.152.64.1 netmask ffffff00Als u no route to host krijgt
van het &man.ping.8; commando, is er mogelijk een probleem
met uw route tabel. U kunt het
netstat -r commando uitvoeren om de
huidige routes te zien:&prompt.root; netstat -r
Routing tables
Destination Gateway Flags Refs Use IfaceMTU Rtt Netmasks:
(root node)
(root node)
Route Tree for Protocol Family inet:
(root node) =>
default inr-3.Example.EDU UG 8 224515 sl0 - -
localhost.Exampl localhost.Example. UH 5 42127 lo0 - 0.438
inr-3.Example.ED water.CS.Example.E UH 1 0 sl0 - -
water.CS.Example localhost.Example. UGH 34 47641234 lo0 - 0.438
(root node)Het voorgaand voorbeeld komt van een relatief druk
systeem. De getallen op uw systeem zullen anders zijn
naar gelang de netwerk activiteiten.Het opzetten van een SLIP serverSLIPserverDit document levert suggesties voor het opzetten van een
SLIP server op een &os; systeem, welke meestal betekent het
configureren van uw systeem om automatisch verbindingen op te
zetten wanneer er wordt ingelogt met remote SLIP
cliënten.Eisen voorafTCP/IP networkingDeze sectie is vrij technisch van aard, dus achtergrond
informatie is vereist. Er wordt aangenomen dat u bekend bent
met het TCP/IP netwerk protocol, en in dan in het bijzonder
met netwerk en node adresseringen, netwerk adres maskers,
subnetten, routes en dynamische routering protocollen
zoals RIP. Het configureren van een SLIP dienst op een inbel
server vereist kennis van deze concepten en als u daarmee niet
bekend bent, leest u dan aub een versie van of
Craig Hunt's TCP/IP Network Administration
gepubliceerd door O'Reilly & Associates, Inc. (ISBN Number
0-937175-82-X), of Douglas Comer's boeken over het TCP/IP
protocol.modemDaarnaast wordt er vanuit gegaan dat u reeds uw modem(s)
heeft geconfigureerd en dat u de juiste systeem bestanden
heeft aangepast zodat er logins mogelijk zijn door uw modem(s)
heen. Als u dat nog niet heeft gedaan, zie dan voor details over het opzetten van
inbel diensten. Wellicht wilt u ook de handleiding bekijken
voor &man.sio.4; voor meer informatie over de seriële
port device driver en de &man.ttys.5;, &man.gettytab.5;,
&man.getty.8;, & &man.init.8; handleidingen voor
informatie die relevant zijn voor het configureren van het
systeem zodat logins mogelijk worden op modems, en wellicht
&man.stty.1; voor informatie over het instellen van de
seriële poort (zoals clocal voor
direct verbonden seriële interfaces).Snel overzichtIn een typische configuratie, werkt het gebruik van &os;
als een SLIP server als volgend: een SLIP gebruiker belt in
op uw &os; SLIP server systeem en logt in met een speciaal
SLIP login ID dat gebruik maakt van
/usr/sbin/sliplogin. Het
sliplogin programma leest door het
/etc/sliphome/slip.hosts bestand om een
corresponderende regel te vinden voor de speciale gebruiker en
als deze een match vindt verbind het de seriële lijn met
een beschikbare SLIP interface waarna het het shellscript
/etc/sliphome/slip.login wordt uitgevoerd
om de SLIP interface te configureren.
-
+ Een voorbeeld SLIP server loginBijvoorbeeld, als een SLIP user ID is
Shelmerg kan
Shelmerg's regel in
/etc/master.passwd er als volgend
uitzien:Shelmerg:password:1964:89::0:0:Guy Helmer - SLIP:/usr/users/Shelmerg:/usr/sbin/sliploginWanneer Shelmerg inlogt, zoekt het
sliplogin programma in het
/etc/sliphome/slip.hosts bestand voor
een regel dat een corresponderende user ID heeft, er kan
bijvoorbeeld een regel staan in
/etc/sliphome/slip.hosts dat eruit
ziet als volgend:Shelmerg dc-slip sl-helmer 0xfffffc00 autocompsliplogin zal de corresponderende
regel vinden en de seriële lijn koppelen aan de eerste
beschikbare SLIP interface, waarna
/etc/sliphome/slip.login wordt
uitgevoerd zoals volgend:/etc/sliphome/slip.login 0 19200 Shelmerg dc-slip sl-helmer 0xfffffc00 autocompAls alles goed gaat, zal
/etc/sliphome/slip.login een
ifconfig commando uitvoeren voor de SLIP
interface waaraan sliplogin zichzelf
koppelt (SLIP interface 0 zoals in bovenstaand voorbeeld
was de eerste parameter in de lijst welke gegeven is aan
slip.login) om een lokaal IP adres
in te stellen (dc-slip), een remote IP
adres (sl-helmer), een netwerk master voor
de SLIP interface
(0xfffffc00), en enkele
additionele vlaggen (autocomp). Als
er iets misgaat zal sliplogin meestal
voldoende goede informatie loggen via de
syslogd daemon faciliteiten,
welke meestal logt naar
/var/log/messages (zie de handleidingen
van &man.syslogd.8; en &man.syslog.conf.5; en controleer het
/etc/syslog.conf bestand om te zien wat
syslogd logt en waar dit naartoe
gelogt wordt).Kernel configuratiekernelconfigurationSLIP&os;'s standaard kernel (GENERIC)
heeft reeds ondersteuning voor SLIP (&man.sl.4;), in het
geval van een custom kernel moet de volgende regel worden
toegevoegd aan de kernel configuratie:device slStandaard zal uw &os; machine geen pakketten doorsturen.
Als u wilt dat uw &os; SLIP server zich gedraagt als router
zult u het bestand /etc/rc.conf moeten
bewerken en de instelling van de
gateway_enable variabele moeten aanpassen
naar . Dit zorgt ervoor dat de machine
na een herstart zich zal blijven gedragen als router.
-
+
Om de instellingen meteen actief te maken kunt u het
volgende commando als root
uitvoeren:
- &prompt.root; /etc/rc.d/routing start
+ &prompt.root; /etc/rc.d/routing startRaadpleeg aub over
het configureren van de &os; kernel voor meer hulp over het
herconfigureren van uw kernel.Sliplogin configuratie
- Zoals eerder vermeld, zijn er drie bestanden in de
- /etc/sliphome directory die onderdeel
- zijn van de configuratie voor
+ Zoals eerder vermeld, zijn er drie bestanden in de map
+ /etc/sliphome die
+ onderdeel zijn van de configuratie voor
/usr/sbin/sliplogin (zie
&man.sliplogin.8; voor de actuele handleiding voor
sliplogin): slip.hosts,
welke de SLIP gebruikers definieert en de gekoppelde IP
adressen; slip.login, welke meestal de
SLIP interface configureert en (optioneel)
slip.logout, welke de effecten van
slip.login ongedaan maakt wanneer de
seriële verbinding verbroken wordt.
-
+ slip.hosts configuratie/etc/sliphome/slip.hosts bevat
regels welke minstens vier onderdelen heeft die
gescheiden worden door een spatie:SLIP gebruikers login IDLokale adres (lokaal voor de SLIP server) van de
SLIP linkRemote adres van de SLIP linkNetwerk maskerDe lokale en remote adressen mogen host namen zijn
(Welke naar IP adressen vertaald kunnen worden door
/etc/hosts of door de
DNS diensten, afhankelijk van uw
specificaties in het /etc/nsswitch.conf,
het netwerk masker mag een naam zijn dat vertaald kan worden
door een zoek opdracht in /etc/networks.
Op een voorbeeld systeem ziet het
/etc/sliphome/slip.hosts bestand er als
volgt uit:#
-# login local-addr remote-addr mask opt1 opt2
+# login local-addr remote-addr mask opt1 opt2
# (normal,compress,noicmp)
#
Shelmerg dc-slip sl-helmerg 0xfffffc00 autocompAan het einde van deze regel staan één of
meerdere opties: — geen compressie
van de header — comprimeer
headers — comprimeer de
headers als de remote kant dit accepteert — schakelt ICMP
pakketten uit (dus alle ping pakketten
worden geweigerd in plaats van dat deze bandbreedte
verbruiken)
- SLIP
+ SLIP
- TCP/IP networking
+ TCP/IP networkingUw keuze van een lokaal en remote adres voor uw SLIP
verbindingen is afhankelijk van of u een speciaal toegewezen
TCP/IP subnet gebruikt, of dat u gebruik gaat maken van
proxy ARP op uw SLIP server (het is geen
echte proxy ARP, maar het is de terminologie
welke in deze sectie gebruikt wordt om het te beschrijven).
Als u niet zeker bent welke methode u moet kiezen, of hoe u
IP adressen moet toewijzen, raadpleegt u dan de TCP/IP
boeken die vermeld worden in de SLIP vereisten
() en/of vraag uw IP netwerk
manager om hulp.Als u gebruik gaat maken van een separaat subnet voor
uw SLIP cliënten, moet u een subnet alloceren uit de
voor u toegewezen IP ruimte, en elke SLIP cliënt een
IP adres geven uit dat subnet. Daarna moet u waarschijnlijk
een statische route configureren voor uw SLIP subnet via
uw SLIP server naar de dichtsbijzijnde IP router.
- Ethernet
+ EthernetIn het andere geval moet u gebruik maken van de
proxy ARP methode, u moet elke SLIP
cliënt een IP adres geven uit uw SLIP server's
Ethernet subnet, daarnaast moet u het
/etc/sliphome/slip.login en het
/etc/sliphome/slip.logout script
aanpassen om gebruik te maken van &man.arp.8; om de
proxy ARP regels te beheren in de SLIP
servers ARP tabel.slip.login configuratieEen typisch /etc/sliphome/slip.login
bestand ziet er als volgend uit:#!/bin/sh -
#
# @(#)slip.login 5.1 (Berkeley) 7/1/90
#
# generiek login bestand voor een slip lijn. sliplogin voert deze uit
# met de volgende parameters:
# 1 2 3 4 5 6 7-n
# slipunit ttyspeed loginname local-addr remote-addr mask opt-args
#
/sbin/ifconfig sl$1 inet $4 $5 netmask $6Dit slip.login bestand start
alleen het ifconfig commando voor de
betreffende SLIP interace met het lokale en remote adres
met het netwerkmasker van de SLIP interface.Als u besloten heeft om gebruik te maken van de
proxy ARP methode (in plaats van het
gebruiken van een apart subnet voor uw SLIP cliënten)
moet u het /etc/sliphome/slip.login
bestand aanpassen zodat deze er ongeveer als volgend
uitziet:#!/bin/sh -
#
# @(#)slip.login 5.1 (Berkeley) 7/1/90
#
# generiek login bestand voor een slip lijn. sliplogin voert deze uit
# met de volgende parameters:
# 1 2 3 4 5 6 7-n
# slipunit ttyspeed loginname local-addr remote-addr mask opt-args
#
-/sbin/ifconfig sl$1 inet $4 $5 netmask $6
+/sbin/ifconfig sl$1 inet $4 $5 netmask $6
# Beantwoord ARP Verzoeken voor de SLIP cliënt met ons Ethernet
# adres
/usr/sbin/arp -s $5 00:11:22:33:44:55 pubDe extra regel in het slip.login
bestand,
arp -s $5 00:11:22:33:44:55 pub,
creeërt een ARP regel in de SLIP server's ARP tabel.
Deze ARP regel zorgt ervoor dat de SLIP server antwoord
geeft met het Ethernet MAC adres van de SLIP server wanneer
een andere IP node op het Ethernet vraagt om te communiceren
met het IP adres van de SLIP cliënt.
-
+ EthernetMAC addressWanneer u gebruik maakt van het voorbeeld hierboven,
wees u er dan zeker van dat u het Ethernet MAC adres
(00:11:22:33:44:55) veranderd
in het MAC adres van uw systeem's Ethernet kaart, anders
werkt uw proxy ARP zeker niet! U kunt het
Ethernet MAC adres van uw SLIP Server achterhalen door het
bekijken van het resultaat van netstat -i;
de tweede regel met resultaten moet er ongeveer als volgend
uitzien:ed0 1500 <Link>0.2.c1.28.5f.4a 191923 0 129457 0 116Dit geeft aan dat het specifieke Ethernet MAC adres van
het systeem is 00:02:c1:28:5f:4a
— de punten in het Ethernet MAC adres welke gegeven
wordt door netstat -i moet worden veranderd
in dubbele punten (:) en voorloop nullen
moeten worden toegevoegd aan elk enkel hexadecimaal getal
om het adres te converteren naar de vorm die &man.arp.8;
wenst; zie de handleiding van &man.arp.8; voor een compleet
overzicht van het gebruik hiervan.Wanneer u
/etc/sliphome/slip.login en
/etc/sliphome/slip.logout, aanmaakt
moet het uitvoerbare bitje gezet zijn
(b.v. chmod 755
/etc/sliphome/slip.login /etc/sliphome/slip.logout)
anders is sliplogin niet in staat om
deze uit te voeren.slip.logout configuratie/etc/sliphome/slip.logout is niet
strict noodzakelijk (tenzij u proxy ARP
implementeert), maar als beslist om deze aan te maken is
dit een voorbeeld basis slip.logout
script:#!/bin/sh -
#
# slip.logout
#
# uitlog bestand voor een slip regel. sliplogin voert deze uit met de
# parameters:
# 1 2 3 4 5 6 7-n
# slipunit ttyspeed loginname local-addr remote-addr mask opt-args
#
/sbin/ifconfig sl$1 downAls u gebruik maakt van proxy ARP wilt u
waarschijnlijk dat het
/etc/sliphome/slip.logout bestand de
ARP regel weghaalt voor de SLIP cliënt:#!/bin/sh -
#
# @(#)slip.logout
#
# uitlog bestand voor een slip regel. sliplogin voert deze uit met de
# parameters:
# 1 2 3 4 5 6 7-n
# slipunit ttyspeed loginname local-addr remote-addr mask opt-args
#
/sbin/ifconfig sl$1 down
# Stop met het beantwoorden van ARP verzoeken voor de SLIP cliënt
/usr/sbin/arp -d $5Het arp -d $5 verwijderd de ARP
regel, die proxy ARP heeft toegevoegd toen
de SLIP cliënt inlogde.Het is belangrijk om dit te herhalen: zorg ervoor
/etc/sliphome/slip.logout het
uitvoerbare bitje heeft gezet nadat deze gecreeërd
is (b.v.
chmod 755 /etc/sliphome/slip.logout).Routering overwegingenSLIProuteringAls u geen gebruik maakt van de proxy ARP
voor het routeren van pakketten tussen uw SLIP cliënts
en de rest van uw netwerk (en wellicht het internet), moeten
er misschien een aantal statische routeringen naar de best
bereikbare standaard router ingesteld worden om uw SLIP
cliënts te routeren via uw SLIP server.Statische routeringenstatische routeringenHet toevoegen van statische routeringen naar de dichts
bijzijnde router kan problematisch zijn (of zelfs onmogelijk
als u niet de bevoegdheden heft om dit te doen). Als u een
netwerk heeft met meerdere routers binnen uw organisatie
kan het zijn dat sommige routers, zoals die van Cisco en
Proteon , niet alleen geconfigureerd moeten worden met de
statische route naar het SLIP subnet, maar deze moeten dan
ook geconfigureerd worden over welke statische routes aan
andere routers verteld moeten worden. Enige expertise en
fine tunen kan nodig zijn om statische routing te laten
werken.
diff --git a/nl_NL.ISO8859-1/books/handbook/security/chapter.sgml b/nl_NL.ISO8859-1/books/handbook/security/chapter.sgml
index 188520e5f9..cbd6ef4068 100644
--- a/nl_NL.ISO8859-1/books/handbook/security/chapter.sgml
+++ b/nl_NL.ISO8859-1/books/handbook/security/chapter.sgml
@@ -1,4788 +1,4844 @@
MatthewDillonVeel uit dit hoofdstuk is overgenomen uit de
security(7) handleiding van SiebrandMazelandVertaald door BeveiligingbeveiligingOverzichtDit hoofdstuk biedt een basisinleiding in
systeembeveiligingsconcepten, een aantal goede basisregels en
een paar gevorderde onderwerpen binnen &os;. Veel van de
onderwerpen die worden behandeld kunnen ook worden toegepast op
systemen en Internet in het algemeen. Het Internet is niet
langer een vriendelijke omgeving waar iedereen
een goede buur wil zijn. Het beveiligen van een systeem is
onontbeerlijk als gegevens, intellectueel eigendom, tijd en wat
dan ook uit de handen van hackers c.s. gehouden moeten
worden.&os; biedt veel hulpmiddelen en mechanismen om te zorgen
voor de integriteit en veiligheid van een systeem en
netwerk.Na het lezen van dit hoofdstuk weet de lezer:Van basis systeembeveiligingsconcepten in relatie tot
&os;.Meer over verschillende versleutelingsmechanismen die
beschikbaar zijn in &os; zoals DES en
MD5.Hoe eenmalige wachtwoordautenticatie opgezet kan
worden.Hoe TCP Wrappers in te stellen voor
gebruik met inetd.Hoe KerberosIV op &os;
uitgaven eerder dan 5.0 opgezet kan worden.Hoe Kerberos5 op &os; opgezet
kan worden.Hoe IPsec wordt ingesteld en hoe een
VPN op te zetten tussen &os; en
µsoft.windows; machines.Hoe OpenSSH, &os;'s
SSH implementatie, in te stellen en te
gebruiken.Wat bestandssysteem-ACLs zijn en hoe
die te gebruiken;Hoe het hulpprogramma
Portaudit gebruikt kan worden om
softwarepakketten uit de Portscollectie te auditen.Hoe om te gaan met publicaties van &os;
beveiligingswaarschuwingen.Iets van procesaccounting en hoe dat is in te schakelen
in &os;.Er wordt aangenomen dat de lezer van dit hoofdstuk:Basisbegrip heeft van &os; en Internetconcepten.In dit boek worden nog meer onderwerpen met betrekking tot
beveiliging beschreven. Zo wordt bijvoorbeeld Verplichte
Toegangscontrole (Mandatory Access Control) besproken in en Internet Firewalls in .IntroductieBeveiliging is een taak die begint en eindigt bij de
systeembeheerder. Hoewel alle BSD &unix; meergebruikerssystemen
enige inherente beveiliging kennen, is het bouwen en onderhouden
van additionele beveiligingsmechanismen om de gebruikers
eerlijk te houden waarschijnlijk een van de
zwaarste taken voor de systeembeheerder. Machines zijn zo veilig
als ze gemaakt worden en beveiligingsoverwegingen staan altijd op
gespannen voet met de wens om gebruiksvriendelijkheid. &unix;
systemen zijn in het algemeen in staat tot het tegelijkertijd
uitvoeren van een enorm aantal processen en veel van die
processen acteren als server - daarmee wordt bedoeld dat externe
entiteiten er verbindingen mee kunnen maken en ertegen kunnen
praten. Nu de minicomputers en mainframes van gisteren de
desktops van vandaag zijn en computers onderdeel zijn van
netwerken en internetwerken, wordt beveiliging nog
belangrijker.Systeembeveiliging heeft ook te maken met het omgaan met
verschillende vormen van aanvallen, zoals een poging om een
systeem te crashen of op een andere manier onstabiel te maken,
zonder te proberen de root account aan te
vallen (break root). Aandachtspunten voor
beveiliging kunnen opgesplitst worden in categorieën:Ontzeggen van dienst aanvallen (Denial of
Service).Gebruikersaccounts compromitteren.root compromitteren via
toegankelijke servers.root compromitteren via
gebruikersaccounts.Achterdeur creëren (Backdoor).DoS aanvallenOntzegging van Dienst (DoS)beveiligingOntzegging van Dienst DoS aanvallen(DoS)Ontzegging van Dienst (DoS)Een ontzegging van dienst (DoS) aanval is een techniek die
de machine middelen ontneemt. In het algemeen zijn DoS aanvallen
brute kracht mechanismen die proberen de machine te crashen of op
een andere manier onbruikbaar te maken door de machine of de
netwerkcode te overvragen. Sommige DoS aanvallen proberen
misbruik te maken van bugs in de netwerkcode om een machine met
een enkel pakket te crashen. Zoiets kan alleen gerepareerd
worden door een aanpassing aan de kernel te maken. Aanvallen op
servers kunnen vaak hersteld worden door op de juiste wijze
opties in stellen om de belasting van servers te limiteren in
ongunstige omstandigheden. Omgaan met brute kracht aanvallen is
lastiger. Zo is een aanval met gefingeerde pakketten
(spoofed-packet) vrijwel niet te stoppen, behalve
dan door het systeem van Internet los te koppelen. Misschien
gaat de machine er niet door plat, maar het kan wel een volledige
Internetverbinding verzadigen.beveiligingaccount compromitterenEen gecompromitteerde gebruikersaccount komt nog veel vaker
voor dan een DoS aanval. Veel systeembeheerders draaien nog
steeds standaard telnetd,
rlogind,
rshd en
ftpd servers op hun machines. Deze
servers communiceren standaard niet over beveiligde verbindingen.
Het resultaat is dat als er een redelijk grote gebruikersgroep
is, er altijd wel van een of meer van de gebruikers die van
afstand op dat systeem aanmelden (wat toch de meest normale en
makkelijke manier is om op een systeem aan te melden) het
wachtwoord is afgeluisterd (sniffed). Een
oplettende systeembeheerder analyseert zijn logboekbestanden om
te zoeken naar verdachte bronadressen, zelfs als het om
succesvolle aanmeldpogingen gaat.Uitgangspunt moet altijd zijn dat als een aanvaller toegang
heeft tot een gebruikersaccount, de aanvaller de
root account kan compromitteren. In
werkelijkheid is het wel zo dat voor een systeem dat goed
beveiligd is en goed wordt onderhouden, toegang tot een
gebruikersaccount niet automatisch betekent dat de aanvaller ook
root privileges kan krijgen. Het is van
belang dit onderscheid te maken, omdat een aanvaller zonder
toegang tot root in het algemeen zijn sporen
niet kan wissen en op z'n best wat kan rommelen met bestanden van
de gebruiker of de machine kan crashen. Gecompromitteerde
gebruikersaccounts zijn vrij normaal omdat gebruikers normaliter
niet de voorzorgsmaatregelen nemen die systeembeheerders
nemen.beveiligingachterdeurenSysteembeheerders moeten onthouden dat er in potentie heel
veel manieren zijn om toegang tot root te
krijgen. Een aanvaller zou het
root wachtwoord kunnen kennen, een bug kunnen
ontdekken in een dienst die onder root
draait en daar via een netwerkverbinding op in kunnen breken of
een aanvaller zou een probleem kennen met een suid-root programma
dat de aanvaller in staat stelt root te
worden als hij eenmaal toegang heeft tot een gebruikersaccount.
Als een aanvaller een manier heeft gevonden om
root te worden op een machine, dan hoeft
hij misschien geen achterdeur (backdoor) te
installeren. Veel bekende manieren die zijn gevonden om
root te worden, en weer zijn afgesloten,
vereisen veel werk van de aanvaller om zijn rommel achter zich op
te ruimen, dus de meeste aanvallers installeren een achterdeur.
Een achterdeur biedt de aanvaller een manier om makkelijk opnieuw
root toegang tot het systeem te krijgen, maar
dit geeft de slimme systeembeheerder ook een makkelijke manier om
de inbraak te ontdekken. Het onmogelijk maken een achterdeur te
installeren zou best wel eens nadelig kunnen zijn voor
beveiliging, omdat hiermee nog niet het gat gedicht is waardoor
er in eerste instantie is ingebroken.Beveiligingsmaatregelen moeten altijd geïmplementeerd
worden in een meerlagenmodel en worden als volgt
gecategoriseerd:Beveiligen van root en
medewerkersaccounts.Beveiligen van root – servers
onder root en suid-/sgid-binaire
bestanden.Beveiligen van gebruikersaccounts.Beveiligen van het wachtwoordbestand.Beveiligen van de kern van de kernel, ruwe apparaten
en bestandssystemen.Snel detecteren van ongeoorloofde wijzigingen aan het
systeem.Paranoia.In het volgende onderdeel van dit hoofdstuk gaan we dieper in
op de bovenstaande punten.&os; beveiligenbeveiliging&os; beveiligenCommando vs. protocolIn dit hele document gebruiken we
vette tekst om te verwijzen naar een
commando of applicatie en een monospaced
lettertype om te verwijzen naar specifieke commando's.
Protocollen staan vermeld in een normaal lettertype. Dit
typografische onderscheid is zinvol omdat bijvoorbeeld ssh
zowel een protocol als een commando is.In de volgende onderdelen behandelen we de methodes uit de
vorige paragraaf om een
&os;-systeem te beveiligen.Beveiligen van root en
medewerkersaccounts.suOm te beginnen: doe geen moeite om medewerkersaccounts
te beveiligen als de root account niet
beveiligd is. Op de meeste systemen heeft de
root account een wachtwoord. Als eerste
moet aangenomen worden dat dit wachtwoord
altijd gecompromitteerd is. Dit betekent
niet dat het wachtwoord verwijderd moet worden. Het wachtwoord
is namelijk bijna altijd nodig voor toegang via het console van
de machine. Het betekent wel dat het niet mogelijk gemaakt
moet worden om het wachtwoord te gebruiken buiten het console
om en mogelijk zelfs niet via het &man.su.1; commando. Pty's
moeten bijvoorbeeld gemarkeerd staan als onveilig
(insecure) in het bestand
/etc/ttys zodat direct aanmelden met
root via telnet
of rlogin niet wordt toegestaan. Als andere
aanmelddiensten zoals sshd gebruikt
worden, dan hoort direct aanmelden via
root uitgeschakeld staat. Dit kan door
het bestand /etc/ssh/sshd_config te
bewerken en ervoor te zorgen dat
PermitRootLogin op NO
staat. Dit moet gebeuren voor iedere methode van toegang
– diensten zoals FTP worden vaak over het hoofd gezien.
Het direct aanmelden van root hoort alleen
te mogen via het systeemconsole.wheelNatuurlijk moet een systeembeheerder de mogelijkheid hebben
om root te worden. Daarvoor kunnen een
paar gaatjes geprikt worden. Maar dan moet ervoor gezorgd
worden dat er voor deze gaatjes extra aanmelden met een
wachtwoord nodig is. Eén manier om
root toegankelijk te maken is door het
toevoegen van de juiste medewerkersaccounts aan de
wheel groep (in
/etc/group). De medewerkers die lid zijn
van de groep wheel mogen
su–en naar root.
Maak medewerkers nooit native lid van de groep
wheel door ze in de groep
wheel te plaatsen in
/etc/group. Medewerkersaccounts horen lid
te zijn van de groep staff en horen dan
pas toegevoegd te worden aan de groep
wheel in het bestand
/etc/group. Alleen medewerkers die ook
echt toegang tot root nodig hebben horen
in de groep wheel geplaatst te worden.
Het is ook mogelijk, door een autenticatiemethode als Kerberos
te gebruiken, om het bestand .k5login van
Kerberos in de root account te gebruiken
om een &man.ksu.1; naar root toe te staan
zonder ook maar iemand lid te maken van de groep
wheel. Dit is misschien wel een
betere oplossing, omdat het
wheel-mechanisme het nog steeds mogelijk
maakt voor een inbreker root te breken als
de inbreker een wachtwoordbestand te pakken heeft gekregen en
toegang kan krijgen tot één van de
medewerkersaccounts. Hoewel het instellen van het
wheel-mechanisme beter is dan niets, is
het niet per se de meest veilige optie.Om een account volledig op slot te zetten, dient het
commando &man.pw.8; gebruikt te worden:&prompt.root; pw lock staffDit voorkomt dat de gebruiker zich aanmeldt via enig
mechanisme, inclusief &man.ssh.1;.Een andere manier om toegang tot accounts te blokkeren is om
het versleutelde wachtwoord door een enkel
*-karakter te vervangen. Dit
karakter zal nooit overeenkomen met het versleutelde wachtwoord
en dus gebruikerstoegang blokkeren. Het volgende
medewerkersaccount bijvoorbeeld:foobar:R9DT/Fa1/LV9U:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcshzou veranderd moeten worden in:foobar:*:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcshDit voorkomt dat de gebruiker foobar
zich aanmeldt met conventionele methoden. Deze methode om
toegang te beperken werkt niet op sites die
Kerberos gebruiken of in situaties
waarin de gebruiker met &man.ssh.1; sleutels heeft
geïnstalleerd.Deze beveiligingsmechanismen hebben ook als uitgangspunt dat
vanaf een zwaarder beveiligde machine wordt aangemeld op een
minder beveiligd systeem. Als een hoofdserver bijvoorbeeld
allerlei servers draait, zou het werkstation er geen moeten
draaien. Om een werkstation redelijk veilig te laten zijn,
dienen er zo min mogelijk servers op te draaien, bij voorkeur
zelfs geen en er zou een schermbeveiliging met
wachtwoordbeveiliging op moeten draaien. Maar als een aanvaller
fysieke toegang heeft tot een werkstation, dan kan hij elke
beveiliging die erop is aangebracht omzeilen. Dit probleem
dient echt overwogen te worden, net als het feit dat de meeste
aanvallen van een afstand plaatsvinden, via het netwerk, door
mensen die geen fysieke toegang hebben tot werkstations of
servers.KerberosIVHet gebruik van iets als Kerberos geeft de mogelijkheid
om het wachtwoord van de account van een medewerker buiten
gebruik te stellen of te wijzigen op één plaats,
waarbij het meteen actief is op alle machines waarop die
medewerker een account heeft. Als de account van een
medewerker gecompromitteerd raakt, moet vooral de mogelijkheid
om per direct het wachtwoord voor machines te kunnen aanpassen
niet onderschat worden. Met afzonderlijke wachtwoorden kan het
veranderen van wachtwoorden op N systemen een puinhoop worden.
Met Kerberos kunnen ook wachtwoordrestricties opgelegd worden:
het is niet alleen mogelijk om een Kerberos
ticket na een bepaalde tijd te laten verlopen,
maar het Kerberos systeem kan afdwingen dat de gebruiker na een
bepaalde tijd een nieuw wachtwoord kiest (na bijvoorbeeld een
maand).Beveiligen van root – servers
onder root en suid-/sgid-binaire
bestandenntalkcomsatfingerzandbakkensshdtelnetdrshdrlogindEen voorzichtige systeembeheerder draait alleen die servers
die nodig zijn, niets meer, niets minder. Bedenk dat
servers van derde partijen vaak de meeste neiging hebben tot
het vertonen van bugs. Zo staat bijvoorbeeld het draaien van
een oude versie van imapd of
popper gelijk aan het weggeven van
de root account aan de hele wereld. Draai
nooit een server die niet zorgvuldig is onderzocht. Veel
servers hoeven niet te draaien als root.
Zo kunnen de ntalk,
comsat en
finger daemons bijvoorbeeld draaien
in speciale gebruikerszandbakken
(sandboxes). Een zandbak
is niet perfect, tenzij er heel veel moeite gedaan wordt, maar
de meerlagenbenadering blijft bestaan: als iemand via een
server die in een zandbak draait weet in te breken, dan moeten
ze eerst nog uit de zandbak komen. Hoe groter het aantal lagen
is waar een inbreker doorheen moet, hoe kleiner de kans op
succes is. root gaten zijn historisch
gezien aanwezig geweest in vrijwel iedere server die ooit als
root gedraaid heeft, inclusief de
basisservers van een systeem. Op een machine waarop mensen
alleen aanmelden via sshd en nooit
via telnetd of
rshd of
rlogind dienen die servers
uitgeschakeld te worden!&os; draait ntalkd,
comsat en
finger tegenwoordig standaard in een
zandbak. Een ander programma dat misschien beter in een
zandbak kan draaien is &man.named.8;. In
/etc/defaults/rc.conf staat als commentaar
welke parameters er nodig zijn om
named in een zandbak te draaien.
Afhankelijk van of het een nieuwe systeeminstallatie of het
bijwerken van een bestaand systeem betreft, worden de speciale
gebruikersaccounts die bij die zandbakken horen misschien niet
geïnstalleerd. Een voorzichtige systeembeheerder
onderzoekt en implementeert zandbakken voor servers waar dat
ook maar mogelijk is.sendmailEr zijn een aantal diensten die vooral niet in een zandbak
draaien: sendmail,
popper,
imapd,
ftpd en andere. Voor sommige
servers zijn alternatieven, maar dat kost misschien meer tijd
dan er te besteden is (gemak dient de mens). Het kan voorkomen
dat deze servers als root moeten draaien
en dat er vertrouwd moet worden op andere mechanismen om een
inbraak via die servers te detecteren.De andere grote mogelijkheid voor root
gaten in een systeem zijn de suid-root en sgid-binaire
bestanden die geïnstalleerd zijn op een systeem. Veel van
die bestanden, zoals rlogin, staan
in /bin, /sbin,
/usr/bin of
/usr/sbin. Hoewel het niet 100% veilig
is, mag aangenomen worden dat de suid- en sgid-binaire bestanden
van een standaardsysteem redelijk veilig zijn. Toch worden er
nog wel eens root gaten gevonden in deze
bestanden. Zo is er in 1998 een root gat
gevonden in Xlib waardoor
xterm (die normaliter suid is)
kwetsbaar bleek. Een voorzichtige systeembeheerder kiest voor
better to be safe than sorry door de
suid-bestanden die alleen medewerkers hoeven uit te voeren aan
een speciale groep toe te wijzen en de suid-bestanden die
niemand gebruikt te lozen (chmod 000). Een
server zonder monitor heeft normaal gezien
xterm niet nodig. Sgid-bestanden
kunnen bijna net zo gevaarlijk zijn. Als een inbreker een
sgid-kmem stuk kan krijgen, dan kan hij wellicht
/dev/kmem lezen en dus het gecodeerde
wachtwoordbestand, waardoor mogelijk ieder account met
een wachtwoord besmet is. Een inbreker toegang tot de groep
kmem kan krijgen, zou bijvoorbeeld mee
kunnen kijken met de toetsaanslagen die ingegeven worden via de
pty's, inclusief die pty's die gebruikt worden door gebruikers
die via beveiligde methodes aanmelden. Een inbreker die
toegang krijgt tot de groep tty kan naar
bijna alle tty's van gebruikers schrijven. Als een gebruiker
een terminalprogramma of een terminalemulator met een
toetsenbordsimulatieoptie draait, dan kan de inbreker in
potentie een gegevensstroom genereren die ervoor zorgt dat de
terminal van de gebruiker een commando echot, dat dan wordt
uitgevoerd door die gebruiker.Beveiligen van gebruikersaccountsGebruikersaccounts zijn gewoonlijk het meest lastig om te
beveiligen. Hoewel er allerlei draconische maatregelen genomen
kunnen worden met betrekking tot de medewerkers en hun
wachtwoorden weggesterd kunnen worden, gaat dat
waarschijnlijk niet lukken met de gewone gebruikersaccounts.
Als er toch voldoende vrijheid is, dan prijst de beheerder zich
gelukkig en is het misschien toch mogelijk de accounts
voldoende te beveiligen. Als die vrijheid er niet is, dan
moeten die accounts gewoon netter gemonitord worden. Het
gebruik van ssh en
Kerberos voor gebruikersaccounts is
problematischer vanwege het extra beheer en de ondersteuning,
maar nog steeds een prima oplossing in vergelijking met een
versleuteld wachtwoordbestand.Beveiligen van het wachtwoordbestandDe enige echte oplossing is zoveel mogelijk wachtwoorden
wegsterren en ssh
of Kerberos gebruiken voor toegang
tot die accounts. Hoewel een gecodeerd wachtwoordbestand
(/etc/spwd.db) alleen gelezen kan worden
door root, is het wel mogelijk dat een
inbreker leestoegang krijgt tot dat bestand zonder dat de
aanvaller root-schrijftoegang krijgt.Beveiligingsscripts moeten altijd controleren op en
rapporteren over wijzigingen in het wachtwoordbestand (zie ook
Bestandsintegriteit
Controleren hieronder).Beveiligen van de kern van de kernel, ruwe apparaten en
bestandssystemenAls een aanvaller toegang krijgt tot
root dan kan hij ongeveer alles, maar er
zijn een paar slimmigheidjes. Zo hebben bijvoorbeeld de meeste
moderne kernels een ingebouwd pakketsnuffelstuurprogramma
(packet sniffing). Bij &os; is dat het
bpf apparaat. Een inbreker zal in het
algemeen proberen een pakketsnuffelaar te draaien op een
gecompromitteerde machine. De inbreker hoeft deze mogelijkheid
niet te hebben en bij de meeste systemen is het niet verplicht
het bpf apparaat mee te
compileren.sysctlMaar zelfs als het bpf
apparaat is uitgeschakeld, dan zijn er nog
/dev/mem en
/dev/kmem. De inbreker kan namelijk nog
schrijven naar ruwe schrijfapparaten. En er is ook nog een
optie in de kernel die modulelader (module
loader) heet, &man.kldload.8;. Een ondernemende
inbreker kan een KLD-module gebruiken om zijn eigen
bpf-apparaat of een ander
snuffelapparaat te installeren in een draaiende kernel. Om
deze problemen te voorkomen, moet de kernel op een hoger
- veiligheidsniveau draaien, ten minste securelevel 1. Het
- securelevel wordt ingesteld met sysctl op de
- kern.securelevel variabele. Als securelevel
- op 1 staat, is het niet langer mogelijk te schrijven naar ruwe
- apparaten en speciale chflags vlaggen als
- schg worden dan afgedwongen. Ook dient de
- vlag schg gezet te worden op kritische
- opstartbestanden, mappen en scriptbestanden. Alles dat wordt
- uitgevoerd voordat het securelevel wordt ingesteld. Dit is
- misschien wat overdreven en het wordt lastiger een systeem te
- vernieuwen als dat in een hoger securelevel draait. Er is een
- compromis mogelijk door het systeem in een hoger securelevel te
- draaien maar de schg vlag niet op alle
- systeembestanden en mappen te zetten die maar te vinden zijn.
- / en /usr zouden ook
- als alleen-lezen aangekoppeld kunnen worden. Het is nog
- belangrijk om op te merken dat als de beheerder te draconisch
- omgaat met dat wat hij wil beschermen, hij daardoor kan
- veroorzaken dat die o-zo belangrijke detectie van een inbraak
- wordt misgelopen.
+ veiligheidsniveau draaien, ten minste securelevel 1.
+
+ Het veiligheidsniveau van de kernel kan op een aantal
+ manieren worden ingesteld. De eenvoudigste manier om het
+ veiligheidsniveau van een draaiende kernel te verhogen is met
+ sysctl op de kernelvariabele
+ kern.securelevel:
+
+ &prompt.root; sysctl kern.securelevel=1
+
+ Standaard start de kernel van &os; op met een
+ veiligheidsniveau van -1. Het veiligheidsniveau blijft -1
+ tenzij het is veranderd, òfwel door de beheerder
+ òfwel door &man.init.8; vanwege een instelling in de
+ opstartscripts. Het veiligheidsniveau kan tijdens het opstarten
+ van het systeem verhoogd worden door de variabele
+ kern_securelevel_enable op
+ YES te zetten in het bestand
+ /etc/rc.conf, en de waarde van de variabele
+ kern_securelevel op het gewenste
+ veiligheidsniveau in te stellen.
+
+ Het standaard veiligheidsniveau van een &os;-systeem direct
+ nadat de opstartscripts zijn uitgevoerd is -1. Dit wordt
+ onveilige modus genoemd omdat de onveranderlijke
+ bestandsvlag uitgezet kan worden, er van/naar alle apparaten mag
+ worden gelezen en geschreven, enzovoorts.
+
+ Als eenmaal het veiligheidsniveau op 1 of een hogere waarde
+ is ingesteld, worden de alleen-toevoegen en onveranderlijke
+ bestanden gehonoreerd, deze kunnen niet worden uitgezet, en
+ wordt toegang tot rauwe apparaten ontzegd. Hogere niveaus
+ beperken nog meer bewerkingen. Lees, voor een volledige
+ beschrijving van het effect van de verschillende
+ veiligheidsniveaus, de handleidingpagina &man.security.7; (of de
+ handleidingpagina van &man.init.8; voor uitgaven ouder dan &os;
+ 7.0).
+
+
+ Het ophogen van het veiligheidsniveau naar 1 of hoger kan
+ enkele problemen met X11 (toegang tot
+ /dev/io zal worden geblokkeerd), of met
+ de installatie van &os; wanneer die vanaf de broncode is
+ gebouwd (het gedeelte installword van
+ het proces moet tijdelijk de alleen-toevoegen en
+ onveranderlijke vlaggen van sommige bestanden uitzetten), en
+ met enkele andere gevallen veroorzaken. Soms, zoals het geval
+ is met X11, is het mogelijk om dit te omzeilen door
+ &man.xdm.1; behoorlijk vroeg in het opstartproces te starten,
+ wanneer het veiligheidsniveau nog laag genoeg is.
+ Omzeilmethoden zoals deze zijn misschien niet voor alle
+ veiligheidsniveaus of voor alle beperkingen die ze opleggen
+ mogelijk. Wat vooruit plannen is een goed idee. Het is
+ belangrijk om de beperkingen die door elk veiligheidsniveau
+ worden opgelegd te begrijpen omdat ze het gebruiksgemak van
+ het systeem sterk verminderen. Het vergemakkelijkt ook het
+ kiezen van eens standaardinstelling en voorkomt allerlei
+ verassingen.
+
+
+ Als het veiligheidsniveau van de kernel naar 1 of hoger
+ wordt verhoogd, kan het nuttig zijn om de vlag
+ schg aan te zetten voor kritieke
+ opstartprogramma's, mappen, en scriptbestanden (i.e. alles dat
+ gedraaid wordt tot het punt waar het veiligheidsniveau wordt
+ ingesteld). Dit kan overdreven zijn, en het bijwerken van het
+ systeem is veel moeilijker wanneer het op een hoog
+ veiligheidsniveau werkt. Een minder beperkend compromis is om
+ het systeem op een hoger veiligheidsniveau te draaien maar het
+ aanzetten van de vlag schg voor elk
+ systeembestand en -map onder de zon over te slaan. Een andere
+ mogelijkheid is om / en
+ /usr simpelweg als alleen-lezen aan te
+ koppelen. Het dient opgemerkt te worden dat het te draconisch
+ zijn over wat is toegestaan het belangrijke detecteren van een
+ inbraak kan verhinderen.Bestandsintegriteit controleren: binaire bestanden,
instellingenbestanden, enzovoortAls puntje bij paaltje komt kan de kern van een systeem
maar tot een bepaald punt beveiligd worden zonder dat het
minder prettig werken wordt. Zo werk het zetten van de
schg bit met chflags op
de meeste bestanden in / en
/usr waarschijnlijk averechts, omdat,
hoewel de bestanden beschermd zijn, ook het venster waarin
detectie plaats kan vinden is gesloten. De laatste laag van
beveiliging is waarschijnlijk de meest belangrijke: detectie.
Alle overige beveiliging is vrijwel waardeloos (of nog erger:
geeft een vals gevoel van beveiliging) als een mogelijke inbraak
niet gedetecteerd kan worden. Een belangrijk doel van het
meerlagenmodel is het vertragen van een aanvaller, nog meer dan
hem te stoppen, om hem op heterdaad te kunnen betrappen.De beste manier om te zoeken naar een inbraak is zoeken
naar gewijzigde, ontbrekende of onverwachte bestanden. De beste
manier om te zoeken naar gewijzigde bestanden is vanaf een
ander (vaak gecentraliseerd) systeem met beperkte toegang.
Met zelfgeschreven scripts op dat extra beveiligde systeem met
beperkte toegang is een beheerder vrijwel onzichtbaar voor
mogelijke aanvallers en dat is belangrijk. Om het nut te
maximaliseren moeten in het algemeen dat systeem met beperkte
toegang best veel rechten gegeven worden op de andere machines
in het netwerk, vaak via een alleen-lezen NFS-export van de
andere machines naar het systeem met beperkte toegang of door
ssh sleutelparen in te stellen om
het systeem met beperkte toegang een
ssh verbinding te laten maken met de
andere machines. Buiten het netwerkverkeer, is NFS de minst
zichtbare methode. Hierdoor kunnen de bestandssystemen
op alle cliëntmachines vrijwel ongezien gemonitord worden.
Als de server met beperkte toegang verbonden is met de
cliëntmachines via een switch, dan is de NFS-methode vaak
de beste keus. Als de server met beperkte toegang met de andere
machines is verbonden via een hub of door meerdere routers, dan
is de NFS-methode wellicht niet veilig genoeg (vanuit een
netwerk standpunt) en kan beter ssh
gebruikt worden, ondanks de audit-sporen die
ssh achterlaat.Als de machine met beperkte toegang eenmaal minstens
leestoegang heeft tot een cliëntsysteem dat het moet gaan
monitoren, dan moeten scripts gemaakt worden om dat monitoren
ook echt uit te voeren. Uitgaande van een NFS-koppeling, kunnen
de scripts gebruik maken van eenvoudige systeem hulpprogramma's
als &man.find.1; en &man.md5.1;. We adviseren minstens
één keer per dag een md5 te maken van alle
bestanden op de cliëntmachine en van instellingenbestanden
als in /etc en
/usr/local/etc zelfs vaker. Als er
verschillen worden aangetroffen ten opzichte van de basis md5
informatie op het systeem met beperkte toegang, dan hoort het
script te gillen om een beheerder die het moet gaan uitzoeken.
Een goed beveiligingsscript controleert ook op onverwachte
suid-bestanden en op nieuwe en verwijderde bestanden op
systeempartities als / en
/usr.Als ssh in plaats van NFS wordt
gebruikt, dan is het schrijven van het script lastiger. Dan
moeten de scripts met scp naar de cliënt
verplaatst worden om ze uit te voeren, waardoor ze zichtbaar
worden. Voor de veiligheid dienen ook de binaire bestanden die
het script gebruikt, zoals &man.find.1;, gekopieerd te
worden. De ssh-cliënt op de
cliënt zou al gecompromitteerd kunnen zijn. Het is
misschien noodzakelijk ssh te gebruiken over onveilige
verbindingen, maar dat maakt alles een stuk lastiger.Een goed beveiligingsscript voert ook controles uit op de
instellingenbestanden van gebruikers en medewerkers:
.rhosts, .shosts,
.ssh/authorized_keys, enzovoort.
Dat zijn bestanden die buiten het bereik van de
MD5-controle vallen.Als gebruikers veel schijfruimte hebben, dan kan het te lang
duren om alle bestanden op deze partitie te controleren. In dat
geval is het verstandig de koppelvlaggen zo in te stellen dat
suid-binaire bestanden op die partities niet zijn toegestaan.
Zie daarvoor de optie nosuid (zie
&man.mount.8;). Die partities moeten wel toch nog minstens eens
per week doorzocht worden, omdat het doel van deze
beveiligingslaag het ontdekken van een inbraakpoging is, of die
nu succesvol is of niet.Procesverantwoording (zie &man.accton.8;) kost relatief
gezien weinig en kan bijdragen aan een evaluatie mechanisme
voor na inbraken. Het is erg handig om uit te zoeken hoe
iemand precies heeft ingebroken op het systeem, mits het
bestand nog onbeschadigd is na de inbraak.Tenslotte horen beveiligingsscripts de logboekbestanden te
verwerken en de logboekbestanden zelf horen zo veilig mogelijk
tot stand te komen. remote syslog kan erg
zinvol zijn. Een aanvaller zal proberen zijn sporen uit te
wissen en logboekbestanden zijn van groot belang voor een
systeembeheerder als het gaat om uitzoeken wanneer en hoe er is
ingebroken. Een manier om logboekbestanden veilig te stellen
is door het systeemconsole via een seriële poort aan te
sluiten op een veilige machine en zo informatie te
verzamelen.ParanoiaEen beetje paranoia is niet verkeerd. Eigenlijk kan de
systeembeheerder zoveel beveiligingsopties inschakelen als hij
wil, als deze maar geen impact hebben op het gebruiksgemak en
de beveiligingsopties die wel impact
hebben op het gebruiksgemak kunnen ingeschakeld worden als daar
zorgvuldig mee wordt omgegaan. Nog belangrijker is misschien
dat er een juiste combinatie wordt gevonden. Als de
aanbevelingen uit dit document woord voor woord worden
opgevolgd, dan worden daarmee de methodes aan een toekomstige
aanvaller verraden, die ook toegang heeft tot dit
document.Ontzeggen van Dienst aanvallenOntzegging van Dienst (DoS)In deze paragraaf worden Ontzeggen van Dienst aanvallen
(Denial of Service of DoS) behandeld. Een
DoS-aanval wordt meestal uitgevoerd als pakketaanval. Hoewel er
weinig gedaan kan worden tegen de huidige aanvallen met
gefingeerde pakketten die een netwerk kunnen verzadigen, kan
de schade geminimaliseerd worden door ervoor te zorgen dat
servers er niet door plat gaan door:Limiteren van server forks.Limiteren van springplank (springboard)
aanvallen (ICMP response aanvallen, ping broadcast, etc.).De Kernel Route Cache overloaden.Een veelvoorkomende DoS-aanval is om een server aan te
vallen door het zoveel kindprocessen aan te laten maken dat het
het hostsysteem uiteindelijk geen bestandsdescriptors, geheugen
enzovoort meer heeft en het dan opgeeft.
inetd (zie &man.inetd.8;) kent een
aantal instellingen om dit type aanval af te zwakken. Hoewel
het mogelijk is ervoor te zorgen dat een machine niet plat
gaat, is het in het algemeen niet mogelijk te voorkomen dat de
dienstverlening door de aanval wordt verstoord. Meer is te
lezen in de handleiding van inetd
en het advies is in het bijzonder aandacht aan de
, en
opties te besteden. Aanvallen met gefingeerde
IP adressen omzeilen de
optie naar inetd, dus in het
algemeen moet een combinatie van opties gebruikt worden.
Sommige op zichzelf staande servers hebben parameters waarmee
het aantal forks gelimiteerd kan worden.Sendmail heeft de optie
die veel beter blijkt te
werken dan het gebruik van de opties van
Sendmail waarmee de werklast
gelimiteerd kan worden. De parameter
MaxDaemonChildren moet zodanig ingesteld
worden dat als sendmail start; deze
hoog genoeg is om de te verwachten belasting aan te kunnen,
maar niet zo hoog is dat de computer het aantal instanties van
Sendmails niet aankan zonder plat te
gaan. Het is ook verstandig om
Sendmail in de wachtrijmodus
() te draaien en de
daemon (sendmail -bd) los te koppelen van de
verwerking van de wachtrij (sendmail -q15m).
Als de verwerking van wachtrij real-time moet, kunnen de
tussenpozen voor verwerking verkort worden door deze
bijvoorbeeld op in te stellen, maar dan
is een redelijke instelling van
MaxDaemonChildren van belang om
dieSendmail te
beschermen tegen trapsgewijze fouten.Syslogd kan direct aangevallen
worden en het is sterk aan te raden de
optie te gebruiken waar dat ook maar mogelijk is en anders de
optie.Er dient voorzichtig omgesprongen te worden met diensten
die terugverbinden zoals
TCP Wrapper's reverse-identd die
direct aangevallen kan worden. In het algemeen is het hierom
onverstandig gebruik te maken van de reverse-ident optie van
TCP Wrapper.Het is een goed idee om interne diensten af te schermen
voor toegang van buitenaf door ze te firewallen op de routers
aan de rand van een netwerk (border routers).
Dit heeft als achtergrond dat verzadigingsaanvallen voorkomen
van buiten het LAN voorkomen kunnen worden. Daarmee wordt geen
aanval op root via het netwerk en die
diensten daaraan voorkomen. Er dient altijd een exclusieve
firewall te zijn, d.w.z. firewall alles
behalve poorten A, B, C, D en M-Z.
Zo worden alle lage poorten gefirewalled behalve die voor
specifieke diensten als named (als
er een primary is voor een zone),
ntalkd,
sendmail en andere diensten die
vanaf Internet toegankelijk moeten zijn. Als de firewall
andersom wordt ingesteld, als een inclusieve of tolerante
firewall, dan is de kans groot dat er wordt vergeten een aantal
diensten af te sluiten of dat er een nieuwe
interne dienst wordt toegevoegd en de firewall niet wordt
bijgewerkt. Er kan nog steeds voor gekozen worden de hoge
poorten open te zetten, zodat een tolerante situatie ontstaat,
zonder de lage poorten open te stellen. &os; biedt ook de
mogelijkheid een reeks poortnummers die gebruikt worden voor
dynamische verbindingen in te stellen via de verscheidene
net.inet.ip.portrangesysctls (sysctl -a | fgrep
portrange), waardoor ook de complexiteit van de
firewall instellingen kan vereenvoudigen. Zo kan bijvoorbeeld
een normaal begin tot eindbereik ingesteld worden van 4000 tot
5000 en een hoog poortbereik van 49152 tot 65535. Daarna kan
alles onder 4000 op de firewall geblokkeerd worden (met
uitzondering van bepaalde poorten die vanaf Internet bereikbaar
moeten zijn natuurlijk).Een andere veelvoorkomende DoS-aanval is de
springplankaanval: een server zo aanvallen dat de respons van
die server de server zelf, het lokale netwerk of een andere
machine overbelast. De meest voorkomende aanval van dit type is
de ICMP ping broadcast aanval. De
aanvaller fingeert ping-pakketten die naar het broadcast-adres
van het LAN worden gezonden met als bron het
IP-adres van de machine die hij eigenlijk aan
wil vallen. Als de routers aan de rand van het netwerk niet
zijn ingesteld om een ping-pakketten aan een broadcast-adres te
blokkeren, dan kan het LAN genoeg antwoorden produceren om de
verbinding van het slachtoffer (het gefingeerde bronadres) te
verzadigen, zeker als de aanvaller hetzelfde doet met tientallen
andere netwerken. Broadcastaanvallen met een volume van meer
dan 120 megabit zijn al voorgekomen. Een tweede
springplankaanval is er een tegen het ICMP-foutmeldingssysteem.
Door een pakket te maken waarop een ICMP-foutmelding komt, kan
een aanvaller de inkomende verbinding van een server verzadigen
en de uitgaande verbinding laten verzadigen met
ICMP-foutmeldingen. Dit type aanval kan een server ook laten
crashen door te zorgen dat het geheugen ervan vol zit, zeker als
de server de ICMP-antwoorden niet zo snel kwijt kan als dat het
ze genereert. Gebruik de
sysctl-variabele
net.inet.icmp.icmplim om deze aanvallen te
beperken. De laatste belangrijke klasse springplankaanvallen
hangt samen met een aantal interne diensten van
inetd zoals de UDP-echodienst. Een
aanvaller fingeert eenvoudigweg een UDP-pakket met als
bronadres de echopoort van Server A en als bestemming de
echopoort van Server B, waar Server A en B allebei op een LAN
staan. Die twee servers gaan dat pakket dan heen en weer
kaatsen. Een aanvaller kan beide servers overbelasten door een
aantal van deze pakketten te injecteren. Soortgelijke problemen
kunnen ontstaan met de poort chargen.
Een competente systeembeheerder zal al deze interne
inetd testdiensten
uitschakelen.Gefingeerde pakketten kunnen ook gebruikt worden om de
kernel route cache te overbelasten. Raadpleeg daarvoor de
net.inet.ip.rtexpire,
rtminexpire en rtmaxcachesysctl parameters. Een aanval met
gefingeerde pakketten met een willekeurig bron-IP zorgt ervoor
dat de kernel een tijdelijke gecachede route maakt in de
routetabel, die uitgelezen kan worden met netstat -rna
| fgrep W3. Deze routes hebben een levensduur van
ongeveer 1600 seconden. Als de kernel merkt dat de gecachede
routetabel te groot is geworden, dan wordt
rtexpire dynamisch verkleind, maar deze
waarde wordt nooit lager dan rtminexpire.
Er zijn twee problemen:De kernel reageert niet snel genoeg als een laag
belaste server wordt aangevallen.rtminexpire is niet laag genoeg om
de kernel de aanval te laten overleven.Als servers verbonden zijn met het Internet via een E3
of sneller, dan is het verstandig om handmatig
rtexpire en rtminexpire
aan te passen via &man.sysctl.8;. Als de een van de parameters
op nul wordt gezet, dan crasht de machine. Het instellen van
beide waarden op 2 seconden is voldoende om de routetabel
tegen een aanval te beschermen.Aandachtspunten voor toegang met
Kerberos en
SSHsshKerberosIVEr zijn een aantal aandachtspunten die in acht genomen
moeten worden als Kerberos of ssh gebruikt worden. Kerberos 5
is een prima autenticatieprotocol, maar er zitten bugs in de
Kerberos-versies van telnet en
rlogin waardoor ze niet geschikt
zijn voor binair verkeer. Kerberos codeert standaard de sessie
niet, tenzij de optie wordt gebruikt.
ssh codeert standaard wel
alles.Ssh werkt prima, maar het stuurt coderingssleutels
standaard door. Dit betekent dat als gegeven een veilig
werkstation met sleutels die toegang geven tot de rest van het
systeem en ssh wordt gebruikt om verbinding te maken met een
onveilige machine, die sleutels gebruikt kunnen worden. De
sleutels zelf zijn niet bekend, maar ssh stelt een
doorstuurpoort in zolang als een gebruikers aangemeld blijft.
Als de aanvaller roottoegang heeft op de
onveilige machine, dan kan hij die poort gebruiken om toegang
te krijgen tot alle machines waar de sleutels van de gebruiker
toegang toe geven.Het advies is ssh in combinatie met Kerberos te gebruiken
voor het aanmelden door medewerkers wanneer dat ook maar
mogelijk is. Ssh kan gecompileerd
worden met Kerberos-ondersteuning. Dit vermindert de kans op
blootstelling van ssh-sleutels en beschermt tegelijkertijd
de wachtwoorden met Kerberos. Ssh-sleutels zouden alleen
gebruikt moeten worden voor geautomatiseerde taken vanaf
veilige machines (iets waar Kerberos ongeschikt voor is). Het
advies is om het doorsturen van sleutels uit te schakelen in de
ssh-instellingen of om de from=IP/DOMAIN
optie te gebruiken die ssh in staat stelt het bestand
authorized_keys te gebruiken om de
sleutel alleen bruikbaar te maken voor entiteiten die zich
aanmelden vanaf vooraf aangewezen machines.BillSwingleDelen geschreven en herschreven door DES, Blowfish, MD5, en cryptbeveiligingcryptcryptBlowfishDESMD5Iedere gebruiker op een &unix; systeem heeft een wachtwoord
bij zijn account. Het lijkt voor de hand liggend dat deze
wachtwoorden alleen bekend horen te zijn bij de gebruiker en het
eigenlijke besturingssysteem. Om deze wachtwoorden geheim te
houden, zijn ze gecodeerd in een eenweg hash
(one-way hash), wat betekent dat ze eenvoudig
gecodeerd kunnen worden maar niet gedecodeerd. Met andere
woorden, wat net gesteld werd is helemaal niet waar: het
besturingssysteem kent het echte wachtwoord
niet. De enige manier om een wachtwoord in platte
tekst te verkrijgen, is door er met brute kracht naar
te zoeken in alle mogelijke wachtwoorden.Helaas was DES, de Data Encryption Standard, de enige
manier om wachtwoorden veilig te coderen toen &unix; ontstond.
Dit was geen probleem voor gebruikers in de VS, maar omdat
de broncode van DES niet geëxporteerd mocht worden moest
&os; een manier vinden om zowel te gehoorzamen aan de wetten van
de VS als aansluiting te houden bij alle andere &unix; varianten
die nog steeds DES gebruikten.De oplossing werd gevonden in het splitsen van de
coderingsbibliotheken zodat gebruikers in de VS de DES
bibliotheken konden installeren en gebruiken en internationale
gebruikers een coderingsmethode konden gebruiken die
geëxporteerd mocht worden. Zo is het gekomen dat &os; MD5
is gaan gebruiken als coderingsmethode. Van MD5 wordt aangenomen
dat het veiliger is dan DES, dus de mogelijkheid om DES te
installeren is vooral beschikbaar om aansluiting te kunnen
houden.Het crypt-mechanisme herkennenOp dit moment ondersteunt de bibliotheek DES, MD5 en
Blowfish hashfuncties. Standaard gebruikt &os; MD5 om
wachtwoorden te coderen.Het is vrij makkelijk om uit te vinden welke
coderingsmethode &os; op een bepaald moment gebruikt. De
gecodeerde wachtwoorden in
/etc/master.passwd bekijken is een manier.
Wachtwoorden die gecodeerd zijn met MD5 zijn langer dan wanneer
ze gecodeerd zijn met DES-hash. Daarnaast beginnen ze met de
karakters $1$. Wachtwoorden
die beginnen met $2a$ zijn
gecodeerd met de Blowfish hashfunctie. DES-wachtwoordstrings
hebben geen bijzondere kenmerken, maar ze zijn korter dan MD5
wachtwoorden en gecodeerd in een 64-karakter alfabet waar geen
$ karakter in zit. Een relatief korte
string die niet begint met een dollar teken is dus
waarschijnlijk een DES-wachtwoord.Het wachtwoordformaat voor nieuwe wachtwoorden wordt
ingesteld met de passwd_format
aanmeldinstelling in /etc/login.conf waar
des, md5 of
blf mag staan. Zie de &man.login.conf.5;
handleiding voor meer informatie over
aanmeldinstellingen.Eenmalige wachtwoordeneenmalige wachtwoordenbeveiligingeenmalige wachtwoordenStandaard biedt &os; ondersteuning voor OPIE (Eenmalige
Wachtwoorden in Alles - One-time Passwords In
Everything), wat standaard een MD5-hash gebruikt.Hier worden drie verschillende soorten wachtwoorden
besproken. De eerste is het normale &unix; of Kerberos
wachtwoord. Dit heet het &unix; wachtwoord. Het
tweede type is een eenmalig wachtwoord dat wordt gemaakt met het
OPIE-programma &man.opiekey.1; en dat wordt geaccepteerd door
&man.opiepasswd.1; en de aanmeldprocedure. Dit heet het
eenmalige wachtwoord. Het laatste type wachtwoord
is het wachtwoord dat wordt opgegeven aan het programma
opiekey (en soms aan het programma
opiepasswd) dat gebruikt wordt om eenmalige
wachtwoorden te maken. Dit type heet geheim
wachtwoord of gewoon een wachtwoord zonder
toevoeging.Het geheime wachtwoord heeft niets te maken met het &unix;
wachtwoord; ze kunnen hetzelfde zijn, dat wordt afgeraden.
OPIE geheime wachtwoorden kennen niet de beperking van 8
karakters zoals de oude &unix; wachtwoorden.
Bij &os; mag het wachtwoord voor aanmelden tot 128
karakters lang zijn.
Ze mogen onbeperkt lang zijn. Wachtwoorden van een zes of zeven
woorden lange zin zijn niet ongewoon. Voor het overgrote deel
werkt het OPIE-systeem volledig onafhankelijk van het &unix;
wachtwoordsysteem.Buiten het wachtwoord zijn er nog twee stukjes gegevens die
van belang zijn voor OPIE. Het eerste wordt zaad
(seed) of sleutel
(key) genoemd en bestaat uit twee letters en vijf
cijfers. Het tweede stukje gegevens heet de
iteratieteller, een nummer tussen 1 en 100. OPIE
maakt een eenmalig wachtwoord door het zaad en het geheime
wachtwoord aaneen te schakelen en daarop het door de
iteratieteller aangegeven keren MD5-hash toe te passen. Daarna
wordt het resultaat omgezet in zes korte Engelse woorden. Deze
zes woorden zijn een eenmalige wachtwoord. Het
autenticatiesysteem (hoofdzakelijk PAM) houdt bij welk
eenmalig wachtwoord het laatst is gebruikt en de gebruiker wordt
geautenticeerd als de hash van het door de gebruiker ingegeven
wachtwoord gelijk is aan het vorige wachtwoord. Omdat er een
eenweg hash wordt gebruikt, is het onmogelijk om toekomstige
eenmalige wachtwoorden te maken als iemand toch een eenmalig
wachtwoord heeft afgevangen. De iteratieteller wordt verlaagd na
iedere succesvolle aanmelding om de gebruiker en het
aanmeldprogramma synchroon te houden. Als de iteratieteller op 1
staat, moet OPIE opnieuw ingesteld worden.Er zijn enkele programma's bij ieder systeem betrokken die
hieronder worden besproken. Het programma
opiekey heeft een iteratieteller,
zaad en een geheim wachtwoord nodig en maakt dan een eenmalig
wachtwoord of een lijst van opeenvolgende eenmalige wachtwoorden.
Het programma opiepasswd wordt gebruikt om OPIE
te initialiseren en om wachtwoorden, iteratietellers en zaad te
wijzigen. Het accepteert zowel wachtwoordzinnen als een
iteratieteller, zaad en een eenmalig wachtwoord. Het programma
opieinfo bekijkt de relevante bestanden waarin
de eigenschappen staan (/etc/opiekeys) en
toont de huidige iteratieteller en zaad van de gebruiker die het
commando uitvoert.Nu worden vier verschillende acties besproken. Bij de eerste
wordt opiepasswd gebruikt in een beveiligde
verbinding om voor het eerst eenmalige wachtwoorden in te stellen
of om een wachtwoord of zaad aan te passen. Bij de tweede wordt
opiepasswd gebruikt over een onbeveiligde
verbinding samen met opiekey over een
beveiligde verbinding om hetzelfde te bereiken. In een derde
scenario wordt opiekey gebruikt om aan te
melden over een onveilige verbinding. Het vierde
scenario behandelt het gebruik van opiekey om
een aantal sleutels aan te maken die opgeschreven of afgedrukt
kunnen worden, zodat ze meegenomen kunnen worden naar een plaats
van waar geen enkele veilige verbinding opgezet kan worden.Veilige verbinding initialiserenGebruik het commando opiepasswd om OPIE
voor de eerste keer te initialiseren:&prompt.user; opiepasswd -c
[grimreaper] ~ $ opiepasswd -f -c
Adding unfurl:
Only use this method from the console; NEVER from remote. If you are using
telnet, xterm, or a dial-in, type ^C now or exit with no password.
Then run opiepasswd without the -c parameter.
Using MD5 to compute responses.
Enter new secret pass phrase:
Again new secret pass phrase:
ID unfurl OTP key is 499 to4268
MOS MALL GOAT ARM AVID COEDAls Enter new secret pass phrase: of
Enter secret password: op het scherm
verschijnt, dient een wachtwoord of wachtwoordzin ingevoerd te
worden. Dit is dus niet het aanmeldwachtwoord is, maar dit
wordt gebruikt om eenmalige wachtwoorden te maken. De
ID regel geeft de parameters van het verzoek
weer: de aanmeldnaam, de iteratieteller en zaad. Bij het
aanmelden kent het systeem deze parameters en worden deze
weergegeven zodat ze niet onthouden hoeven te worden. Op de
laatste regel staat het eenmalige wachtwoord dat overeenkomt met
die parameters en het geheime wachtwoord. Als de gebruiker
direct opnieuw zou aanmelden, zou hij dat eenmalige wachtwoord
moeten gebruiken.Onveilige verbinding initialiserenOm een wachtwoord te initialiseren of te wijzigen over een
onveilige verbinding, moet er al ergens een veilige verbinding
bestaan waar de gebruiker opiekey kan
uitvoeren. Dit kan een een shellprompt zijn op een machine die
vertrouwd wordt. De gebruiker moet ook een iteratieteller
verzinnen (100 is wellicht een prima getal) en een eigen zaad
bedenken of er een laten fabriceren. Over de onveilige
verbinding (naar de machine die de gebruiker wil initialiseren)
wordt het commando opiepasswd gebruikt:&prompt.user; opiepasswd
Updating unfurl:
You need the response from an OTP generator.
Old secret pass phrase:
otp-md5 498 to4268 ext
Response: GAME GAG WELT OUT DOWN CHAT
New secret pass phrase:
otp-md5 499 to4269
Response: LINE PAP MILK NELL BUOY TROY
ID mark OTP key is 499 gr4269
LINE PAP MILK NELL BUOY TROYDruk op Return om het standaardzaad te
accepteren. Voor een toegangswachtwoord wordt ingevoerd, dient
eerst gewisseld te worden naar de veilige verbinding en dienen
dezelfde parameters ingegeven te worden:&prompt.user; opiekey 498 to4268
Using the MD5 algorithm to compute response.
Reminder: Don't use opiekey from telnet or dial-in sessions.
Enter secret pass phrase:
GAME GAG WELT OUT DOWN CHATIn de onveilige verbinding wordt nu het eenmalige wachtwoord
in het relevante programma gekopieerd.Een enkel eenmalig wachtwoord makenAls OPIE eenmaal is ingesteld staat er bij het
aanmelden iets als het volgende:&prompt.user; telnet example.com
Trying 10.0.0.1...
Connected to example.com
Escape character is '^]'.
FreeBSD/i386 (example.com) (ttypa)
login: <gebruikersnaam>
otp-md5 498 gr4269 ext
Password: NB: de OPIE-prompt heeft een handige optie (die hier niet te
zien is): als er op Return wordt gedrukt bij de
wachtwoordregel, wordt de echo aangezet, zodat de invoer
zichtbaar is. Dit is erg handig als er met de hand een
wachtwoord wordt ingegeven, zoals wanneer het wordt ingevoerd
vanaf een afdruk.MS-DOSWindowsMacOSNu moet het eenmalige wachtwoord gemaakt worden om het
aanmeldprompt mee te antwoorden. Dit moet gedaan worden op een
vertrouwd systeem waarop opiekey beschikbaar
is. Er zijn ook versies voor &ms-dos;, &windows; en &macos;.
Voor het commando moet zowel de iteratieteller als het zaad
ingeven worden op de commandoregel. Deze kan zo overgenomen
worden vanaf het aanmeldprompt op de machine waarop de gebruiker
zich wil aanmelden.Op het vertrouwde systeem:&prompt.user; opiekey 498 to4268
Using the MD5 algorithm to compute response.
Reminder: Don't use opiekey from telnet or dial-in sessions.
Enter secret pass phrase:
GAME GAG WELT OUT DOWN CHATNu het eenmalige wachtwoord er is, kan het aanmelden
doorgang vinden.Meerdere eenmalige wachtwoorden makenSoms moet een gebruiker ergens naar toe gaan waar er geen
toegang is tot een vertrouwde machine of een beveiligde
verbinding. In dat geval is het mogelijk om met het commando
opiekey een aantal eenmalige wachtwoorden te
maken om uit te printen en mee te nemen:&prompt.user; opiekey -n 5 30 zz99999
Using the MD5 algorithm to compute response.
Reminder: Don't use opiekey from telnet or dial-in sessions.
Enter secret pass phrase: <geheim wachtwoord>
26: JOAN BORE FOSS DES NAY QUIT
27: LATE BIAS SLAY FOLK MUCH TRIG
28: SALT TIN ANTI LOON NEAL USE
29: RIO ODIN GO BYE FURY TIC
30: GREW JIVE SAN GIRD BOIL PHIMet worden vijf opeenvolgende
sleutels aangevraagd, geeft aan wat het
laatste iteratiegetal moet zijn. Deze wachtwoorden worden
weergegeven in omgekeerde volgorde voor
gebruik. Als de gebruiker echt paranoïde bent kan hij ze
opschrijven of hij kan er ook voor kiezen ze af te drukken met
lpr. Op iedere regel staat dus de
iteratieteller en het eenmalige wachtwoord, maar misschien is
het toch handig om ze na gebruik af te strepen.Gebruik van &unix; wachtwoorden beperkenMet OPIE kan paal en perk gesteld worden aan het gebruik van
&unix; wachtwoorden op basis van het IP-adres
van een aanmeldsessie. Dat kan met het bestand
/etc/opieaccess dat standaard aanwezig is.
Bij &man.opieaccess.5; staat meer informatie over dit bestand en
welke beveiligingsoverwegingen bestaan bij het gebruik.Hieronder een voorbeeld voor een
opieaccess bestand:permit 192.168.0.0 255.255.0.0In deze regel (permit Internet) staat
dat gebruikers met een bron IP adres (wat
gefingeerd kan worden) dat past binnen de aangegeven waarde en
masker altijd &unix; wachtwoorden mogen gebruiken.Als geen van de regels uit opieaccess
van toepassing is, worden standaard pogingen zonder OPIE
geweigerd.TomRhodesGeschreven door TCP WrapperTCP WrappersIedereen die bekend is met &man.inetd.8; heeft waarschijnlijk
wel eens van TCP Wrappers gehoord. Maar
slechts weinigen lijken volledig te begrijpen hoe ze in een
netwerkomgeving toegepast kunnen worden. Het schijnt dat
iedereen een firewall wil hebben om netwerkverbindingen af te
handelen. Ondanks dat een firewall veel kan, zijn er toch dingen
die het niet kan, zoals tekst terugsturen naar de bron van een
verbinding. De TCP Wrappers software kan dat
en nog veel meer. In dit onderdeel worden de mogelijkheden van
TCP Wrappers besproken en, waar dat van
toepassing is, worden ook voorbeelden voor implementatie
gegeven.De TCP Wrappers software vergroot de
mogelijkheden van inetd door de
mogelijkheid al zijn serverdaemons te controleren. Met deze
methode is het mogelijk om te loggen, berichten te zenden naar
verbindingen, een daemon toe te staan alleen interne verbindingen
te accepteren, etc. Hoewel een aantal van deze mogelijkheden ook
ingesteld kunnen worden met een firewall, geeft deze manier niet
alleen een extra laag beveiliging, maar gaat dit ook verder dan
wat een firewall kan bieden.De toegevoegde waarde van TCP Wrappers
is niet dat het een goede firewall vervangt.
TCP Wrappers kunnen samen met een firewall en
andere beveiligingsinstellingen gebruikt worden om een extra laag
van beveiliging voor het systeem te bieden.Omdat dit een uitbreiding is op de instellingen van
inetd, wordt aangenomen dat de lezer
het onderdeel inetd configuratie heeft
gelezen.Hoewel programma's die onder &man.inetd.8; draaien niet
echt daemons zijn, heten ze traditioneel wel zo.
Deze term wordt hier dus ook gebruikt.Voor het eerst instellenDe enige voorwaarde voor het gebruiken van
TCP Wrappers in &os; is ervoor te zorgen
dat de server inetd gestart wordt
vanuit rc.conf met de optie
; dit is de standaardinstelling. Er wordt
vanuit gegaan dat /etc/hosts.allow juist is
ingesteld, maar als dat niet zo is, dan zal &man.syslogd.8; dat
melden.In tegenstelling tot bij andere implementaties van
TCP Wrappers is het gebruik van
hosts.deny niet langer mogelijk. Alle
instellingen moeten in /etc/hosts.allow
staan.In de meest eenvoudige instelling worden verbindingen naar
daemons toegestaan of geweigerd afhankelijk van de opties in
/etc/hosts.allow. De standaardinstelling
in &os; is verbindingen toe te staan naar iedere daemon die met
inetd is gestart. Na de
basisinstelling wordt aangegeven hoe dit gewijzigd kan worden.De basisinstelling heeft meestal de vorm
daemon : adres : actie.
daemon is de daemonnaam die
inetd heeft gestart. Het
adres kan een geldige hostnaam, een
IP-adres of een IPv6-adres tussen
blokhaken ([ ]) zijn. Het veld actie
kan allow of deny zijn,
afhankelijk van of toegang toegestaan of geweigerd moet worden.
De instellingen werken zo dat ze worden doorlopen van onder naar
boven om te kijken welke regel als eerste van toepassing is.
Als een regel van toepassing is gevonden, dan stop het
zoekproces.Er zijn nog andere mogelijkheden, maar die worden elders
toegelicht. Een eenvoudige instelling kan al van met deze
informatie worden gemaakt. Om bijvoorbeeld
POP3 verbindingen toe te staan via de
mail/qpopper daemon,
zouden de volgende instellingen moeten worden toegevoegd aan
hosts.allow:# Deze regel is nodig voor POP3-verbindingen
qpopper : ALL : allowNadat deze regel is toegevoegd moet
inetd herstart worden. Dit gaat met
het commando &man.kill.1; of met de parameter
restart met
/etc/rc.d/inetd.Gevorderde instellingenTCP Wrappers hebben ook gevorderde
instellingen. Daarmee komt meer controle over de wijze waarop
er met verbindingen wordt omgegaan. Soms is het een goed idee
om commentaar te sturen naar bepaalde hosts of
daemonverbindingen. In andere gevallen moet misschien iets
in een logboekbestand geschreven worden of een email naar de
beheerder gestuurd worden. Dit kan allemaal met instellingen
die wildcards, uitbreidingskarakters
(expansion characters) en het uitvoeren van externe commando's
heten. De volgende twee paragrafen beschrijven deze
mogelijkheden.Externe commando'sStel dat zich de situatie voordoet waar een verbinding
geweigerd moet worden, maar er een reden gestuurd moet
worden naar het individu dat die verbinding probeerde op te
zetten. Hoe gaat dat? Dat is mogelijk door gebruik te
maken van de optie . Als er een
poging tot verbinding wordt gedaan, wordt er met
een shellcommando of script
uitgevoerd. Er staat al een voorbeeld in
hosts.allow:# De andere daemons zijn beschermd.
ALL : ALL \
: severity auth.info \
: twist /bin/echo "You are not welcome to use %d from %h."Dit voorbeeld geeft aan dat het bericht You are
not allowed to use daemon from
hostname. wordt teruggestuurd
voor iedere daemon die niet al is ingesteld in het
toegangsbestand. Het is erg handig om een antwoord terug
te sturen naar degene die een verbinding op heeft willen
zetten meteen nadat een tot stand gekomen verbinding is
verbroken. Let wel dat alle berichten die gezonden worden
moeten staan tussen "
karakters. Hier zijn geen uitzonderingen op. Het is mogelijk een ontzegging van dienst aanval uit
te voeren op de server als een aanvaller, of een groep
aanvallers, deze daemons kan overstromen met verzoeken om
verbindingen te maken.Het is ook mogelijk hier de optie
te gebruiken. Net als weigert
de optie impliciet de verbinding en kan
het gebruikt worden om shellcommando's of scripts uit te
voeren. Anders dan bij stuurt
geen bericht aan degene die de
verbinding wilde maken. Zie bijvoorbeeld de volgende
instelling:# Geen verbindingen van example.com:
ALL : .example.com \
: spawn (/bin/echo %a from %h attempted to access %d >> \
/var/log/connections.log) \
: denyHiermee worden alle verbindingen van het domein
*.example.com geweigerd.
Tegelijkertijd worden ook hostnaam, IP
adres en de daemon waarmee verbinding werd gemaakt naar
/var/log/connections.log
geschreven.Naast de vervangingskarakters die al zijn toegelicht,
zoals %a, bestaan er nog een paar andere.
In de handleiding van &man.hosts.access.5; staat een volledige
lijst.WildcardoptiesTot nu toe is in ieder voorbeeld ALL
gebruikt. Er bestaan nog andere opties waarmee de
mogelijkheden nog verder gaan. Zo kan ALL
gebruikt worden om van toepassing te zijn op iedere instantie
van een daemon, domein of een IP adres.
Een andere wildcard die gebruikt kan worden is
PARANOID. Daarmee wordt iedere host die
een IP-adres geeft dat gefingeerd kan zijn
aangeduid. Met andere woorden: PARANOID
kan gebruikt worden om een actie aan te geven als er een
IP-adres gebruikt wordt dat verschilt van
de hostnaam. Het volgende voorbeeld kan wat verheldering
brengen:# Weiger mogelijke gespoofte verzoeken aan sendmail:
sendmail : PARANOID : denyIn het voorgaande voorbeeld worden alle
verbindingsverzoeken aan sendmail met een
IP-adres dat verschilt van de hostnaam
geweigerd.Het gebruik van de wildcard PARANOID
kan nogal wat schade aanrichten als de cliënt of de
server kapotte DNS-instellingen heeft.
Voorzichtigheid van de beheerder is geboden.De handleiding van &man.hosts.access.5; geeft meer
uitleg over wildcards en de mogelijkheden die ze
bieden.Voordat de bovenstaande instellingen werken, dient de
eerste regels in hosts.allow als
commentaar gemarkeerd te worden.MarkMurrayBijgedragen door MarkDapozGebaseerd op een bijdrage van KerberosIVKerberos is een netwerkdienst,
protocol en systeem waarmee gebruikers zich kunnen aanmelden met
behulp van een dienst op een veilige server. Diensten als op een
andere server aanmelden, op afstand kopiëren, veilig tussen
systemen kopiëren en andere taken met een hoog risico worden
aanmerkelijk veiliger en beter controleerbaar.De onderstaande instructies kunnen gebruikt worden als
handleiding voor het opzetten van Kerberos op &os;. Voor een
volledige beschrijving wordt verwezen naar de relevante
handleidingen.KerberosIV installerenMITKerberosIVinstallerenKerberos is een optioneel component van &os;. De meest
eenvoudige manier om de software te installeren is het
selecteren van de krb4 of
krb5 distributie in
sysinstall tijdens de initiële
installatie van &os;. Hierdoor wordt de eBones
(KerberosIV) of Heimdal (Kerberos5)
implementatie van Kerberos geïnstalleerd. Deze
implementaties zijn beschikbaar omdat ze ontwikkeld zijn buiten
de VS/Canada en dus zijn ze beschikbaar voor systeemeigenaren
buiten die landen in dit tijdperk waarin er beperkingen gelden
ten aanzien van de export van coderingsprogramma's uit de
VS.Het is ook mogelijk te kiezen voor de MIT-implementatie van
Kerberos via de Portscollectie: security/krb5.Maken van de initiële databaseDit hoeft alleen op de Kerberos gedaan te worden. Er
dienen geen oude Kerberos databases rond te slingeren.
Controleer in de map /etc/kerberosIV of de
volgende bestanden aanwezig zijn:&prompt.root; cd /etc/kerberosIV
&prompt.root; ls
README krb.conf krb.realmsAls er nog meer bestanden zijn (zoals
principal.* of
master_key), dan kan met het programma
kdb_destroy de oude Kerberos database
vernietigd worden of de overige bestanden kunnen verwijderd
worden als Kerberos niet draait.Nu moeten de bestanden krb.conf en
krb.realms gewijzigd om de Kerberos wereld
te definiëren. In dit geval heet de wereld
EXAMPLE.COM en de server heet
grunt.example.com. Wijzig of
creëer het bestand krb.conf:&prompt.root; cat krb.conf
EXAMPLE.COM
EXAMPLE.COM grunt.example.com admin server
CS.BERKELEY.EDU okeeffe.berkeley.edu
ATHENA.MIT.EDU kerberos.mit.edu
ATHENA.MIT.EDU kerberos-1.mit.edu
ATHENA.MIT.EDU kerberos-2.mit.edu
ATHENA.MIT.EDU kerberos-3.mit.edu
LCS.MIT.EDU kerberos.lcs.mit.edu
TELECOM.MIT.EDU bitsy.mit.edu
ARC.NASA.GOV trident.arc.nasa.govIn dit geval hoeven de andere werelden er niet te zijn. Ze
staan er als voorbeeld van hoe een machine attent gemaakt kan
worden op het bestaan van meerdere werelden. In een eigen test
kan ervoor gekozen worden ze weg te laten.De eerste regel benoemt de wereld waarin het systeem
opereert. De andere regels bevatten werelden/hosts. Het
eerste deel van een regel bevat de wereld en het tweede deel is
een host in die wereld die fungeert als sleutel
distributiecentrum. De woorden admin
server achter een hostnaam betekenen dat een host
ook administratieve database server is. In de handleidingen
van Kerberos wordt hierover meer uitleg gegeven.Nu moet grunt.example.com aan
de wereld EXAMPLE.COM toegevoegd worden en
er moet ook een instelling gemaakt worden voor alle hosts uit
het .example.com domein in
de wereld EXAMPLE.COM. Het bestand
krb.realms dient dan als volgt gewijzigd
te worden:&prompt.root; cat krb.realms
grunt.example.com EXAMPLE.COM
.example.com EXAMPLE.COM
.berkeley.edu CS.BERKELEY.EDU
.MIT.EDU ATHENA.MIT.EDU
.mit.edu ATHENA.MIT.EDUNogmaals: de andere werelden hoeven er niet te staan. Ze
staan er als voorbeeld hoe een machine van het bestaan van
andere werelden op de hoogte gebracht kan worden. Om het
overzichtelijker te maken, kan mogen ze verwijderd
worden.De eerste regel plaatst het specifieke
systeem in de genoemde wereld. De rest van de regels geeft aan
hoe standaardsystemen uit een bepaald subdomein in een wereld
plaatst worden.Nu kan de database aangemaakt worden. Dit hoeft alleen op
de Kerberos server gedaan te worden (of Sleutel Distributie
Centrum) met het commando kdb_init:&prompt.root; kdb_initRealm name [default ATHENA.MIT.EDU ]:EXAMPLE.COM
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.
Enter Kerberos master key:Nu moet de sleutel opgeslagen worden zodat diensten op de
lokale machine er gebruik van kunnen maken met het commando
kstash:&prompt.root; kstashEnter Kerberos master key:
Current Kerberos master key version is 1.
Master key entered. BEWARE!Nu is de gecodeerde hoofdsleutel opgeslagen in
/etc/kerberosIV/master_key.Help het aan de praatKerberosIVeerste keer startenVoor ieder systeem dat met Kerberos
wordt beveiligd moeten twee principals worden aangemaakt. Die
heten kpasswd en rcmd.
Deze twee principals worden aangemaakt voor iedere systeem en
de instantie is de naam van het systeem.Deze daemons, kpasswd en
rcmd, staan andere systemen toe om
Kerberos wachtwoorden te wijzigen en commando's als
&man.rcp.1;, &man.rlogin.1; en &man.rsh.1; uit te
voeren.Deze worden nu toegevoegd:&prompt.root; kdb_edit
Opening database...
Enter Kerberos master key:
Current Kerberos master key version is 1.
Master key entered. BEWARE!
Previous or default values are in [brackets] ,
enter return to leave the same, or new value.
Principal name:passwdInstance:grunt
<Not found>, Create [y] ?y
Principal: passwd, Instance: grunt, kdc_key_ver: 1
New Password: <---- hier RANDOM invoeren
Verifying password
New Password: <---- hier RANDOM invoeren
Random password [y] ?y
Principal's new key version = 1
Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ?Max ticket lifetime (*5 minutes) [ 255 ] ?Attributes [ 0 ] ?
Edit O.K.
Principal name:rcmdInstance:grunt
<Not found>, Create [y] ?
Principal: rcmd, Instance: grunt, kdc_key_ver: 1
New Password: <---- hier RANDOM invoeren
Verifying password
New Password: <---- hier RANDOM invoeren
Random password [y] ?
Principal's new key version = 1
Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ?Max ticket lifetime (*5 minutes) [ 255 ] ?Attributes [ 0 ] ?
Edit O.K.
Principal name: <---- hier niks invoeren stopt het programmaAanmaken van het serverbestandNu moeten alle instanties die de diensten op iedere server
definiëren geëxtraheerd worden. Dat kan met het
commando ext_srvtab. Dit commando maakt een
bestand aan dat veilig gekopieerd moet
worden naar de map /etc van iedere
Kerberos-cliënt. Dit bestand moet aanwezig zijn op iedere
server en op iedere cliënt en is van doorslaggevend belang
voor de werking van Kerberos.&prompt.root; ext_srvtab gruntEnter Kerberos master key:
Current Kerberos master key version is 1.
Master key entered. BEWARE!
Generating 'grunt-new-srvtab'....Het bovenstaande commando maakt een tijdelijk bestand aan
dat hernoemd moet worden naar srvtab zodat
alle diensten erbij kunnen. Met &man.mv.1; kan het op de
juiste plaats op het originele systeem gezet worden:&prompt.root; mv grunt-new-srvtab srvtabAls het bestand voor een cliëntsysteem is en het
netwerk is niet veilig, dan kan het bestand
client-new-srvtab
dan naar een verwijderbaar medium gekopieerd worden en dan
fysiek veilig getransporteerd worden. Op de cliënt dient
het bestand srvtab te heten in de map
/etc en in modus 600 te staan:&prompt.root; mv grumble-new-srvtab srvtab
&prompt.root; chmod 600 srvtabDe database vullenNu moeten de gebruikers in de database. In dit voorbeeld
wordt de gebruiker jane als eerste
ingevoerd. Hiervoor is het commando
kdb_edit:&prompt.root; kdb_edit
Opening database...
Enter Kerberos master key:
Current Kerberos master key version is 1.
Master key entered. BEWARE!
Previous or default values are in [brackets] ,
enter return to leave the same, or new value.
Principal name:janeInstance:
<Not found>, Create [y] ?y
Principal: jane, Instance: , kdc_key_ver: 1
New Password: <---- hier een veilig wachtwoord invullen
Verifying password
New Password: <---- hier het wachtwoord nogmaals invoeren
Principal's new key version = 1
Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ?Max ticket lifetime (*5 minutes) [ 255 ] ?Attributes [ 0 ] ?
Edit O.K.
Principal name: <---- hier niks invoeren stopt het programmaAlles testenEerst moeten de Kerberos daemons gestart worden. Als de
juiste wijziging in /etc/rc.conf zijn
gemaakt, dan gebeurt dit automatisch na een herstart. Dit
hoeft alleen ingesteld te worden op de Kerberos server.
Kerberos cliënten vinden automatisch wat ze zoeken in de
map /etc/kerberosIV.&prompt.root; kerberos &
Kerberos server starting
Sleep forever on error
Log file is /var/log/kerberos.log
Current Kerberos master key version is 1.
Master key entered. BEWARE!
Current Kerberos master key version is 1
Local realm: EXAMPLE.COM
&prompt.root; kadmind -n &
KADM Server KADM0.0A initializing
Please do not use 'kill -9' to kill this job, use a
regular kill instead
Current Kerberos master key version is 1.
Master key entered. BEWARE!Nu kan kan er getest worden of met het commando
kinit een ticket (kaartje) gekregen kan
worden voor het ID jane dat net is
aangemaakt:&prompt.user; kinit jane
MIT Project Athena (grunt.example.com)
Kerberos Initialization for "jane"
Password:Met klist kan gecontroleerd worden of de
tokens er echt zijn:&prompt.user; klist
Ticket file: /tmp/tkt245
Principal: jane@EXAMPLE.COM
Issued Expires Principal
Apr 30 11:23:22 Apr 30 19:23:22 krbtgt.EXAMPLE.COM@EXAMPLE.COMNu wordt het wachtwoord gewijzigd met &man.passwd.1; om
te controleren of de kpasswd daemon
autorisatie krijgt van de Kerberos database:&prompt.user; passwd
realm EXAMPLE.COM
Old password for jane:New Password for jane:
Verifying password
New Password for jane:
Password changed.su rechten toewijzenKerberos biedt mogelijkheid iedere
gebruiker die rootrechten nodig heeft zijn
eigen afzonderlijke &man.su.1; wachtwoord
te geven. Nu wordt een ID toegevoegd dat geautoriseerd is om
&man.su.1; te gebruiken naar root. Dit
wordt geregeld door een instantie van root
te verbinden met een principal. Met
kdb_edit kan jane.root
gemaakt worden in de Kerberos database:&prompt.root; kdb_edit
Opening database...
Enter Kerberos master key:
Current Kerberos master key version is 1.
Master key entered. BEWARE!
Previous or default values are in [brackets] ,
enter return to leave the same, or new value.
Principal name:janeInstance:root
<Not found>, Create [y] ? y
Principal: jane, Instance: root, kdc_key_ver: 1
New Password: <---- hier een veilig wachtwoord invullen
Verifying password
New Password: <---- hier nogmaals het wachtwoord invullen
Principal's new key version = 1
Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ?Max ticket lifetime (*5 minutes) [ 255 ] ?12 <--- Keep this short!
Attributes [ 0 ] ?
Edit O.K.
Principal name: <---- hier niks invullen stopt het programmaEen lijst van de tokens kan bevestigen als alles werkt
zoals verwacht:&prompt.root; kinit jane.root
MIT Project Athena (grunt.example.com)
Kerberos Initialization for "jane.root"
Password:Nu dient de gebruiker toegevoegd te worden aan het
bestand .klogin van
root:&prompt.root; cat /root/.klogin
jane.root@EXAMPLE.COMNa een &man.su.1;:&prompt.user; suPassword:kan de lijst met tokens bekeken worden:&prompt.root; klist
Ticket file: /tmp/tkt_root_245
Principal: jane.root@EXAMPLE.COM
Issued Expires Principal
May 2 20:43:12 May 3 04:43:12 krbtgt.EXAMPLE.COM@EXAMPLE.COMAndere commando's gebruikenIn een eerder voorbeeld is een principal met de naam
jane gemaakt met een instantie
root. Dit was gebaseerd op een gebruiker met
dezelfde naam als de principal en dit is de standaard binnen
Kerberos: een
<principal>.<instantie> in de
vorm van <gebruikersnaam>.root staat die
<gebruikersnaam> het gebruik van
&man.su.1; naar root toe als de benodigde
instellingen in het bestand .klogin in de
home directory van root zijn
gemaakt:&prompt.root; cat /root/.klogin
jane.root@EXAMPLE.COMZo werkt het ook als een gebruiker in zijn eigen home
directory iets als volgt heeft opgenomen:&prompt.user; cat ~/.klogin
jane@EXAMPLE.COM
jack@EXAMPLE.COMHierdoor mag iedereen die zich in de wereld
EXAMPLE.COM heeft geautenticeerd als
jane of jack (via
kinit, zie boven) bij
jane's account of de bestanden op dit
systeem (grunt) met &man.rlogin.1;,
&man.rsh.1; of &man.rcp.1;.Nu meldt bijvoorbeeld jane zich aan
op een ander systeem met Kerberos:&prompt.user; kinit
MIT Project Athena (grunt.example.com)
Password:
&prompt.user; rlogin grunt
Last login: Mon May 1 21:14:47 from grumble
Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994
The Regents of the University of California. All rights reserved.
FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995Of jack meldt zich aan op
jane's account op dezelfde machine
(jane heeft het bestand
.klogin ingesteld zoals hierboven en de
beheerder van Kerberos heeft een principal
jack aangemaakt zonder instantie):&prompt.user; kinit
&prompt.user; rlogin grunt -l jane
MIT Project Athena (grunt.example.com)
Password:
Last login: Mon May 1 21:16:55 from grumble
Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994
The Regents of the University of California. All rights reserved.
FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995TillmanHodgsonBijgedragen door MarkMurrayGebaseerd op een bijdrage van Kerberos5Iedere &os; uitgave hoger dan &os;-5.1 bevat alleen
ondersteuning voor Kerberos5. Daarom
is Kerberos5 de enige versie die erbij
zit. De instellingen zijn op veel gebieden gelijk aan die van
KerberosIV. De nu volgende informatie
geldt alleen voor &os;-5.0 uitgaven en verder. Gebruikers die
het pakket KerberosIV willen
gebruiken kunnen dat installeren uit de
security/krb4 port.Kerberos is een netwerkdienst,
protocol en systeem waarmee gebruikers zich kunnen aanmelden
met behulp van een dienst op een veilige server. Diensten als
op een andere server aanmelden, op afstand kopiëren, veilig
tussen systemen kopiëren en andere taken met een hoog risico
worden aanmerkelijk veiliger en beter controleerbaar.Kerberos kan omschrijven worden
als identiteitbevestigend proxy systeem. Het kan ook
omschreven worden als een vertrouwd autenticatiesysteem van een
derde partij. Kerberos vervult maar
één taak: het veilig autenticeren van gebruikers
op het netwerk. Het vervult geen autorisatietaken (wat
gebruikers mogen) en controleert ook niets (wat gebruikers hebben
gedaan). Nadat een cliënt en server
Kerberos hebben gebruikt om hun
identiteit vast te stellen kunnen ze ook al hun communicatie
coderen om hun privacy en gegevensintegriteit te garanderen.Daarom wordt het sterk aangeraden om
Kerberos samen met andere
beveiligingsmechanismen te gebruiken die autorisatie en
controlemogelijkheden bieden.De aanwijzingen die nu volgen kunnen gebruikt worden als
werkinstructie om Kerberos in te
stellen zoals dat wordt meegeleverd met &os;. Een complete
beschrijving staat in de handleiding.Voor demonstratie van de installatie van
Kerberos wordt gebruik gemaakt van de
volgende naamgeving:Het DNS domein (zone)
is example.org.De Kerberos wereld is
EXAMPLE.ORG.Het advies is voor installaties van
Kerberos echte domeinnamen te
gebruiken, zelfs als het alleen intern wordt gebruikt. Hiermee
worden DNS problemen voorkomen is een
goede samenwerking met andere
Kerberos werelden verzekerd.GeschiedenisKerberos5geschiedenisKerberos is ontworpen door
MIT als oplossing voor
netwerkbeveiligingsproblemen. Het
Kerberos protocol gebruikt sterke
codering zodat een cliënt zijn identiteit kan bewijzen aan
een server (en andersom) over een onveilige
netwerkverbinding.Kerberos is zowel de naam van
een netwerkautorisatieprotocol als een bijvoeglijk naamwoord om
de programma's te beschrijven die gebruik maken van het
programma (zoals Kerberos telnet).
De huidige versie van het protocol is versie 5 en is beschreven
in RFC 1510.Er zijn een aantal vrij beschikbare implementaties van dit
protocol beschikbaar voor veel systemen. Het Massachusetts
Institute of Technology (MIT), waar
Kerberos ooit is ontwikkeld,
ontwikkelt nog steeds door aan hun
Kerberos pakket. Het wordt in de
VS veel gebruikt als coderingspakket en
daarom wordt het ook geraakt door de exportwetgeving van de
VS. Kerberos
van MIT is beschikbaar als port
(security/krb5). Heimdal
Kerberos is een andere implementatie
van versie 5 die expliciet buiten de VS is
ontwikkeld om de exportwetgeving de omzeilen (en wordt daarom
vaak gebruikt in niet-commerciële &unix; varianten). De
Heimdal Kerberos distributie is
beschikbaar als port (security/heimdal) en er zit een
minimale installatie in de basisinstallatie van &os;.Om het grootst mogelijke publiek te bereiken gaan deze
instructies ervan uit dat de Heimdal distributie die bij &os;
zit wordt gebruikt.Opzetten van een Heimdal KDCKerberos5sleutel distributie centrum instellingenHet Sleutel Distributie Centrum (KDC,
voluit Key Distribution Center) is de
gecentraliseerde autenticatiedienst die
Kerberos levert. Het is de computer
die Kerberos tickets uitgeeft. Het
KDC wordt vertrouwd door
alle andere computer in de Kerberos
wereld en daarom dient er een strenger beveiligingsregime op
van kracht te zijn.Hoewel het draaien van de
Kerberos dienst erg weinig van een
systeem vraagt, wordt het wel aangeraden om een machine in te
richten exclusief voor het KDC om
beveiligingsredenen.Het opzetten van een KDC begint met de
controle of de instellingen in
/etc/rc.conf juist zijn om te functioneren
als KDC (misschien moeten paden veranderd
worden voor een eigen systeem):kerberos5_server_enable="YES"
kadmind5_server_enable="YES"Daarna wordt het
Kerberos-instellingenbestand
/etc/krb5.conf aangemaakt:[libdefaults]
default_realm = EXAMPLE.ORG
[realms]
EXAMPLE.ORG = {
kdc = kerberos.example.org
admin_server = kerberos.example.org
}
[domain_realm]
.example.org = EXAMPLE.ORG/etc/krb5.conf gaat ervan uit dat de
KDC de volledig gekwalificeerde hostnaam kerberos.example.org heeft. Als de
KDC een andere hostnaam heeft, moet er nog
een CNAME (alias) toegevoegd aan de zonefile.Voor grotere netwerken met een juist ingestelde
BIND DNS server kan
het bovenstaande voorbeeld ingekort worden tot:[libdefaults]
default_realm = EXAMPLE.ORGDoor de volgende regels toe te voegen aan het
zonebestand voor example.org:_kerberos._udp IN SRV 01 00 88 kerberos.example.org.
_kerberos._tcp IN SRV 01 00 88 kerberos.example.org.
_kpasswd._udp IN SRV 01 00 464 kerberos.example.org.
_kerberos-adm._tcp IN SRV 01 00 749 kerberos.example.org.
_kerberos IN TXT EXAMPLE.ORGOm cliënten de
Kerberos-diensten te kunnen laten
vinden, moet er een volledig ingestelde
/etc/krb5.conf zijn of een minimaal
ingestelde /etc/krb5.confen een correct ingestelde DNS-server.Nu wordt de Kerberos
database aangemaakt. Deze database bevat de sleutels voor
alle principals en zijn versleuteld met een hoofdwachtwoord.
Dit wachtwoord hoeft niet onthouden te worden omdat het wordt
opgeslagen in (/var/heimdal/m-key). De
hoofdsleutel wordt aangemaakt door kstash
te starten en een wachtwoord in te voeren.Als de hoofdsleutel is gemaakt, kan de database
ingeschakeld worden met kadmin
met de optie -l (die staat voor
local). Deze optie geeft
kadmin de opdracht om de databasebestanden
direct te wijzigingen in plaats van via de
kadmind netwerkdienst. Hiermee wordt het
kip-ei-probleem opgelost waarbij een verbinding wordt gemaakt
met de database voordat hij bestaat. Op het prompt van
kadmin kan met init
de database met de werelden aangemaakt worden.Tenslotte, nog steeds in kadmin, kan
de eerste principal gemaakt worden met
add. De standaardopties voor de principal
worden nu aangehouden. Deze kunnen later altijd
nog gewijzigd worden met modify. Met
het commando ? kunnen alle beschikbare
mogelijkheden getoond worden.Hieronder een sessie waarin een voorbeelddatabase wordt
aangemaakt:&prompt.root; kstash
Master key: xxxxxxxx
Verifying password - Master key: xxxxxxxx
&prompt.root; kadmin -l
kadmin> init EXAMPLE.ORG
Realm max ticket life [unlimited]:
kadmin> add tillman
Max ticket life [unlimited]:
Max renewable life [unlimited]:
Attributes []:
Password: xxxxxxxx
Verifying password - Password: xxxxxxxxNu kan de KDC dienst gestart worden
met /etc/rc.d/kerberos start en
/etc/rc.d/kadmind start. Op dit moment
draait er nog geen enkele daemon die gebruik maakt van
Kerberos. Bevestiging dat
KDC draait is te krijgen door een ticket te
vragen en dat uit te lezen voor de principal (gebruiker)
die zojuist is aangemaakt vanaf de commandoregel van het
KDC zelf:&prompt.user; kinit tillman
tillman@EXAMPLE.ORG's Password:
&prompt.user; klist
Credentials cache: FILE:/tmp/krb5cc_500
Principal: tillman@EXAMPLE.ORG
Issued Expires Principal
Aug 27 15:37:58 Aug 28 01:37:58 krbtgt/EXAMPLE.ORG@EXAMPLE.ORGHet ticket kan worden ingenomen wanneer u klaar bent:&prompt.user; kdestroyKerberos inschakelen op een
server met Heimdal dienstenKerberos5diensten inschakelenAls eerste is een kopie van het instellingenbestand van
Kerberos nodig,
/etc/krb5.conf. Dit bestand kan
eenvoudigweg op een veilige manier (met netwerkprogramma's
als &man.scp.1;, of fysiek via een floppy) naar de
cliëntcomputer gekopieerd worden vanaf de
KDC.Hierna is het /etc/krb5.keytab
nodig. Dit is het belangrijkste verschil tussen een server
die een daemons met Kerberos
aanbiedt en een werkstation: de server heeft het bestand
keytab nodig. Dit bestand bevat de
hostsleutel van de server waardoor het werkstation en de
KDC elkaars identiteit kunnen bevestigen.
Dit bestand dient veilig overgebracht te worden omdat de
beveiliging van de server doorbroken kan worden als de
sleutel openbaar wordt gemaakt. Dit betekent expliciet dat
overdracht via een protocol dat platte tekst gebruikt,
bv. FTP, een slecht idee is.Meestal wordt keytab naar de
server gebracht met kadmin. Dat
werkt handig omdat ook de host principal (het
KDC onderdeel van
krb5.keytab) aangemaakt moet
worden met kadmin.Let wel op dat er al een ticket moet zijn en dat dit
ticket de kadmin interface moet mogen
gebruiken in kadmind.acl. Zie
Beheer op Afstand in de Heimdal
informatiepagina's (info heimdal) voor
details over het ontwerpen van toegangscontrole. Als
kadmin via het netwerk geen toegang mag
hebben, dan kan ook op een veilige verbinding gemaakt worden
met de KDC (via het lokale console,
&man.ssh.1; of Kerberos
&man.telnet.1;) zodat alles lokaal uitgevoerd kan worden met
kadmin -l.Na het installeren van
/etc/krb5.conf kan
kadmin van de
Kerberos server gebruikt worden.
Met add --random-key kan de host
principal toegevoegd worden en met ext kan
de host principal van de server naar zijn eigen keytab
getrokken worden. Bijvoorbeeld:&prompt.root; kadmin
kadmin> add --random-key host/myserver.example.org
Max ticket life [unlimited]:
Max renewable life [unlimited]:
Attributes []:
kadmin> ext host/myserver.example.org
kadmin> exitLet op: ext slaat de sleutel standaard
op in /etc/krb5.keytab.Als kadmind niet beschikbaar is op de
KDC (wellicht om beveiligingsredenen) en
er via het netwerk dus geen toegang is tot
kadmin, dan kan de host principal
(host/myserver.EXAMPLE.ORG) ook direct
aan de KDC toegevoegd worden en daarna in
een tijdelijk bestand gezet worden. Het volgende kan
gebruikt worden om te voorkomen dat
/etc/krb5.keytab op de
KDC) wordt overschreven:&prompt.root; kadmin
kadmin> ext --keytab=/tmp/example.keytab host/myserver.example.org
kadmin> exitHierna kan de keytab veilig gekopieerd worden naar de
server (met scp of een floppy). Geef
een niet-standaard naam op voor de keytab om te voorkomen
dat de keytab op de KDC wordt
overschreven.Nu kan de server communiceren met de
KDC (vanweg
krb5.conf) en zijn identiteit bewijzen
(vanwege krb5.keytab). Nu is de server
klaar om er een aantal Kerberos
diensten op te activeren. In dit voorbeeld wordt de dienst
telnet geactiveerd door de volgende regel
in /etc/inetd.conf te zetten en dan
&man.inetd.8; te herstarten met
/etc/rc.d/inetd restart:telnet stream tcp nowait root /usr/libexec/telnetd telnetd -a userHet belangrijkste is dat de typering
-a (van autenticatie) op user staat. Meer
details zijn in &man.telnetd.8; te vinden.Kerberos activeren op een
cliënt met HeimdalKerberos5cliëntinstellingenHet opzetten van een cliëntcomputer is eigenlijk
kinderlijk eenvoudig. Wat betreft de
Kerberos instelling is alleen het
Kerberos instellingenbestand
(/etc/krb5.conf) nodig. Dat kan
eenvoudigweg naar de cliëntcomputer gekopieerd worden
vanaf de KDC.Test de cliënt met kinit,
klist en kdestroy
vanaf de cliënt om een ticket te krijgen, te bekijken en
daarna te verwijderen voor de principal die hierboven is
aangemaakt. Nu moeten ook
Kerberos applicaties gebruikt
kunnen worden om verbindingen te maken met servers waarop
Kerberos is geactiveerd. Als dat
niet lukt en het verkrijgen van een ticket is wel mogelijk,
dan ligt dat hoogstwaarschijnlijk aan de server en niet aan
de cliënt of de KDC.Bij het testen van een applicatie als
telnet kan het beste een pakketsnuffelaar
(bv. &man.tcpdump.1;) gebruikt worden om te bevestigen dat
een wachtwoord niet als tekst wordt verzonden. Gebruik
telnet met de optie -x.
Dan wordt de complete gegevensstroom versleuteld (vergelijkbaar
met ssh).Er worden standaard ook andere
Kerberos applicaties op de
cliënt geïnstalleerd. Hier komt de
minimalistische natuur van de basisinstallatie
van Heimdal boven drijven: telnet is
de enige dienst waarvoor Kerberos
geactiveerd is.De port Heimdal voegt een aantal ontbrekende
cliëntapplicaties toe: versies met ondersteuning voor
Kerberos van
ftp, rsh,
rcp, rlogin en een paar
minder gebruikelijke programma's. De MIT
port bevat ook een volledig gamma aan
Kerberos cliëntapplicaties.Instellingenbestanden voor gebruikers:
.k5login en
.k5users.k5login.k5usersVoor gebruikers binnen een wereld wijst hun
Kerberos principal (bv.
tillman@EXAMPLE.ORG) gewoonlijk naar
een lokale gebruikersaccount (bijvoorbeeld een lokale account
met de naam tillman). Voor
cliëntapplicaties als telnet is
gewoonlijk geen gebruikersnaam of principal nodig.Soms moet iemand zonder bijpassende
Kerberos principal toch toegang
hebben tot een lokale gebruikersaccount.
tillman@EXAMPLE.ORG zou bijvoorbeeld
toegang nodig kunnen hebben tot de lokale gebruikersaccount
webdevelopers. Andere principals zouden
die toegang wellicht ook nodig kunnen hebben.De bestanden .k5login en
.k5users uit de gebruikersmap kunnen op
eenzelfde manier gebruikt worden als
.hosts en .rhosts.
Zo wordt het voorgaande probleem opgelost. Als bijvoorbeeld
een .k5login met de volgende
inhoud:tillman@example.org
jdoe@example.orgin de thuismap van de lokale gebruiker
webdevelopers gezet wordt dan zouden
beide principals toegang hebben tot die account zonder dat
ze een wachtwoord hoeven te delen.We raden aan de handleidingen voor deze commando's
te lezen. Let op dat de ksu handleiding
.k5users behandelt.Kerberos tips, trucs en
problemen oplossenKerberos5problemen oplossenAls de Heimdal of MIT
Kerberos port wordt gebruikt
dan dient de PATH omgevingsvariabele
de Kerberos versies van de
cliëntapplicaties te tonen voor de systeemversies.Hebben alle computers in de wereld hun tijd
gesynchroniseerd? Als dat niet zo is, dan slaagt de
autenticatie wellicht niet.
beschrijft hoe klokken
met NTP gesynchroniseerd kunnen
worden.MIT en Heimdal werken prima samen.
Dit geldt niet voor kadmin omdat
daarvoor geen protocolstandaard is.Als een hostnaam wordt gewijzigd, dan moet ook de
host/ principal aangepast en de
keytab. Dit geldt ook voor bijzondere instellingen
in de keytab zoals de www/ principal
voor www/mod_auth_kerb van
Apache.Alle hosts in een wereld moeten oplosbaar
(resolvable) zijn (zowel vooruit als achteruit) in de
DNS (of tenminste in
/etc/hosts). CNAMEs werken wel,
maar de A en PTR records moeten juist en actief zijn. De
foutmelding is niet erg duidelijk: Kerberos5
refuses authentication because Read req failed: Key table
entry not found.Sommige besturingssystemen van cliënten voor een
KDC zetten wellicht geen setuid
root voor ksu.
Dit betekent dat ksu niet werkt. Dat
is vanuit beveiligingsoogpunt een prima idee, maar wel
lastig. Dit is dus geen KDC-fout.Als met MIT
Kerberos een principal een
ticket moet krijgen dat langer geldig is dan de standaard
van tien uur, dan moet
modify_principal in
kadmin gebruikt worden om de maximale
geldigheidsduur (maxlife) van zowel de principal waar het
om gaat als de krbtgt principal aan
te passen. Dan kan de principal kinit-l gebruiken om een ticket met een
langere levensduur aan te vragen.Als een pakketsnuffelaar op de
KDC draait bij om te helpen bij het
oplossen van problemen en dan kinit
vanaf een werkstation wordt gestart, dan wordt zichtbaar
dat de TGT meteen wordt verstuurd als
kinit start, zelfs nog voor het
wachtwoord! De reden hiervoor is dat de
Kerberos server vrijelijk een
TGT (Ticket Granting
Ticket) verstuurt op iedere niet geautoriseerd verzoek.
Maar iedere TGT is versleuteld met een
sleutel die is afgeleid van het wachtwoord van de
gebruiker. Als een gebruiker zijn wachtwoord ingeeft,
wordt dat dus niet naar de KDC
gezonden, maar ontcijfert het de TGT
die kinit al heeft ontvangen. Als de
ontcijfering resulteert in een geldige ticket met een
geldige tijdstempel, dan heeft de gebruiker geldige
Kerberos rechten. Deze
rechten bevatten ook een sessiesleutel voor het opzetten
van beveiligde communicatie met de
Kerberos server in de toekomst
en de eigenlijke ticket-granting ticket, die is
versleuteld met de sleutel van de
Kerberos server zelf. Deze
tweede laag van versleuteling is niet bekend voor de
gebruiker, maar het stelt de
Kerberos server in staat om de
juistheid van iedere TGT te
bevestigen.Als tickets worden gebruik die lang geldig zijn (bv.
een week) en OpenSSH wordt
gebruikt om een verbinding te maken met de machine waarop
het ticket staat, zorg er dan voor dat de
Kerberos optie
op no
staat in sshd_config want anders
worden tickets verwijderd bij afmelden.Hostprincipals kunnen ook een langere levensduur
hebben. Als een gebruikers principal een levensduur van
een week heeft, maar de host waar de verbinding mee
gemaakt wordt heeft een levensduur van negen uur,
dan heb staat er een verlopen host principal in de cache
en dan werkt e.e.a. niet zoals verwacht.Een krb5.dict bestand om het
gebruik van bepaalde slechte wachtwoorden te voorkomen
(dit wordt kort behandeld in de handleiding voor
kadmind) heeft alleen betrekking op
principals waar een wachtwoordbeleid voor geldt. De
opmaak van krb5.dict is eenvoudig:
een rij tekens per regel. Een symbolische link maken naar
/usr/share/dict/words is misschien
handig.Verschillen met de MIT portHet belangrijkste verschil tussen de
MIT en Heimdal installatie heeft
betrekking op kadmin, dat een andere (maar
gelijkwaardige) set commando's kent en een andere protocol
gebruikt. Dit betekent nogal wat als een
KDC MIT is, omdat
dan de kadmin van Heimdal niet gebruikt
kan worden om de KDC vanaf afstand te
beheren (dat geldt trouwens ook vice versa).De cliëntapplicaties kunnen ook commandoregelopties
gebruiken die een beetje verschillen, maar waarmee wel
hetzelfde wordt bereikt. We raden aan de instructies op de
MIT Kerberos
website () te volgen.
Wees voorzichtig met paden: de MIT-port
installeert standaard in
/usr/local/ en dus kunnen de
normale systeemapplicaties gestart worden in
plaats van die van MIT als de
PATH omgevingsvariabele de systeemmappen als
eerste weergeeft.Als de MIT
security/krb5 port die
bij &os; zit wordt gebruikt, dan zorgt het lezen van
/usr/local/share/doc/krb5/README.FreeBSD
dat bij de port wordt geïnstalleerd voor een beter
begrip over waarom het aanmelden via
telnetd en klogind
soms wat vreemd verloopt. Als belangrijkste wijzen we erop
dat het bij het corrigeren van
onjuiste rechten op het cachebestand
noodzakelijk is dat het binaire bestand
login.krb5 wordt gebruikt voor
autenticatie zodat het op de juiste wijze eigenaarschap kan
wijzigen voor de doorgegeven rechten.Het bestand rc.conf moet ook gewijzigd
worden zodat het de volgende configuratie bevat:kerberos5_server="/usr/local/sbin/krb5kdc"
kadmind5_server="/usr/local/sbin/kadmind"
kerberos5_server_enable="YES"
kadmind5_server_enable="YES"Dit is gedaan omdat de applicaties voor
MIT-Kerberos binairen in de hiërarchie
/usr/local installeren.Beperkingen in
KerberosKerberos5beperkingen en tekortkomingenKerberos is een alles of
niets aanpakIedere ingeschakelde dienst op het netwerk moet
aangepast worden om met Kerberos
te werken (of op een andere manier beschermd zijn tegen
netwerkaanvallen), want anders kunnen gebruikersrechten
worden gestolen en herbruikt. Een voorbeeld hier van is
het inschakelen van Kerberos
voor alle shells op afstand (via rsh en
telnet bijvoorbeeld), maar de
POP3 mailserver die wachtwoorden als
platte tekst verzend ongemoeid laten.Kerberos is bedoeld voor
werkstations met een gebruikerIn een meergebruikersomgeving is
Kerberos minder veilig. Dit
komt doordat de tickets worden opgeslagen in de map
/tmp, waar gelezen kan worden door
alle gebruikers. Als een gebruiker een computer deelt met
andere gebruikers op hetzelfde moment (dus multi-user), dan
is het mogelijk dat een ticket van een gebruiker wordt
gestolen (gekopieerd) door een andere gebruiker.Dit kan voorkomen worden met de commandoregeloptie
-c bestandsnaam of (bij
voorkeur) de omgevingsvariabele KRB5CCNAME,
maar dat wordt zelden gedaan. In principe kan het opslaan
van een ticket in de thuismap van een gebruiker in
combinatie met eenvoudige bestandsrechten dit probleem
verhelpen.De KDC is een single point of failureZoals het is ontworpen, moet de KDC
zo goed mogelijk beveiligd zijn, omdat de
hoofdwachtwoorddatabase erop staat. De KDC
hoort geen enkele andere dienst aan te bieden en moet ook
fysiek afgeschermd worden. Het gevaar is groot, omdat
Kerberos alle wachtwoorden
versleutelt met dezelfde sleutel (de master
sleutel) die als een bestand op de KDC
staat.Toch is een gecompromitteerde mastersleutel niet zo'n
groot probleem als wellicht wordt verondersteld. De
mastersleutel wordt alleen gebruikt om de
Kerberos database te
versleutelen en als zaad voor de generator van willekeurige
nummers. Zo lang als de toegang tot de
KDC is beveiligd, kan een aanvaller niet
echt iets doen met de mastersleutel.Als de KDC niet beschikbaar is
(misschien door een ontzeggen van dienst aanval of
netwerkproblemen) kunnen de netwerkdiensten niet gebruikt
worden omdat er geen autenticatie uitgevoerd kan worden;
een recept voor een ontzeggen van dienst aanval. Dit
risico kan omzeild worden door meerdere
KDC's (één master en
één of meer slaven) en een zorgvuldige
implementatie van secundaire of fall-back autenticatie.
PAM is hier uitermate geschikt
voor.Tekortkomingen van
KerberosKerberos stelt gebruikers,
hosts en diensten in staat om elkaar te autenticeren.
Maar het heeft geen mechanisme om de KDC
te autenticeren aan de gebruikers, hosts of diensten. Dit
betekent dat bijvoorbeeld een vervalste
kinit alle gebruikersnamen en
wachtwoorden zou kunnen afluisteren. Iets als
security/tripwire of
andere controle-instrumenten voor de integriteit van
bestandssystemen kunnen hier verlichting brengen.Bronnen en verdere informatieKerberos5externe bronnen
De Kerberos FAQ
(Engels)Een
Autenticatiesysteem Ontwerpen: een Dialoog in Vier
Scenes (Engels)
RFC 1510, De Kerberos Netwerk
Authenticatie Dienst (V5) (Engels)
MIT
Kerberos
homepageHeimdal
Kerberos homepageTomRhodesGeschreven door OpenSSLbeveiligingOpenSSLOpenSSLEen toepassing die bij &os; zit die veel gebruikers over het
hoofd zien is OpenSSL.
OpenSSL biedt een versleutelde
transportlaag bovenop de normale communicatielaag. Daardoor
biedt het de mogelijkheid met veel netwerktoepassingen en
diensten verweven te raken.Een aantal toepassingen van
OpenSSL zijn versleutelde
autenticatie van mailcliënten, webgebaseerde transacties als
creditcardbetalingen en nog veel meer. Veel ports zoals
www/apache13-ssl en
mail/sylpheed-claws
bieden tijdens het compileren ondersteuning om
OpenSSL in te bouwen.In de meeste gevallen zal de Portscollectie proberen de
port security/openssl te
bouwen, tenzij de make variabele
WITH_OPENSSL_BASE expliciet naar
yes is gezet.De versie van OpenSSL die bij &os;
zit ondersteunt Secure Sockets Layer v2/v3 (SSLv2/SSLv3),
Transport Layer Security v1 (TLSv1) netwerkbeveiligingsprotocollen
en kan gebruikt worden als generieke versleutelingsbibliotheek.Hoewel OpenSSL ondersteuning
biedt voor het IDEA algoritme, is dat
standaard uitgeschakeld in verband met patenten in de VS. Om
het te gebruiken dient de licentie gelezen te worden en, als
de restricties aanvaardbaar zijn, dient de make-variabele
MAKE_IDEA ingesteld te worden in
make.conf.Een van de meest gebruikte toepassingen van
OpenSSL is het leveren van
certificaten voor gebruik met softwaretoepassingen. Deze
certificaten verzekeren dat de eigenschappen van een bedrijf
of individu geldig zijn en niet vervalst. Als het certificaat
in kwestie niet geldig verklaard is door een van de
Certificate Authorities of
CA's, dan komt er een waarschuwing. Een
Certificate Authority is een bedrijf, zoals VeriSign, dat
certificaten ondertekent zodat de eigenschappen van een bedrijf
of individu geldig verklaard kunnen worden. Dit proces kost geld
en het is zeker geen voorwaarde voor het gebruik van
certificaten. Het stelt wel de meer paranoïde gebruikers
gerust.Certificaten makenOpenSSLcertificaten makenVoor het maken van certificaten is het volgende commando
beschikbaar:&prompt.root; openssl req -new -nodes -out req.pem -keyout cert.pem
Generating a 1024 bit RSA private key
................
.......................................
writing new private key to 'cert.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:PA
Locality Name (eg, city) []:Pittsburgh
Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company
Organizational Unit Name (eg, section) []:Systems Administrator
Common Name (eg, YOUR name) []:localhost.example.org
Email Address []:trhodes@FreeBSD.org
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:SOME PASSWORD
An optional company name []:Another NameLet op dat het antwoord direct na Common
Name een domeinnaam weergeeft. De prompt wil
dat er een servernaam wordt ingegeven voor het
verificatieproces. Het plaatsen van iets anders dan een
domeinnaam zorgt ervoor dat het certificaat waardeloos wordt.
Er zijn ook andere opties als verloopdatum, andere
versleutelingsalgoritmes, etc, beschikbaar. Een volledige
lijst is na te lezen in de handleiding van
&man.openssl.1;.Er horen nu twee bestanden te staan in de map waarin het
voorgaande commando is uitgevoerd. Het certificaatverzoek,
req.pem, kan naar een certificaat
autoriteit gestuurd worden die de bijgevoegde gegevens kan
valideren, het verzoek kan tekenen en het certificaat kan
retourneren. Het tweede bestand heet
cert.pem en is de geheime sleutel voor het
certificaat. Deze dient zorgvuldig beschermd te worden. Als
de geheime sleutel in de handen van anderen valt kan die
gebruikt worden om de identiteit van de eigenaar (of server)
aan te nemen.In gevallen waar ondertekening door een
CA niet vereist is, kan een zelfondertekend
certificaat gemaakt worden. Maak als eerste de
RSA sleutel:&prompt.root; openssl dsaparam -rand -genkey -out myRSA.key 1024Hierna kan de CA sleutel gemaakt
worden:&prompt.root; openssl gendsa -des3 -out myca.keymyRSA.keyDeze sleutel kan gebruikt worden om een certificaat te
maken:&prompt.root; openssl req -new -x509 -days 365 -key myca.key -out new.crtEr zouden nu twee bestanden bijgekomen moeten zijn in de
map: een certificaatautoriteit ondertekeningsbestand
myca.key en new.crt,
het certificaat zelf. Deze moeten in een map geplaatst worden,
bij voorkeur onder /etc
waar alleen root kan lezen. De rechten
0700 zijn hier prima en die kunnen ingesteld worden met
chmod.Certificaten gebruiken: een voorbeeldEn wat kunnen deze bestanden? Een prima toepassing zou
het versleutelen van verbindingen naar de
Sendmail MTA
kunnen zijn. Daardoor zouden gebruikers niet langer platte
tekst hoeven te autenticeren om mail te sturen via de lokale
MTA.Dit is niet de best denkbare toepassing omdat sommige
MUA's de gebruiker een foutmelding geven
als ze het certificaat niet lokaal geïnstalleerd hebben.
De documentatie bij de software geeft meer informatie over
het installeren van certificaten.De volgende regels moeten opgenomen worden in het lokale
.mc bestand:dnl SSL Options
define(`confCACERT_PATH',`/etc/certs')dnl
define(`confCACERT',`/etc/certs/new.crt')dnl
define(`confSERVER_CERT',`/etc/certs/new.crt')dnl
define(`confSERVER_KEY',`/etc/certs/myca.key')dnl
define(`confTLS_SRV_OPTIONS', `V')dnl/etc/certs/ is de
map die gebruikt wordt voor het lokaal opslaan van certificaten
en sleutels. De laatste voorwaarde het is opnieuw aanmaken van
het lokale .cf bestand. Dit gaat door
eenvoudigweg make
install te typen in de map
/etc/mail. Laat dat
volgen door make
install waardoor de daemon
Sendmail herstart zou moeten
worden.Als alles goed is gegaan, dan staan er geen foutmeldingen
/var/log/maillog en is
Sendmail zichtbaar in de
proceslijst.Maak als eenvoudige test een verbinding met de mailserver
met &man.telnet.1;:&prompt.root; telnet example.com 25
Trying 192.0.34.166...
Connected to example.com.
Escape character is '^]'.
220 example.com ESMTP Sendmail 8.12.10/8.12.10; Tue, 31 Aug 2004 03:41:22 -0400 (EDT)
ehlo example.com
250-example.com Hello example.com [192.0.34.166], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250-SIZE
250-DSN
250-ETRN
250-AUTH LOGIN PLAIN
250-STARTTLS
250-DELIVERBY
250 HELP
quit
221 2.0.0 example.com closing connection
Connection closed by foreign host.Als de regel STARTTLS verschijnt in de
uitvoer dan werkt alles correct.NikClaytonnik@FreeBSD.orgGeschreven door IPsecVPN via IPsecEen VPN opzetten met &os; gateways tussen twee netwerken die
gescheiden zijn door Internet.Hiten M.Pandyahmp@FreeBSD.orgGeschreven door IPsec begrijpenDeze paragraaf is een gids in het proces van het opzetten
van IPsec. Voordat IPsec opgezet kan worden dient de lezer
bekend te zijn met de concepten die nodig zijn om een aangepaste
kernel te bouwen (zie ).IPsec is een protocol dat bovenop de
Internet Protocol (IP) laag ligt. Hiermee kunnen twee of meer
host op een veilige manier communiceren (vandaar de naam). De
&os; IPsec netwerk wachtrij (stack) is gebaseerd
op de
KAME-implementatie,
die zowel de protocolfamilies IPv4 als de IPv6 ondersteunt.IPsecESPIPsecAHIPsec bestaat uit twee subprotocollen:Encapsulated Security Payload
(ESP) beschermt de IP-pakketdata tegen
inmenging door een derde partij door de inhoud te
versleutelen met symmetrische
versleutelingsalgoritmes (zoals Blowfish en 3DES).Authentication Header (AH)
beschermt de IP-pakketkop tegen inmenging door een derde
partij en spoofing door een cryptografische checksum te
berekenen en de IP-pakketkopvelden te hashen met een
veilige hashfunctie. Hierna wordt een extra kop ingevoegd
die de hash bevat zodat de informatie in het pakket
geautenticeerd kan worden.ESP en AH kunnen
samen of apart gebruikt worden, afhankelijk van de
omgeving.VPNvirtual private networkVPNvirtueel privaat netwerkVPNIPsec kan gebruikt worden om het verkeer tussen twee hosts
direct te versleutelen (dat heet Transport
Mode) of door virtuele tunnels te
bouwen tussen twee subnetten die gebruikt kunnen worden voor
veilige communicatie tussen twee bedrijfsnetwerken (dat heet
Tunnel Mode). De laatste versie staat
beter bekend als Virtual Private Network
(VPN). In &man.ipsec.4; staat gedetailleerde
informatie over het IPsec subsysteem in &os;.Voor ondersteuning voor IPsec in de kernel zijn de
volgende opties nodig in het
kernelinstellingenbestand:kerneloptiesIPSECoptions IPSEC #IP-beveiliging
device cryptokerneloptiesIPSEC_DEBUGAls er ook fouten in IPsec (debugging) verwijderd moeten
kunnen worden, dan is de volgende optie ook nodig:options IPSEC_DEBUG #debug voor IP-beveiligingHet probleemEr bestaat geen standaard voor wat een VPN is. VPN's
kunnen opgezet worden met behulp van een aantal verschillende
technologieën die allemaal hun eigen voor- en nadelen
hebben. Dit onderdeel bevat een scenario en de
strategieën die gebruikt kunnen worden voor het
implementeren van een VPN in iedere situatie.Het scenario: twee netwerken, de ene thuisgebaseerd en de
andere bedrijfgebaseerd. Beide zijn verbonden met het Internet,
en er wordt van verwacht dat ze zich via dit
VPN als één gedragen.VPNmakenDit is het uitgangspunt:Er zijn tenminste twee locatiesBeide locaties gebruiken IPBeide locaties hebben een Internetverbinding via een
gateway waarop &os; draait.De gateway op ieder netwerk heeft tenminste
één publiek IP-adres.De interne adressen van de twee netwerken mogen
publieke of private IP-adressen zijn,
dat maakt niet uit. Ze mogen alleen niet botsen;
bijvoorbeeld: ze mogen niet beide 192.168.1.x gebruiken.TomRhodestrhodes@FreeBSD.orgGeschreven door IPsec configureren op &os;Om te beginnen moet de port security/ipsec-tools
geïnstalleerd zijn vanuit de Portscollectie. Dit
softwarepakket van een derde partij biedt een aantal applicaties
die helpen de configuratie te ondersteunen.De volgende benodigdheid is om twee &man.gif.4;
pseudo-apparaten aan te maken om de pakketten te tunnelen en
beide netwerken in staat stellen om op een juiste wijze te
communiceren. Draai als root de volgende
commando's, waarbij de items intern
en extern met de echte interne en
externe gateways:&prompt.root; ifconfig gif0 create&prompt.root; ifconfig gif0 intern1 intern2&prompt.root; ifconfig gif0 tunnel extern1 extern2Het publieke IP van het
LAN van de onderneming is bijvoorbeeld
172.16.5.4 en het heeft een
privaat IP 10.246.38.1. Het publieke
IP van het LAN van huis is
192.168.1.12 met een intern
privaat IP 10.0.0.5.Dit kan verwarrend lijken, dus bekijk de volgende
voorbeeld van het commando &man.ifconfig.8;:Gateway 1:
gif0: flags=8051 mtu 1280
tunnel inet 172.16.5.4 --> 192.168.1.12
inet6 fe80::2e0:81ff:fe02:5881%gif0 prefixlen 64 scopeid 0x6
inet 10.246.38.1 --> 10.0.0.5 netmask 0xffffff00
Gateway 2:
gif0: flags=8051 mtu 1280
tunnel inet 192.168.1.12 --> 172.16.5.4
inet 10.0.0.5 --> 10.246.38.1 netmask 0xffffff00
inet6 fe80::250:bfff:fe3a:c1f%gif0 prefixlen 64 scopeid 0x4Eenmaal compleet zouden beide private
IP's bereikbaar moeten zijn met het commando
&man.ping.8; zoals de volgende uitvoer suggereert:priv-net# ping 10.0.0.5
PING 10.0.0.5 (10.0.0.5): 56 data bytes
64 bytes from 10.0.0.5: icmp_seq=0 ttl=64 time=42.786 ms
64 bytes from 10.0.0.5: icmp_seq=1 ttl=64 time=19.255 ms
64 bytes from 10.0.0.5: icmp_seq=2 ttl=64 time=20.440 ms
64 bytes from 10.0.0.5: icmp_seq=3 ttl=64 time=21.036 ms
--- 10.0.0.5 ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max/stddev = 19.255/25.879/42.786/9.782 ms
corp-net# ping 10.246.38.1
PING 10.246.38.1 (10.246.38.1): 56 data bytes
64 bytes from 10.246.38.1: icmp_seq=0 ttl=64 time=28.106 ms
64 bytes from 10.246.38.1: icmp_seq=1 ttl=64 time=42.917 ms
64 bytes from 10.246.38.1: icmp_seq=2 ttl=64 time=127.525 ms
64 bytes from 10.246.38.1: icmp_seq=3 ttl=64 time=119.896 ms
64 bytes from 10.246.38.1: icmp_seq=4 ttl=64 time=154.524 ms
--- 10.246.38.1 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max/stddev = 28.106/94.594/154.524/49.814 msZoals verwacht hebben beide kanten de mogelijkheid om
ICMP-pakketten te verzenden en te ontvangen
van de privaat geconfigureerde adressen. Vervolgens dient aan
beide gateways verteld te worden hoe pakketten te routeren om op
de juiste wijze verkeer van een van de netwerken te versturen.
Het volgende commando doet dit:&prompt.root; corp-net# route add 10.0.0.0 10.0.0.5 255.255.255.0&prompt.root; corp-net# route add net 10.0.0.0: gateway 10.0.0.5&prompt.root; priv-net# route add 10.246.38.0 10.246.38.1 255.255.255.0&prompt.root; priv-net# route add host 10.246.38.0: gateway 10.246.38.1Op dit moment dienen interne machines bereikbaar te zijn
vanuit elke gateway alsook als vanuit machines achter de
gateways. Dit is eenvoudig te zien aan het volgende
voorbeeld:corp-net# ping 10.0.0.8
PING 10.0.0.8 (10.0.0.8): 56 data bytes
64 bytes from 10.0.0.8: icmp_seq=0 ttl=63 time=92.391 ms
64 bytes from 10.0.0.8: icmp_seq=1 ttl=63 time=21.870 ms
64 bytes from 10.0.0.8: icmp_seq=2 ttl=63 time=198.022 ms
64 bytes from 10.0.0.8: icmp_seq=3 ttl=63 time=22.241 ms
64 bytes from 10.0.0.8: icmp_seq=4 ttl=63 time=174.705 ms
--- 10.0.0.8 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max/stddev = 21.870/101.846/198.022/74.001 ms
priv-net# ping 10.246.38.107
PING 10.246.38.1 (10.246.38.107): 56 data bytes
64 bytes from 10.246.38.107: icmp_seq=0 ttl=64 time=53.491 ms
64 bytes from 10.246.38.107: icmp_seq=1 ttl=64 time=23.395 ms
64 bytes from 10.246.38.107: icmp_seq=2 ttl=64 time=23.865 ms
64 bytes from 10.246.38.107: icmp_seq=3 ttl=64 time=21.145 ms
64 bytes from 10.246.38.107: icmp_seq=4 ttl=64 time=36.708 ms
--- 10.246.38.107 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max/stddev = 21.145/31.721/53.491/12.179 msDe tunnels opzetten is het eenvoudige deel. Het
configureren van een veilige verbinding is een veel diepgaander
proces. De volgende configuratie gebruikt vooraf gedeelde
(PSK) RSA-sleutels.
Afgezien van de IP-adressen zijn beide
bestanden /usr/local/etc/racoon/racoon.conf
identiek en zien ze er ongeveer als volgt uit:path pre_shared_key "/usr/lcoal/etc/racoon/psk.txt"; # plaats van bestand vooraf gedeelde sleutels
log debug; # verbositeitsinstelling van loggen: op 'notify' zetten als testen en debuggen klaar is
padding # opties moeten niet veranderd worden
{
maximum_length 20;
randomize off;
strict_check off;
exclusive_tail off;
}
timer # timingopties, veranderen indien nodig
{
counter 5;
interval 20 sec;
persend 1;
# natt_keepalive 15 sec;
phase1 30 sec;
phase2 15 sec;
}
listen # adres [poort] waarop racoon luistert
{
isakmp 172.16.5.4 [500];
isakmp_natt 172.16.5.4 [4500];
}
remote 192.168.1.12 [500]
{
exchange_mode main,aggressive;
doi ipsec_doi;
situation identity_only;
my_identifier address 172.16.5.4;
peers_identifier address 192.168.1.12;
lifetime time 8 hour;
passive off;
proposal_check obey;
# nat_traversal off;
generate_policy off;
proposal {
encryption_algorithm blowfish;
hash_algorithm md5;
authentication_method pre_shared_key;
lifetime time 30 sec;
dh_group 1;
}
}
sainfo (address 10.246.38.0/24 any address 10.0.0.0/24 any) # adres $netwerk/$netmasker $type adres $netwerk/$netmasker $type ( $type is any of esp)
{
pfs_group 1;
lifetime time 3600 sec;
encryption_algorithm blowfish,3des,des;
authentication_algorithm hmac_md5,hmac_sha1;
compression_algorithm deflate;
}Het uitleggen van elke beschikbare optie, samen met diegenen
in deze voorbeelden valt buiten het bereik van dit document.
De configuratiehandleiding van racoon
staat vol relevante informatie.De SPD-beleiden moeten geconfigureerd
worden zodat &os; en racoon in staat
zijn om netwerkverkeer tussen hosts te versleutelen en te
ontsleutelen.Deze taak kan met een eenvoudig shellscript zoals het
volgende dat op de gateway van de onderneming staat worden
uitgevoerd. Dit bestand wordt gebruikt tijdens de
systeeminitialisatie en dient bewaard te worden als
/usr/local/etc/racoon/setkey.conf.flush;
spdflush;
# Naar het thuisnetwerk
spdadd 10.246.38.0/24 10.0.0.0/24 any -P out ipsec esp/tunnel/172.16.5.4-192.168.1.12/use;
spdadd 10.0.0.0/24 10.246.38.0/24 any -P in esp/tunnel/192.168.1.12-172.16.5.4/use;Eenmaal aanwezig kan racoon op
beide gateways gestart worden met het volgende commando:&prompt.root; /usr/local/sbin/racoon -F -f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.logDe uitvoer moet ongeveer gelijk zijn aan de volgende:corp-net# /usr/local/sbin/racoon -F -f /usr/local/etc/racoon/racoon.conf
Foreground mode.
2006-01-30 01:35:47: INFO: begin Identity Protection mode.
2006-01-30 01:35:48: INFO: received Vendor ID: KAME/racoon
2006-01-30 01:35:55: INFO: received Vendor ID: KAME/racoon
2006-01-30 01:36:04: INFO: ISAKMP-SA established 172.16.5.4[500]-192.168.1.12[500] spi:623b9b3bd2492452:7deab82d54ff704a
2006-01-30 01:36:05: INFO: initiate new phase 2 negotiation: 172.16.5.4[0]192.168.1.12[0]
2006-01-30 01:36:09: INFO: IPsec-SA established: ESP/Tunnel 192.168.1.12[0]->172.16.5.4[0] spi=28496098(0x1b2d0e2)
2006-01-30 01:36:09: INFO: IPsec-SA established: ESP/Tunnel 172.16.5.4[0]->192.168.1.2[0] spi=47784998(0x2d92426)
2006-01-30 01:36:13: INFO: respond new phase 2 negotiation: 172.16.5.4[0]192.168.1.12[0]
2006-01-30 01:36:18: INFO: IPsec-SA established: ESP/Tunnel 192.168.1.12[0]->172.16.5.4[0] spi=124397467(0x76a279b)
2006-01-30 01:36:18: INFO: IPsec-SA established: ESP/Tunnel 172.16.5.4[0]->192.168.1.12[0] spi=175852902(0xa7b4d66)Om er zeker van te zijn dat de tunnel correct werkt, dient
naar een ander console geschakeld te worden en &man.tcpdump.1;
gebruikt te worden om hiermee het netwerkverkeer te bekijken.
Vervang em0 door de netwerkinterfacekaart
indien nodig.&prompt.root; tcpdump -i em0 host 172.16.5.4 and dst 192.168.1.12Gegevens lijkend op de volgende zouden op het console moeten
verschijnen. Indien niet, dan is er iets aan de hand, en is het
nodig om de teruggegeven gegevens te debuggen.01:47:32.021683 IP corporatenetwork.com > 192.168.1.12.privatenetwork.com: ESP(spi=0x02acbf9f,seq=0xa)
01:47:33.022442 IP corporatenetwork.com > 192.168.1.12.privatenetwork.com: ESP(spi=0x02acbf9f,seq=0xb)
01:47:34.024218 IP corporatenetwork.com > 192.168.1.12.privatenetwork.com: ESP(spi=0x02acbf9f,seq=0xc)Op dit punt zouden beide netwerken beschikbaar moeten zijn en
deel lijken van hetzelfde netwerk. Waarschijnlijk zijn beide
netwerken beschermt door een firewall, zoals het hoort. Om
verkeer tussen hen toe te staan, moeten er regels worden
toegevoegd om pakketten heen en terug door te laten. Voeg voor
de firewall &man.ipfw.8; de volgende regels toe aan het
instellingenbestand van de firewall:ipfw add 00201 allow log esp from any to any
ipfw add 00202 allow log ah from any to any
ipfw add 00203 allow log ipencap from any to any
ipfw add 00204 allow log udp from any 500 to anyAfhankelijk van de huidige hostconfiguratie dienen de
regelnummers gewijzigd te worden.Voor gebruikers van &man.pf.4; of &man.ipf.8; zouden de
volgende regels moeten volstaan:pass in quick proto esp form any to any
pass in quick proto ah from any to any
pass in quick proto ipencap from any to any
pass in quick proto udp form any port = 500 to any port = 500
pass in quick on gif0 from any to any
pass out quick proto esp from any to any
pass out quick proto ah from any to any
pass out quick ptoto ipencap from any to any
pass out quick proto udp from any port = 500 to any port = 500
pass out quick on gif0 from any to anyTer afsluiting, voeg de volgende regels toe aan
/etc/rc.conf om de machine toe te staan om
ondersteuning voor het VPN te starten tijdens
de systeeminitialisatie:ipsec_enable="YES"
ipsec_program="/usr/local/sbin/setkey"
ipsec_file="/usr/local/etc/racoon/setkey.conf" # staat toe om spd-beleiden tijdens het opstarten op te zetten
racoon_enable="yes"ChernLeeBijgedragen door OpenSSHOpenSSHbeveiligingOpenSSHOpenSSH is een groep
netwerkverbindingsprogramma's waarmee computers via het netwerk
veilig benaderd kunnen worden. Het kan ingezet worden als een
directe vervanger van rlogin,
rsh, rcp en
telnet. Daarnaast kunnen
TCP/IP-verbindingen veilig
getunneld of geforward worden door SSH.
OpenSSH versleutelt al het verkeer om
afluisteren, het stelen van een verbinding en andere
netwerkaanvallen effectief te voorkomen.OpenSSH wordt onderhouden door het
OpenBSD project en is gebaseerd op SSH v1.2.12 met alle recente
bugfixes en updates. Het is compatibel met beide protocollen SSH
1 en 2.Voordelen van gebruik van OpenSSHAls gewoonlijk &man.telnet.1; of &man.rlogin.1; wordt
gebruikt, wordt de data in platte tekst en niet versleuteld
verzonden. Netwerksnuffelaars die ergens tussen de cliënt
en de server meeluisteren, kunnen een gebruikersnaam en
wachtwoord stelen en zien welke gegevens er worden overgezonden
tijdens een sessie. OpenSSH biedt
een verscheidenheid aan autenticatie en versleutelingsmethoden
die het voorgaande voorkomen.sshd inschakelenOpenSSHinschakelenDe sshd is een optie die wordt
aangeboden tijdens een Standard-installatie
van &os;. sshd is ingeschakeld als
de volgende regel voorkomt in rc.conf:sshd_enable="YES"Hierdoor wordt &man.sshd.8; geladen, het daemonprogramma
voor OpenSSH, als het systeem de
volgende keer opstart. Als alternatief is het mogelijk om het
&man.rc.8;-script /etc/rc.d/sshd te
gebruiken om OpenSSH te starten:/etc/rc.d/sshd startSSH-cliëntOpenSSHcliënt&man.ssh.1; werkt net zoals &man.rlogin.1;.&prompt.root; ssh user@example.com
Host key not found from the list of known hosts.
Are you sure you want to continue connecting (yes/no)? yes
Host 'example.com' added to the list of known hosts.
user@example.com's password: *******Het aanmelden gaat nu net zoals het zou gaan als wanneer
er een sessie gestart zou worden met rlogin
of telnet. SSH maakt gebruik van een
systeem met vingerafdrukken als sleutels voor het vaststellen
met welke server verbinding wordt gemaakt op het moment
dat de cliënt verbinding zoekt. De gebruiker krijgt alleen
de eerste keer dat verbinding wordt gezocht met de server een
vraag waarop yes geantwoord dient te worden.
Bij volgende pogingen om aan te melden wordt de
vingerafdruksleutel vergeleken met de sleutel die is
opgeslagen. De SSH-cliënt alarmeert de gebruiker als de
opgeslagen vingerafdruk sleutel anders is dan de sleutel die
de server meldt. De vingerafdrukken worden opgeslagen in
~/.ssh/known_hosts of in
~/.ssh/known_hosts2 voor SSH v2
vingerafdrukken.Recente OpenSSH servers staan
standaard ingesteld om alleen SSH v2 connecties toe te staan.
De cliënt gebruikt versie 2 als dat mogelijk is en valt
anders terug op versie 1. De cliënt kan ook gedwongen
worden om een van de twee protocollen te gebruiken door de optie
of voor respectievelijk
versie 1 en versie 2 aan te geven. De mogelijkheid versie 1 te
gebruiken blijft in de cliënt bestaan om compatibiliteit
met oudere versies te behouden.Veilig kopiërenOpenSSHveilig kopiërenscpHet commando &man.scp.1; (secure copy) werkt gelijk aan
&man.rcp.1;. Het kopieert een bestand van of naar een andere
machine, maar doet dat veilig.&prompt.root; scp user@example.com:/COPYRIGHT COPYRIGHT
user@example.com's password: *******
COPYRIGHT 100% |*****************************| 4735
00:00
&prompt.root;Omdat de vingerafdruk al is opgeslagen voor deze host in
het vorige voorbeeld, is die al geverifieerd als &man.scp.1;
gebruik wordt.De argumenten die aan &man.scp.1; gegeven worden zijn
vrijwel gelijk aan die voor &man.cp.1; met het bestand of
de bestanden als het eerste argument en de bestemming als het
tweede. Omdat het bestand over het netwerk gaat, door SSH,
hebben een of meer van de bestandsargumenten de vorm
.InstellenOpenSSHinstellenHet instellingenbestand dat voor het hele systeem geldt
voor zowel de OpenSSH daemon als
cliënt staat in de map /etc/ssh.ssh_config bevat de instellingen voor
de cliënt en sshd_config bevat ze voor
de daemon.Daarnaast bieden het
(standaard /usr/sbin/sshd) en
rc.conf
opties nog meer mogelijkheden voor instellingen.ssh-keygenIn plaats van het gebruik van wachtwoorden kan
&man.ssh-keygen.1; gebruikt worden om DSA en RSA sleutels te
maken om een gebruiker te autenticeren:&prompt.user; ssh-keygen -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/home/user/.ssh/id_dsa):
Created directory '/home/user/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user/.ssh/id_dsa.
Your public key has been saved in /home/user/.ssh/id_dsa.pub.
The key fingerprint is:
bb:48:db:f2:93:57:80:b6:aa:bc:f5:d5:ba:8f:79:17 user@host.example.com&man.ssh-keygen.1; maakt een publiek en privaat sleutelpaar
aan dat gebruikt kan worden voor autenticatie. De private
sleutel staat opgeslagen in
~/.ssh/id_dsa of
~/.ssh/id_rsa en de publieke sleutel
staat in ~/.ssh/id_dsa.pub of
~/.ssh/id_rsa.pub voor respectievelijk
sleuteltypen DSA en RSA.
De publieke sleutel moet voor beide RSA- of
DSA-sleutels in het bestand
~/.ssh/authorized_keys van de andere
machine staan om dit te laten werken.Nu is het mogelijk een verbinding te maken met een andere
machine die gebaseerd is op SSH sleutels in plaats van op
wachtwoorden.Als er een wachtwoordzin is gebruikt bij &man.ssh-keygen.1;
dan wordt de gebruiker iedere keer dat de private sleutel wordt
gebruikt een wachtwoord gevraagd. &man.ssh-agent.1; kan het
ongemak van steeds opnieuw een lange wachtwoordzin moeten
ingeven verlichten en wordt beschreven in het onderdeel .Afhankelijk van de gebruikte versie van
OpenSSH kunnen opties en bestanden
verschillen. Het is verstandig de handleiding
&man.ssh-keygen.1; te raadplegen.ssh-agent en ssh-addDe hulpprogramma's &man.ssh-agent.1; en &man.ssh-add.1;
bieden de mogelijkheid om SSH
in het geheugen te laden zodat niet iedere keer de
wachtwoordzin ingegeven hoeft te worden.Het hulpprogramma &man.ssh-agent.1; handelt de
autenticatie af voor de geheime sleutels die erin geladen
zijn. &man.ssh-agent.1; wordt gebruikt om andere programma's
te starten. Bij eenvoudig gebruik kan er een shell mee
gestart worden of meer complex een schermbeheerprogramma.Voordat &man.ssh-agent.1; in een shell gebruikt kan worden
dient het eerst gestart te worden met een shell als argument.
Daarna kan de identiteit toegevoegd worden daar &man.ssh-add.1;
aan te roepen en de wachtwoordzin voor de geheime sleutel op te
geven. Als deze stappen zijn voltooid kan een gebruiker met
&man.ssh.1; naar iedere host waar de corresponderende publieke
sleutel is geïnstalleerd:&prompt.user; ssh-agent csh
&prompt.user; ssh-add
Enter passphrase for /home/user/.ssh/id_dsa:
Identity added: /home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa)
&prompt.user;Om &man.ssh-agent.1; te gebruiken in X11 dient er een
verwijzing naar &man.ssh-agent.1; in
~/.xinitrc te staan. Dan zijn de diensten
van &man.ssh-agent.1; beschikbaar voor alle programma's die in
X11 gestart worden. Een ~/.xinitrc zou er
als volgt uit kunnen zien:exec ssh-agent startxfce4Hiermee wordt &man.ssh-agent.1; gestart die op zijn beurt
XFCE start, iedere keer dat X11
start. Als dat is gebeurd en X11 is herstart zodat de
wijzigingen actief zijn, dan kan eenvoudigweg &man.ssh-add.1;
gestart worden om alle beschikbare SSH sleutels te
laden.SSH tunnelsOpenSSHtunnelsOpenSSH kan een tunnel maken
waarin een ander protocol ingepakt kan worden zodat er een
versleutelde sessie ontstaat.Het volgende commando geeft &man.ssh.1; aan dat er een
tunnel voor telnet gemaakt moet
worden:&prompt.user; ssh -2 -N -f -L 5023:localhost:23 user@foo.example.com
&prompt.user;Aan het ssh commando worden de volgende
opties meegegeven:Dit dwingt ssh om versie 2 van het
protocol te gebruiken. Gebruik van deze optie wordt
afgeraden als er verbinding wordt gemaakt met oudere SSH
servers.Dit geeft aan dat er geen commando volgt, maar dat er
een tunnel opgezet moet worden. Als deze optie niet
aanwezig was, zou ssh een normale
sessie starten.Dit dwingt ssh om in de
achtergrond te draaien.Dit geeft aan dat de lokaal een tunnel wordt gemaakt
in de vorm
lokale_poort:netwerk_host:netwerk_poort.Wijst naar een gebruiker op de SSH server op het
netwerk.Een SSH tunnel werkt doordat een luistersocket wordt
gemaakt op localhost op de aangegeven poort.
Die stuurt dan iedere ontvangen verbinding op de lokale
host/poort via de SSH verbinding door naar de aangegeven host
en poort op het netwerk.In het voorbeeld wordt poort
5023 op localhost
doorgestuurd naar poort 23 op
localhost van de machine op het netwerk.
Omdat 23telnet is, zou dit een veilige
telnet verbinding opleveren door
een SSH tunnel.Dit kan gebruikt worden om ieder willekeurig onveilig
TCP protocol in te pakken als SMTP,
POP3, FTP, etc.SSH gebruiken om een veilige tunnel te maken voor
SMTP&prompt.user; ssh -2 -N -f -L 5025:localhost:25 user@mailserver.example.com
user@mailserver.example.com's password: *****
&prompt.user; telnet localhost 5025
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 mailserver.example.com ESMTPDit kan samen met een &man.ssh-keygen.1; en extra
gebruikersaccounts gebruikt worden om een min of meer
naadloze en eenvoudige SSH tunnelomgeving te maken. In
plaats van wachtwoorden kunnen sleutels gebruikt worden en de
tunnels kunnen in de omgeving van een aparte gebruiker
draaien.Praktische voorbeelden van een SSH tunnelVeilige toegang tot een POP3 serverOp het werk staat een SSH server die verbindingen van
buitenaf toestaat. Op hetzelfde netwerk op kantoor staat
een mailserver waarop POP3 draait. Het netwerk of het
netwerkpad tussen de locatie op Internet en kantoor is
wellicht niet helemaal te vertrouwen. Om deze reden dient
de mailserver op een veilige manier benaderd te worden. De
oplossing is een SSH verbinding opzetten naar de SSH server
op kantoor en dan door de tunnel heen een verbinding
opzetten met de mailserver.&prompt.user; ssh -2 -N -f -L 2110:mail.example.com:110 user@ssh-server.example.com
user@ssh-server.example.com's password: ******Als de tunnel eenmaal draait, dan kan de mailcliënt
naar localhost poort 2110 gewezen worden.
Alle verbinding naar die poort worden veilig doorgestuurd
door de tunnel naar
mail.example.com.Een draconische firewall omzeilenSommige netwerkbeheerders stellen draconische
firewallregels op en filteren niet alleen inkomende
verbindingen, maar ook uitgaande. Meestal mag dan alleen
maar verbinding gemaakt worden met andere machines op
poorten 22 en 80 voor SSH en websurfen.Soms wil een gebruiker dan toch toegang krijgen tot
andere (wellicht niet netwerkgerelateerde) diensten, zoals
een Ogg Vorbis server om muziek te streamen. Als die Ogg
Vorbis server streamt op een andere poort dan 22 of 80, dan
kan deze niet bereikt worden.De oplossing ligt in het opzetten van een SSH
verbinding naar een machine buiten de firewall en die
tunnel te gebruiken om bij de Ogg Vorbis server te
komen.&prompt.user; ssh -2 -N -f -L 8888:music.example.com:8000 user@unfirewalled-system.example.org
user@unfirewalled-system.example.org's password: *******De streamingcliënt kan nu gewezen worden naar
localhost poort 8888 vanwaar er wordt
doorverwezen naar music.example.com poort
8000 en zo wordt de firewall succesvol ontwerken.De gebruikersoptie AllowUsersVaak is het verstandig om beperkingen aan te brengen op het
gebied van welke gebruikers kunnen aanmelden en van waar. De
optie AllowUsers biedt deze mogelijkheid.
Om bijvoorbeeld alleen root toe te staan
zich aan te melden van 192.168.1.32, kan iets als de volgende
regel worden opgenomen in het bestand
/etc/ssh/sshd_config:AllowUsers root@192.168.1.32Om de gebruiker admin het recht te
geven zich van overal aan te melden hoeft alleen de
gebruikersnaam vermeld te worden:AllowUsers adminMeerdere gebruikers met rechten of beperkingen horen op
dezelfde regel te staan:AllowUsers root@192.168.1.32 adminHet is van belang dat iedere gebruiker die zich moet
kunnen aanmelden wordt genoemd. De overige gebruikers
worden buitengesloten.Nadat er wijzigingen zijn gemaakt aan
/etc/ssh/sshd_config dienen de bestanden
in &man.sshd.8; geladen te worden:&prompt.root; /etc/rc.d/sshd reloadMeer informatieOpenSSH&man.ssh.1; &man.scp.1; &man.ssh-keygen.1;
&man.ssh-agent.1; &man.ssh-add.1; &man.ssh.config.5;&man.sshd.8; &man.sftp-server.8; &man.sshd.config.5;TomRhodesBijgedragen door ACLBestandssysteem toegangscontrolelijstenIn combinatie met verbeteringen als snapshots, bieden
&os; 5.0 en volgende versies de veiligheid van
Toegangscontrolelijsten voor Bestandssystemen (Access Control
Lists, ACLs).Met toegangscontrolelijsten wordt het standaard &unix;
rechtenmodel uitgebreid op een zeer verenigbare (&posix;.1e)
manier. Deze methodes stellen een beheerder in staat om gebruik
te maken en voordeel te halen uit een geraffineerder
beveiligingsmodel.Om ondersteuning voor ACLs voor
bestandssystemen in te schakelen dient het volgende in de kernel
gecompileerd te worden:options UFS_ACLAls deze optie niet aanwezig is, dan wordt er een
waarschuwing weergegeven als er wordt geprobeerd een
bestandssysteem aan te koppelen dat gebruik maakt van
ACLs. Deze optie is al geactiveerd in de
GENERIC kernel. ACLs
zijn afhankelijk van uitgebreide attributen die zijn ingeschakeld
op het bestandssysteem. Uitgebreide attributen worden standaard
ondersteund in het volgende generatie &unix; bestandssysteem
UFS2.Er is meer administratieve rompslomp nodig om uitgebreide
attributen in te stellen op UFS1 dan op
UFS2. De prestaties van uitgebreide
attributen zijn op UFS2 ook veel beter.
Daarom wordt UFS2 ook meestal aangeraden
boven UFS1 bij het gebruik van
toegangscontrolelijsten.ACLs worden ingeschakeld door de
beheersvlag op het moment van aankoppelen.
Dit kan ook in /etc/fstab staan. De vlag op
het moment van aankoppelen kan ook automatisch gezet worden op een
persistente wijze met &man.tunefs.8; door een superblok in de
bestandssysteemkop te wijzigen. In het algemeen wordt de
voorkeur gegeven aan de vlag in het superblok om een aantal
redenen:De ACLs vlag op het moment van
aankoppelen kan niet gewijzigd worden bij opnieuw aankoppelen
(&man.mount.8; ), maar alleen door een
volledige &man.umount.8; en een verse &man.mount.8;. Dit
betekent dat ACLs niet ingeschakeld kunnen
worden op root-bestandssysteem na het opstarten. Het betekent
ook dat de aard van een bestandssysteem niet veranderd kan
worden als het eenmaal in gebruik is.Het inschakelen van de superblokvlag zorgt ervoor dat
het bestandssysteem altijd wordt aangekoppeld met de
ACLs ingeschakeld, zelfs als het niet in
fstab staat of als de apparaten van
plaats veranderen. Hiermee wordt voorkomen dat het
bestandssysteem wordt gebruikt zonder dat
ACLs ingeschakeld zijn, wat ervoor zou
kunnen zorgen dat ACLs onjuist worden
toegepast wat weer kan zorgen voor
beveiligingsproblemen.Wellicht wordt het mogelijk om de
ACLs via de vlag in te schakelen zonder een
compleet verse &man.mount.8;, maar de ontwikkelaars vinden het
wenselijk om het per ongeluk zonder ACLs
aankoppelen te ontmoedigen, omdat er bijzonder vervelende
gevolgen kunnen zijn als ACLs worden
ingeschakeld,
daarna worden uitgezet en weer worden ingeschakeld zonder dat
de uitgebreide attributen worden geschoond. In het algemeen
geldt dat als ACLs eenmaal zijn ingeschakeld
voor een bestandssysteem, ze niet meer uitgeschakeld moeten
worden, omdat de resulterende bestandsbescherming wellicht niet
compatibel is met dat wat gebruikers van het systeem nodig
hebben en het opnieuw aanzetten van ACLs kan
leiden tot het opnieuw koppelen van voorheen bestaande
ACLs aan bestanden waarvoor de
toegangsrechten sindsdien zijn aangepast, wat kan leiden tot
onverwachte situaties.Bestandssystemen waarvoor ACLs zijn
ingeschakeld worden weergegeven met een +
(plus) teken als de toegangsrechten worden bekeken:drwx------ 2 robert robert 512 Dec 27 11:54 private
drwxrwx---+ 2 robert robert 512 Dec 23 10:57 directory1
drwxrwx---+ 2 robert robert 512 Dec 22 10:20 directory2
drwxrwx---+ 2 robert robert 512 Dec 27 11:57 directory3
drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_htmlHierboven is te zien dat mappen
directory1, directory2
en directory3 allemaal gebruik maken van
ACLs. De map public_html
doet dat niet.Gebruik maken van ACLsDe ACLs van het bestandssysteem kunnen
bekeken worden met het hulpprogramma &man.getfacl.1;. Om de
ACL op het bestand test
te bekijken zou het volgende commando nodig zijn:&prompt.user; getfacl test
#file:test
#owner:1001
#group:1001
user::rw-
group::r--
other::r--Om de ACL op dit bestand te wijzigen
wordt het hulpprogramma &man.setfacl.1; als volgt
gebruikt:&prompt.user; setfacl -k testDe vlag verwijdert alle bestaande
ACLs van een bestand of bestandssysteem. De
methode die de voorkeur geniet is gebruiken
omdat die optie de basisvelden die nodig zijn voor het laten
werken van de ACLs laat staan.&prompt.user; setfacl -m u:trhodes:rwx,group:web:r--,o::--- testBij het commando hierboven, werd de optie
gebruikt om de standaard
ACL aan te passen. Omdat er geen
voorgedefinieerde instellingen waren, die waren verwijderd door
het commando daarvoor, werden nu de standaardinstellingen
hersteld en de rechten die werden aangegeven toegevoegd. Let
op dat bij het toevoegen van een gebruiker of een groep die
niet bekend is op het systeem een foutmelding
Invalid argument wordt geschreven naar
stdout.TomRhodesGeschreven door PortauditMonitoren van beveiligingsproblemen met andere
softwareIn de afgelopen jaren zijn er in de beveiligingswereld veel
vorderingen gemaakt op het gebied van inzicht in kwetsbaarheden.
Als er software naast het besturingssysteem wordt
geïnstalleerd en ingesteld neemt op vrijwel ieder
besturingssysteem het risico op inbraak toe.Inzicht in kwetsbaarheid is een vitale factor in beveiliging
en hoewel &os; waarschuwingen publiceert voor het basissysteem,
gaat het publiceren van waarschuwingen voor alle overige software
de scope van het &os; Project te buiten. Er is een manier om
inzicht te krijgen in de kwetsbaarheden voor additionele software
en als beheerder gewaarschuwd te worden. Voor dit doel bestaat
het &os; hulpprogramma
Portaudit.De port ports-mgmt/portaudit zoekt naar
bekende beveiligingsproblemen in een database die wordt bijgewerkt
en onderhouden door het &os; Security Team en
portontwikkelaars.Voordat Portaudit gebruikt kan
worden dient het geïnstalleerd te worden uit de
Portscollectie:&prompt.root; cd /usr/ports/ports-mgmt/portaudit && make install cleanTijdens het installatieproces worden de instellingenbestanden
voor &man.periodic.8; bijgewerkt, waardoor
Portaudit uitvoer in de dagelijkse
security runs meekomt. Het is van belang dat de emails die
aan de emailaccount van root worden
gezonden en uit de dagelijkse beveiligingsronde komen ook echt
worden gelezen. Er zijn geen verdere instellingen nodig.Na de installatie kan de beheerder de database bijwerken en
bekende kwetsbaarheden in geïnstalleerde pakketten bekijken
met het volgende commando:&prompt.root; portaudit -FdaDe database wordt automatisch bijgewerkt tijdens de
&man.periodic.8; run; dus het voorgaande commando is volledig
optioneel. Het is alleen nodig om de volgende voorbeelden na
te kunnen doen.De software de uit de Portscollectie is geïnstalleerd
kan op elk moment door een beheerder ge-audit worden met:&prompt.root; portaudit -aPortaudit zal iets als het volgende
produceren voor kwetsbare pakketten:Affected package: cups-base-1.1.22.0_1
Type of problem: cups-base -- HPGL buffer overflow vulnerability.
Reference: <http://www.FreeBSD.org/ports/portaudit/40a3bca2-6809-11d9-a9e7-0001020eed82.html>
1 problem(s) in your installed packages found.
You are advised to update or deinstall the affected package(s) immediately.Door met een webbrowser naar de aangegeven
URL te gaan kan een beheerder meer informatie
over de bewust kwetsbaarheid krijgen, waaronder de versies die
het betreft, volgens de &os; Port versie en andere websites
waarop beveiligingswaarschuwingen te lezen zijn.In het kort is Portaudit een
krachtig hulpprogramma dat bijzonder handig is als het wordt
gekoppeld aan het gebruik van de port
Portupgrade.TomRhodesBijgedragen door &os; Beveiligingswaarschuwingen&os; beveiligingswaarschuwingenNet als veel andere kwalitatief goede
productiebesturingssystemen publiceert &os;
Beveiligingswaarschuwingen. Deze waarschuwingen
worden meestal pas naar de beveiligingslijst gemaild en
gedocumenteerd in de Errata als de van toepassing zijnde
uitgaven gepatcht zijn. In deze paragraaf wordt toegelicht wat
een waarschuwing is, hoe die te begrijpen en welke maatregelen
er genomen moeten worden om een systeem bij te werken.Hoe ziet een waarschuwing eruit?De &os; beveiligingswaarschuwingen zien er ongeveer uit als
die hieronder die van de &a.security-notifications.name;
mailinglijst komt.=============================================================================
&os;-SA-XX:XX.UTIL Security Advisory
The &os; Project
Topic: denial of service due to some problem
Category: core
Module: sys
Announced: 2003-09-23
Credits: Person@EMAIL-ADDRESS
Affects: All releases of &os;
&os; 4-STABLE prior to the correction date
Corrected: 2003-09-23 16:42:59 UTC (RELENG_4, 4.9-PRERELEASE)
2003-09-23 20:08:42 UTC (RELENG_5_1, 5.1-RELEASE-p6)
2003-09-23 20:07:06 UTC (RELENG_5_0, 5.0-RELEASE-p15)
2003-09-23 16:44:58 UTC (RELENG_4_8, 4.8-RELEASE-p8)
2003-09-23 16:47:34 UTC (RELENG_4_7, 4.7-RELEASE-p18)
2003-09-23 16:49:46 UTC (RELENG_4_6, 4.6-RELEASE-p21)
2003-09-23 16:51:24 UTC (RELENG_4_5, 4.5-RELEASE-p33)
2003-09-23 16:52:45 UTC (RELENG_4_4, 4.4-RELEASE-p43)
2003-09-23 16:54:39 UTC (RELENG_4_3, 4.3-RELEASE-p39)
CVE Name: CVE-XXXX-XXXX
For general information regarding FreeBSD Security Advisories,
including descriptions of the fields above, security branches, and the
following sections, please visit
http://www.FreeBSD.org/security/.
I. Background
II. Problem Description
III. Impact
IV. Workaround
V. Solution
VI. Correction details
VII. ReferencesHet veld Topic geeft aan wat precies
het probleem is. Het is eigenlijk een inleiding op de
beveiligingswaarschuwing en geeft aan welke programma
kwetsbaar is.Het veld Category geeft aan welk
onderdeel van het systeem kwetsbaar is. Dat kan een van de
onderdelen core,
contrib of ports
zijn. De categorie core betekent dat
de een kerncomponent van het &os; besturingssysteem
kwetsbaar is. De categorie contrib
betekent dat software die toegevoegd is aan het &os;
Project kwetsbaar is, zoals
sendmail. Tenslotte geeft de
categorie ports aan dat een optionele
component uit de Portscollectie kwetsbaar is.Het veld Module geeft aan waar de
component zich bevindt, bijvoorbeeld
sys. In dit voorbeeld wordt het
duidelijk dat de module sys kwetsbaar
is. Hier gaat het dus om een kwetsbaar component die
gebruikt wordt in de kernel.Het veld Announced geeft aan wanneer
de beveiligingswaarschuwing gepubliceerd of aangekondigd
is. Dit betekent dat het beveiligingsteam heeft bevestigd
dat het probleem bestaat en dat er een patch is gecommit in
het depot met de broncode van &os;.In het veld Credits wordt iemand of
een organisatie bedankt die de kwetsbaarheid heeft ontdekt
en gerapporteerd.Het veld Affects geeft aan welke
uitgaven van &os; door deze kwetsbaarheid worden getroffen.
Voor de kernel kan snel gekeken worden naar de uitvoer van
ident voor de betreffende bestanden om
te bepalen welke revisie ze hebben. Voor ports is het
versienummer te zien in /var/db/pkg.
Als het systeem niet gelijk op loopt met het &os;
CVS depot en dagelijks herbouwd wordt,
dan is de kans groot dat het systeem kwetsbaar is.Het veld Corrected geeft de datum,
tijd en tijdzone aan en de uitgave die is aangepast.Gereserveerd voor de identificatie-informatie die
gebruikt wordt om kwetsbaarheden in het Common
Vulnerabilities Database System op te zoeken.Het veld Background geeft meer
informatie over wat er precies aan de hand is. Meestal
staat hier waarom het programma aanwezig is in &os;, waar
het voor gebruikt wordt en hoe het programma is
ontstaan.Het veld Problem Description geeft
gedetailleerde toelichting op het beveiligingsprobleem.
Hier kan informatie bij staat over programmacode die
fouten bevat of zelfs hoe het programma gebruikt kan worden
om een beveiligingsgat te openen.Het veld Impact beschrijft welke
invloed het probleem kan hebben op het systeem. Dit kan
bijvoorbeeld een ontzegging van dienst aanval zijn,
gebruikers extra rechten geven of het verkrijgen van
supergebruiker toegang voor de aanvaller zijn.Het veld Workaround geeft aan hoe
het mogelijk is het probleem te omzeilen (workaround) in
het geval systeembeheerders niet in staat zijn om het
systeem bij te werken. Dit zou te maken kunnen hebben
met de tijd, beschikbaarheid van het netwerk en een hele
lijst met andere redenen. Hoe dan ook, beveiliging
dient serieus genomen te worden en een systeem dat
kwetsbaar is moet bijgewerkt worden of het gat in de
beveiliging moet gedicht worden met de alternatieve
oplossing.Het veld Solution geeft instructies
over hoe een systeem aangepast kan worden. Dit is een
werkinstructie die getest en gecontroleerd is om een
systeem aan te passen en weer veilig werkend te
krijgen.In het veld Correction Details staan
de CVS takken of uitgavenamen, met de
punten veranderd in een liggend streepje. Er staat ook
welke revisienummer de aangetaste bestanden binnen een tak
hebben.In het veld References wordt
gewoonlijk verwezen naar andere bronnen. Dit kunnen
web-URLs, boeken, mailinglijsten en
nieuwsgroepen zijn.TomRhodesGeschreven door ProcesaccountingProcesaccountingProcesaccounting is een beveiligingsmethode die een beheerder
in staat stelt om in de gaten te houden welke systeembronnen
worden gebruikt, hoe ze over gebruikers verdeeld zijn,
systeemmonitoring biedt en op minimalistische wijze het gebruik
van commando's door gebruikers volgt.Deze methode heeft voordelen en nadelen. Eén van de
positieve punten is dat een inbraak gevolgd kan worden tot het
moment waarop die zich voordeed. Nadelen zijn de grootte van de
logboeken die door procesaccounting worden gegenereerd en de
schijfruimte die dat kost. In dit onderdeel wordt een beheerder
de basis van procesaccounting getoond.Procesaccounting inschakelen en gebruikenVoordat procesaccounting gebruikt kan worden dient het te
worden ingeschakeld met de volgende commando's:&prompt.root; touch /var/account/acct
&prompt.root; accton /var/account/acct
&prompt.root; echo 'accounting_enable="YES"' >> /etc/rc.confEenmaal ingeschakeld begint accounting met het bijhouden
van CPU statistieken, commando's, enzovoort.
Alle accounting logboeken worden in een niet leesbaar formaat
bijgehouden en zijn uit te lezen met &man.sa.8;. Bij het
uitvoeren zonder opties, toont sa informatie
gerelateerd aan het aantal aanroepen per gebruiker, de totale
tijd in minuten die is verstreken, de totale
CPU- en gebruikerstijd in minuten, gemiddeld
aantal I/O operaties, enzovoort.Informatie over uitgevoerde commando's kan bekeken worden
met &man.lastcomm.1;. Zo kan met lastcomm
bijvoorbeeld weergegeven worden welke commando's door
gebruikers op een specifieke &man.ttys.5; zijn
uitgevoerd:&prompt.root; lastcomm ls trhodes ttyp1Het bovenstaande commando toont ieder bekend gebruikt van
ls door de gebruiker
trhodes op terminal ttyp1.Veel andere handige opties staan beschreven in
&man.lastcomm.1;, &man.acct.5; en &man.sa.8;.