Changeset View
Changeset View
Standalone View
Standalone View
security/chapter.xml
Context not available. | |||||
$FreeBSD$ | $FreeBSD$ | ||||
$FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $ | $FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $ | ||||
basiert auf: r43764 | basiert auf: r44302 | ||||
--> | --> | ||||
<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="security"> | <chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="security"> | ||||
<info><title>Sicherheit</title> | <info><title>Sicherheit</title> | ||||
Context not available. | |||||
<para>In der Voreinstellung unterstützt &os; | <para>In der Voreinstellung unterstützt &os; | ||||
<foreignphrase>One-time Passwords in Everything</foreignphrase> | <foreignphrase>One-time Passwords in Everything</foreignphrase> | ||||
(<acronym>OPIE</acronym>), das in der Voreinstellung | (<acronym>OPIE</acronym>). <acronym>OPIE</acronym> wurde | ||||
MD5-Hash-Funktionen einsetzt.</para> | konzipiert um Replay-Angriffe zu verhindern, bei dem ein | ||||
Angreifer das Passwort eines Benutzers ausspäht und es | |||||
benutzt, um Zugriff auf ein System zu erlangen. Da ein Passwort | |||||
unter <acronym>OPIE</acronym> nur einmal benutzt wird, ist ein | |||||
ausgespähtes Passwort für einen Angreifer nur von geringem | |||||
Nutzen. <acronym>OPIE</acronym> verwendet eine sichere | |||||
Hash-Funktion und ein Challenge/Response-System, um Passwörter | |||||
zu verwalten. Die &os;-Implementation verwendet in der | |||||
Voreinstellung die <acronym>MD5</acronym>-Hash-Funktion.</para> | |||||
<para>Es gibt drei verschiedene Arten von Passwörtern. Das erste | <para><acronym>OPIE</acronym> verwendet drei verschiedene Arten | ||||
bcr: Extra Leerzeichen vor //drei// | |||||
ist das normales &unix;- oder Kerberos-Passwort. Das zweite ist | von Passwörtern. Das erste ist das normales &unix;- oder | ||||
bcrUnsubmitted Done Inline Actionss/normales/normale/ bcr: s/normales/normale/ | |||||
das Einmalpasswort, das von <command>opiekey</command> generiert | Kerberos-Passwort. Das zweite ist das Einmalpasswort, das von | ||||
und von <command>opiepasswd</command> und dem Anmeldeprompt | <command>opiekey</command> generiert wird. Das dritte Passwort | ||||
akzeptiert wird. Das dritte Passwort ist das | ist das <quote>geheime Passwort</quote>, das zum Erstellen der | ||||
<quote>geheime Passwort</quote>, das mit | Einmalpasswörter verwendet wird. Das geheime Passwort steht in | ||||
<command>opiekey</command> (manchmal auch mit | keiner Beziehung zum &unix;-Passwort und beide Passwörter | ||||
<command>opiepasswd</command>) zum Erstellen der | sollten unterschiedlich sein.</para> | ||||
Einmalpasswörter verwendet wird.</para> | |||||
<para>Das geheime Passwort steht in keiner Beziehung zum | <para>Es gibt noch zwei weitere Werte, die für | ||||
&unix;-Passwort. Beide können gleich sein, obwohl das nicht | |||||
empfohlen wird. Die geheimen Passwörter von | |||||
<acronym>OPIE</acronym> sind nicht auf eine Länge von 8 Zeichen, | |||||
wie alte &unix; Passwörter<footnote> | |||||
<para>Unter &os; darf das System-Passwort maximal | |||||
128 Zeichen lang sein.</para></footnote>, beschränkt. | |||||
Gebräuchlich sind Passwörter, die sich aus sechs bis sieben | |||||
Wörtern zusammensetzen. Das <acronym>OPIE</acronym>-System | |||||
arbeitet vollständig unabhängig von den auf &unix;-Systemen | |||||
verwendeten Passwort-Mechanismen.</para> | |||||
<para>Neben dem Passwort gibt es noch zwei Werte, die für | |||||
<acronym>OPIE</acronym> wichtig sind. Der erste ist der | <acronym>OPIE</acronym> wichtig sind. Der erste ist der | ||||
<quote>Initialwert</quote> (engl. | <quote>Initialwert</quote> (engl. | ||||
<foreignphrase>seed</foreignphrase> oder | <foreignphrase>seed</foreignphrase> oder | ||||
Context not available. | |||||
<quote>Iterationszähler</quote>, eine Zahl zwischen 1 und 100. | <quote>Iterationszähler</quote>, eine Zahl zwischen 1 und 100. | ||||
<acronym>OPIE</acronym> generiert das Einmalpasswort, indem | <acronym>OPIE</acronym> generiert das Einmalpasswort, indem | ||||
es den Initialwert und das geheime Passwort aneinander hängt | es den Initialwert und das geheime Passwort aneinander hängt | ||||
und dann die MD5-Hash-Funktion so oft, wie durch den | und dann die <acronym>MD5</acronym>-Hash-Funktion so oft, wie | ||||
Iterationszähler gegeben, anwendet. Das Ergebnis wird in | durch den Iterationszähler gegeben, anwendet. Das Ergebnis wird | ||||
sechs englische Wörter umgewandelt, die das Einmalpasswort | in sechs englische Wörter umgewandelt, die das Einmalpasswort | ||||
ergeben. Das Authentifizierungssystem (meistens PAM) merkt sich | ergeben. Das Authentifizierungssystem (meistens PAM) merkt sich | ||||
das zuletzt benutzte Einmalpasswort und der Benutzer ist | das zuletzt benutzte Einmalpasswort und der Benutzer ist | ||||
authentifiziert, wenn die Hash-Funktion des Passworts dem | authentifiziert, wenn die Hash-Funktion des Passworts dem | ||||
Context not available. | |||||
berechnen. Der Iterationszähler wird nach jeder erfolgreichen | berechnen. Der Iterationszähler wird nach jeder erfolgreichen | ||||
Anmeldung um eins verringert und stellt so die Synchronisation | Anmeldung um eins verringert und stellt so die Synchronisation | ||||
zwischen Benutzer und Login-Programm sicher. Wenn der | zwischen Benutzer und Login-Programm sicher. Wenn der | ||||
Iterationszähler den Wert 1 erreicht, muss | Iterationszähler den Wert <literal>1</literal> erreicht, muss | ||||
<acronym>OPIE</acronym> neu initialisiert werden.</para> | <acronym>OPIE</acronym> neu initialisiert werden.</para> | ||||
<para>Es gibt ein paar Programme, die in diesen Prozess einbezogen | <para>Es gibt ein paar Programme, die in diesen Prozess einbezogen | ||||
werden. &man.opiekey.1; akzeptiert einen Iterationszähler, | werden. Ein Einmalpasswort oder eine Liste von | ||||
einen Initialwert und ein geheimes Passwort. Daraus generiert | Einmalpasswörtern, die von &man.opiekey.1; durch Angabe eines | ||||
es ein Einmalpasswort oder eine Liste von Einmalpasswörtern. | Iterationszählers, eines Initalwertes und einem geheimen | ||||
&man.opiepasswd.1; wird benutzt, um Passwörter, Iterationszähler | Passwort generiert wird. &man.opiepasswd.1; wird benutzt, um | ||||
oder Initialwerte zu ändern. Als Parameter verlangt es | Passwörter, Iterationszähler oder Initialwerte zu ändern. | ||||
entweder ein geheimes Passwort oder einen Iterationszähler | |||||
oder einen Initialwert und ein Einmalpasswort. | |||||
&man.opieinfo.1; hingegen gibt den momentanen Iterationszähler | &man.opieinfo.1; hingegen gibt den momentanen Iterationszähler | ||||
und Initialwert eines Benutzers aus, den es aus | und Initialwert eines Benutzers aus, den es aus | ||||
<filename>/etc/opiekeys</filename> ermittelt.</para> | <filename>/etc/opiekeys</filename> ermittelt.</para> | ||||
<!-- Credential Dateien --> | <!-- Credential Dateien --> | ||||
<para>Es gibt vier verschiedene Arten von Tätigkeiten. Zuerst | <para>Dieser Abschnitt beschreibt vier verschiedene Arten von | ||||
wird erläutert, wie &man.opiepasswd.1; über eine gesicherte | Tätigkeiten. Zuerst wird erläutert, wie Einmalpasswörter über | ||||
Verbindung eingesetzt werden, um Einmalpasswörter das erste Mal | eine gesicherte Verbindung konfiguriert werden. Als nächstes | ||||
zu konfigurieren oder das Passwort oder den Initialwert zu | wird erklärt, wie <command>opiepasswd</command> über | ||||
ändern. Als nächstes wird erklärt, wie &man.opiepasswd.1; über | eine nicht gesicherte Verbindung eingesetzt wird. Als drittes | ||||
eine nicht gesicherte Verbindung, oder zusammen mit | wird beschrieben, wie man sich über eine nicht gesicherte | ||||
&man.opiekey.1; über eine gesicherte Verbindung eingesetzt | Verbindung anmeldet. Die vierte Tätigkeit beschreibt, wie man | ||||
werden, um dasselbe zu erreichen. Als drittes wird beschrieben, | eine Reihe von Schlüsseln generiert, die man sich aufschreiben | ||||
wie &man.opiekey.1; genutzt wird, um sich über eine nicht | oder ausdrucken kann, um sich von Orten anzumelden, die über | ||||
gesicherte Verbindung anzumelden. Die vierte Tätigkeit | keine gesicherten Verbindungen verfügen.</para> | ||||
beschreibt, wie mit &man.opiekey.1; eine Reihe von Schlüsseln | |||||
generiert wird, die Sie sich aufschreiben oder ausdrucken | |||||
können, um sich von Orten anzumelden, die über keine gesicherten | |||||
Verbindungen verfügen.</para> | |||||
<sect2> | <sect2> | ||||
<title>Einrichten über eine gesicherte Verbindung</title> | <title><acronym>OPIE</acronym> initialisieren</title> | ||||
<para>Um <acronym>OPIE</acronym> erstmals zu initialisieren, | <para>Um <acronym>OPIE</acronym> erstmals zu initialisieren, | ||||
rufen Sie &man.opiepasswd.1; auf:</para> | rufen Sie &man.opiepasswd.1; über eine gesicherte Verbindung | ||||
auf:</para> | |||||
<screen>&prompt.user; <userinput>opiepasswd -c</userinput> | <screen>&prompt.user; <userinput>opiepasswd -c</userinput> | ||||
[grimreaper] ~ $ opiepasswd -f -c | [grimreaper] ~ $ opiepasswd -f -c | ||||
Context not available. | |||||
MOS MALL GOAT ARM AVID COED | MOS MALL GOAT ARM AVID COED | ||||
</screen> | </screen> | ||||
<para>Nach der Aufforderung <prompt>Enter new secret pass phrase:</prompt> | <para>Die Option <option>-c</option> startet den Konsolen-Modus, | ||||
oder <prompt>Enter secret password:</prompt> geben Sie bitte Ihr | der davon ausgeht, dass der Befehl von einem sicherem Ort | ||||
Passwort ein. Dies ist nicht das Passwort, mit dem Sie sich | ausgeführt wird. Dies kann beispielsweise der eigene Rechner | ||||
anmelden, sondern es wird genutzt, um das Einmalpasswort | sein, oder über eine mit <acronym>SSH</acronym> gesicherte | ||||
zu generieren. Die Zeile, die mit <quote>ID</quote> anfängt, | Verbindung zum eigenen Rechner.</para> | ||||
enthält Ihren Login-Namen, den Iterationszähler und den | |||||
Initialwert. Diese Werte müssen Sie sich nicht merken, da | <para>Geben Sie das geheime Passwort ein, wenn Sie danach | ||||
das System sie zeigen wird, wenn Sie sich anmelden. In der letzten | gefragt werden. Damit werden die Einmalpasswörter generiert. | ||||
Zeile steht das Einmalpasswort, das aus diesen Parametern | Dieses Passwort sollte schwer zu erraten sein und sich | ||||
und Ihrem geheimen Passwort ermittelt wurde. Bei der nächsten | ebenfalls vom Passwort des Bentuzerkontos unterscheiden. Es | ||||
Anmeldung müssen Sie dann dieses Einmalpasswort | muss zwischen 10 und 127 Zeichen lang sein. Prägen Sie sich | ||||
benutzen.</para> | dieses Passwort gut ein!</para> | ||||
<para>Die Zeile, die mit <quote>ID</quote> beginnt, enthält den | |||||
Login-Namen (<literal>unfrul</literal>), den voreingestellten | |||||
Iterationszähler (<literal>499</literal>) und den Initialwert | |||||
(<literal>to4268</literal>). Das System erinnert sich an | |||||
diese Parameter und wird sie bei einem Anmeldeversuch | |||||
anzeigen. Sie brauchen sich diese Dinge also nicht merken. | |||||
Die letzte Zeile enthält das generierte Einmalpasswort, das | |||||
aus den Parametern und dem geheimen Passwort ermittelt wurde. | |||||
Bei der nächsten Anmeldung muss dann diese Einmalpasswort | |||||
benutzt werden.</para> | |||||
</sect2> | </sect2> | ||||
<sect2> | <sect2> | ||||
<title>Einrichten über eine nicht gesicherte Verbindung</title> | <title>Initialisierung über eine nicht gesicherte | ||||
Verbindung</title> | |||||
<para>Um Einmalpasswörter über eine nicht gesicherte Verbindung | <para>Um Einmalpasswörter über eine nicht gesicherte Verbindung | ||||
einzurichten, oder das geheime Passwort zu ändern, müssen Sie | zu initialisieren, oder das geheime Passwort zu ändern, müssen | ||||
über eine gesicherte Verbindung zu einer Stelle verfügen, an | Sie über eine gesicherte Verbindung zu einer Stelle verfügen, | ||||
der Sie &man.opiekey.1; ausführen können. Dies kann etwa die | an der Sie <command>opiekey</command> ausführen können. Dies kann etwa die | ||||
Eingabeaufforderung auf einer Maschine sein, der Sie | Eingabeaufforderung auf einer Maschine sein, der Sie | ||||
vertrauen. Zudem müssen Sie einen Iterationszähler vorgeben | vertrauen. Zudem müssen Sie einen Iterationszähler vorgeben | ||||
(100 ist ein guter Wert) und einen Initialwert wählen, wobei | (100 ist ein guter Wert) und einen Initialwert wählen, wobei | ||||
Context not available. |
Extra Leerzeichen vor drei