Tue Aug 25 02:38:41 UTC 2009

Author: rlandmann

Update of /cvs/fedora/web/html/docs/security-guide/nl_NL
In directory cvs1.fedora.phx.redhat.com:/tmp/cvs-serv1838/nl_NL

Added Files:
	Security_Guide-Encryption-Data_in_Motion-Secure_Shell.html 
	Security_Guide-Encryption-Data_in_Motion-Virtual_Private_Networks.html 
	Security_Guide-Encryption-Data_in_Motion.html 
	Security_Guide-Encryption-Protecting_Data_at_Rest-File_Based_Encryption.html 
	We_Need_Feedback.html chap-Security_Guide-Encryption.html 
	chap-Security_Guide-General_Principles_of_Information_Security.html 
	chap-Security_Guide-References.html 
	chap-Security_Guide-Secure_Installation.html 
	chap-Security_Guide-Securing_Your_Network.html 
	chap-Security_Guide-Security_Overview.html 
	chap-Security_Guide-Software_Maintenance.html index.html 
	pref-Security_Guide-Preface.html 
	sect-Security_Guide-Additional_Resources-Related_Books.html 
	sect-Security_Guide-Additional_Resources-Related_Documentation.html 
	sect-Security_Guide-Additional_Resources-Useful_Firewall_Websites.html 
	sect-Security_Guide-Additional_Resources-Useful_IP_Tables_Websites.html 
	sect-Security_Guide-Additional_Resources-Useful_Kerberos_Websites.html 
	sect-Security_Guide-Additional_Resources-Useful_PAM_Websites.html 
	sect-Security_Guide-Additional_Resources-Useful_TCP_Wrappers_Websites.html 
	sect-Security_Guide-Altering_xinetd_Configuration_Files-Access_Control_Options.html 
	sect-Security_Guide-Altering_xinetd_Configuration_Files-Binding_and_Redirection_Options.html 
	sect-Security_Guide-Altering_xinetd_Configuration_Files-Resource_Management_Options.html 
	sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Network_Security.html 
	sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Server_Security.html 
	sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Workstation_and_Home_PC_Security.html 
	sect-Security_Guide-Attackers_and_Vulnerabilities.html 
	sect-Security_Guide-Basic_Firewall_Configuration-Activating_the_IPTables_Service.html 
	sect-Security_Guide-Basic_Firewall_Configuration-Enabling_and_Disabling_the_Firewall.html 
	sect-Security_Guide-Basic_Firewall_Configuration-Other_Ports.html 
	sect-Security_Guide-Basic_Firewall_Configuration-Saving_the_Settings.html 
	sect-Security_Guide-Basic_Firewall_Configuration-Trusted_Services.html 
	sect-Security_Guide-Command_Options_for_IPTables-Command_Options.html 
	sect-Security_Guide-Command_Options_for_IPTables-IPTables_Match_Options.html 
	sect-Security_Guide-Command_Options_for_IPTables-IPTables_Parameter_Options.html 
	sect-Security_Guide-Command_Options_for_IPTables-Listing_Options.html 
	sect-Security_Guide-Command_Options_for_IPTables-Target_Options.html 
	sect-Security_Guide-Common_Exploits_and_Attacks.html 
	sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Installation-Instructions.html 
	sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Things_of_note.html 
	sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Usage_Instructions.html 
	sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html 
	sect-Security_Guide-Encryption-Protecting_Data_at_Rest-Full_Disk_Encryption.html 
	sect-Security_Guide-Encryption-Using_GPG-About_Public_Key_Encryption.html 
	sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE.html 
	sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE1.html 
	sect-Security_Guide-Encryption-Using_GPG.html 
	sect-Security_Guide-Evaluating_the_Tools-Anticipating_Your_Future_Needs.html 
	sect-Security_Guide-Evaluating_the_Tools-Nessus.html 
	sect-Security_Guide-Evaluating_the_Tools-Nikto.html 
	sect-Security_Guide-Evaluating_the_Tools-VLAD_the_Scanner.html 
	sect-Security_Guide-FORWARD_and_NAT_Rules-DMZs_and_IPTables.html 
	sect-Security_Guide-FORWARD_and_NAT_Rules-Prerouting.html 
	sect-Security_Guide-Firewalls-Additional_Resources.html 
	sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html 
	sect-Security_Guide-Firewalls-Common_IPTables_Filtering.html 
	sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html 
	sect-Security_Guide-Firewalls-IPTables_and_Connection_Tracking.html 
	sect-Security_Guide-Firewalls-IPv6.html 
	sect-Security_Guide-Firewalls-Malicious_Software_and_Spoofed_IP_Addresses.html 
	sect-Security_Guide-Firewalls-Using_IPTables.html 
	sect-Security_Guide-Firewalls.html 
	sect-Security_Guide-IPTables-Additional_Resources.html 
	sect-Security_Guide-IPTables-Command_Options_for_IPTables.html 
	sect-Security_Guide-IPTables-Differences_Between_IPTables_and_IPChains.html 
	sect-Security_Guide-IPTables-IPTables_Control_Scripts.html 
	sect-Security_Guide-IPTables-IPTables_and_IPv6.html 
	sect-Security_Guide-IPTables-Saving_IPTables_Rules.html 
	sect-Security_Guide-IPTables.html 
	sect-Security_Guide-IPTables_Match_Options-Additional_Match_Option_Modules.html 
	sect-Security_Guide-IPTables_Match_Options-ICMP_Protocol.html 
	sect-Security_Guide-IPTables_Match_Options-UDP_Protocol.html 
	sect-Security_Guide-IPsec_Host_to_Host_Configuration-Manual_IPsec_Host_to_Host_Configuration.html 
	sect-Security_Guide-IPsec_Network_to_Network_Configuration-Manual_IPsec_Network_to_Network_Configuration.html 
	sect-Security_Guide-Kerberos-Additional_Resources.html 
	sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Client.html 
	sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Server.html 
	sect-Security_Guide-Kerberos-Domain_to_Realm_Mapping.html 
	sect-Security_Guide-Kerberos-How_Kerberos_Works.html 
	sect-Security_Guide-Kerberos-Kerberos_Terminology.html 
	sect-Security_Guide-Kerberos-Kerberos_and_PAM.html 
	sect-Security_Guide-Kerberos-Setting_Up_Cross_Realm_Authentication.html 
	sect-Security_Guide-Kerberos-Setting_Up_Secondary_KDCs.html 
	sect-Security_Guide-Kerberos.html 
	sect-Security_Guide-LUKS_Disk_Encryption-Links_of_Interest.html 
	sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-Step_by_Step_Instructions.html 
	sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-What_you_have_just_accomplished.html 
	sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories.html 
	sect-Security_Guide-LUKS_Disk_Encryption.html 
	sect-Security_Guide-Option_Fields-Access_Control.html 
	sect-Security_Guide-Option_Fields-Expansions.html 
	sect-Security_Guide-Option_Fields-Shell_Commands.html 
	sect-Security_Guide-PAM_Configuration_File_Format-Control_Flag.html 
	sect-Security_Guide-PAM_Configuration_File_Format-Module_Arguments.html 
	sect-Security_Guide-PAM_Configuration_File_Format-Module_Name.html 
	sect-Security_Guide-PAM_and_Administrative_Credential_Caching-Common_pam_timestamp_Directives.html 
	sect-Security_Guide-PAM_and_Device_Ownership-Application_Access.html 
	sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Additional_Resources.html 
	sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Creating_PAM_Modules.html 
	sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format.html 
	sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_Files.html 
	sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Administrative_Credential_Caching.html 
	sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Device_Ownership.html 
	sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Sample_PAM_Configuration_Files.html 
	sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html 
	sect-Security_Guide-Secure_Installation-Utilize_LUKS_Partition_Encryption.html 
	sect-Security_Guide-Securing_FTP-Anonymous_Access.html 
	sect-Security_Guide-Securing_FTP-Use_TCP_Wrappers_To_Control_Access.html 
	sect-Security_Guide-Securing_FTP-User_Accounts.html 
	sect-Security_Guide-Securing_NFS-Beware_of_Syntax_Errors.html 
	sect-Security_Guide-Securing_NFS-Do_Not_Use_the_no_root_squash_Option.html 
	sect-Security_Guide-Securing_NFS-NFS_Firewall_Configuration.html 
	sect-Security_Guide-Securing_NIS-Assign_Static_Ports_and_Use_iptables_Rules.html 
	sect-Security_Guide-Securing_NIS-Edit_the_varypsecurenets_File.html 
	sect-Security_Guide-Securing_NIS-Use_Kerberos_Authentication.html 
	sect-Security_Guide-Securing_NIS-Use_a_Password_like_NIS_Domain_Name_and_Hostname.html 
	sect-Security_Guide-Securing_Portmap-Protect_portmap_With_iptables.html 
	sect-Security_Guide-Securing_Sendmail-Mail_only_Users.html 
	sect-Security_Guide-Securing_Sendmail-NFS_and_Sendmail.html 
	sect-Security_Guide-Security_Updates.html 
	sect-Security_Guide-Server_Security-Securing_FTP.html 
	sect-Security_Guide-Server_Security-Securing_NFS.html 
	sect-Security_Guide-Server_Security-Securing_NIS.html 
	sect-Security_Guide-Server_Security-Securing_Portmap.html 
	sect-Security_Guide-Server_Security-Securing_Sendmail.html 
	sect-Security_Guide-Server_Security-Securing_the_Apache_HTTP_Server.html 
	sect-Security_Guide-Server_Security-Verifying_Which_Ports_Are_Listening.html 
	sect-Security_Guide-Server_Security.html 
	sect-Security_Guide-Single_Sign_on_SSO-Configuring_Firefox_to_use_Kerberos_for_SSO.html 
	sect-Security_Guide-Single_Sign_on_SSO-Getting_Started_with_your_new_Smart_Card.html 
	sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Enrollment_Works.html 
	sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Login_Works.html 
	sect-Security_Guide-Single_Sign_on_SSO.html 
	sect-Security_Guide-Software_Maintenance-Install_Signed_Packages_from_Well_Known_Repositories.html 
	sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates-Adjusting_Automatic_Updates.html 
	sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates.html 
	sect-Security_Guide-TCP_Wrappers_Configuration_Files-Option_Fields.html 
	sect-Security_Guide-TCP_Wrappers_and_xinetd-Additional_Resources.html 
	sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html 
	sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd.html 
	sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd_Configuration_Files.html 
	sect-Security_Guide-TCP_Wrappers_and_xinetd.html 
	sect-Security_Guide-Threats_to_Server_Security-Inattentive_Administration.html 
	sect-Security_Guide-Threats_to_Server_Security-Inherently_Insecure_Services.html 
	sect-Security_Guide-Threats_to_Server_Security-Unpatched_Services.html 
	sect-Security_Guide-Threats_to_Workstation_and_Home_PC_Security-Vulnerable_Client_Applications.html 
	sect-Security_Guide-Updating_Packages-Applying_the_Changes.html 
	sect-Security_Guide-Updating_Packages-Installing_Signed_Packages.html 
	sect-Security_Guide-Updating_Packages-Verifying_Signed_Packages.html 
	sect-Security_Guide-Using_IPTables-Basic_Firewall_Policies.html 
	sect-Security_Guide-Using_IPTables-Saving_and_Restoring_IPTables_Rules.html 
	sect-Security_Guide-Virtual_Private_Networks_VPNs-Creating_an_IPsec_Connection.html 
	sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec.html 
	sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html 
	sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Installation.html 
	sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html 
	sect-Security_Guide-Virtual_Private_Networks_VPNs-Starting_and_Stopping_an_IPsec_Connection.html 
	sect-Security_Guide-Virtual_Private_Networks_VPNs-VPNs_and_PROD.html 
	sect-Security_Guide-Virtual_Private_Networks_VPNs.html 
	sect-Security_Guide-Vulnerability_Assessment-Defining_Assessment_and_Testing.html 
	sect-Security_Guide-Vulnerability_Assessment-Evaluating_the_Tools.html 
	sect-Security_Guide-Vulnerability_Assessment.html 
	sect-Security_Guide-xinetd_Configuration_Files-Altering_xinetd_Configuration_Files.html 
	sect-Security_Guide-xinetd_Configuration_Files-The_etcxinetd.d_Directory.html 
Log Message:
Add nl_NL

--- NEW FILE Security_Guide-Encryption-Data_in_Motion-Secure_Shell.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.6. Beveiligde shell</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="chap-Security_Guide-Encryption.html" title="Hoofdstuk 3. Versleuteling"/><link rel="prev" href="Security_Guide-Encryption-Data_in_Motion-Virtual_Private_Networks.html" title="3.5. Virtuele privÃ© netwerken"/><link rel="next" href="sect-Security_Guide-LUKS_Disk_Encryption.html" title="3.7. LUKS schijf versleuteling"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p
 ><ul class="docnav"><li class="previous"><a accesskey="p" href="Security_Guide-Encryption-Data_in_Motion-Virtual_Private_Networks.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-LUKS_Disk_Encryption.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="Security_Guide-Encryption-Data_in_Motion-Secure_Shell">3.6. Beveiligde shell</h2></div></div></div><div class="para">
			Beveiligde shell (SSH) is een krachtig netwerk protocol dat wordt gebruikt om te communiceren met een ander systeem over een beveiligd kanaal. De verzendingen over SSH zijn versleuteld en beschermd tegen onderschepping. Cryptografisch aanloggen kan ook gebruikt worden om een betere authenticatie methode te bieden dan de traditionele gebruikersnamen en wachtwoorden.
		</div><div class="para">
			SSH is erg eenvoudig te activeren. Simpel door het starten van de sshd service, zal het systeem beginnen met het accepteren van verbindingen en zal het toegang tot het systeem toestaan als een juiste gebruikersnaam en wachtwoord wordt aangeboden tijdens het verbindings proces. De standaard TCP poort voor de SSH service is 22, dit kan echter veranderd worden door het veranderen van het configuratie bestand <span class="emphasis"><em>/etc/ssh/sshd_config</em></span> en het opnieuw opstarten van de service. Dit bestand bevat ook andere configuratie opties voor SSH.
		</div><div class="para">
			Beveiligde shell (SSH) biedt ook versleutelde tunnels tussen computers maar gebruiken hierbij een enkele poort. <a href="http://www.redhatmagazine.com/2007/11/27/advanced-ssh-configuration-and-tunneling-we-dont-need-no-stinking-vpn-software">Poort forwarding kan gedaan worden met een SSH tunnel</a> en verkeer zal versleuteld worden als het passeert door die tunnel, maar het gebruik van poort forwarding is niet zo instabiel als een VPN.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="Security_Guide-Encryption-Data_in_Motion-Virtual_Private_Networks.html"><strong>Terug</strong>3.5. Virtuele privÃ© netwerken</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-LUKS_Disk_Encryption.html"><strong>Volgende</strong>3.7. LUKS schijf versleuteling</a></li></ul></body></html>

--- NEW FILE Security_Guide-Encryption-Data_in_Motion-Virtual_Private_Networks.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.5. Virtuele privÃ© netwerken</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="chap-Security_Guide-Encryption.html" title="Hoofdstuk 3. Versleuteling"/><link rel="prev" href="Security_Guide-Encryption-Data_in_Motion.html" title="3.4. Data in beweging"/><link rel="next" href="Security_Guide-Encryption-Data_in_Motion-Secure_Shell.html" title="3.6. Beveiligde shell"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><
 li class="previous"><a accesskey="p" href="Security_Guide-Encryption-Data_in_Motion.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="Security_Guide-Encryption-Data_in_Motion-Secure_Shell.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="Security_Guide-Encryption-Data_in_Motion-Virtual_Private_Networks">3.5. Virtuele privÃ© netwerken</h2></div></div></div><div class="para">
			Virtuele privÃ© netwerken (VPN) bieden versleutelde tunnels tussen computers of netwerken van computers over alle poorten. Met een aanwezige VPN wordt alle netwerkverkeer van de client doorgestuurd naar de server via de versleutelde tunnel. Dit betekent dat de client logischerwijs op hetzelfde netwerk is als de server waarmee het verbonden in via de VPN. VPN's komen veel voor en zijn eenvoudig te gebruiken en in te stellen.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="Security_Guide-Encryption-Data_in_Motion.html"><strong>Terug</strong>3.4. Data in beweging</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="Security_Guide-Encryption-Data_in_Motion-Secure_Shell.html"><strong>Volgende</strong>3.6. Beveiligde shell</a></li></ul></body></html>

--- NEW FILE Security_Guide-Encryption-Data_in_Motion.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.4. Data in beweging</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="chap-Security_Guide-Encryption.html" title="Hoofdstuk 3. Versleuteling"/><link rel="prev" href="Security_Guide-Encryption-Protecting_Data_at_Rest-File_Based_Encryption.html" title="3.3. Bestand gebaseerde versleuteling"/><link rel="next" href="Security_Guide-Encryption-Data_in_Motion-Virtual_Private_Networks.html" title="3.5. Virtuele privÃ© netwerken"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.
 png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="Security_Guide-Encryption-Protecting_Data_at_Rest-File_Based_Encryption.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="Security_Guide-Encryption-Data_in_Motion-Virtual_Private_Networks.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="Security_Guide-Encryption-Data_in_Motion">3.4. Data in beweging</h2></div></div></div><div class="para">
			Data in beweging is data die verstuurd wordt over een netwerk. De grootste bedreiging voor data in beweging zijn onderschepping en verandering. Je gebruikersnaam en wachtwoord moeten nooit zonder bescherming over het netwerk verstuurd worden omdat het onderschept kan worden en gebruikt door iemand anders om zich als jou voor te doen of om toegang te krijgen tot gevoelige informatie. Andere privÃ© informatie zoals bankrekening informatie moet ook beschermd worden als het over een netwerk verstuurd wordt. Als de netwerk sessie versleuteld was dan zou je er niet zo druk over hoeven te maken dat data in gevaar wordt gebracht als het verstuurd wordt.
		</div><div class="para">
			Data in beweging is in het bijzonder kwetsbaar voor aanvallers omdat de aanvaller zich niet in de buurt van je computer, waarop de data bewaard wordt, hoeft te bevinden, ze hoeven zich slechts ergens langs het pad te bevinden. Versleutelde tunnels kunnen data beschermen langs het communicatie pad.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="Security_Guide-Encryption-Protecting_Data_at_Rest-File_Based_Encryption.html"><strong>Terug</strong>3.3. Bestand gebaseerde versleuteling</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="Security_Guide-Encryption-Data_in_Motion-Virtual_Private_Networks.html"><strong>Volgende</strong>3.5. Virtuele privÃ© netwerken</a></li></ul></body></html>

--- NEW FILE Security_Guide-Encryption-Protecting_Data_at_Rest-File_Based_Encryption.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.3. Bestand gebaseerde versleuteling</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="chap-Security_Guide-Encryption.html" title="Hoofdstuk 3. Versleuteling"/><link rel="prev" href="sect-Security_Guide-Encryption-Protecting_Data_at_Rest-Full_Disk_Encryption.html" title="3.2. Volledige schijf versleuteling"/><link rel="next" href="Security_Guide-Encryption-Data_in_Motion.html" title="3.4. Data in beweging"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Docume
 ntation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-Protecting_Data_at_Rest-Full_Disk_Encryption.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="Security_Guide-Encryption-Data_in_Motion.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="Security_Guide-Encryption-Protecting_Data_at_Rest-File_Based_Encryption">3.3. Bestand gebaseerde versleuteling</h2></div></div></div><div class="para">
			GnuPG (GPG) is een open bron versie van PGP dat je toestaat om een bestand of een email bericht te tekenen en/of te versleutelen. Dit is nuttig om de integriteit van het bericht of bestand te behouden en ook om de vertrouwelijkheid van de informatie in het bestand of email bericht te beschermen. In het geval van email, biedt GPG dubbele bescherming. Het biedt niet alleen bescherming voor data in rust, maar ook data in beweging bescherming zodra het bericht over het netwerk verstuurd wordt.
		</div><div class="para">
			Bestand gebaseerde versleuteling is bedoeld om een bestand te beschermen nadat het je computer heeft verlaten, zoals wanneer je een CD verstuurt met de post. Sommige bestand gebaseerde versleutelings oplossingen laten restanten van het versleutelde bestand achter die een aanvaller die fysieke toegang tot je computer heeft onder sommige omstandigheden kan ontsleutelen. Om de inhoud van zulke bestanden te beschermen voor aanvallers die toegang tot je computer kunnen hebben, gebruik je bestand gebaseerde versleuteling gecombineerd met een andere oplossing zoals volledige schijf versleuteling.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-Protecting_Data_at_Rest-Full_Disk_Encryption.html"><strong>Terug</strong>3.2. Volledige schijf versleuteling</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="Security_Guide-Encryption-Data_in_Motion.html"><strong>Volgende</strong>3.4. Data in beweging</a></li></ul></body></html>

--- NEW FILE We_Need_Feedback.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2. We hebben terugkoppeling nodig!</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="pref-Security_Guide-Preface.html" title="Voorwoord"/><link rel="prev" href="pref-Security_Guide-Preface.html" title="Voorwoord"/><link rel="next" href="chap-Security_Guide-Security_Overview.html" title="Hoofdstuk 1. Beveiligings overzicht"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="
 pref-Security_Guide-Preface.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="chap-Security_Guide-Security_Overview.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="We_Need_Feedback">2. We hebben terugkoppeling nodig!</h2></div></div></div><div class="para">
		Meer informatoe over het Linux Security Guide project kan gevonden worden op <a href="https://fedorahosted.org/securityguide">https://fedorahosted.org/securityguide</a>
	</div><div class="para">
		Om terugkoppeling te geven over de Beveiligings gids, dien je een foutrapport in op <a href="https://bugzilla.redhat.com/enter_bug.cgi?component=security-guide&product=Fedora%20Documentation">https://bugzilla.redhat.com/enter_bug.cgi?component=security-guide&product=Fedora%20Documentation</a>. Selecteer het juiste onderdeel in het uitklap menu.
	</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="pref-Security_Guide-Preface.html"><strong>Terug</strong>Voorwoord</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="chap-Security_Guide-Security_Overview.html"><strong>Volgende</strong>Hoofdstuk 1. Beveiligings overzicht</a></li></ul></body></html>

--- NEW FILE chap-Security_Guide-Encryption.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>Hoofdstuk 3. Versleuteling</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="index.html" title="Beveiligings gids"/><link rel="prev" href="sect-Security_Guide-Additional_Resources-Useful_IP_Tables_Websites.html" title="2.9.7.2. Nuttige IPTables websites"/><link rel="next" href="sect-Security_Guide-Encryption-Protecting_Data_at_Rest-Full_Disk_Encryption.html" title="3.2. Volledige schijf versleuteling"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentatio
 n Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Additional_Resources-Useful_IP_Tables_Websites.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-Protecting_Data_at_Rest-Full_Disk_Encryption.html"><strong>Volgende</strong></a></li></ul><div class="chapter" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="chap-Security_Guide-Encryption">Hoofdstuk 3. Versleuteling</h2></div></div></div><div class="toc"><dl><dt><span class="section"><a href="chap-Security_Guide-Encryption.html#sect-Security_Guide-Encryption-Data_at_Rest">3.1. Data in rust</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Encryption-Protecting_Data_at_Rest-Full_Disk_Encryption.html">3.2. Volledige schijf versleuteling</a></span></dt><dt><span class="section"><a href="Security_Guide-Encryption-Protecting_Data_at_Rest-File_Based_Encryption.html">3.3. Bestand gebaseerde
  versleuteling</a></span></dt><dt><span class="section"><a href="Security_Guide-Encryption-Data_in_Motion.html">3.4. Data in beweging</a></span></dt><dt><span class="section"><a href="Security_Guide-Encryption-Data_in_Motion-Virtual_Private_Networks.html">3.5. Virtuele privÃ© netwerken</a></span></dt><dt><span class="section"><a href="Security_Guide-Encryption-Data_in_Motion-Secure_Shell.html">3.6. Beveiligde shell</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-LUKS_Disk_Encryption.html">3.7. LUKS schijf versleuteling</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-LUKS_Disk_Encryption.html#sect-Security_Guide-LUKS_Disk_Encryption-LUKS_Implementation_in_Fedora">3.7.1. De LUKS implementatie in Fedora</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories.html">3.7.2. Handmatig mappen versleutelen</a></span></dt><dt><span class="section"><a href="sect-Securi
 ty_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-Step_by_Step_Instructions.html">3.7.3. Stap-voor-stap instructies</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-What_you_have_just_accomplished.html">3.7.4. Wat heb je zojuist bereikt</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-LUKS_Disk_Encryption-Links_of_Interest.html">3.7.5. Interessante verwijzingen</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html">3.8. 7-Zip Encrypted Archives</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html#sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Installation">3.8.1. 7-Zip Installation in Fedora</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Installation-Instructions.html">3.8
 .2. Step-by-Step Installation Instructions</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Usage_Instructions.html">3.8.3. Step-by-Step Usage Instructions</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Things_of_note.html">3.8.4. Things of note</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Encryption-Using_GPG.html">3.9. Using GNU Privacy Guard (GnuPG)</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Encryption-Using_GPG.html#sect-Security_Guide-Encryption-Using_GPG-Keys_in_GNOME">3.9.1. Creating GPG Keys in GNOME</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE1.html">3.9.2. Creating GPG Keys in KDE</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE.html">3.9.3. Creat
 ing GPG Keys Using the Command Line</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Encryption-Using_GPG-About_Public_Key_Encryption.html">3.9.4. About Public Key Encryption</a></span></dt></dl></dd></dl></div><div class="para">
		Er zijn twee hoofd types data die beschermd moeten worden: data in beweging en data in rust. Deze verschillende types data worden beschermd op een vergelijkbare manier met gebruik van een vergelijkbare technologie maar de implementatie kan geheel verschillend zijn. Geen enkele beschermings implementatie kan alle mogelijke manier van in gevaar brengen voorkomen omdat dezelfde informatie in rust en in beweging kan zijn op verschillende tijdsmomenten.
	</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Encryption-Data_at_Rest">3.1. Data in rust</h2></div></div></div><div class="para">
			Data is in rust op het moment dat het opgeslagen is op een harde schijf, tape, CD, DVD, of andere media. De grootste bedreiging voor deze informatie is dat het fysiek gestolen wordt. Laptops op vliegvelden, CD's in de post, backup tapes die op de verkeerde plaats terecht komen, dit zijn allemaal voorbeelden van gebeurtenissen waar data in gevaar kan worden gebracht door diefstal. Als de data versleuteld was op de media dan zou je er niet zo druk over hoeven te maken dat de data in gevaar wordt gebracht.
		</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Additional_Resources-Useful_IP_Tables_Websites.html"><strong>Terug</strong>2.9.7.2. Nuttige IPTables websites</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-Protecting_Data_at_Rest-Full_Disk_Encryption.html"><strong>Volgende</strong>3.2. Volledige schijf versleuteling</a></li></ul></body></html>

--- NEW FILE chap-Security_Guide-General_Principles_of_Information_Security.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>Hoofdstuk 4. Algemene principes van informatie beveiliging</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="index.html" title="Beveiligings gids"/><link rel="prev" href="sect-Security_Guide-Encryption-Using_GPG-About_Public_Key_Encryption.html" title="3.9.4. About Public Key Encryption"/><link rel="next" href="chap-Security_Guide-Secure_Installation.html" title="Hoofdstuk 5. Veilige installatie"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Sit
 e"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-Using_GPG-About_Public_Key_Encryption.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="chap-Security_Guide-Secure_Installation.html"><strong>Volgende</strong></a></li></ul><div class="chapter" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="chap-Security_Guide-General_Principles_of_Information_Security">Hoofdstuk 4. Algemene principes van informatie beveiliging</h2></div></div></div><div class="toc"><dl><dt><span class="section"><a href="chap-Security_Guide-General_Principles_of_Information_Security.html#sect-Security_Guide-General_Principles_of_Information_Security-Tips_Guides_and_Tools">4.1. Tips, gidsen, en gereedschappen</a></span></dt></dl></div><div class="para">
		De volgende algemene principes geven een overzicht van goede beveiligings praktijken:
	</div><div class="itemizedlist"><ul><li><div class="para">
				versleutel alle data die over het netwerk verstuurd wordt om de-man-in-het-midden aanvallen en afluisteren te helpen voorkomen. Het is belangrijk om authenticatie gegevens, zoals wachtwoorden, te versleutelen.
			</div></li><li><div class="para">
				minimaliseer de hoeveelheid geinstalleerde software en draaiende services.
			</div></li><li><div class="para">
				gebruik beveiligings-verbeterde software en gereedschappen, bijvoorbeeld, Security-Enhanced Linux (SELinux) voor Mandatory Access Control (MAC), Netfilter iptables voor pakket filtering (firewall), en de GNU Privacy Guard (GnuPG) voor het versleutelen van bestanden.
			</div></li><li><div class="para">
				draai, indien mogelijk, elke netwerk service op een apart systeem om het risico te verkleinen dat een in gevaar gebrachte service wordt gebruikt om andere services in gevaar te brengen.
			</div></li><li><div class="para">
				onderhoud gebruikersaccounts: maak en forceer een sterke wachtwoorden tactiek; verwijder ongebruikte gebruikersaccounts.
			</div></li><li><div class="para">
				bekijk de systeem en toepassing log als routine. Standaard worden systeem logs die relevant zijn voor beveiliging naar <code class="filename">/var/log/secure</code> en <code class="filename">/var/log/audit/audit.log</code> geschreven. Merk op: het sturen van de logs naar een specifieke log server helpt om te voorkomen dat aanvallers locale logs eenvoudig kunnen veranderen om ontdekking te voorkomen.
			</div></li><li><div class="para">
				log nooit in als de root gebruiker behalve als dat absoluut noodzakelijk is. Het wordt aanbevolen dat beheerders <code class="command">sudo</code> gebruiken om commando's als root uit te voeren als dat nodig is. Gebruikers die <code class="command">sudo</code> kunnen draaien worden opgegeven in <code class="filename">/etc/sudoers</code>. Gebruik het <code class="command">visudo</code> programma om <code class="filename">/etc/sudoers</code> te bewerken.
			</div></li></ul></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-General_Principles_of_Information_Security-Tips_Guides_and_Tools">4.1. Tips, gidsen, en gereedschappen</h2></div></div></div><div class="para">
			De <a href="http://www.nsa.gov/">National Security Agency (NSA)</a> uit de VS biedt versterkings gidsen en tips voor vele verschillende operating systemen om regerings organen, bedrijven, en individuelen te helpen om hun systemen te beveiligen tegen aanvallen. De volgende gidsen (in PDF formaat) bieden een leidraad voor Red Hat Enterprise Linux 5:
		</div><div class="itemizedlist"><ul><li><div class="para">
					<a href="http://www.nsa.gov/ia/_files/os/redhat/rhel5-pamphlet-i731.pdf">Hardening Tips for the Red Hat Enterprise Linux 5</a>
				</div></li><li><div class="para">
					<a href="http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf">Guide to the Secure Configuration of Red Hat Enterprise Linux 5</a>
				</div></li></ul></div><div class="para">
			De <a href="http://www.disa.mil/">Defense Information Systems Agency (DISA)</a> biedt documentatie, checklijsten, en testen om te helpen met het beveiligen van je systeem (<a href="http://iase.disa.mil/index2.html">Information Assurance Support Environment</a>). De <a href="http://iase.disa.mil/stigs/stig/unix-stig-v5r1.pdf">UNIX SECURITY TECHNICAL IMPLEMENTATION GUIDE</a> (PDF) is een zeer specifieke gids voor UNIX beveiliging - een gevorderde kennis van UNIX en Linux is aanbevolen voordat je deze gids leest.
		</div><div class="para">
			De DISA <a href="http://iase.disa.mil/stigs/checklist/unix_checklist_v5r1-16_20090215.ZIP">UNIX Security Checklist Version 5, Release 1.16</a> biedt een verzameling van documenten en checklijsten, varierend van de juiste eigenaar en mode voor systeembestanden tot code-aanpassings controle.
		</div><div class="para">
			DISA heeft ook <a href="http://iase.disa.mil/stigs/SRR/unix.html">UNIX SPR scripts</a> beschikbaar gemaakt die beheerders specifieke instellingen op systemen laten controleren. Deze scripts bieden rapportlijsten in XML formaat van alle bekende kwetsbare instellingen.
		</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-Using_GPG-About_Public_Key_Encryption.html"><strong>Terug</strong>3.9.4. About Public Key Encryption</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="chap-Security_Guide-Secure_Installation.html"><strong>Volgende</strong>Hoofdstuk 5. Veilige installatie</a></li></ul></body></html>

--- NEW FILE chap-Security_Guide-References.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>Hoofdstuk 7. Referenties</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="index.html" title="Beveiligings gids"/><link rel="prev" href="sect-Security_Guide-Software_Maintenance-Install_Signed_Packages_from_Well_Known_Repositories.html" title="6.4. Installeer ondertekende pakketten van goed bekende repositories"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Securi
 ty_Guide-Software_Maintenance-Install_Signed_Packages_from_Well_Known_Repositories.html"><strong>Terug</strong></a></li><li class="next"/></ul><div class="chapter" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="chap-Security_Guide-References">Hoofdstuk 7. Referenties</h2></div></div></div><div class="para">
		De volgende referenties zijn verwijzingen naar extra informatie die relevant is voor SELinux en Fedora maar die buiten het kader van deze gids valt. Merk op dat door de snelle ontwikkeling van SELinux sommige onderdelen van deze informatie alleen betrekking heeft op specifieke vrijgaves van Fedora.
	</div><div class="variablelist" id="vari-Security_Guide-References-Books"><h6>Boeken</h6><dl><dt><span class="term">SELinux by Example</span></dt><dd><div class="para">
					Mayer, MacMillan, en Caplan
				</div><div class="para">
					Prentice Hall, 2007
				</div></dd></dl></div><div class="variablelist" id="vari-Security_Guide-References-Tutorials_and_Help"><h6>Handleidingen en hulp</h6><dl><dt><span class="term">Understanding and Customizing the Apache HTTP SELinux Policy</span></dt><dd><div class="para">
					<a href="http://fedora.redhat.com/docs/selinux-apache-fc3/">http://fedora.redhat.com/docs/selinux-apache-fc3/</a>
				</div></dd><dt><span class="term">Handleidingen en voordrachten van Russell Coker</span></dt><dd><div class="para">
					<a href="http://www.coker.com.au/selinux/talks/ibmtu-2004/">http://www.coker.com.au/selinux/talks/ibmtu-2004/</a>
				</div></dd><dt><span class="term">Algemene SELinux taciek schrijven HOWTO</span></dt><dd><div class="para">
					<a href="http://www.lurking-grue.org/writingselinuxpolicyHOWTO.html">http://www.lurking-grue.org/writingselinuxpolicyHOWTO.html</a>
				</div></dd><dt><span class="term">Red Hat Knowledgebase</span></dt><dd><div class="para">
					<a href="http://kbase.redhat.com/">http://kbase.redhat.com/</a>
				</div></dd></dl></div><div class="variablelist" id="vari-Security_Guide-References-General_Information"><h6>Algemene informatie</h6><dl><dt><span class="term">NSA SELinux hoofd website</span></dt><dd><div class="para">
					<a href="http://www.nsa.gov/research/selinux/index.shtml">http://www.nsa.gov/selinux/</a>
				</div></dd><dt><span class="term">NSA SELinux FAQ</span></dt><dd><div class="para">
					<a href="http://www.nsa.gov/research/selinux/faqs.shtml">http://www.nsa.gov/selinux/info/faq.cfm</a>
				</div></dd><dt><span class="term">Fedora SELinux FAQ </span></dt><dd><div class="para">
					<a href="http://fedora.redhat.com/docs/selinux-faq-fc3/">http://fedora.redhat.com/docs/selinux-faq-fc3/</a>
				</div></dd><dt><span class="term">SELinux NSA's Open Source Security Enhanced Linux</span></dt><dd><div class="para">
					<a href="http://www.oreilly.com/catalog/selinux/">http://www.oreilly.com/catalog/selinux/</a>
				</div></dd></dl></div><div class="variablelist" id="vari-Security_Guide-References-Technology"><h6>Technologie</h6><dl><dt><span class="term">Een overzicht van object klasses en permissies</span></dt><dd><div class="para">
					<a href="http://www.tresys.com/selinux/obj_perms_help.html">http://www.tresys.com/selinux/obj_perms_help.html</a>
				</div></dd><dt><span class="term">Integrating Flexible Support for Security Policies into the Linux Operating System (a history of Flask implementation in Linux)</span></dt><dd><div class="para">
					<a href="http://www.nsa.gov/research/_files/selinux/papers/selsymp2005.pdf">http://www.nsa.gov/research/_files/selinux/papers/selsymp2005.pdf</a>
				</div></dd><dt><span class="term">Implementing SELinux as a Linux Security Module</span></dt><dd><div class="para">
					<a href="http://www.nsa.gov/research/_files/publications/implementing_selinux.pdf">http://www.nsa.gov/research/_files/publications/implementing_selinux.pdf</a>
				</div></dd><dt><span class="term">A Security Policy Configuration for the Security-Enhanced Linux</span></dt><dd><div class="para">
					<a href="http://www.nsa.gov/research/_files/selinux/papers/policy/policy.shtml">http://www.nsa.gov/research/_files/selinux/papers/policy/policy.shtml</a>
				</div></dd></dl></div><div class="variablelist" id="vari-Security_Guide-References-Community"><h6>Gemeenschap</h6><dl><dt><span class="term">Fedora SELinux gebruikers gids </span></dt><dd><div class="para">
					<a href="http://docs.fedoraproject.org/selinux-user-guide/">http://docs.fedoraproject.org/selinux-user-guide/</a>
				</div></dd><dt><span class="term">SELinux gemeenschap pagina</span></dt><dd><div class="para">
					<a href="http://selinux.sourceforge.net">http://selinux.sourceforge.net</a>
				</div></dd><dt><span class="term">IRC</span></dt><dd><div class="para">
					irc.freenode.net, #selinux
				</div></dd></dl></div><div class="variablelist" id="vari-Security_Guide-References-History"><h6>Geschiedenis</h6><dl><dt><span class="term">Een korte geschiedenis van Flask</span></dt><dd><div class="para">
					<a href="http://www.cs.utah.edu/flux/fluke/html/flask.html">http://www.cs.utah.edu/flux/fluke/html/flask.html</a>
				</div></dd><dt><span class="term">Volledige achtergrond over Fluke</span></dt><dd><div class="para">
					<a href="http://www.cs.utah.edu/flux/fluke/html/index.html">http://www.cs.utah.edu/flux/fluke/html/index.html</a>
				</div></dd></dl></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Software_Maintenance-Install_Signed_Packages_from_Well_Known_Repositories.html"><strong>Terug</strong>6.4. Installeer ondertekende pakketten van goed b...</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li></ul></body></html>

--- NEW FILE chap-Security_Guide-Secure_Installation.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>Hoofdstuk 5. Veilige installatie</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="index.html" title="Beveiligings gids"/><link rel="prev" href="chap-Security_Guide-General_Principles_of_Information_Security.html" title="Hoofdstuk 4. Algemene principes van informatie beveiliging"/><link rel="next" href="sect-Security_Guide-Secure_Installation-Utilize_LUKS_Partition_Encryption.html" title="5.2. LUKS partitie versleuteling gebruiken"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/ima
 ge_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="chap-Security_Guide-General_Principles_of_Information_Security.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Secure_Installation-Utilize_LUKS_Partition_Encryption.html"><strong>Volgende</strong></a></li></ul><div class="chapter" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="chap-Security_Guide-Secure_Installation">Hoofdstuk 5. Veilige installatie</h2></div></div></div><div class="toc"><dl><dt><span class="section"><a href="chap-Security_Guide-Secure_Installation.html#sect-Security_Guide-Secure_Installation-Disk_Partitions">5.1. Schijfpartities</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Secure_Installation-Utilize_LUKS_Partition_Encryption.html">5.2. LUKS partitie versleuteling gebruiken</a></span></dt></dl></div><div class="para">
		Beveiliging begint met de eerste keer dat je een CD of DVD aanbrengt in je schijfstation om Fedora te installeren. Het veilig instellen van je systeem vanaf het begin maakt het gemakkelijker om later extra beveiligings instellingen te maken.
	</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Secure_Installation-Disk_Partitions">5.1. Schijfpartities</h2></div></div></div><div class="para">
			Het NSA beveelt het aanmaken van aparte partities voor /boot, /, /home, /tmp, en /var/tmp aan. De redenen hiervoor zijn verschillend en we zullen elke partitie behandelen.
		</div><div class="para">
			/boot - Deze partitie is de eerste partitie die door het systeem gelezen wordt tijdens het opstarten. De boot loader en kernel images die gebruikt worden om je computer op te starten in Fedora worden op deze partitie bewaard. De partitie mag niet versleuteld zijn. Als deze partitie onderdeel is van / en die partitie wordt versleuteld of is op een andere manier niet beschikbaar dan zal het systeem niet in staat zijn om op te starten.
		</div><div class="para">
			/home - Als gebruikers data (/home) wordt opgeslagen in / inplaats van een aparte partitie, kan de partitie opgevuld worden waardoor het operating systeem onstabiel wordt. Bovendien wordt het upgraden van je systeem naar de volgende versie van Fedora een stuk gemakkelijker als je jouw data in de /home partitie kan houden zodat het niet overschreven kan worden tijdens de installatie. Als de root (/) partitie corrupt wordt kan jouw data voor altijd verloren zijn. Door het gebruik van aparte partities is er een klein beetje meer bescherming tegen dataverlies. Je kunt deze partitie ook het doel laten zijn voor regelmatige backups.
		</div><div class="para">
			/tmp and /var/tmp - Zowel de /tmp als de /var/tmp mapp wordt gebruikt om data op te slaan die niet voor een lange tijdsperiode beschikbaar hoeft te zijn. Als echter heel veel data een van deze mappen overspoelt kan het al je opslagruimte opmaken. Als dit gebeurt en deze mappen zijn binnen / dan kan je systeem onstabiel worden en crashen. Daarom is het verplaatsen van deze mappen naar een eigen partitie een goed idee.
		</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="chap-Security_Guide-General_Principles_of_Information_Security.html"><strong>Terug</strong>Hoofdstuk 4. Algemene principes van informatie be...</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Secure_Installation-Utilize_LUKS_Partition_Encryption.html"><strong>Volgende</strong>5.2. LUKS partitie versleuteling gebruiken</a></li></ul></body></html>

--- NEW FILE chap-Security_Guide-Securing_Your_Network.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>Hoofdstuk 2. Je netwerk beveiligen</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="index.html" title="Beveiligings gids"/><link rel="prev" href="sect-Security_Guide-Updating_Packages-Applying_the_Changes.html" title="1.5.4. De veranderingen toepassen"/><link rel="next" href="sect-Security_Guide-Server_Security.html" title="2.2. Server beveiliging"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previo
 us"><a accesskey="p" href="sect-Security_Guide-Updating_Packages-Applying_the_Changes.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security.html"><strong>Volgende</strong></a></li></ul><div class="chapter" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="chap-Security_Guide-Securing_Your_Network">Hoofdstuk 2. Je netwerk beveiligen</h2></div></div></div><div class="toc"><dl><dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security">2.1. Werkstation beveiliging</a></span></dt><dd><dl><dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-Evaluating_Workstation_Security">2.1.1. Het onderzoeken van werkstation beveiliging</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-BIOS_and_Boot_
 Loader_Security">2.1.2. BIOS en boot loader beveiliging</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-Password_Security">2.1.3. Wachtwoord beveiliging</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-Administrative_Controls">2.1.4. Administratieve controles</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-Available_Network_Services">2.1.5. Beschikbare netwerk services</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-Personal_Firewalls">2.1.6. Persoonlijke firewalls</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-Security_Enhanced_Comm
 unication_Tools">2.1.7. Communicatie greedschappen met verbeterde beveiliging</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Server_Security.html">2.2. Server beveiliging</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Server_Security.html#sect-Security_Guide-Server_Security-Securing_Services_With_TCP_Wrappers_and_xinetd">2.2.1. Het beveiligen van services met TCP wrappers en xinetd</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Server_Security-Securing_Portmap.html">2.2.2. Portmap beveiligen</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Server_Security-Securing_NIS.html">2.2.3. Het beveiligen van NIS</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Server_Security-Securing_NFS.html">2.2.4. NFS beveiligen</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Server_Security-Securing_the_Apache_HTTP_Server.html">2.2.5. De Apache HT
 TP server beveiligen</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Server_Security-Securing_FTP.html">2.2.6. FTP beveiligen</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Server_Security-Securing_Sendmail.html">2.2.7. Sendmail beveiligen</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Server_Security-Verifying_Which_Ports_Are_Listening.html">2.2.8. Het verifieren van welke poorten luisteren</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Single_Sign_on_SSO.html">2.3. Eenmalig inschrijven (Single sign-on - SSO)</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Single_Sign_on_SSO.html#sect-Security_Guide-Single_Sign_on_SSO-Introduction">2.3.1. Inleiding</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Single_Sign_on_SSO-Getting_Started_with_your_new_Smart_Card.html">2.3.2. Beginnen met je nieuwe Smart Card</a></span></dt><dt><spa
 n class="section"><a href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Enrollment_Works.html">2.3.3. Hoe werkt het in gebruik nemen van een Smart Card</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Login_Works.html">2.3.4. Hoe werkt inloggen met een Smart Card</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Single_Sign_on_SSO-Configuring_Firefox_to_use_Kerberos_for_SSO.html">2.3.5. Het instellen van Firefox om Kerberos te gebruiken voor SSO</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html">2.4. Pluggable Authentication Modules (PAM)</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html#sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Advantages_of_PAM">2.4.1. Voordelen van PAM</a></span></dt><dt><span class="section"><a href="sect-Security_Gui
 de-Pluggable_Authentication_Modules_PAM-PAM_Configuration_Files.html">2.4.2. PAM configuratie bestanden</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format.html">2.4.3. PAM configuratie bestand formaat</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Sample_PAM_Configuration_Files.html">2.4.4. Voorbeeld PAM configuratie bestanden</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Creating_PAM_Modules.html">2.4.5. PAM modules aanmaken</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Administrative_Credential_Caching.html">2.4.6. PAM en administratieve legitimatie opslag</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Device_Ownership.html">2.4.7. PAM
  en apparaat eigendom</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Additional_Resources.html">2.4.8. Extra hulpbronnen</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html">2.5. TCP wrappers en xinetd</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html#sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers">2.5.1. TCP wrappers</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html">2.5.2. Configuratie bestanden voor TCP wrappers</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd.html">2.5.3. xinetd</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd_Configuration_Files.html">2.5.4. xinetd configuratie bestanden</a></span></dt><dt>
 <span class="section"><a href="sect-Security_Guide-TCP_Wrappers_and_xinetd-Additional_Resources.html">2.5.5. Extra hulpbronnen</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Kerberos.html">2.6. Kerberos</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Kerberos.html#sect-Security_Guide-Kerberos-What_is_Kerberos">2.6.1. Wat is Kerberos?</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-Kerberos_Terminology.html">2.6.2. Kerberos terminologie</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-How_Kerberos_Works.html">2.6.3. Hoe werkt Kerberos</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-Kerberos_and_PAM.html">2.6.4. Kerberos en PAM</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Server.html">2.6.5. Het instellen van een Kerberos 5 server</a></span></dt><dt><span class="sect
 ion"><a href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Client.html">2.6.6. Het instellen van een Kerberos 5 client</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-Domain_to_Realm_Mapping.html">2.6.7. Domein naar gebied afbeelding</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-Setting_Up_Secondary_KDCs.html">2.6.8. Instellen van secundaire KDC's</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-Setting_Up_Cross_Realm_Authentication.html">2.6.9. Cross gebieds authenticatie instellen</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-Additional_Resources.html">2.6.10. Extra hulpbronnen</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html">2.7. Virtuele privÃ© netwerken (VPN's)</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs.htm
 l#sect-Security_Guide-Virtual_Private_Networks_VPNs-How_Does_a_VPN_Work">2.7.1. Hoe werk een VPN?</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs-VPNs_and_PROD.html">2.7.2. VPN's and Fedora</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec.html">2.7.3. IPsec</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Creating_an_IPsec_Connection.html">2.7.4. Een IPsec verbinding maken</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Installation.html">2.7.5. IPsec installatie</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html">2.7.6. IPsec host-naar-host configuratie</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Networ
 k_Configuration.html">2.7.7. IPsec netwerk-naar-netwerk configuratie</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Starting_and_Stopping_an_IPsec_Connection.html">2.7.8. Het starten en stoppen van een IPsec verbinding</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Firewalls.html">2.8. Firewalls</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Firewalls.html#sect-Security_Guide-Firewalls-Netfilter_and_IPTables">2.8.1. Netfilter en IPTables</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html">2.8.2. Basis firewall instelling</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-Using_IPTables.html">2.8.3. IPTables gebruiken</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-Common_IPTables_Filtering.html">2.8.4. Algemene IPTables filtering</a></spa
 n></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html">2.8.5. FORWARD en NAT regels</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-Malicious_Software_and_Spoofed_IP_Addresses.html">2.8.6. Kwaadwillige software en bedrogen IP adressen</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-IPTables_and_Connection_Tracking.html">2.8.7. IPTables en verbindingen volgen</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-IPv6.html">2.8.8. IPv6</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-Additional_Resources.html">2.8.9. Extra hulpbronnen</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-IPTables.html">2.9. IPTables</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-IPTables.html#sect-Security_Guide-IPTables-Packet_Filtering">2.9.1. Pakket filtering</a></span></
 dt><dt><span class="section"><a href="sect-Security_Guide-IPTables-Differences_Between_IPTables_and_IPChains.html">2.9.2. Verschillen tussen IPTables en IPChains</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-IPTables-Command_Options_for_IPTables.html">2.9.3. Commando opties voor IPTables</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-IPTables-Saving_IPTables_Rules.html">2.9.4. Het opslaan van IPTables regels</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-IPTables-IPTables_Control_Scripts.html">2.9.5. IPTables controle scripts</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-IPTables-IPTables_and_IPv6.html">2.9.6. IPTables en IPv6</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-IPTables-Additional_Resources.html">2.9.7. Extra hulpbronnen</a></span></dt></dl></dd></dl></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="sect
 -Security_Guide-Workstation_Security">2.1. Werkstation beveiliging</h2></div></div></div><div class="para">
		Een Linux omgeving beveiligen begint met het werkstation. Of het gaat om het vergrendelen van een persoonlijke machine of het beveiligen van een bedrijfssysteem, een gezonde beveiligingstactiek begint met de individuele computer. Een computer netwerk slechts zo veilig als zijn zwakste node.
	</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Workstation_Security-Evaluating_Workstation_Security">2.1.1. Het onderzoeken van werkstation beveiliging</h3></div></div></div><div class="para">
			Als de beveiliging van een Fedora werkstation onderzocht wordt, overweeg dan het volgende:
		</div><div class="itemizedlist"><ul><li><div class="para">
					<span class="emphasis"><em>BIOS en boot loader beveiliging</em></span> â€” Kan een onbevoegde gebruiker fysieke toegang tot de machine krijgen en opstarten in de enkele-gebruikers of reddings mode zonder een wachtwoord?
				</div></li><li><div class="para">
					<span class="emphasis"><em>Wachtwoord beveiliging</em></span> â€” Hoe veilig zijn de gebruikersaccount wachtoorden op de machine?
				</div></li><li><div class="para">
					<span class="emphasis"><em>Beheerscontrole</em></span> â€” Wie heeft een account op het systeem en hoeveel beheerscontrole hebben zij?
				</div></li><li><div class="para">
					<span class="emphasis"><em>Beschikbare network services</em></span> â€” Welke services luisteren naar verzoeken van het netwerk en moeten zij wel draaien?
				</div></li><li><div class="para">
					<span class="emphasis"><em>Persoonlijke firewalls</em></span> â€” Welk type firewall, indien aanwezig, is nodig?
				</div></li><li><div class="para">
					<span class="emphasis"><em>Beveiligings verbeter gereedschappen</em></span> â€” Welke gereedschappen moeten gebruikt worden om te communiceren tussen de werkstations en welke moeten gemeden worden?
				</div></li></ul></div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Workstation_Security-BIOS_and_Boot_Loader_Security">2.1.2. BIOS en boot loader beveiliging</h3></div></div></div><div class="para">
			Wachtwoord bescherming voor de BIOS (of het equivalent daarvan) en de boot loader kan beletten dat onbevoegde gebruikers, die fysieke toegang tot systemen hebben, opstarten met verwijderbare media of root rechten krijgen met de enkele-gebruiker mode. De beveiligingsmaatregelen die je moet nemen om te beschermen tegen zulke aanvallen hangt zowel af van de gevoeligheid van de informatie op het werkstation als de locatie van de machine.
		</div><div class="para">
			Bijvoorbeeld, als een machine gebruikt wordt op een beurs en geen gevoelige informatie bevat, dan hoeft het niet kritisch te zijn om zulke aanvallen te voorkomen. Als echter de laptop van een werknemer met privÃ©, niet-versleutelde SSH sleutels voor het bedrijfsnetwerk onbeheerd achter wordt gelaten op dezelfde beurs, kan dat leiden tot een belangrijke beveiligings inbreuk met gevolgen voor het gehele bedrijf.
		</div><div class="para">
			Als het werkstation zich op een locatie bevindt waarnaar alleen bevoegde of vertrouwde mensen toegang hebben, dan hoeft echter het beveiligen van de BIOS of de boot loader niet nodig zijn.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-BIOS_and_Boot_Loader_Security-BIOS_Passwords">2.1.2.1. BIOS wachtwoorden</h4></div></div></div><div class="para">
				De twee belangrijkste redenen voor wachtwoord bescherming van de BIOS van een computer zijn<sup>[<a id="d0e1483" href="#ftn.d0e1483" class="footnote">11</a>]</sup>:
			</div><div class="orderedlist"><ol><li><div class="para">
						<span class="emphasis"><em>Het voorkomen van het veranderen van de BIOS instelling</em></span> â€” Als een indringer toegang heeft tot de BIOS, dan kunnen ze deze instellen om op te starten van een CD-ROM of diskette. Dit maakt het voor hen mogelijke om op te starten in de reddings mode of de enkele-gebruikers mode, wat op zijn beurt toestaat om willekeurige processen op het systeem op te starten of om gevoelige data te copiÃ«ren.
					</div></li><li><div class="para">
						<span class="emphasis"><em>Systeem opstarten beletten</em></span> â€” Sommige BIOS'en staan wachtwoord bescherming toe voor het opstart proces. Als dit aangezet is, moet de aanvaller een wachtwoord opgeven voordat de BIOS de boot loader opstart.
					</div></li></ol></div><div class="para">
				Om dat de methode voor het instellen van een BIOS wachtwoord afhangt van de computer fabrikant, raadpleeg je de handleiding van de computer voor specifieke instructies.
			</div><div class="para">
				Als je het BIOS wachtwoord vergeet, kan het terug gezet worden of met jumpers op het moederbord of door het los koppelen van de CMOS batterij. Hierdoor is het een goede praktijk om de computerkast af te sluiten als dit mogelijk is. Raadpleeg echter de handleding van de computer of het moederbord voordat je probeert om de CMOS batterij los te koppelen.
			</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-BIOS_Passwords-Securing_Non_x86_Platforms">2.1.2.1.1. Het beveiligen van een niet-x86 platform</h5></div></div></div><div class="para">
					Andere architecturen gebruiken andere programma's om taken op een laag niveau uit te voeren die ruwweg overeenkomen met die van de BIOS van x86 systemen. Bijvoorbeeld, <span class="trademark">Intel</span>Â® <span class="trademark">Itanium</span>â„¢ computers gebruiken de <em class="firstterm">Extensible Firmware Interface</em> (<em class="firstterm">EFI</em>) shell.
				</div><div class="para">
					Voor instructies over wachtwoordbescherming van BIOS-achtige programma's op andere architecturem, refereer je naar de instructies van de fabrikant.
				</div></div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-BIOS_and_Boot_Loader_Security-Boot_Loader_Passwords">2.1.2.2. Boot loader wachtwoorden</h4></div></div></div><div class="para">
				De belangrijkste redenen voor wachtwoordbescherming van een Linux boot loader zijn:
			</div><div class="orderedlist"><ol><li><div class="para">
						<span class="emphasis"><em>Het voorkomen van toegang tot de enkele-gebruikers mode</em></span> â€” Als aanvallers de machine kunnen opstarten in de enkele-gebruikers mode, worden ze automatisch ingelogd als root zonder dat hen het rootwachtwoord gevraagd wordt.
					</div></li><li><div class="para">
						<span class="emphasis"><em>Het voorkomen van toegang tot de GRUB console</em></span> â€” Als de machine GRUB als boot loader gebruikt, kan een aanvaller de GRUB bewerker interface gebruiken om zijn instelling te veranderen of om informatie te krijgen met behulp van het <code class="command">cat</code> commando.
					</div></li><li><div class="para">
						<span class="emphasis"><em>Het voorkomen van toegang tot onveilige operating systemen</em></span> â€” Als het een systeem is met meerdere operating systemen, kan een aanvaller tijdens het opstarten een operating systeem kiezen (bijvoorbeeld, DOS), welke toegangscontrole en bestandsrechten negeert.
					</div></li></ol></div><div class="para">
				Fedora wordt geleverd met de GRUB boot loader op het x86 platform. Voor een uitgebreide beschrijving van GRUB refereer je naar de Fedora installatie gids.
			</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Boot_Loader_Passwords-Password_Protecting_GRUB">2.1.2.2.1. Wachtwoordbescherming voor GRUB</h5></div></div></div><div class="para">
					Je kunt GRUB instellen om de eerste twee problemen getoond in <a class="xref" href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-BIOS_and_Boot_Loader_Security-Boot_Loader_Passwords" title="2.1.2.2. Boot loader wachtwoorden">ParagraafÂ 2.1.2.2, â€œBoot loader wachtwoordenâ€</a> op te lossen door het toevoegen van een password commando in zijn configuratie bestand. Om dit te doen, kies je eerst een sterk wachtwoord, je opent een shell, je logt in als root, en dan type je het volgende commando:
				</div><pre class="screen"><code class="command">/sbin/grub-md5-crypt</code>
</pre><div class="para">
					Als er om gevraagd wordt type je het GRUB wachtwoord in en je drukt op <span class="keycap"><strong>Enter</strong></span>. Dit geeft een MD5 hash van het wachtwoord terug.
				</div><div class="para">
					Vervolgens bewerk je het GRUB configuratie bestand <code class="filename">/boot/grub/grub.conf</code>. Open het bestand en onder de <code class="command">timeout</code> regel in de hoofd sectie van het document, voeg je de volgende regel toe:
				</div><pre class="screen"><code class="command">password --md5 <em class="replaceable"><code><wachtwoord-hash></code></em></code>
</pre><div class="para">
					Vervang <em class="replaceable"><code><wachtwoord-hash></code></em> met de waarde die teruggegeven is door <code class="command">/sbin/grub-md5-crypt</code><sup>[<a id="d0e1589" href="#ftn.d0e1589" class="footnote">12</a>]</sup>.
				</div><div class="para">
					De volgende keer dat het systeem opstart, voorkomt het GRUB menu toegang tot de bewerker of commando interface zonder eerst op <span class="keycap"><strong>p</strong></span> te duwen gevolg door het GRUB wachtwoord.
				</div><div class="para">
					Helaas belet deze oplossing een aanvaller niet om op te starten in een onveilig operating systeem in een omgeving met meerdere operating systemen. Hiervoor moet een ander deel van het <code class="filename">/boot/grub/grub.conf</code> bestand bewerkt worden.
				</div><div class="para">
					Zoek naar de <code class="computeroutput">title</code> regel van het operating systeem dat je wilt beveiligen, en voeg een regel toe met het <code class="command">lock</code> commando direct onder deze.
				</div><div class="para">
					Voor een DOS systeem, moet de strofe beginnen overeenkomstig het volgende:
				</div><pre class="screen"><code class="computeroutput">title DOS lock</code>
</pre><div class="warning"><h2>Waarschuwing</h2><div class="para">
						Een <code class="computeroutput">password</code> regel moet aanwezig zijn in de hoofd sectie van het <code class="filename">/boot/grub/grub.conf</code> bestand om deze methode goed te laten werken. Anders kan een aanvaller toegang krijgen tot de GRUB bewerker interface en de lock regel verwijderen.
					</div></div><div class="para">
					Om een ander wachtwoord te maken voor een bepaalde kernel of operating systeem, voeg je een <code class="command">lock</code> regel toe aan de strofe, gevolgd door een password regel.
				</div><div class="para">
					Elke strofe die beschermd wordt met een uniek wachtwoord moet beginnen met regels die lijken op het volgende voorbeeld:
				</div><pre class="screen"><code class="computeroutput">title DOS lock password --md5 <em class="replaceable"><code><wachtwoord-hash></code></em></code>
</pre></div></div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Workstation_Security-Password_Security">2.1.3. Wachtwoord beveiliging</h3></div></div></div><div class="para">
			Wachtwoorden is de belangrijkste methode die Fedora gebruik om de identiteit van een gebruiker te controleren. Daarom is wachtwoord beveiliging zo belangrijk voor de bescherming van de gebruiker, het werkstation, en het netwerk.
		</div><div class="para">
			Voor beveiligings doeleinden, stelt het installatie programma het systeem in om <em class="firstterm">Message-Digest Algorithm</em> (<span class="emphasis"><em>MD5</em></span>) en schaduw wachtwoorden te gebruiken. Het wordt ten sterkste afgeraden om deze instellingen te veranderen.
		</div><div class="para">
			Als MD5 wachtwoorden worden uitgezet tijdens de installatie, wordt het oudere <em class="firstterm">Data Encryption Standard</em> (<em class="firstterm"><acronym class="acronym">DES</acronym></em>) formaat gebruikt. Dit formaat beperkt wachtwoorden tot acht alfanumerieke karakters (leestekens en andere speciale karakters zijn uitgesloten), en biedt een bescheiden 56-bit niveau van versleuteling.
		</div><div class="para">
			Als schaduw wachtwoorden wordt uitgezet tijdens de installatie, worden alle wachtwoorden bewaard als een one-way hash in het <code class="filename">/etc/passwd</code> bestand wat leesbaar is voor iedereen, wat het systeem gevoelig maakt voor offline wachtwoordkraak aanvallen. Als een indringer toegang tot de machine kan krijgen als een gewone gebruiker, kan hij het <code class="filename">/etc/passwd</code> bestand naar zijn eigen machine kopiÃ«ren en daarna er een aantal wachtwoordkraak programma's op los laten. Als er een onveilig wachtwoord in het bestand is, is het slechts een kwestie van tijd voordat de wachtwoordkraker het ontdekt.
		</div><div class="para">
			Schaduw wachtwoorden sluiten dit type aanval uit door de wachtwoord hashes te bewaren in het bestand <code class="filename">/etc/shadow</code>, welke alleen leesbaar is door de root gebruiker.
		</div><div class="para">
			Dit forceert een potentiele aanvaller om wachtwoordkraken op afstand te proberen door in te loggen op een netwerk service van de machine zoals SSH of FTP. Dit soort brute kracht aanval is veel langzamer en laat een duidelijk spoor achter omdat honderden mislukte login pogingen naar systeembestanden geschreven worden. Natuurlijk, als de cracker de aanval midden in de nacht begint op een systeem met zwakke wachtwoorden, kan de cracker toegang hebben gekregen voor de ochtend en de logbestanden bewerkt hebben om zijn sporen te verbergen.
		</div><div class="para">
			Naast de formaat en opslagplaats overwegingen is er die over de inhoud. Het aller belangrijkste wat een gebruiker kan doen om zijn account tegen een wachtwoordkraak aanval te beschermen is het maken van een sterk wachtwoord.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Password_Security-Creating_Strong_Passwords">2.1.3.1. Sterke wachtwoorden maken</h4></div></div></div><div class="para">
				Als je een veilig wachtwoord wilt maken, is het een goede idee om de volgende richtlijnen te volgen:
			</div><div class="itemizedlist"><ul><li><div class="para">
						<span class="emphasis"><em>Gebruik niet alleen woorden of getallen</em></span> â€” Gebruik nooit alleen getallen of woorden in een wachtwoord.
					</div><div class="para">
						Een paar onveilige wachtwoorden zijn de volgende:
					</div><div class="itemizedlist"><ul><li><div class="para">
								8675309
							</div></li><li><div class="para">
								jan
							</div></li><li><div class="para">
								hackmij
							</div></li></ul></div></li><li><div class="para">
						<span class="emphasis"><em>Gebruik geen herkenbare woorden</em></span> â€” Woorden zoals gewone namen, woordenboek woorden, of zelfs uitdrukkingen uit televisie shows of boeken moeten vermeden worden, zelfs als ze omgeven zijn met getallen.
					</div><div class="para">
						Een paar onveilige wachtwoorden zijn de volgende:
					</div><div class="itemizedlist"><ul><li><div class="para">
								john1
							</div></li><li><div class="para">
								DS-9
							</div></li><li><div class="para">
								mentat123
							</div></li></ul></div></li><li><div class="para">
						<span class="emphasis"><em>Gebruik geen woorden uit vreemde talen</em></span> â€” Wachtwoordkraak programma's raadplegen vaak woordenlijsten die woordenboeken van vele vreemde talen omvatten. Steunen op vreemde talen voor veilige wachtwoorden is niet veilig.
					</div><div class="para">
						Een paar onveilige wachtwoorden zijn de volgende:
					</div><div class="itemizedlist"><ul><li><div class="para">
								cheguevara
							</div></li><li><div class="para">
								bienvenido1
							</div></li><li><div class="para">
								1dumbKopf
							</div></li></ul></div></li><li><div class="para">
						<span class="emphasis"><em>Gebruik geen hacker terminologie</em></span> â€” Als je denkt dat je bij de elite hoort omdat je hacker terminologie â€” ook wel l337 (LEET) spraak genoemd â€” in je wachtwoord gebruikt, denk dan even na. Veel woordenlijsten bevatten LEET spraak.
					</div><div class="para">
						Een paar onveilige wachtwoorden zijn de volgende:
					</div><div class="itemizedlist"><ul><li><div class="para">
								H4X0R
							</div></li><li><div class="para">
								1337
							</div></li></ul></div></li><li><div class="para">
						<span class="emphasis"><em>Gebruik geen persoonlijke informatie</em></span> â€” Vermijdt het gebruik van enige persoonlijke informatie in je wachtwoorden. Als de aanvaller je identiteit kent, wordt de taak van het ontdekken van je wachtwoorden gemakkelijker. Het volgende is een lijst van het type informatie die je moet vermijden als je een wachtwoord maakt:
					</div><div class="para">
						Een paar onveilige wachtwoorden zijn de volgende:
					</div><div class="itemizedlist"><ul><li><div class="para">
								Je naam
							</div></li><li><div class="para">
								De namen van je huisdieren
							</div></li><li><div class="para">
								De namen van familieleden
							</div></li><li><div class="para">
								Geboorte data
							</div></li><li><div class="para">
								Je telefoonnummer of postcode
							</div></li></ul></div></li><li><div class="para">
						<span class="emphasis"><em>Keer geen herkenbare woorden om</em></span> â€” Goede wachtwoord checkers keren gewone woorden altijd om, dus het omkeren van een slecht wachtwoord maakt het niet veiliger.
					</div><div class="para">
						Een paar onveilige wachtwoorden zijn de volgende:
					</div><div class="itemizedlist"><ul><li><div class="para">
								R0X4H
							</div></li><li><div class="para">
								naj
							</div></li><li><div class="para">
								9-DS
							</div></li></ul></div></li><li><div class="para">
						<span class="emphasis"><em>Schrijf je wachtwoord niet op</em></span> â€” Bewaar een wachtwoord nooit op papier. Het is veel veiliger om het te onthouden.
					</div></li><li><div class="para">
						<span class="emphasis"><em>Gebruik niet hetzelfde wachtwoord voor alle machines</em></span> â€” Het is belangrijk om aparte wachtwoorden te maken voor iedere machine. Op deze manier zijn niet alle machines in gevaar als een systeem in gevaar is gebracht.
					</div></li></ul></div><div class="para">
				De volgende richtlijnen zullen je helpen om een sterk wachtwoord te maken:
			</div><div class="itemizedlist"><ul><li><div class="para">
						<span class="emphasis"><em>Maak het wachtwoord ten minste acht karakters lang</em></span> â€” Hoe langer het wachtwoord is, des te beter. Als MD5 wachtwoorden gebruikt worden, moet het 15 karakters zijn of langer. Met DES wachtwoorden gebruik je de maximale lengte (acht karakters).
					</div></li><li><div class="para">
						<span class="emphasis"><em>Vermeng hoofd en kleine letters</em></span> â€” Fedora is gevoelig voor hoofd en kleine letters, dus vermeng deze om de kracht van je wachtwoord te versterken.
					</div></li><li><div class="para">
						<span class="emphasis"><em>Vermeng letter en cijfers</em></span> â€” Cijfers toevoegen aan wachtwoorden kunnen de wachtwoord sterkte verbeteren, zeker als ze in het midden toegevoegd worden (niet alleen aan het begin en het eind).
					</div></li><li><div class="para">
						<span class="emphasis"><em>Voeg niet-alfanumerieke karakters toe</em></span> â€” Speciale karakters zoals &, $, en > kunnen de kracht van een wachtwoord sterk verbeteren (dit is niet mogelijk bij het gebruik van DES wachtwoorden).
					</div></li><li><div class="para">
						<span class="emphasis"><em>Neem een wachtwoord dat je kunt onthouden</em></span> â€” Het beste wachtwoord van de wereld helpt je weinig als het niet kunt onthouden; gebruik letterwoorden of andere geheugensteuntjes om je te helpen wachtwoorden te onthouden.
					</div></li></ul></div><div class="para">
				Met al deze regels, kan het moeilijk lijken om een wachtwoord te maken dat aan alle criteria voor goede wachtwoorden voldoet terwijl de problemen van slechte vermeden worden. Gelukkig zijn er enkele stappen die je kunt nemen om een eenvoudig-onthoudbaar, veilig wachtwoord kunt maken.
			</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Creating_Strong_Passwords-Secure_Password_Creation_Methodology">2.1.3.1.1. Een methode om veilige wachtwoorden te maken</h5></div></div></div><div class="para">
					Er zijn vele methodes die men gebruikt om veilige wachtwoorden te maken. Een van de meer populaire methodes gebruikt letterwoorden. Bijvoorbeeld:
				</div><div class="itemizedlist"><ul><li><div class="para">
							Bedenk een eenvoudig te onthouden zin, zoals:
						</div><div class="para">
							"over de rivier en door de wouden, gaan we naar grootmoeder's huis "
						</div></li><li><div class="para">
							Vervolgens, zet je het om een in letterwoord (inclusief de leestekens).
						</div><div class="para">
							<strong class="userinput"><code>odreddw,gwngh.</code></strong>
						</div></li><li><div class="para">
							Voeg complexiteit toe door het invullen van nummers en symbolen voor letters in het letterwoord. Bijvoorbeeld, vul <strong class="userinput"><code>7</code></strong> in voor <strong class="userinput"><code>d</code></strong> en het <strong class="userinput"><code>@</code></strong> symbool voor <strong class="userinput"><code>w</code></strong>:
						</div><div class="para">
							<strong class="userinput"><code>o7re77@,g at ngh.</code></strong>
						</div></li><li><div class="para">
							voeg nog meer complexiteit toe door minsters een letter te vervangen door een hoofdletter, zoals <strong class="userinput"><code>H</code></strong>.
						</div><div class="para">
							<strong class="userinput"><code>o7re77@,g at ngH.</code></strong>
						</div></li><li><div class="para">
							<span class="emphasis"><em>Tenslotte, gebruik nooit het voorbeeld wachtwoord hierboven voor een systeem</em></span>.
						</div></li></ul></div><div class="para">
					Terwijl het maken van veilige wachtwoorden noodzakelijk is, is het ook belangrijk ze goed te beheren, zeker voor systeembeheerders in grotere organisaties. De volgende paragraaf beschrijft goede praktijken voor het maken en beheren van gebruikerswachtwoorden in een organisatie.
				</div></div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Password_Security-Creating_User_Passwords_Within_an_Organization">2.1.3.2. Het maken van gebruikerswachtwoorden in een organisatie</h4></div></div></div><div class="para">
				Als een organisatie een groot aantal gebruikers heeft, hebben de systeembeheerders twee basis opties beschikbaar om het gebruik van goede wachtwoorden af te dwingen. Ze kunnen wachtwoorden maken voor de gebruiker, of ze kunnen gebruikers hun eigen wachtwoord laten maken, waarbij ze controleren of de wachtwoorden van acceptabele kwaliteit zijn.
			</div><div class="para">
				Het maken van wachtwoorden voor de gebruikers verzekert dat de wachtwoorden goed zijn, maar het wordt een ontmoedigende taak als de organisatie groeit. Het vergroot ook het risico dat gebruikers hun wachtwoord opschrijven.
			</div><div class="para">
				Om deze reden geven de meeste beheerders er de voorkeur aan dat gebruikers hun eigen wachtwoord maken, maar ze controleren dat de wachtwoorden goed zijn en, in enkele gevallen, dwingen hun gebruikers om hun wachtwoord periodiek te veranderen door middel van wachtwoord veroudering.
			</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Creating_User_Passwords_Within_an_Organization-Forcing_Strong_Passwords">2.1.3.2.1. Sterke wachtwoorden afdwingen</h5></div></div></div><div class="para">
					Om het netwerk voor indringing te beschermen is het een goed idee dat systeembeheerders controleren of de wachtwoorden die in de organisatie gebruikt worden sterk zijn. Als gebruikers gevraagd worden wachtwoorden te maken of te veranderen, kunnen ze de commandoregel toepassing <code class="command">passwd</code> gebruiken, die bewust is van <em class="firstterm">Pluggable Authentication Manager</em> (<em class="firstterm">PAM</em>) en daarom controleert of het wachtwoord te kort is of op een andere manier eenvoudig te kraken. Deze controle wordt gedaan door de <code class="filename">pam_cracklib.so</code> PAM module. Om dat PAM aan te passen is, is het mogelijk om meer wachtwoord integriteit checkers toe te voegen, zoals <code class="filename">pam_passwdqc</code> (beschikbaar op <a href="http://www.openwall.com/passwdqc/">http://www.openwall.com/passwdqc/</a>) of een nieuwe module te schrijven. Voor een lijst van beschikbare PAM modules, refereer je naar <a href="http://
 www.kernel.org/pub/linux/libs/pam/modules.html">http://www.kernel.org/pub/linux/libs/pam/modules.html</a>. Voor meer informatie over PAM, refereer je naar <a class="xref" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html" title="2.4. Pluggable Authentication Modules (PAM)">ParagraafÂ 2.4, â€œPluggable Authentication Modules (PAM)â€</a>.
				</div><div class="para">
					De wachtwoord check die uitgevoerd wordt tijdens het maken ontdekt slechte wachtwoorden niet even effectief als het draaien van een wachtwoordkraak programma voor de wachtwoorden.
				</div><div class="para">
					Vele wachtwoordkraak programma's zijn beschikbaar die in Fedora draaien, hoewel er geen meegeleverd wordt met het operating systeem. Hieronder is een korte lijst van de bekendere wachtwoordkraak programma's:
				</div><div class="itemizedlist"><ul><li><div class="para">
							<span class="emphasis"><em><span class="application"><strong>John The Ripper</strong></span></em></span> â€” Een snel en flexibel wachtwoordkraak programma. Het staat het gebruik van meerdere woordenlijsten toe en is in staat brute-kracht wachtwoordkraken uit te voeren. Het is beschikbaar op <a href="http://www.openwall.com/john/">http://www.openwall.com/john/</a>.
						</div></li><li><div class="para">
							<span class="emphasis"><em><span class="application"><strong>Crack</strong></span></em></span> â€” Misschien de meest bekende wachtwoordkraak software, <span class="application"><strong>Crack</strong></span> is ook erg snel, hoewel niet even eenvoudig te gebruiken als <span class="application"><strong>John The Ripper</strong></span>. Het kan gevonden worden op <a href="http://www.crypticide.com/alecm/security/c50-faq.html">http://www.crypticide.com/alecm/security/c50-faq.html</a>.
						</div></li><li><div class="para">
							<span class="emphasis"><em><span class="application"><strong>Slurpie</strong></span></em></span> â€” <span class="application"><strong>Slurpie</strong></span> komt overeen met <span class="application"><strong>John The Ripper</strong></span> en <span class="application"><strong>Crack</strong></span>, maar het is ontworpen om tegelijkertijd op meerdere computers te draaien, waarmee het een verspreide wachtwoordkraak aanval maakt. Het kan gevonden worden tezamen met een aantal andere verspreide aanval beveiligings evaluatie gereedschappen op <a href="http://www.ussrback.com/distributed.htm">http://www.ussrback.com/distributed.htm</a>.
						</div></li></ul></div><div class="warning"><h2>Waarschuwing</h2><div class="para">
						Zorg ervoor dat je altijd schriftelijke toestemming hebt voordat je wachtwoorden gaat kraken in een organisatie.
					</div></div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Passphrases">2.1.3.2.2. Wachtzinnen</h5></div></div></div><div class="para">
					Wachtzinnen en wachtwoorden zijn de steunpilaren voor de beveiliging voor de meeste hedendaagse systemen. Helaas zijn technieken zoals biometrie en twee-factoren authenticatie nog geen heersende stroming in veel systemen wat een groot probleem begint te worden. Als wachtwoorden gebruikt gaan worden om een systeem te beveiligen, dan is het gebruik van wachtzinnen te overwegen. Wachtzinnen zijn langer dan wachtwoorden en bieden betere bescherming dan een wachtwoord zelfs als die gemaakt wordt met niet-standaard karakters zoals getallen en symbolen.
				</div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Creating_User_Passwords_Within_an_Organization-Password_Aging">2.1.3.2.3. Wachtwoord verloop</h5></div></div></div><div class="para">
					Wachtwoord verloop is een andere techniek die gebruikt wordt door systeembeheerders voor de verdediging tegen slechte wachtwoorden in een organisatie. Wachtwoord verloop betekent dat na een vastgestelde periode (gewoonlijk 90 dagen), de gebruiker gevraagd wordt om een nieuw wachtwoord te maken. De theorie hier achter is dat als een gebruiker gedwongen wordt om zijn wachtwoord periodiek te veranderen, een gekraakt wachtwoord slechts tijdelijk voor een indringer bruikbaar is. Het nadeel van wachtwoord verloop is dat gebruikers meer de neiging hebben om hun wachtwoord op te schrijven.
				</div><div class="para">
					Er zijn twee belangrijke programma's voor het opgeven van wachtwoord verloop in Fedora: het <code class="command">chage</code> commando of de grafische <span class="application"><strong>Gebruikersbeheerder</strong></span> (<code class="command">system-config-users</code>) toepassing.
				</div><div class="para">
					De <code class="option">-M</code> optie van het <code class="command">chage</code> commando specificeert het maximale aantal dagen dat een wachtwoord geldig is. Bijvoorbeeld, om het wachtwoord van een gebruiker in te stellen om na 90 dagen te verlopen, gebruik je het volgende commando:
				</div><pre class="screen"><code class="command">chage -M 90 <em class="replaceable"><code><gebruikersnaam></code></em></code>
</pre><div class="para">
					In het bovenstaande voorbeeld, vevang je <em class="replaceable"><code><gebruikersnaam></code></em> met de naam van de gebruiker. Om wachtwoord verloop uit te zetten, wordt gewoonlijk een waarde van <code class="command">99999</code> na de <code class="option">-M</code> optie ingevuld (dit komt overeen met 273 jaren).
				</div><div class="para">
					Je kunt het <code class="command">chage</code> commando ook in interactieve mode gebruiken om meerdere wachtwoord verlopen en andere account details te veranderen. Gebruik het volgende commando om in de interactieve mode te komen:
				</div><pre class="screen"><code class="command">chage <em class="replaceable"><code><gebruikersnaam></code></em></code>
</pre><div class="para">
					Het volgende is een voorbeeld interactieve sessie met gebruik van dit commando:
				</div><pre class="screen">[root at interch-dev1 ~]# chage davido 
Changing the aging information for davido 
Enter the new value, or press ENTER for the default 
Minimum Password Age [0]: 10
Maximum Password Age [99999]: 90 
Last Password Change (YYYY-MM-DD) [2006-08-18]: 
Password Expiration Warning [7]: 
Password Inactive [-1]: 
Account Expiration Date (YYYY-MM-DD) [1969-12-31]: 
[root at interch-dev1 ~]#
</pre><div class="para">
					Refereer naar de manual pagina voor meer informatie over de beschikbare opties.
				</div><div class="para">
					Je kunt ook de grafische <span class="application"><strong>Gebruikersbeheerder</strong></span> toepassing gebruiken om wachtwoord verloop tactiek te maken. Merk op: je hebt beheersrechten nodig om deze procedure uit te voeren.
				</div><div class="procedure"><ol class="1"><li><div class="para">
							Klik op het <span class="guimenu"><strong>Systeem</strong></span> menu op het Paneel, ga naar <span class="guisubmenu"><strong>Beheer</strong></span> en klik dan op <span class="guimenuitem"><strong>Gebruikers en groepen</strong></span> om de Gebruikersbeheerder te openen. Als alternatief type je het commando <code class="command">system-config-users</code> op de shell prompt.
						</div></li><li><div class="para">
							Klik op de <span class="guilabel"><strong>Gebruikers</strong></span> tab en selecteer de gewenste gebruiker in de lijst van gebruikers.
						</div></li><li><div class="para">
							Klik op <span class="guibutton"><strong>Eigenschappen</strong></span> op de gereedsschapbalk om de Gebruikerseigenschappen dialoog te openen (of kies <span class="guimenuitem"><strong>Eigenschappen</strong></span> in het <span class="guimenu"><strong>Bestand</strong></span> menu).
						</div></li><li><div class="para">
							Klik op de <span class="guilabel"><strong>Wachtwoordinformatie</strong></span> tab, en selecteer het aanvinkhokje voor <span class="guilabel"><strong>Wachtwoordverloop aanzetten</strong></span>.
						</div></li><li><div class="para">
							Vul de vereiste waarde in het <span class="guilabel"><strong>Dagen voordat verandering is vereist</strong></span> veld in, en klik op <span class="guibutton"><strong>OK</strong></span>.
						</div></li></ol></div><div class="figure" id="figu-Security_Guide-Password_Aging-Specifying_password_aging_options"><div class="figure-contents"><div class="mediaobject"><img src="images/fed-user_pass_info.png" alt="Wachtwoordverloop opties opgeven"/><div class="longdesc"><div class="para">
								<span class="guilabel"><strong>Wachtwoordinformatie</strong></span> venster afbeelding.
							</div></div></div></div><h6>Figuur 2.1. Wachtwoordverloop opties opgeven</h6></div><br class="figure-break"/></div></div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Workstation_Security-Administrative_Controls">2.1.4. Administratieve controles</h3></div></div></div><div class="para">
			Als je een thuis computer beheert, moet de gebruiker sommige taken uitvoeren als de root gebruiker of door het verkrijgen van effectieve root rechten met een <em class="firstterm">setuid</em> programma, zoals <code class="command">sudo</code>of met <code class="command">su</code>. Een setuid programma is een programma dat werkt met de gebruikers ID (<span class="emphasis"><em>UID</em></span>) van de eigenaar van het programma in plaats van de gebruiker van het programma. Zulke programma's worden aangegeven met een <code class="computeroutput">s</code> in de eigenaars sectie van een lange formaat listing, zoals in het volgende voorbeeld:
		</div><pre class="screen"><code class="computeroutput">-rwsr-xr-x 1 root root 47324 May 1 08:09 /bin/su</code>
</pre><div class="note"><h2>Opmerking</h2><div class="para">
				De <code class="computeroutput">s</code> kan in hoofd letter of kleine letter zijn. Als het in hoofdletter verschijnt, betekent het dat de achterliggende toestemmings bit niet gezet is.
			</div></div><div class="para">
			Voor de systeembeheerders van een organisatie, moet echter een keuze gemaakt worden over hoe veel beheerstoegang gebruikers binnen de organisatie moeten hebben voor hun machine. Met een PAM module genaamd <code class="filename">pam_console.so</code>, worden sommige activiteiten die normaal alleen voor de root gebruiker gereserveerd zijn, zoals opnieuw opstarten en het aankoppelen van verwijderbare media, toegestaan aan de eerste gebruiker die inlogt op de fysieke console (refereer naar <a class="xref" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html" title="2.4. Pluggable Authentication Modules (PAM)">ParagraafÂ 2.4, â€œPluggable Authentication Modules (PAM)â€</a> voor meer informatie over de <code class="filename">pam_console.so</code> module). Echter, andere belangrijke systeembeheer taken, zoals het veranderen van netwerk instellingen, een nieuwe muis configureren, of netwerkapparaten aankoppelen, zijn niet mogelijk zonder beheersrechten. Het resulta
 at is dat systeembeheerders moeten beslissen hoeveel toegang de gebruikers op hun netwerk moeten krijgen.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Administrative_Controls-Allowing_Root_Access">2.1.4.1. Root toegang toestaan</h4></div></div></div><div class="para">
				Als de gebruikers binnen een organisatie vertrouwd zijn en computer kennis hebben, dat kan het toestaan van root toegang aan hen geen probleem zijn. Root toegang toestaan aan gebruikers betekent dat onbelangrijke activiteiten, zoals het toevoegen van apparaten of het instellen van netwerk interfaces, door de individuele gebruikers worden afgehandeld, waardoor systeembeheerders meer tijd hebben voor netwerk beveiliging en andere belangrijke zaken.
			</div><div class="para">
				Aan de andere kant, leidt het geven van root toegang aan individuele gebruikers tot de volgende problemen:
			</div><div class="itemizedlist"><ul><li><div class="para">
						<span class="emphasis"><em>Verkeerde machine instelling</em></span> â€” Gebruikers met root toegang kunnen hun machine verkeerd instellen en vereisen hulp om het probleem op te lossen. Nog erger, ze kunnen beveiligings gaten maken zonder dat ze het weten.
					</div></li><li><div class="para">
						<span class="emphasis"><em>Het draaien van onveilige services</em></span> â€” Gebruikers met root toegang kunnen onveilige servers op hun machine draaien, zoals FTP of Telnet, waarmee potentieel hun gebruikersnamen en wachtwoorden in gevaar zijn. Deze services verzenden deze informatie in leesbare tekst over het netwerk.
					</div></li><li><div class="para">
						<span class="emphasis"><em>Het uitvoeren van email bijlages als root</em></span> â€” Hoewel het zelden voorkomt, zijn er email virussen die effect hebben op Linux. De enigste keer dat ze echter een gevaar zijn, is als ze als de root gebruiker draaien.
					</div></li></ul></div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Administrative_Controls-Disallowing_Root_Access">2.1.4.2. Root toegang niet toestaan</h4></div></div></div><div class="para">
				Als een beheerder het om deze of andere redenen niet fijn vindt dat gebruikers als root inloggen, moet het root wachtwoord geheim gehouden worden, en moet toegang tot runlevel 1 of enkele-gebruikers mode verboden worden met boot loader wachtwoord bescherming (refereer naar <a class="xref" href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-BIOS_and_Boot_Loader_Security-Boot_Loader_Passwords" title="2.1.2.2. Boot loader wachtwoorden">ParagraafÂ 2.1.2.2, â€œBoot loader wachtwoordenâ€</a> voor meer informatie hierover).
			</div><div class="para">
				<a class="xref" href="chap-Security_Guide-Securing_Your_Network.html#tabl-Security_Guide-Disallowing_Root_Access-Methods_of_Disabling_the_Root_Account" title="Tabel 2.1. Methodes voor het onmogelijk maken van het root account">TabelÂ 2.1, â€œMethodes voor het onmogelijk maken van het root accountâ€</a> beschrijft manieren waarop een beheerder kan verzekeren dat inloggen als root niet toegestaan wordt:
			</div><div class="table" id="tabl-Security_Guide-Disallowing_Root_Access-Methods_of_Disabling_the_Root_Account"><div class="table-contents"><table summary="Methodes voor het onmogelijk maken van het root account" border="1"><colgroup><col width="20*"/><col width="50*"/><col width="50*"/><col width="50*"/></colgroup><thead><tr><th>
								Methode
							</th><th>
								Beschrijving
							</th><th>
								Effecten
							</th><th>
								Het geen gevolgen voor
							</th></tr></thead><tbody><tr><td>
								Het veranderen van de root shell
							</td><td>
								Bewerk het <code class="filename">/etc/passwd</code> bestand en verander de shell van <code class="command">/bin/bash</code> naar <code class="command">/sbin/nologin</code>.
							</td><td>
								<table class="simplelist" border="0" summary="Simple list"><tr><td>Voorkomt toegang naar de root shell en logt alle pogingen om toegang te krijgen </td></tr><tr><td>De volgende programma's worden belet om root toegang te krijgen: </td></tr><tr><td>Â· <code class="command">login</code></td></tr><tr><td>Â· <code class="command">gdm</code></td></tr><tr><td>Â· <code class="command">kdm</code></td></tr><tr><td>Â· <code class="command">xdm</code></td></tr><tr><td>Â· <code class="command">su</code></td></tr><tr><td>Â· <code class="command">ssh</code></td></tr><tr><td>Â· <code class="command">scp</code></td></tr><tr><td>Â· <code class="command">sftp</code></td></tr></table>
							</td><td>
								<table class="simplelist" border="0" summary="Simple list"><tr><td>Programma's die geen shell nodig hebben, zoals FTP clienten, mail clienten, en vele setuid programma's. </td></tr><tr><td>De volgende programma's wordt root toegang <span class="emphasis"><em>niet</em></span> belet: </td></tr><tr><td>Â· <code class="command">sudo</code></td></tr><tr><td>Â· FTP clienten </td></tr><tr><td>Â· Email clienten </td></tr></table>
							</td></tr><tr><td>
								Root toegang onmogelijk maken via elk console apparaat (tty).
							</td><td>
								Een leeg <code class="filename">/etc/securetty</code> bestand voorkomt root login op elk apparaat dat aangesloten is op de computer.
							</td><td>
								<table class="simplelist" border="0" summary="Simple list"><tr><td>Voorkomt toegang tot het root account via de console of het netwerk. De volgende programma's krijgen geen toegang tot het root account: </td></tr><tr><td>Â· <code class="command">login</code></td></tr><tr><td>Â· <code class="command">gdm</code></td></tr><tr><td>Â· <code class="command">kdm</code></td></tr><tr><td>Â· <code class="command">xdm</code></td></tr><tr><td>Â· Andere netwerk services die een tty openen </td></tr></table>
							</td><td>
								<table class="simplelist" border="0" summary="Simple list"><tr><td>Programma's die niet inloggen als root, maar beheerstaken uitvoeren met setuid of andere mechanismes. </td></tr><tr><td>De volgende programma's wordt root toegang <span class="emphasis"><em>niet</em></span> belet: </td></tr><tr><td>Â· <code class="command">su</code></td></tr><tr><td>Â· <code class="command">sudo</code></td></tr><tr><td>Â· <code class="command">ssh</code></td></tr><tr><td>Â· <code class="command">scp</code></td></tr><tr><td>Â· <code class="command">sftp</code></td></tr></table>
							</td></tr><tr><td>
								Root SSH login niet toestaan
							</td><td>
								Bewerk het <code class="filename">/etc/ssh/sshd_config</code> bestand en zet de <code class="command">PermitRootLogin</code> parameter op <code class="command">no</code>.
							</td><td>
								<table class="simplelist" border="0" summary="Simple list"><tr><td>Belet root toegang via de OpenSSH suite van gereedschappen. De volgende programma's krijgen geen toegang tot de rout account: </td></tr><tr><td>Â· <code class="command">ssh</code></td></tr><tr><td>Â· <code class="command">scp</code></td></tr><tr><td>Â· <code class="command">sftp</code></td></tr></table>
							</td><td>
								<table class="simplelist" border="0" summary="Simple list"><tr><td>Dit belet alleen root toegang naar de OpenSSH suite van gereedschappen. </td></tr></table>
							</td></tr><tr><td>
								Gebruik PAM om root toegang naar services te beperken.
							</td><td>
								Bewerk het bestand voor de doel service in de <code class="filename">/etc/pam.d/</code> map. Wees er zeker van dat <code class="filename">pam_listfile.so</code> nodig is voor authenticatie.<sup>[<a id="d0e2409" href="#ftn.d0e2409" class="footnote">a</a>]</sup>
							</td><td>
								<table class="simplelist" border="0" summary="Simple list"><tr><td>Belet root toegang naar netwerk services die bewust zijn van PAM. </td></tr><tr><td>De volgende services worden belet om root toegang te krijgen: </td></tr><tr><td>Â· FTP clienten </td></tr><tr><td>Â· Email clienten </td></tr><tr><td>Â· <code class="command">login</code></td></tr><tr><td>Â· <code class="command">gdm</code></td></tr><tr><td>Â· <code class="command">kdm</code></td></tr><tr><td>Â· <code class="command">xdm</code></td></tr><tr><td>Â· <code class="command">ssh</code></td></tr><tr><td>Â· <code class="command">scp</code></td></tr><tr><td>Â· <code class="command">sftp</code></td></tr><tr><td>Â· Alle PAM services die bewust zijn van PAM </td></tr></table>
							</td><td>
								<table class="simplelist" border="0" summary="Simple list"><tr><td>Programma's en services die niet bewust zijn van PAM. </td></tr></table>
							</td></tr></tbody><tbody class="footnotes"><tr><td colspan="4"><div class="footnote"><p><sup>[<a id="ftn.d0e2409" href="#d0e2409" class="para">a</a>] </sup>
									Refereer naar <a class="xref" href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Disallowing_Root_Access-Disabling_Root_Using_PAM" title="2.1.4.2.4. Root onmogelijk maken met PAM">ParagraafÂ 2.1.4.2.4, â€œRoot onmogelijk maken met PAMâ€</a> voor details.
								</p></div></td></tr></tbody></table></div><h6>Tabel 2.1. Methodes voor het onmogelijk maken van het root account</h6></div><br class="table-break"/><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Disallowing_Root_Access-Disabling_the_Root_Shell">2.1.4.2.1. De root shell onmogelijk maken</h5></div></div></div><div class="para">
					Om te voorkomen dat gebruikers rechtstreeks inloggen als root, kan de systeembeheerder de shell van het root account instellen als <code class="command">/sbin/nologin</code> in het <code class="filename">/etc/passwd</code> bestand. Dit belet toegang tot het root account met commando's die een shell nodig hebben, zoals de <code class="command">su</code> en <code class="command">ssh</code> commando's.
				</div><div class="important"><h2>Belangrijk</h2><div class="para">
						Programma's die geen toegang naar de shell nodig hebben, zoals email clienten of het <code class="command">sudo</code> commando, hebben nog steeds toegang naar het shell account.
					</div></div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Disallowing_Root_Access-Disabling_Root_Logins">2.1.4.2.2. Als root inloggen onmogelijk maken</h5></div></div></div><div class="para">
					Om de toegang naar het root account verder te beperken, kunnen beheerders het inloggen als root op de console onmogelijk maken door het <code class="filename">/etc/securetty</code> bestand te bewerken. Dit bestand bevat een lijst van alle apparaten waarop de root gebruiker in kan loggen. Als dit bestand niet bestaat, kan de root gebruiker inloggen op elk communicatie apparaat op het systeem, of dit nu een console is of een ruwe netwerk interface. Dit is gevaarlijk, omdat een gebruiker op zijn machine kan inloggen als root met Telnet, die het wachtwoord als leesbare tekst over het netwerk stuurt. Standaard staat het <code class="filename">/etc/securetty</code> bestand van Fedora de root gebruiker alleen toe om in te loggen op de console die fysiek aangekoppeld is aan de machine. Om te verkomen dat root inlogt, verwijder je de inhoud van dit bestand door het intypen van het volgende commando:
				</div><pre class="screen"><code class="command">echo > /etc/securetty</code>
</pre><div class="warning"><h2>Waarschuwing</h2><div class="para">
						Een leeg <code class="filename">/etc/securetty</code> bestand voorkomt <span class="emphasis"><em>niett</em></span> dat de root gebruiker inlogt op afstand met gebruik van de OpenSSH suite van gereedschappen omdat de console niet geopend wordt tot na de authenticatie.
					</div></div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Disallowing_Root_Access-Disabling_Root_SSH_Logins">2.1.4.2.3. Root SSH inloggen onmogelijk maken</h5></div></div></div><div class="para">
					Als root inloggen met het SSH protocol is standaard in Fedora uitgezet; als deze optie echter is aangezet, kan het weer uitgezet worden door het configuratie bestand van de SSH daemon (<code class="filename">/etc/ssh/sshd_config</code>) te bewerken. Verander de regel die er uitziet als:
				</div><pre class="screen"><code class="computeroutput">PermitRootLogin yes</code>
</pre><div class="para">
					naar het volgende:
				</div><pre class="screen"><code class="computeroutput">PermitRootLogin no</code>
</pre><div class="para">
					Om deze verandering effect te laten hebben moet de SSH daemon opnieuw opgestart worden. Dit kan gedaan worden met het volgende commando:
				</div><pre class="screen"><code class="computeroutput">kill -HUP `cat /var/run/sshd.pid`</code>
</pre></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Disallowing_Root_Access-Disabling_Root_Using_PAM">2.1.4.2.4. Root onmogelijk maken met PAM</h5></div></div></div><div class="para">
					PAM biedt door de <code class="filename">/lib/security/pam_listfile.so</code> module, een hoge flexibiliteit in het verbieden van specifieke accounts. De beheerder kan deze module gebruiken om te refereren naar een lijst van gebruikers die niet in mogen loggen. Hieronder is een voorbeeld van het gebruik van deze module voor de <code class="command">vsftpd</code> FTP server in het <code class="filename">/etc/pam.d/vsftpd</code> PAM configuratie bestand (de <code class="computeroutput">\</code> karakter op het eind van de eerste regel in het volgende voorbeeld is <span class="emphasis"><em>niet</em></span> nodig als het commando in een regel past):
				</div><pre class="screen">auth required /lib/security/pam_listfile.so item=user \ 
sense=deny file=/etc/vsftpd.ftpusers onerr=succeed
</pre><div class="para">
					Dit instrueert PAM om het <code class="filename">/etc/vsftpd.ftpusers</code> bestand te raadplegen en toegang naar de service te verbieden voor elke gebruiker in de lijst. De beheerder kan de naam van dit bestand veranderen, en kan aparte lijsten voor elke service hebben of een centrale lijst gebruiken voor het verbieden van toegang naar meerdere services.
				</div><div class="para">
					Als de beheerder toegang wil verbieden naar meerdere services, kan een soortgelijke regel toegevoegd worden aan de PAM configuratie bestanden, zoals <code class="filename">/etc/pam.d/pop</code> en <code class="filename">/etc/pam.d/imap</code> voor mail clienten, of <code class="filename">/etc/pam.d/ssh</code> voor SSH clienten.
				</div><div class="para">
					Voor meer informatie over PAM, refereer je naar <a class="xref" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html" title="2.4. Pluggable Authentication Modules (PAM)">ParagraafÂ 2.4, â€œPluggable Authentication Modules (PAM)â€</a>.
				</div></div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Administrative_Controls-Limiting_Root_Access">2.1.4.3. Root toegang beperken</h4></div></div></div><div class="para">
				Inplaats van toegang naar de root gebruiker helemaal te verbieden, kan de beheerder alleen toegang toe willen staan met setuid programma's, zoals <code class="command">su</code> of <code class="command">sudo</code>.
			</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Limiting_Root_Access-The_su_Command">2.1.4.3.1. Het <code class="command">su</code> commando</h5></div></div></div><div class="para">
					Als een gebruiker het <code class="command">su</code> commando uitvoert, wordt deze gevraagd naar het root wachtwoord en, na authenticatie, krijgt deze een root shell prompt.
				</div><div class="para">
					Zodra de gebruiker is ingelogd met het <code class="command">su</code> commando, <span class="emphasis"><em>is</em></span> de gebruiker de root gebruiker en heeft absolute beheerstoegang tot het systeem<sup>[<a id="d0e2610" href="#ftn.d0e2610" class="footnote">13</a>]</sup>. Bovendien ,zodra een gebruiker root wordt, is het voor hen mogelijk om het <code class="command">su</code> commando te gebruiken om te veranderen naar elke andere gebruiker op het systeem zonder naar een wachtwoord gevraagd te worden.
				</div><div class="para">
					Omdat dit commando zo krachtig is, zullen beheerders in een organisatie beperkingen willen opleggen voor wie toegang heeft tot dit commando.
				</div><div class="para">
					Een van de eenvoudigste manieren om dit te doen is om gebruikers toe te voegen aan een speciale beheersgroep met de naam <em class="firstterm">wheel</em>. Om dit te doen, type je het volgende commando als root:
				</div><pre class="screen"><code class="command">usermod -G wheel <em class="replaceable"><code><gebruikersnaam></code></em></code>
</pre><div class="para">
					In het vorige commando vervang je <em class="replaceable"><code><gebruikersnaam></code></em> met de gebruikersnaam die je wilt toevoegen aan de <code class="command">wheel</code> groep.
				</div><div class="para">
					Je kunt ook <span class="application"><strong>Gebruikersbeheerder</strong></span> gebruiken om een groepslidmaatschap te veranderen. Merk op: je hebt beheersrechten nodig om dit uit te voeren.
				</div><div class="procedure"><ol class="1"><li><div class="para">
							Klik op het <span class="guimenu"><strong>Systeem</strong></span> menu op het Paneel, ga naar <span class="guisubmenu"><strong>Beheer</strong></span> en klik dan op <span class="guimenuitem"><strong>Gebruikers en groepen</strong></span> om de Gebruikersbeheerder te openen. Als alternatief type je het commando <code class="command">system-config-users</code> op de shell prompt.
						</div></li><li><div class="para">
							Klik op de <span class="guilabel"><strong>Gebruikers</strong></span> tab en selecteer de gewenste gebruiker in de lijst van gebruikers.
						</div></li><li><div class="para">
							Klik op <span class="guibutton"><strong>Eigenschappen</strong></span> op de gereedsschapbalk om de Gebruikerseigenschappen dialoog te openen (of kies <span class="guimenuitem"><strong>Eigenschappen</strong></span> in het <span class="guimenu"><strong>Bestand</strong></span> menu).
						</div></li><li><div class="para">
							Klik op de <span class="guilabel"><strong>Groepen</strong></span> tab, selecteer het aanvinkhokje voor de wheel groep, en klik dan op <span class="guibutton"><strong>OK</strong></span>. Refereer naar <a class="xref" href="chap-Security_Guide-Securing_Your_Network.html#figu-Security_Guide-The_su_Command-Adding_users_to_the_wheel_group." title="Figuur 2.2. Gebruikers toevoegen aan de "wheel" groep.">FiguurÂ 2.2, â€œGebruikers toevoegen aan de "wheel" groep.â€</a>.
						</div></li><li><div class="para">
							Open het PAM configuratiebestand voor <code class="command">su</code> (<code class="filename">/etc/pam.d/su</code>) in een tekstbewerker en verwijder de commentaar <span class="keycap"><strong>#</strong></span> in de volgende regel:
						</div><pre class="screen">auth  required /lib/security/$ISA/pam_wheel.so use_uid
</pre><div class="para">
							Deze verandering betekent dat alleen leden van de beheersgroep <code class="computeroutput">wheel</code> dit programma kunnen gebruiken.
						</div></li></ol></div><div class="figure" id="figu-Security_Guide-The_su_Command-Adding_users_to_the_wheel_group."><div class="figure-contents"><div class="mediaobject"><img src="images/fed-user_pass_groups.png" alt="Gebruikers toevoegen aan de "wheel" groep."/><div class="longdesc"><div class="para">
								<span class="guilabel"><strong>Groepen</strong></span> veenster afbeelding
							</div></div></div></div><h6>Figuur 2.2. Gebruikers toevoegen aan de "wheel" groep.</h6></div><br class="figure-break"/><div class="note"><h2>Opmerking</h2><div class="para">
						De root gebruiker is standaard lid van de <code class="computeroutput">wheel</code> groep.
					</div></div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Limiting_Root_Access-The_sudo_Command">2.1.4.3.2. Het <code class="command">sudo</code> commando</h5></div></div></div><div class="para">
					Het <code class="command">sudo</code> commando biedt een andere benadering voor het geven van beheerstoegang aan gebruikers. Als vertrouwde gebruikers een beheerscommando vooraf laten gaan door <code class="command">sudo</code>, worden ze naar<span class="emphasis"><em>hun eigen</em></span> wachtwoord gevraagd. Als ze authentiek verklaard zijn en aangenomen dat het commando toegestaan is, wordt daarna het beheerscommando uitgevoerd alsof ze de root gebruiker zijn.
				</div><div class="para">
					Het basis formaat van het <code class="command">sudo</code> commando is als volgt:
				</div><pre class="screen"><code class="command">sudo <em class="replaceable"><code><commando></code></em></code>
</pre><div class="para">
					In het voorbeeld hierboven, moet <em class="replaceable"><code><commando></code></em> vervangen worden door een commando dat normaal gereserveerd is voor de root gebruiker, zoals <code class="command">mount</code>.
				</div><div class="important"><h2>Belangrijk</h2><div class="para">
						Gebruikers van het <code class="command">sudo</code> commando moeten er aan denken om uit te loggen voordat ze van hun machine weglopen, omdat gebruikers van sudo het commando opnieuw kunnen gebruiken binnen een periode van vijf minuten zonder dat er naar hun wachtwoord gevraagd wordt. Deze instelling kan veranderd worden met het configuratiebestand, <code class="filename">/etc/sudoers</code>.
					</div></div><div class="para">
					Het <code class="command">sudo</code> commando staat een hoge mate van flexibiliteit toe. Bijvoorbreeld, alleen gebruikers die vermeld zijn in het <code class="filename">/etc/sudoers</code> configuratiebestand hebben het recht om het <code class="command">sudo</code> commando te gebruiken en het commando wordt uitgevoerd in de shell <span class="emphasis"><em>van de gebruiker</em></span>, niet in een root shell. Dit betekent dat de root shell helemaal uitgezet kan worden, zoals getoond is in <a class="xref" href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Disallowing_Root_Access-Disabling_the_Root_Shell" title="2.1.4.2.1. De root shell onmogelijk maken">ParagraafÂ 2.1.4.2.1, â€œDe root shell onmogelijk makenâ€</a>.
				</div><div class="para">
					Het <code class="command">sudo</code> commando biedt ook een uitgebreid controle spoor. Elke succesvolle authenticatie wordt vastgelegd in het bestand <code class="filename">/var/log/messages</code> en het opgegeven commando wordt tezamen met de gebruikersnaam van de opdrachtgever weggeschreven naar het bestand <code class="filename">/var/log/secure</code>.
				</div><div class="para">
					Een ander voordeel van het <code class="command">sudo</code> commando is dat een beheerder verschilende gebruikers toegang kan geven tot specifieke commando's gebaseerd op hun behoefte.
				</div><div class="para">
					Beheerder die het <code class="command">sudo</code> configuratiebestand, <code class="filename">/etc/sudoers</code>, willen bewerken, moeten het <code class="command">visudo</code> commando gebruiken.
				</div><div class="para">
					Om iemand volledige beheersrechten te geven, type je <code class="command">visudo</code> in en je voegt een regel die lijkt op de volgende toe in de gebruikersrechten specificatie sectie:
				</div><pre class="screen"><code class="command">jan ALL=(ALL) ALL</code>
</pre><div class="para">
					Dit voorbeeld zegt dat de gebruiker, <code class="computeroutput">jan</code>, <code class="command">sudo</code> kan gebruiken vanaf elke host en elk commando kan uitvoeren.
				</div><div class="para">
					Het voorbeeld hier beneden laat de fijnkorreligheid zien die mogelijk is met het instellen van <code class="command">sudo</code>:
				</div><pre class="screen"><code class="command">%users localhost=/sbin/shutdown -h now</code>
</pre><div class="para">
					Dit voorbeeld zegt dat elek gebruiker het commando <code class="command">/sbin/shutdown -h now</code> mag opgeven zolang het opgegeven wordt vanaf de console.
				</div><div class="para">
					De manual pagina voor <code class="filename">sudoers</code> heeft een gedetaileerde lijst van opties voor dit bestand.
				</div></div></div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Workstation_Security-Available_Network_Services">2.1.5. Beschikbare netwerk services</h3></div></div></div><div class="para">
			Hoewel gebruikers toegang tot beheers controle een belangrijke zaak is voor systeembeheerders in een organisatie, is het bewaken van actieve netwerk services van levensbelang voor iedereen die een Linux systeem beheert en bedient.
		</div><div class="para">
			Veel services in Fedora gedragen zich als netwerk servers. Als een netwerk service op een machine draait, dan luistert een server toepassing (een <em class="firstterm">daemon</em> genaamd) maar verbindingen op een of meer netwerk poorten. Ieder van deze servers moet behandeld worden als een potentiele toegang voor een aanval.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Available_Network_Services-Risks_To_Services">2.1.5.1. Risico's voor services</h4></div></div></div><div class="para">
				Netwerk services kunnen vele risico's vormen voor Linux systemen. Hieronder staat een lijst van de hoofdzaken:
			</div><div class="itemizedlist"><ul><li><div class="para">
						<span class="emphasis"><em>Service weigerings aanvallen (DoS)</em></span> â€” Door het overspoelen van een service met verzoeken, kan een service weigerings aanval een systeem onbruikbaar maken als het probeert om ieder verzoek te verwerken.
					</div></li><li><div class="para">
						<span class="emphasis"><em>Script kwetsbaarheids aanval</em></span> â€” Als een server scripts gebruikt om de acties aan de server kant uit te voeren, zoals Web servers gewoonlijk doen, kan een cracker aanvallen met onjuist geschreven scripts. Deze script kwetsbaarheids aanvallen kunnen leiden tot een buffer overloop conditie en staan de aanvaller toe om bestanden op het systeem te veranderen.
					</div></li><li><div class="para">
						<span class="emphasis"><em>Buffer overloop aanvallen</em></span> â€” Services die verbinden met de poorten genummerd van 0 tot en met 1023 moeten draaien als een beheersgebruiker. Als de toepassing een benutbare buffer overloop heeft, kan een aanvaller toegang krijgen tot het systeem als de gebruiker die de daemon draait. Omdat benutbare buffer overlopen bestaan, gebruiken crackers automatische gereedschappen om systemen met kwetsbaarheden te identificeren, en zodra ze toegang hebben, kunnen ze geautomatiseerde rootkits gebruiken om hun toegang naar het systeem te handhaven.
					</div></li></ul></div><div class="note"><h2>Opmerking</h2><div class="para">
					De dreiging van buffer overloop kwetsbaarheden wordt in Fedora verlicht door <em class="firstterm">ExecShield</em>, een uitvoerbaar geheugen segmentatie en beschermings technologie ondersteund door x86-compatibele een- en multi-processor kernels. ExecShield vermindert het risico van buffer overloop door het verdelen van virtueel geheugen in uitvoerbare en niet-uitvoerbare segmenten. Elk programma dat probeert draaien buiten een uitvoerbaar segment (zoals kwaadwillige code ingebracht met een buffer overloop uitbuiting) veroorzaakt een segmentatie fout en stopt.
				</div><div class="para">
					ExecShield bevat ook ondersteuning voor <em class="firstterm">No eXecute</em> (<acronym class="acronym">NX</acronym>) technologie op AMD 64 platforms en <em class="firstterm">eXecute Disable</em> (<acronym class="acronym">XD</acronym>) technologie op Itanium en <span class="trademark">Intel</span>Â® 64 systemen. Deze technologie werkt samen met ExecShield om kwaadwillige code te beletten om te draaien in het uitvoerbare deel van virtueel geheugen met een verdeling van 4KB uitvoerbare code, wat het risico van een aanval van onopgemerkte buffer overloop aanvallen verlaagd.
				</div></div><div class="important"><h2>Belangrijk</h2><div class="para">
					Om de blootstelling aan aanvallen over het Internet te beperken, moeten alle ongebruikte services uitgezet worden.
				</div></div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Available_Network_Services-Identifying_and_Configuring_Services">2.1.5.2. Het identificeren en instellen van services</h4></div></div></div><div class="para">
				Om beveiliging te verbeteren, worden de meeste netwerk services geinstalleerd met Fedora standaard uitgezet. Er zijn echter een paar belangrijke uitzonderingen:
			</div><div class="itemizedlist"><ul><li><div class="para">
						<code class="command">cupsd</code> â€” De standaard printer server in Fedora.
					</div></li><li><div class="para">
						<code class="command">lpd</code> â€” Een alternatieve print server.
					</div></li><li><div class="para">
						<code class="command">xinetd</code> â€” Een super server die verbindingen controleert van een reeks van ondergeschikte servers, zoals <code class="command">gssftp</code> en <code class="command">telnet</code>.
					</div></li><li><div class="para">
						<code class="command">sendmail</code> â€” Het Sendmail <em class="firstterm">Mail Transport Agent</em> (<abbr class="abbrev">MTA</abbr>) is standaard aangezet, maar luitert alleen naar verbindingen van de <span class="interface">localhost</span>.
					</div></li><li><div class="para">
						<code class="command">sshd</code> â€” De OpenSSH server, wat een veilige vervanging is voor Telnet.
					</div></li></ul></div><div class="para">
				Om te bepalen of deze services moeten blijven draaien, is het het beste om je gezonde verstand te gebruiken en voorzichtig te blijven. Bijvoorbeeld, als er geen printer beschikbaar is, laat dan <code class="command">cupsd</code> niet draaien. Hetzelfde geldt voor <code class="command">portmap</code>. Als je geen NFSv3 volumes aankoppelt of NIS (de <code class="command">ypbind</code> service) gebruikt, dan moet <code class="command">portmap</code> uitgezet worden.
			</div><div class="figure" id="figu-Security_Guide-Identifying_and_Configuring_Services-Services_Configuration_Tool"><div class="figure-contents"><div class="mediaobject"><img src="images/fed-service_config.png" alt="Service configuratie gereedschap"/><div class="longdesc"><div class="para">
							<span class="application"><strong>Service configuratie gereedschap</strong></span> afbeelding
						</div></div></div></div><h6>Figuur 2.3. <span class="application">Service configuratie gereedschap</span></h6></div><br class="figure-break"/><div class="para">
				Als je niet zeker bent van het doel van een bepaalde service, laat het <span class="application"><strong>Service configuratie</strong></span> gereedschap een omschrijving zien met extra informatie zoals getoond in <a class="xref" href="chap-Security_Guide-Securing_Your_Network.html#figu-Security_Guide-Identifying_and_Configuring_Services-Services_Configuration_Tool" title="Figuur 2.3. Service configuratie gereedschap">FiguurÂ 2.3, â€œService configuratie gereedschapâ€</a>.
			</div><div class="para">
				Het controleren van welke services beschikbaar zijn om te starten tijdens het opstarten van de computer is een kant van het verhaal. Je moet ook controleren welke poorten open zijn en luisteren. Refereer naar <a class="xref" href="sect-Security_Guide-Server_Security-Verifying_Which_Ports_Are_Listening.html" title="2.2.8. Het verifieren van welke poorten luisteren">ParagraafÂ 2.2.8, â€œHet verifieren van welke poorten luisterenâ€</a> voor meer informatie.
			</div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Available_Network_Services-Insecure_Services">2.1.5.3. Onveilige services</h4></div></div></div><div class="para">
				Potentieel is elke netwerk service onveilig. Daarom is het uitzetten van ongebruikte services zo belangrijk. Uitbuitingen voor services worden routinematig openbaar gemaakt en gecorrigeerd, wat het erg belangrijk maakt om regelmatig pakketten te vernieuwen die behoren bij een netwerk service. Refereer naar <a class="xref" href="sect-Security_Guide-Security_Updates.html" title="1.5. Beveiligings vernieuwingen">ParagraafÂ 1.5, â€œBeveiligings vernieuwingenâ€</a> voor meer informatie.
			</div><div class="para">
				Sommige netwerk protocollen zijn inherent onveiliger dan andere. Zij omvatten alle services die:
			</div><div class="itemizedlist"><ul><li><div class="para">
						<span class="emphasis"><em>Gebruikersnamen en wachtwoorden onversleuteld over een netwerk versturen</em></span> â€” Vele oudere protocollen, zoals Telnet en FTP, versleutelen de authenticatie sessie niet en moeten wanneer mogelijk vermeden worden.
					</div></li><li><div class="para">
						<span class="emphasis"><em>Gevoelige data onversleuteld over een netwerk versturen</em></span> â€” Vele protocollen verzenden data onversleuteld over het netwerk. Deze protocollen omvatten Telnet, FTP, HTTP, en SMTP. Veel netwerk bestandssystemen, zoals NFS en SMB, versturen ook informatie onversleuteld over het netwerk. Het is de verantwoordelijkheid van de gebruiker om bij het gebruik van deze protocollen het type van de verzonden data te beperken.
					</div><div class="para">
						Geheug dump services op afstand, zoals <code class="command">netdump</code>, verzenden de inhoud van het geheugen onversleuteld over het netwerk. Geheugen dumps kunnen wachtwoorden bevatten of, nog erger, database ingangen en andere gevoelige informatie.
					</div><div class="para">
						Andere services zoals <code class="command">finger</code> en <code class="command">rwhod</code> onthullen informatie over gebuikers van het systeem.
					</div></li></ul></div><div class="para">
				Voorbeelden van inherent onveilige services zijn <code class="command">rlogin</code>, <code class="command">rsh</code>, <code class="command">telnet</code>, en <code class="command">vsftpd</code>.
			</div><div class="para">
				Alle login en shell programma's op afstand (<code class="command">rlogin</code>, <code class="command">rsh</code>, en <code class="command">telnet</code>) moeten vermeden worden ten gunste van SSH. Refereer naar <a class="xref" href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-Security_Enhanced_Communication_Tools" title="2.1.7. Communicatie greedschappen met verbeterde beveiliging">ParagraafÂ 2.1.7, â€œCommunicatie greedschappen met verbeterde beveiligingâ€</a> voor meer informatie over <code class="command">sshd</code>.
			</div><div class="para">
				FTP is niet even inherent gevaarlijk voor de beveiliging van het systeem als shells op afstand, maar FTP servers moeten zorgvuldig ingesteld en bewaakt worden om problemen te vermijden. Refreer naar <a class="xref" href="sect-Security_Guide-Server_Security-Securing_FTP.html" title="2.2.6. FTP beveiligen">ParagraafÂ 2.2.6, â€œFTP beveiligenâ€</a> voor meer informatie over het beveiligen van FTP servers.
			</div><div class="para">
				Services die zorgvulding ingesteld moeten worden en zich achter een firewall moeten bevinden omvatten:
			</div><div class="itemizedlist"><ul><li><div class="para">
						<code class="command">finger</code>
					</div></li><li><div class="para">
						<code class="command">authd</code> (deze werd <code class="command">identd</code> genoemd in vorige Fedora vrijgaves.)
					</div></li><li><div class="para">
						<code class="command">netdump</code>
					</div></li><li><div class="para">
						<code class="command">netdump-server</code>
					</div></li><li><div class="para">
						<code class="command">nfs</code>
					</div></li><li><div class="para">
						<code class="command">rwhod</code>
					</div></li><li><div class="para">
						<code class="command">sendmail</code>
					</div></li><li><div class="para">
						<code class="command">smb</code> (Samba)
					</div></li><li><div class="para">
						<code class="command">yppasswdd</code>
					</div></li><li><div class="para">
						<code class="command">ypserv</code>
					</div></li><li><div class="para">
						<code class="command">ypxfrd</code>
					</div></li></ul></div><div class="para">
				Meer informatie over het beveiligen van netwerk services is beschikbaar in <a class="xref" href="sect-Security_Guide-Server_Security.html" title="2.2. Server beveiliging">ParagraafÂ 2.2, â€œServer beveiligingâ€</a>.
			</div><div class="para">
				De volgende paragraaf bespreekt gereedschappen om een eenvoudige firewall in te stellen
			</div></div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Workstation_Security-Personal_Firewalls">2.1.6. Persoonlijke firewalls</h3></div></div></div><div class="para">
			Als de <span class="emphasis"><em>noodzakelijke</em></span> netwerk services zijn ingesteld, is het belangrijk om een firewall te maken.
		</div><div class="important"><h2>Belangrijk</h2><div class="para">
				Je moet de noodzakelijke services instellen en een firewall maken <span class="emphasis"><em>voordat</em></span> je verbindt met het Internet of elk ander netwerk.
			</div></div><div class="para">
			Firewalls beletten netwerkpakketten toegang tot de netwerk interface van het systeem. Als een verzoek komt voor een poort die geblokkeerd is door een firewall, wordt het verzoek genegeerd. Als een service luistert naar een van deze geblokkeerde poorten, ontvang het deze pakketten niet en is effectief uitgezet. Daarom moet zorg worden betracht bij het instellen van een firewall om toegang te blokkeren naar poorten die niet in gebruik zijn, terwijl poorten in gebruik door ingestelde services niet geblokkeerd moeten worden.
		</div><div class="para">
			Voor de meeste gebruikers is het beste gereedschap voor het instellen van een eenvoudige firewall het grafische firewall instel gereedschap dat met Fedora meegeleverd wordt: het <span class="application"><strong>Firewall Configuration Tool</strong></span> (<code class="command">system-config-firewall</code>). Dit gereedschap maakt ruime <code class="command">iptables</code> regels voor een algemene firewall door het gebruik van een controle paneel interface.
		</div><div class="para">
			Refereer naar <a class="xref" href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html" title="2.8.2. Basis firewall instelling">ParagraafÂ 2.8.2, â€œBasis firewall instellingâ€</a> voor meer informatie over het gebruik van deze toepassing en zijn beschikbare opties.
		</div><div class="para">
			Voor gevorderde gebruikers en server beheerders, is het handmatig instellen van een firewall met <code class="command">iptables</code> waarschijnlijk een betere optie. Refereer naar <a class="xref" href="sect-Security_Guide-Firewalls.html" title="2.8. Firewalls">ParagraafÂ 2.8, â€œFirewallsâ€</a> voor meer informatie. Refereer naar <a class="xref" href="sect-Security_Guide-IPTables.html" title="2.9. IPTables">ParagraafÂ 2.9, â€œIPTablesâ€</a> voor een uitgebreide gids voor het <code class="command">iptables</code> commando.
		</div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Workstation_Security-Security_Enhanced_Communication_Tools">2.1.7. Communicatie greedschappen met verbeterde beveiliging</h3></div></div></div><div class="para">
			Met de de groei van de grootte en populariteit van het Internet is ook de bedreiging van communicatie onderschepping gegroeid. In de loop der jaren zijn gereedschappen ontwikkeld om communicatie die over het netwerk verstuurd wordt te versleutelen.
		</div><div class="para">
			Fedora wordt geleverd met twee basis gereedschappen die versleutel algorithme's van hoog niveau en gebaseerd op publieke sleutels gebruiken om informatie te beschermen als het over het netwerk gaat.
		</div><div class="itemizedlist"><ul><li><div class="para">
					<span class="emphasis"><em>OpenSSH</em></span> â€” Een vrije implementatie van het SSH protocol voor versleutelde netwerk communicatie.
				</div></li><li><div class="para">
					<span class="emphasis"><em>Gnu Privacy Guard (GPG)</em></span> â€” Een vrije implementatie van de PGP (Pretty Good Privacy) versleutelings toepassing voor het versleutelen van data.
				</div></li></ul></div><div class="para">
			OpenSSH een een veiliger manier om toegang te krijgen naar een machine op afstand en vervangt oudere, onversleutelde services zoals <code class="command">telnet</code> en <code class="command">rsh</code>. OpenSSH bevat een netwerk service <code class="command">sshd</code> genaamd en drie commandoregel client toepassingen:
		</div><div class="itemizedlist"><ul><li><div class="para">
					<code class="command">ssh</code> â€” Een veilige console toegang client op afstand.
				</div></li><li><div class="para">
					<code class="command">scp</code> â€” Een veilig copiÃ«er commando op afstand.
				</div></li><li><div class="para">
					<code class="command">sftp</code> â€” Een veilige pseudo-ftp client die interactieve bestand overdracht sessies toestaat.
				</div></li></ul></div><div class="para">
			Refereer naar <a class="xref" href="Security_Guide-Encryption-Data_in_Motion-Secure_Shell.html" title="3.6. Beveiligde shell">ParagraafÂ 3.6, â€œBeveiligde shellâ€</a> voor meer informatie onver OpenSSH.
		</div><div class="important"><h2>Belangrijk</h2><div class="para">
				Hoewel de <code class="command">sshd</code> service inherent veilig is, <span class="emphasis"><em>moet</em></span> de service up-to-date worden gehouden om beveiligingsdreigingen te voorkomen. Refereer naar <a class="xref" href="sect-Security_Guide-Security_Updates.html" title="1.5. Beveiligings vernieuwingen">ParagraafÂ 1.5, â€œBeveiligings vernieuwingenâ€</a> voor meer informatie.
			</div></div><div class="para">
			GPG is een manier om privÃ© email communicatie te verzekeren. Het kan gebruikt worden zowel voor het emailen van gevoelige data over publieke netwerken, als het beschermen van gevoelige data op harde schijven.
		</div></div></div><div class="footnotes"><br/><hr/><div class="footnote"><p><sup>[<a id="ftn.d0e1483" href="#d0e1483" class="para">11</a>] </sup>
					Omdat systeem BIOS'en afhangen van de leverancier, kunnen sommige geen van beide types wachtwoordbescherming ondersteunen, terwijl andere maar een van de twee types hebben.
				</p></div><div class="footnote"><p><sup>[<a id="ftn.d0e1589" href="#d0e1589" class="para">12</a>] </sup>
						GRUB accepteert ook niet-versleutelde wachtwoorden, maar het wordt aanbevolen om een MD5 hash te gebruiken voor extra veiligheid.
					</p></div><div class="footnote"><p><sup>[<a id="ftn.d0e2610" href="#d0e2610" class="para">13</a>] </sup>
						Deze toegang valt nog steeds onder de beperkingen opgelegd door SELinux, als deze is aangezet.
					</p></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Updating_Packages-Applying_the_Changes.html"><strong>Terug</strong>1.5.4. De veranderingen toepassen</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security.html"><strong>Volgende</strong>2.2. Server beveiliging</a></li></ul></body></html>

--- NEW FILE chap-Security_Guide-Security_Overview.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>Hoofdstuk 1. Beveiligings overzicht</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="index.html" title="Beveiligings gids"/><link rel="prev" href="We_Need_Feedback.html" title="2. We hebben terugkoppeling nodig!"/><link rel="next" href="sect-Security_Guide-Vulnerability_Assessment.html" title="1.2. Kwetsbaarheid beoordeling"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" hre
 f="We_Need_Feedback.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Vulnerability_Assessment.html"><strong>Volgende</strong></a></li></ul><div class="chapter" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="chap-Security_Guide-Security_Overview">Hoofdstuk 1. Beveiligings overzicht</h2></div></div></div><div class="toc"><dl><dt><span class="section"><a href="chap-Security_Guide-Security_Overview.html#sect-Security_Guide-Introduction_to_Security">1.1. Inleiding tot beveiliging</a></span></dt><dd><dl><dt><span class="section"><a href="chap-Security_Guide-Security_Overview.html#sect-Security_Guide-Introduction_to_Security-What_is_Computer_Security">1.1.1. Wat is computer beveiliging</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Security_Overview.html#sect-Security_Guide-Introduction_to_Security-SELinux">1.1.2. SELinux</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-
 Security_Overview.html#sect-Security_Guide-Introduction_to_Security-Security_Controls">1.1.3. Beveiligings controles</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Security_Overview.html#sect-Security_Guide-Introduction_to_Security-Conclusion">1.1.4. Conclusie</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Vulnerability_Assessment.html">1.2. Kwetsbaarheid beoordeling</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Vulnerability_Assessment.html#sect-Security_Guide-Vulnerability_Assessment-Thinking_Like_the_Enemy">1.2.1. Denk als de vijand</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Vulnerability_Assessment-Defining_Assessment_and_Testing.html">1.2.2. Het definieren van onderzoeken en testen</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Vulnerability_Assessment-Evaluating_the_Tools.html">1.2.3. Het evalueren van de gereedschappen</a></span></d
 t></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Attackers_and_Vulnerabilities.html">1.3. Aanvallers en kwetsbaarheden</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Attackers_and_Vulnerabilities.html#sect-Security_Guide-Attackers_and_Vulnerabilities-A_Quick_History_of_Hackers">1.3.1. Een kleine geschiedenis van hackers</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Network_Security.html">1.3.2. Bedreigingen voor netwerk beveiliging</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Server_Security.html">1.3.3. Bedreigingen voor server beveiliging</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Workstation_and_Home_PC_Security.html">1.3.4. Bedreigingen voor werkstations en beveiliging van thuis PC's</a></span></dt></dl></dd><dt><span class="se
 ction"><a href="sect-Security_Guide-Common_Exploits_and_Attacks.html">1.4. Veel voorkomende uitbuitingen en aanvallen</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Security_Updates.html">1.5. Beveiligings vernieuwingen</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Security_Updates.html#sect-Security_Guide-Security_Updates-Updating_Packages">1.5.1. Pakketten vernieuwen</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Updating_Packages-Verifying_Signed_Packages.html">1.5.2. Ondertekende pakketten verifiÃ«ren</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Updating_Packages-Installing_Signed_Packages.html">1.5.3. Ondertekende pakketten installeren</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Updating_Packages-Applying_the_Changes.html">1.5.4. De veranderingen toepassen</a></span></dt></dl></dd></dl></div><div class="para">
		Door het toenemende vertrouwen op krachtige computers in een netwerk om te helpen bedrijven draaiende te houden en contact te houden met onze persoonlijke informatie, zijn complete bedrijven ontstaan rond de praktijk van netwerk en computer beveiliging. Ondernemingen hebben de kennis en vaardigheden van beveiligings deskundigen ingeroepen om systemen correct te controleren en om aangepaste oplossingen te maken voor de werk vereisten van de organisatie. Omdat de meeste organisaties in toenemende mate dynamisch van natuur zijn, met werknemers die de IT hulpbronnen van de onderneming locaal en op afstand benaderen, is de behoefte aan beveiligde computeromgevingen sterk toegenomen.
	</div><div class="para">
		Helaas zien de meeste organisaties (maar ook individuele gebruikers) beveiling pas op de laatste plaats, een proces dat vergeten wordt door de aandacht voor toenemende rekenkracht, productiviteit, en budgettaire zaken. De juiste beveiligings implementatie wordt vaak <em class="firstterm">postmortem</em> uitgevoerd â€” nadat een ongeoorloofde indringing heeft plaats gevonden. Beveiligings deskundigen zijn er over eens dat het nemen van de juiste maatregelen voordat een locatie aangesloten wordt op een onbetrouwbaar netwerk, zoals het Internet, een effectieve manier is om de meeste indringings pogingen af te wenden.
	</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Introduction_to_Security">1.1. Inleiding tot beveiliging</h2></div></div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Introduction_to_Security-What_is_Computer_Security">1.1.1. Wat is computer beveiliging</h3></div></div></div><div class="para">
			Computer beveiliging is een algemene term die een breed gebied van computer en informatie verwerking afdekt. Ondernemingen die afhangen van computer systemen en netwerken om hun dagelijkse zakentransacties uit te voeren en toegang hebben tot cruciale informatie, zien hun data als een belangrijk onderdeel van hun totale bezit. Verscheidene uitdrukkingenen en metrieken zijn binnengedrongen in onze zakelijke woordenschat, zoals totale kosten van eigendom (total cost of ownership - TCO), en kwaliteit van diensten (quality of service - QoS). Met gebruik van deze metrieken kunnen ondernemingen aspecten bereken zoals data integriteit en hoge-beschikbaarheid als onderdeel van hun planning en procesbeheerskosten. In sommige industrieÃ«n, zoals electronische handel, kan het de beschikbaarheid en betrouwbaarheid van data het vertschil zijn tussen succes en mislukken.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-What_is_Computer_Security-How_did_Computer_Security_Come_about">1.1.1.1. Hoe is computer beveiliging ontstaan?</h4></div></div></div><div class="para">
				Informatie beveiliging is door de jaren heen gegroeid door het toenemende vertrouwen van publieke netwerken om hun persoonlijke, financielen en andere vertrouwlijke informatie niet te openbaren. Er zijn talrijke voorbeelden zoals de Mitnick <sup>[<a id="d0e405" href="#ftn.d0e405" class="footnote">1</a>]</sup>en de Vladimir Levin <sup>[<a id="d0e409" href="#ftn.d0e409" class="footnote">2</a>]</sup> zaken die organisaties in alle industrieÃ«n hebben aangezet om de manier waarop ze informatie behandelen te overdenken, maar ook de overbrenging en onthulling van data. De populariteit van het Internet was een van de belangrijkste ontwikkelingen die aanzette tot een toenemende inspanning in data beveiliging.
			</div><div class="para">
				Een steeds groeiend aantal mensen gebruiken hun persoonlijke computer om toegang te krijgen tot hulpbronnen die het Internet heeft te bieden. Van onderzoeken en vinden van informatie tot electronische mail en commerciele transacties, wordt het Internet gezien als een van de belangrijkste ontwikkelingen van de 20ste eeuw.
			</div><div class="para">
				Het Internet en zijn eerdere protocollen zijn echter ontwikkeld als een op <em class="firstterm">vertrouwen-gebaseerd</em> systeem. Dat betekent dat het Internet Protocal niet ontworpen is om zelf veilig te zijn. Er zijn geen goedgekeurde beveiligings standaarden ingebouwd in de TCP/IP comminicatie stack, waardoor het open is voor kwaadwillige gebruikers en processen over het netwerk. Moderne ontwikkelingen hebben het Internet veiliger gemaakt, maar er zijn nog steeds verscheidene incidenten die landelijke aandacht krijgen en ons op het feit attenderen dat niets geheel veilig is..
			</div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-What_is_Computer_Security-Security_Today">1.1.1.2. Beveiliging in deze tijd</h4></div></div></div><div class="para">
				In februari 2000 werd een Distributed Denial of Service (DDoS) aanval uitgevoerd op verscheidene van de meest gebruikte sites op het Internet. De aanval maakte yahoo.com, cnn.com, amazon.com, fbi.gov, en verscheidene andere sites volkomen onbereikbaar voor gewone gebruikers, omdat het de routers urenlang bezig hield met ICMP pakket verkeer, ook wel ping flood genoemd. De aanval werd uitgevoerd door onbekende aanvallers met gebruik van speciaal gemaakte, breed verkrijgbare programma's die kwetsbare netwerkservers opzochten en daarop client toepassingen installeerden (trojans genaamd), waarna de aanvallen van alle geinfecteerde servers de slachtoffer sites overspoelden en ze onbereikbaar maakten. Veel mensen geven de schuld aan fundementele problemen in de manier waarop routers en de gebruikte protocollen zijn ingesteld om alle binnenkomende data te accepteren, onafhankelijk waar heen of voor welk doel de pakketten verzonden worden.
			</div><div class="para">
				In 2007 resulteerde een data inbreuk, die een algemeen bekende zwakte van het Wired Equivalent Privacy (WEP) draadloze versleutelings protocol misbruikte, in de diefstal van meer dan 45 miljoen creditkaart nummers van een globaal operende financiele instelling.<sup>[<a id="d0e427" href="#ftn.d0e427" class="footnote">3</a>]</sup>
			</div><div class="para">
				In een ander voorval werden de rekening gegevens van meer dan 2.2 miljoen patienten, die bewaard werden op een backup tape, gestolen van de voor zitting uit de auto van een koerier.<sup>[<a id="d0e433" href="#ftn.d0e433" class="footnote">4</a>]</sup>
			</div><div class="para">
				Er wordt geschat dat op dit moment 1.4 miljard mensen over de gehele wereld het Internet gebruiken of hebben gebruikt.<sup>[<a id="d0e439" href="#ftn.d0e439" class="footnote">5</a>]</sup> Te gelijkertijd:
			</div><div class="itemizedlist"><ul><li><div class="para">
						Elke dag worden er ongeveer 225 belangrijke incidenten met betrekking tot beveilingsinbreuken gerapporteerd aan de CERT Coordination Center in Carnegie Mellon.<sup>[<a id="d0e447" href="#ftn.d0e447" class="footnote">6</a>]</sup>
					</div></li><li><div class="para">
						In 2003 ging het aantal aan CERT gerapporteerde incidenten naar 137.529 vergeleken met 82.094 in 2002 en 52.658 in 2001.<sup>[<a id="d0e454" href="#ftn.d0e454" class="footnote">7</a>]</sup>
					</div></li><li><div class="para">
						De wereldwijde economische impact van de drie gevaarlijkste Internet virussen van de laatste drie jaar wordt geschat op 13.2 miljard $.<sup>[<a id="d0e461" href="#ftn.d0e461" class="footnote">8</a>]</sup>
					</div></li></ul></div><div class="para">
				Een aantal punten uit een globaal onderzoek van zakelijke en technologische leidinggevers "The Global State of Information Security"<sup>[<a id="d0e467" href="#ftn.d0e467" class="footnote">9</a>]</sup>, uitgevoerd door <span class="emphasis"><em>CIO Magazine</em></span>, zijn:
			</div><div class="itemizedlist"><ul><li><div class="para">
						Slechts 43% van de ondervraagden bewaken de naleving van beveiligingsvoorschriften door gebruikers
					</div></li><li><div class="para">
						Slechts 22% houdt bij welke externe bedrijven hun data gebruiken
					</div></li><li><div class="para">
						De oorzaak van bijna de helft van de beveiligings incidenten is omschreven als "Onbekend"
					</div></li><li><div class="para">
						44% van de ondervraagden is van plan de beveiligingsuitgaven in het volgend jaar te verhogen
					</div></li><li><div class="para">
						59% hebben en informatie beveiligings strategie.
					</div></li></ul></div><div class="para">
				Deze resultaten onderstrepen de werkelijkheid dat computerbeveiliging een meetbaar en verdedigbaar onderdeel is van IT budgetten. Organisaties die data integriteit en hoge beschikbaarheid vereisen, gebruiken de vaardigheden van beheerders, ontwikkelaars, en ingenieurs om zeker te zijn van ononderbroken betrouwbaarheid van hun systemen, diensten, en informatie. Het slachtoffer worden van kwaadwillige gebruikers, processen, of gecoÃ¶rdineerde aanvallen is een direkte bedreiging van het succes van de organisatie.
			</div><div class="para">
				Helaas is systeem en netwerk beveiliging een moeilijk vak, wat een uitgebreide kennis vereist van de manier waarop een organisatie zijn informatie beschouwt, gebruikt, manipuleert en overbrengt. Het begrijpen van de manier waarop de organisatie (en de mensen die de organisatie vormen) zaken doet is van groot belang voor het maken van een juist beveiligingsplan.
			</div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-What_is_Computer_Security-Standardizing_Security">1.1.1.3. Het standaardiseren van beveiliging</h4></div></div></div><div class="para">
				Bedrijven in elke industrie tak vertrouwen op voorschriften en regels die gemaakt zijn door standaardisatie organisaties zoals de American Medical Association (AMA) of de Institute of Electrical and Electronics Engineers (IEEE). Hetzelfde ideaal geldt voor informatie beveiliging. Veel beveiligings consulenten en bedrijven omarmen het standaard beveiligings model bekend als CIA, of <em class="firstterm">Confidentiality, Integrity, and Availability</em> (Vertrouwlijkheid, Integriteit, en Beschikbaarheid). Dit drie-lagen model is een algemeen geaccepteerd onderdeel om de risico's van gevoelige informatie te onderzoeken en een beveiligings tactiek uit te stippelen.. Het volgende beschrijft het CIA model in meer detail:
			</div><div class="itemizedlist"><ul><li><div class="para">
						Confidentiality (Vertrouwlijkheid) â€” Gevoelige informatie moet alleen beschikbaar zijn voor een beperkt, gedefinieerd aantal mensen. Onbevoegde overdracht en gebruik van informatie moet beperkt worden. Bijvoorbeeld, vertrouwlijkheid van informatie verzekert dat de persoonlijke en financiele informatie van een klant niet verkregen kan worden door een onbevoegd persoon voor kwaadwillige doeleinden zoals identiteit diefstal of creditkaart fraude.
					</div></li><li><div class="para">
						Integrity (Integriteit) â€” Informatie moet niet veranderd worden op een manier waardoor het incompleet of incorrect wordt. Onbevoegde gebruikers moeten beperkt worden in de mogelijkheden om gevoelige informatie te veranderen of te vernietigen.
					</div></li><li><div class="para">
						Availability (Beschikbaarheid) â€” Informatie moet toegankelijk zijn voor bevoegde gebruikers op ieder moment dat dit nodig is. Beschikbaarheid is een garantie dat informatie verkregen kan worden met een afgesproken frequentie en snelheid. Dit wordt vaak gemeten in percentages en wordt formeel afgesproken in Service Level Agreements (SLAs) (Service Niveau Overeenkomsten) gebruikt door netwerk dienst aanbieders en hun zakelijke klanten.
					</div></li></ul></div></div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Introduction_to_Security-SELinux">1.1.2. SELinux</h3></div></div></div><div class="para">
			Fedora bevat een uitbreiding van de Linux kernel, SELinux genaamd, welke een Mandatory Access Control (MAC) (Verplichte Toegangs Controle) architectuur implementeert die een fijn-korrelig niveau van controle over bestanden, processen, gebruikers, en toepassingen in het systeem biedt.
		</div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Introduction_to_Security-Security_Controls">1.1.3. Beveiligings controles</h3></div></div></div><div class="para">
			computer beveiliging wordt vaak verdeeld in drie aparte hoofdgroepen, gewoonlijk aangegeven als <em class="wordasword">controles</em>:
		</div><div class="itemizedlist"><ul><li><div class="para">
					Fysiek
				</div></li><li><div class="para">
					Technisch
				</div></li><li><div class="para">
					Administratief
				</div></li></ul></div><div class="para">
			Deze drie brede categorieÃ«n definieren de belangrijkste doelen van een juiste beveiligings implementatie. Binnen deze controles zijn sub-categorieÃ«n die de controles verder detaileren en de implementatie aangeven.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Security_Controls-Physical_Controls">1.1.3.1. Fysieke controles</h4></div></div></div><div class="para">
				Fysieke controles is de implementatie van beveiligings maatregelen in een gedefinieerde structuur voor het afschrikken of verhinderen van onbevoegde toegang tot gevoelig materiaal. Voorbeelden van fysieke controles zijn:
			</div><div class="itemizedlist"><ul><li><div class="para">
						Gesloten-circuit bewakings camera's
					</div></li><li><div class="para">
						Beweigings of thermische alarm systemen
					</div></li><li><div class="para">
						Bewakers
					</div></li><li><div class="para">
						Badges met foto
					</div></li><li><div class="para">
						Afgesloten en vergrendelde stalen deuren
					</div></li><li><div class="para">
						Biometriek (zoals vingerafdrukken, stem, gezichts, iris, handschrift, en andere automatische methoden gebruikt om individuen te herkennen)
					</div></li></ul></div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Security_Controls-Technical_Controls">1.1.3.2. Technische controles</h4></div></div></div><div class="para">
				Technische controles gebruiken technologie als basis voor het controleren van de toegang tot en het gebruik van gevoelige data door een fysieke structuur en via een netwerk. Technische controles reiken ver en bevatten technologiÃ«n als:
			</div><div class="itemizedlist"><ul><li><div class="para">
						Versleuteling
					</div></li><li><div class="para">
						Smart cards
					</div></li><li><div class="para">
						Netwerk authenticatie
					</div></li><li><div class="para">
						Toegangs controle lijsten (ACL's)
					</div></li><li><div class="para">
						Bestandsintegriteit onderzoek software
					</div></li></ul></div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Security_Controls-Administrative_Controls">1.1.3.3. Administratieve controles</h4></div></div></div><div class="para">
				Administratieve controles definieren de menselijke factoren van beveiliging. Ze omvatten alle niveau's van personeel binnen een organisatie en bepalen welke gebruikers toegang hebben tot welke hulpbronnen en informatie met behulp van middelen als:
			</div><div class="itemizedlist"><ul><li><div class="para">
						Onderwijs en bewustzijn
					</div></li><li><div class="para">
						Voorbereid zijn op ongevallen en herstel plannen
					</div></li><li><div class="para">
						Personeel aanwerven en scheiden strategieÃ«n
					</div></li><li><div class="para">
						Personeelsregistratie en verantwoording
					</div></li></ul></div></div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Introduction_to_Security-Conclusion">1.1.4. Conclusie</h3></div></div></div><div class="para">
			Nu je iets hebt geleerd over de oorsprong, redenen, en aspecten van beveiliging, zul je het gemakkelijker vinden om de juiste actie koers te bepalen met betrekking tot Fedora. Het is belangrijk om te weten welke factoren en condities beveiliging bepalen om een juiste strategie te bedenken en te implementeren. Met deze informatie in gedachte, kan het proces geformaliseerd worden en wordt het pad duidelijker als je dieper in de specifieke aspecten van het beveiligings proces duikt.
		</div></div></div><div class="footnotes"><br/><hr/><div class="footnote"><p><sup>[<a id="ftn.d0e405" href="#d0e405" class="para">1</a>] </sup>
					http://law.jrank.org/pages/3791/Kevin-Mitnick-Case-1999.html
				</p></div><div class="footnote"><p><sup>[<a id="ftn.d0e409" href="#d0e409" class="para">2</a>] </sup>
					http://www.livinginternet.com/i/ia_hackers_levin.htm
				</p></div><div class="footnote"><p><sup>[<a id="ftn.d0e427" href="#d0e427" class="para">3</a>] </sup>
					http://www.theregister.co.uk/2007/05/04/txj_nonfeasance/
				</p></div><div class="footnote"><p><sup>[<a id="ftn.d0e433" href="#d0e433" class="para">4</a>] </sup>
					http://www.healthcareitnews.com/story.cms?id=9408
				</p></div><div class="footnote"><p><sup>[<a id="ftn.d0e439" href="#d0e439" class="para">5</a>] </sup>
					http://www.internetworldstats.com/stats.htm
				</p></div><div class="footnote"><p><sup>[<a id="ftn.d0e447" href="#d0e447" class="para">6</a>] </sup>
							http://www.cert.org
						</p></div><div class="footnote"><p><sup>[<a id="ftn.d0e454" href="#d0e454" class="para">7</a>] </sup>
							http://www.cert.org/stats/fullstats.html
						</p></div><div class="footnote"><p><sup>[<a id="ftn.d0e461" href="#d0e461" class="para">8</a>] </sup>
							http://www.newsfactor.com/perl/story/16407.html
						</p></div><div class="footnote"><p><sup>[<a id="ftn.d0e467" href="#d0e467" class="para">9</a>] </sup>
					http://www.csoonline.com/article/454939/The_Global_State_of_Information_Security_
				</p></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="We_Need_Feedback.html"><strong>Terug</strong>2. We hebben terugkoppeling nodig!</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Vulnerability_Assessment.html"><strong>Volgende</strong>1.2. Kwetsbaarheid beoordeling</a></li></ul></body></html>

--- NEW FILE chap-Security_Guide-Software_Maintenance.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>Hoofdstuk 6. Software onderhoud</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="index.html" title="Beveiligings gids"/><link rel="prev" href="sect-Security_Guide-Secure_Installation-Utilize_LUKS_Partition_Encryption.html" title="5.2. LUKS partitie versleuteling gebruiken"/><link rel="next" href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates.html" title="6.2. Het plannen en configureren van beveiligingsvernieuwingen"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_C
 ontent/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Secure_Installation-Utilize_LUKS_Partition_Encryption.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates.html"><strong>Volgende</strong></a></li></ul><div class="chapter" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="chap-Security_Guide-Software_Maintenance">Hoofdstuk 6. Software onderhoud</h2></div></div></div><div class="toc"><dl><dt><span class="section"><a href="chap-Security_Guide-Software_Maintenance.html#sect-Security_Guide-Software_Maintenance-Install_Minimal_Software">6.1. Installeer minimale software</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates.html">6.2. Het plannen en configureren van beveiligingsvernieuwingen</a><
 /span></dt><dt><span class="section"><a href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates-Adjusting_Automatic_Updates.html">6.3. Het aanpassen van automatische vernieuwingen</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Software_Maintenance-Install_Signed_Packages_from_Well_Known_Repositories.html">6.4. Installeer ondertekende pakketten van goed bekende repositories</a></span></dt></dl></div><div class="para">
		Software onderhoud is erg belangrijk om de beveiliging van een systeem te handhaven. Het is van vitaal belang om software te patchen zodra deze beschikbaar komen om aanvallers te verhinderen om bekende problemen te gebruiken om je systeem binnen te dringen.
	</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Software_Maintenance-Install_Minimal_Software">6.1. Installeer minimale software</h2></div></div></div><div class="para">
			Het is een goede praktijk om alleen die pakketten te installeren die je wilt gebruiken omdat ieder stukje software op je systeem een kwetsbaarheid kan bevatten. Als je installeert van de DVD media gebruik dan de mogelijkheid om precies die pakketten te selecteren die je tijdens de installatie wilt installeren. Als je ondekt dat je nog een pakket nodig hebt, kun je het altijd later nog aan je systeem toevoegen.
		</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Secure_Installation-Utilize_LUKS_Partition_Encryption.html"><strong>Terug</strong>5.2. LUKS partitie versleuteling gebruiken</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates.html"><strong>Volgende</strong>6.2. Het plannen en configureren van beveiligings...</a></li></ul></body></html>

--- NEW FILE index.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>Beveiligings gids</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><meta name="description" content="De Linux beveiligings gids is gemaakt om Linux gebruikers te helpen met het leren van de processen en praktijken voor het beveiligen van werkstations en servers tegen locale en indringing op aftstand, uitbuiting en kwaadwillige activiteiten. De Linux beveiligings gids beschrijft nauwkeurig de planning en de gereedschappen die nodig zijn voor het maken van een beveiligde computer omgeving voor data centrum, werkomgeving, en thuisgebruik. Met de juiste administratieve kennis, oplettendheid, en gereedschappen, kunnen systemen die Linux draaien zowel volledig functioneel zijn, als beveiligd zijn tegen de meest voorkomende indringings en uitbuitings methodes."/><l
 ink rel="home" href="index.html" title="Beveiligings gids"/><link rel="next" href="pref-Security_Guide-Preface.html" title="Voorwoord"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"/><li class="next"><a accesskey="n" href="pref-Security_Guide-Preface.html"><strong>Volgende</strong></a></li></ul><div class="book" lang="nl-NL"><div class="titlepage"><div><div class="producttitle"><span class="productname">fedora</span> <span class="productnumber">11</span></div><div><h1 id="d0e1" class="title">Beveiligings gids </h1></div><div><h2 class="subtitle">Een gids voor het beveiligen van Fedora Linux</h2></div><p class="edition">Uitgave 1.0</p><div><h3 class="corpauthor">
				<span class="inlinemediaobject"><object data="Common_Content/images/title_logo.svg" type="image/svg+xml"> Logo</object></span>
			</h3></div><div><div class="authorgroup"><div class="author"><h3 class="author"><span class="firstname">Johnray</span> <span class="surname">Fuller</span></h3><div class="affiliation"><span class="orgname">Red Hat</span></div><code class="email"><a class="email" href="mailto:jrfuller at redhat.com">jrfuller at redhat.com</a></code></div><div class="author"><h3 class="author"><span class="firstname">John</span> <span class="surname">Ha</span></h3><div class="affiliation"><span class="orgname">Red Hat</span></div><code class="email"><a class="email" href="mailto:jha at redhat.com">jha at redhat.com</a></code></div><div class="author"><h3 class="author"><span class="firstname">David</span> <span class="surname">O'Brien</span></h3><div class="affiliation"><span class="orgname">Red Hat</span></div><code class="email"><a class="email" href="mailto:daobrien at redhat.com">daobrien at redhat.com</a></code></div><div class="author"><h3 class="author"><span class="firstname">Scott</span> <span class=
 "surname">Radvan</span></h3><div class="affiliation"><span class="orgname">Red Hat</span></div><code class="email"><a class="email" href="mailto:sradvan at redhat.com">sradvan at redhat.com</a></code></div><div class="author"><h3 class="author"><span class="firstname">Eric</span> <span class="surname">Christensen</span></h3><div class="affiliation"><span class="orgname">Fedora Project</span> <span class="orgdiv">Documentation Team</span></div><code class="email"><a class="email" href="mailto:sparks at fedoraproject.org">sparks at fedoraproject.org</a></code></div></div></div><hr/><div><div id="d0e27" class="legalnotice"><h1 class="legalnotice">Bericht</h1><div class="para">
		Copyright <span class="trademark"/>Â© 2008 Red Hat, Inc. This material may only be distributed subject to the terms and conditions set forth in the Open Publication License, V1.0, (the latest version is presently available at <a href="http://www.opencontent.org/openpub/">http://www.opencontent.org/openpub/</a>).
	</div><div class="para">
		Fedora and the Fedora Infinity Design logo are trademarks or registered trademarks of Red Hat, Inc., in the U.S. and other countries.
	</div><div class="para">
		Red Hat and the Red Hat "Shadow Man" logo are registered trademarks of Red Hat Inc. in the United States and other countries.
	</div><div class="para">
		All other trademarks and copyrights referred to are the property of their respective owners.
	</div><div class="para">
		Documentation, as with software itself, may be subject to export control. Read about Fedora Project export controls at <a href="http://fedoraproject.org/wiki/Legal/Export">http://fedoraproject.org/wiki/Legal/Export</a>. 
	</div></div></div><div><div class="abstract"><h6>Samenvatting</h6><div class="para">De Linux beveiligings gids is gemaakt om Linux gebruikers te helpen
met het leren van de processen en praktijken voor het beveiligen
van werkstations en servers tegen locale en indringing op aftstand,
uitbuiting en kwaadwillige activiteiten. De Linux beveiligings gids
beschrijft nauwkeurig de planning en de gereedschappen die nodig
zijn voor het maken van een beveiligde computer omgeving voor data
centrum, werkomgeving, en thuisgebruik. Met de juiste
administratieve kennis, oplettendheid, en gereedschappen, kunnen
systemen die Linux draaien zowel volledig functioneel zijn, als
beveiligd zijn tegen de meest voorkomende indringings en
uitbuitings methodes.</div></div></div></div><hr/></div><div class="toc"><dl><dt><span class="preface"><a href="pref-Security_Guide-Preface.html">Voorwoord</a></span></dt><dd><dl><dt><span class="section"><a href="pref-Security_Guide-Preface.html#d0e101">1. Document Conventie</a></span></dt><dd><dl><dt><span class="section"><a href="pref-Security_Guide-Preface.html#d0e111">1.1. Typografische Conventies</a></span></dt><dt><span class="section"><a href="pref-Security_Guide-Preface.html#d0e330">1.2. Pull-quote Conventies</a></span></dt><dt><span class="section"><a href="pref-Security_Guide-Preface.html#d0e349">1.3. Noten en waarschuwingen</a></span></dt></dl></dd><dt><span class="section"><a href="We_Need_Feedback.html">2. We hebben terugkoppeling nodig!</a></span></dt></dl></dd><dt><span class="chapter"><a href="chap-Security_Guide-Security_Overview.html">1. Beveiligings overzicht</a></span></dt><dd><dl><dt><span class="section"><a href="chap-Security_Guide-Security_Overview.ht
 ml#sect-Security_Guide-Introduction_to_Security">1.1. Inleiding tot beveiliging</a></span></dt><dd><dl><dt><span class="section"><a href="chap-Security_Guide-Security_Overview.html#sect-Security_Guide-Introduction_to_Security-What_is_Computer_Security">1.1.1. Wat is computer beveiliging</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Security_Overview.html#sect-Security_Guide-Introduction_to_Security-SELinux">1.1.2. SELinux</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Security_Overview.html#sect-Security_Guide-Introduction_to_Security-Security_Controls">1.1.3. Beveiligings controles</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Security_Overview.html#sect-Security_Guide-Introduction_to_Security-Conclusion">1.1.4. Conclusie</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Vulnerability_Assessment.html">1.2. Kwetsbaarheid beoordeling</a></span></dt><dd><dl><dt><span class="sec
 tion"><a href="sect-Security_Guide-Vulnerability_Assessment.html#sect-Security_Guide-Vulnerability_Assessment-Thinking_Like_the_Enemy">1.2.1. Denk als de vijand</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Vulnerability_Assessment-Defining_Assessment_and_Testing.html">1.2.2. Het definieren van onderzoeken en testen</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Vulnerability_Assessment-Evaluating_the_Tools.html">1.2.3. Het evalueren van de gereedschappen</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Attackers_and_Vulnerabilities.html">1.3. Aanvallers en kwetsbaarheden</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Attackers_and_Vulnerabilities.html#sect-Security_Guide-Attackers_and_Vulnerabilities-A_Quick_History_of_Hackers">1.3.1. Een kleine geschiedenis van hackers</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Attackers_and_Vulnerabilitie
 s-Threats_to_Network_Security.html">1.3.2. Bedreigingen voor netwerk beveiliging</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Server_Security.html">1.3.3. Bedreigingen voor server beveiliging</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Workstation_and_Home_PC_Security.html">1.3.4. Bedreigingen voor werkstations en beveiliging van thuis PC's</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Common_Exploits_and_Attacks.html">1.4. Veel voorkomende uitbuitingen en aanvallen</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Security_Updates.html">1.5. Beveiligings vernieuwingen</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Security_Updates.html#sect-Security_Guide-Security_Updates-Updating_Packages">1.5.1. Pakketten vernieuwen</a></span></dt><dt><span class="section"><
 a href="sect-Security_Guide-Updating_Packages-Verifying_Signed_Packages.html">1.5.2. Ondertekende pakketten verifiÃ«ren</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Updating_Packages-Installing_Signed_Packages.html">1.5.3. Ondertekende pakketten installeren</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Updating_Packages-Applying_the_Changes.html">1.5.4. De veranderingen toepassen</a></span></dt></dl></dd></dl></dd><dt><span class="chapter"><a href="chap-Security_Guide-Securing_Your_Network.html">2. Je netwerk beveiligen</a></span></dt><dd><dl><dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security">2.1. Werkstation beveiliging</a></span></dt><dd><dl><dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-Evaluating_Workstation_Security">2.1.1. Het onderzoeken van werkstation beveiliging</a></spa
 n></dt><dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-BIOS_and_Boot_Loader_Security">2.1.2. BIOS en boot loader beveiliging</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-Password_Security">2.1.3. Wachtwoord beveiliging</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-Administrative_Controls">2.1.4. Administratieve controles</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-Available_Network_Services">2.1.5. Beschikbare netwerk services</a></span></dt><dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-Personal_Firewalls">2.1.6. Persoonlijke firewalls</a></span></dt><
 dt><span class="section"><a href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-Security_Enhanced_Communication_Tools">2.1.7. Communicatie greedschappen met verbeterde beveiliging</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Server_Security.html">2.2. Server beveiliging</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Server_Security.html#sect-Security_Guide-Server_Security-Securing_Services_With_TCP_Wrappers_and_xinetd">2.2.1. Het beveiligen van services met TCP wrappers en xinetd</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Server_Security-Securing_Portmap.html">2.2.2. Portmap beveiligen</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Server_Security-Securing_NIS.html">2.2.3. Het beveiligen van NIS</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Server_Security-Securing_NFS.html">2.2.4. NFS beveiligen
 </a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Server_Security-Securing_the_Apache_HTTP_Server.html">2.2.5. De Apache HTTP server beveiligen</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Server_Security-Securing_FTP.html">2.2.6. FTP beveiligen</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Server_Security-Securing_Sendmail.html">2.2.7. Sendmail beveiligen</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Server_Security-Verifying_Which_Ports_Are_Listening.html">2.2.8. Het verifieren van welke poorten luisteren</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Single_Sign_on_SSO.html">2.3. Eenmalig inschrijven (Single sign-on - SSO)</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Single_Sign_on_SSO.html#sect-Security_Guide-Single_Sign_on_SSO-Introduction">2.3.1. Inleiding</a></span></dt><dt><span class="section"><a href="sect-S
 ecurity_Guide-Single_Sign_on_SSO-Getting_Started_with_your_new_Smart_Card.html">2.3.2. Beginnen met je nieuwe Smart Card</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Enrollment_Works.html">2.3.3. Hoe werkt het in gebruik nemen van een Smart Card</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Login_Works.html">2.3.4. Hoe werkt inloggen met een Smart Card</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Single_Sign_on_SSO-Configuring_Firefox_to_use_Kerberos_for_SSO.html">2.3.5. Het instellen van Firefox om Kerberos te gebruiken voor SSO</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html">2.4. Pluggable Authentication Modules (PAM)</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html#sect-Security_Guide-Plug
 gable_Authentication_Modules_PAM-Advantages_of_PAM">2.4.1. Voordelen van PAM</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_Files.html">2.4.2. PAM configuratie bestanden</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format.html">2.4.3. PAM configuratie bestand formaat</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Sample_PAM_Configuration_Files.html">2.4.4. Voorbeeld PAM configuratie bestanden</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Creating_PAM_Modules.html">2.4.5. PAM modules aanmaken</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Administrative_Credential_Caching.html">2.4.6. PAM en administratieve legitimatie opslag</a><
 /span></dt><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Device_Ownership.html">2.4.7. PAM en apparaat eigendom</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Additional_Resources.html">2.4.8. Extra hulpbronnen</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html">2.5. TCP wrappers en xinetd</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html#sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers">2.5.1. TCP wrappers</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html">2.5.2. Configuratie bestanden voor TCP wrappers</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd.html">2.5.3. xinetd</a></span></dt><dt><span class="section
 "><a href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd_Configuration_Files.html">2.5.4. xinetd configuratie bestanden</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-TCP_Wrappers_and_xinetd-Additional_Resources.html">2.5.5. Extra hulpbronnen</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Kerberos.html">2.6. Kerberos</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Kerberos.html#sect-Security_Guide-Kerberos-What_is_Kerberos">2.6.1. Wat is Kerberos?</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-Kerberos_Terminology.html">2.6.2. Kerberos terminologie</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-How_Kerberos_Works.html">2.6.3. Hoe werkt Kerberos</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-Kerberos_and_PAM.html">2.6.4. Kerberos en PAM</a></span></dt><dt><span class="section"><a href="sect-S
 ecurity_Guide-Kerberos-Configuring_a_Kerberos_5_Server.html">2.6.5. Het instellen van een Kerberos 5 server</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Client.html">2.6.6. Het instellen van een Kerberos 5 client</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-Domain_to_Realm_Mapping.html">2.6.7. Domein naar gebied afbeelding</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-Setting_Up_Secondary_KDCs.html">2.6.8. Instellen van secundaire KDC's</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-Setting_Up_Cross_Realm_Authentication.html">2.6.9. Cross gebieds authenticatie instellen</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Kerberos-Additional_Resources.html">2.6.10. Extra hulpbronnen</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html">2.7. V
 irtuele privÃ© netwerken (VPN's)</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html#sect-Security_Guide-Virtual_Private_Networks_VPNs-How_Does_a_VPN_Work">2.7.1. Hoe werk een VPN?</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs-VPNs_and_PROD.html">2.7.2. VPN's and Fedora</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec.html">2.7.3. IPsec</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Creating_an_IPsec_Connection.html">2.7.4. Een IPsec verbinding maken</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Installation.html">2.7.5. IPsec installatie</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html">2.7.6. IPsec host-na
 ar-host configuratie</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html">2.7.7. IPsec netwerk-naar-netwerk configuratie</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Starting_and_Stopping_an_IPsec_Connection.html">2.7.8. Het starten en stoppen van een IPsec verbinding</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Firewalls.html">2.8. Firewalls</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Firewalls.html#sect-Security_Guide-Firewalls-Netfilter_and_IPTables">2.8.1. Netfilter en IPTables</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html">2.8.2. Basis firewall instelling</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-Using_IPTables.html">2.8.3. IPTables gebruiken</a></span><
 /dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-Common_IPTables_Filtering.html">2.8.4. Algemene IPTables filtering</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html">2.8.5. FORWARD en NAT regels</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-Malicious_Software_and_Spoofed_IP_Addresses.html">2.8.6. Kwaadwillige software en bedrogen IP adressen</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-IPTables_and_Connection_Tracking.html">2.8.7. IPTables en verbindingen volgen</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-IPv6.html">2.8.8. IPv6</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Firewalls-Additional_Resources.html">2.8.9. Extra hulpbronnen</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-IPTables.html">2.9. IPTables</a></span></dt><dd><dl><dt><spa
 n class="section"><a href="sect-Security_Guide-IPTables.html#sect-Security_Guide-IPTables-Packet_Filtering">2.9.1. Pakket filtering</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-IPTables-Differences_Between_IPTables_and_IPChains.html">2.9.2. Verschillen tussen IPTables en IPChains</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-IPTables-Command_Options_for_IPTables.html">2.9.3. Commando opties voor IPTables</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-IPTables-Saving_IPTables_Rules.html">2.9.4. Het opslaan van IPTables regels</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-IPTables-IPTables_Control_Scripts.html">2.9.5. IPTables controle scripts</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-IPTables-IPTables_and_IPv6.html">2.9.6. IPTables en IPv6</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-IPTables-Additional_Resources.html">2.9.7. Ext
 ra hulpbronnen</a></span></dt></dl></dd></dl></dd><dt><span class="chapter"><a href="chap-Security_Guide-Encryption.html">3. Versleuteling</a></span></dt><dd><dl><dt><span class="section"><a href="chap-Security_Guide-Encryption.html#sect-Security_Guide-Encryption-Data_at_Rest">3.1. Data in rust</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Encryption-Protecting_Data_at_Rest-Full_Disk_Encryption.html">3.2. Volledige schijf versleuteling</a></span></dt><dt><span class="section"><a href="Security_Guide-Encryption-Protecting_Data_at_Rest-File_Based_Encryption.html">3.3. Bestand gebaseerde versleuteling</a></span></dt><dt><span class="section"><a href="Security_Guide-Encryption-Data_in_Motion.html">3.4. Data in beweging</a></span></dt><dt><span class="section"><a href="Security_Guide-Encryption-Data_in_Motion-Virtual_Private_Networks.html">3.5. Virtuele privÃ© netwerken</a></span></dt><dt><span class="section"><a href="Security_Guide-Encryption-Data_in_Mot
 ion-Secure_Shell.html">3.6. Beveiligde shell</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-LUKS_Disk_Encryption.html">3.7. LUKS schijf versleuteling</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-LUKS_Disk_Encryption.html#sect-Security_Guide-LUKS_Disk_Encryption-LUKS_Implementation_in_Fedora">3.7.1. De LUKS implementatie in Fedora</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories.html">3.7.2. Handmatig mappen versleutelen</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-Step_by_Step_Instructions.html">3.7.3. Stap-voor-stap instructies</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-What_you_have_just_accomplished.html">3.7.4. Wat heb je zojuist bereikt</a></span></dt><dt><span class="section"><a href="s
 ect-Security_Guide-LUKS_Disk_Encryption-Links_of_Interest.html">3.7.5. Interessante verwijzingen</a></span></dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html">3.8. 7-Zip Encrypted Archives</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html#sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Installation">3.8.1. 7-Zip Installation in Fedora</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Installation-Instructions.html">3.8.2. Step-by-Step Installation Instructions</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Usage_Instructions.html">3.8.3. Step-by-Step Usage Instructions</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Things_of_note.html">3.8.4. Things of note</a></span></
 dt></dl></dd><dt><span class="section"><a href="sect-Security_Guide-Encryption-Using_GPG.html">3.9. Using GNU Privacy Guard (GnuPG)</a></span></dt><dd><dl><dt><span class="section"><a href="sect-Security_Guide-Encryption-Using_GPG.html#sect-Security_Guide-Encryption-Using_GPG-Keys_in_GNOME">3.9.1. Creating GPG Keys in GNOME</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE1.html">3.9.2. Creating GPG Keys in KDE</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE.html">3.9.3. Creating GPG Keys Using the Command Line</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Encryption-Using_GPG-About_Public_Key_Encryption.html">3.9.4. About Public Key Encryption</a></span></dt></dl></dd></dl></dd><dt><span class="chapter"><a href="chap-Security_Guide-General_Principles_of_Information_Security.html">4. Algemene principes van informatie be
 veiliging</a></span></dt><dd><dl><dt><span class="section"><a href="chap-Security_Guide-General_Principles_of_Information_Security.html#sect-Security_Guide-General_Principles_of_Information_Security-Tips_Guides_and_Tools">4.1. Tips, gidsen, en gereedschappen</a></span></dt></dl></dd><dt><span class="chapter"><a href="chap-Security_Guide-Secure_Installation.html">5. Veilige installatie</a></span></dt><dd><dl><dt><span class="section"><a href="chap-Security_Guide-Secure_Installation.html#sect-Security_Guide-Secure_Installation-Disk_Partitions">5.1. Schijfpartities</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Secure_Installation-Utilize_LUKS_Partition_Encryption.html">5.2. LUKS partitie versleuteling gebruiken</a></span></dt></dl></dd><dt><span class="chapter"><a href="chap-Security_Guide-Software_Maintenance.html">6. Software onderhoud</a></span></dt><dd><dl><dt><span class="section"><a href="chap-Security_Guide-Software_Maintenance.html#sect-Security_
 Guide-Software_Maintenance-Install_Minimal_Software">6.1. Installeer minimale software</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates.html">6.2. Het plannen en configureren van beveiligingsvernieuwingen</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates-Adjusting_Automatic_Updates.html">6.3. Het aanpassen van automatische vernieuwingen</a></span></dt><dt><span class="section"><a href="sect-Security_Guide-Software_Maintenance-Install_Signed_Packages_from_Well_Known_Repositories.html">6.4. Installeer ondertekende pakketten van goed bekende repositories</a></span></dt></dl></dd><dt><span class="chapter"><a href="chap-Security_Guide-References.html">7. Referenties</a></span></dt></dl></div></div><ul class="docnav"><li class="previous"/><li class="next"><a accesskey="n" href="pref-Security_Guide-Preface.html"><strong>Volgende<
 /strong>Voorwoord</a></li></ul></body></html>

--- NEW FILE pref-Security_Guide-Preface.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>Voorwoord</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="index.html" title="Beveiligings gids"/><link rel="prev" href="index.html" title="Beveiligings gids"/><link rel="next" href="We_Need_Feedback.html" title="2. We hebben terugkoppeling nodig!"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="index.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n
 " href="We_Need_Feedback.html"><strong>Volgende</strong></a></li></ul><div class="preface" lang="nl-NL"><div class="titlepage"><div><div><h1 id="pref-Security_Guide-Preface" class="title">Voorwoord</h1></div></div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="d0e101">1. Document Conventie</h2></div></div></div><div class="para">
		Dit handboek hanteert verscheidene conventies om bepaalde woorden of zinsdelen te benadrukken en aandacht te vestigen op specifieke delen van informatie.
	</div><div class="para">
		In PDF en papieren edities gebruikt dit handboek <a href="https://fedorahosted.org/liberation-fonts/">Liberation Fonts set</a> lettertypen. Het Liberation lettertype wordt ook gebruikt in HTML-edities indien dit lettertype op uw computer geÃ¯nstalleerd is. Indien dat niet het geval is, worden alternatieve, gelijkwaardige lettertypen gebruikt. Noot: bij Red Hat Enterprise Linux 5 en later wordt de Liberation Font set standaard meegeleverd.
	</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="d0e111">1.1. Typografische Conventies</h3></div></div></div><div class="para">
			Vier typografische conventies worden gebruikt om aandacht te vestigen op specifieke woorden en zinsdelen. Deze conventies -en de omstandigheden waaronder zij gebruikt worden- luiden als volgt:
		</div><div class="para">
			<code class="literal">Mono-spaced Bold</code>
		</div><div class="para">
			Wordt gebruikt om systeem input, waaronder shell commando's, bestandsnamen en paden aan te geven. Wordt ook gebruikt bij toetsaanduiding of toetsencombinaties. Voorbeeld:
		</div><div class="blockquote"><blockquote class="blockquote"><div class="para">
				Om de inhoud van het bestand <code class="filename">mijn_onwijsgoed_verkopende_boek</code> in uw huidige directory te zien, voert u het commando <code class="command">cat mijn_onwijsgoed_verkopende_boek</code> in bij de shell-prompt en drukt u op <span class="keycap"><strong>Enter</strong></span> om het commando uit te laten voeren.
			</div></blockquote></div><div class="para">
			Bovenstaande bevat een bestandsnaam, een shell-commando en een toetsaanduiding, alle getoond in Mono-spaced Bold en alle te onderscheiden dankzij hun context.
		</div><div class="para">
			Toetsencombinaties kunnen worden onderscheiden van toetsaanduiding door het plusteken dat elk deel van een toetsencombinatie aan elkaar verbind. Voorbeeld:
		</div><div class="blockquote"><blockquote class="blockquote"><div class="para">
				Druk op <span class="keycap"><strong>Enter</strong></span> om het commando te laten uitvoeren.
			</div><div class="para">
				Druk op <span class="keycap"><strong>Ctrl</strong></span>+<span class="keycap"><strong>Alt</strong></span>+<span class="keycap"><strong>F1</strong></span> om naar de eerste virtuele terminal over te schakelen. Druk op <span class="keycap"><strong>Ctrl</strong></span>+<span class="keycap"><strong>Alt</strong></span>+<span class="keycap"><strong>F7</strong></span> om terug te keren naar uw X-Windows sessie.
			</div></blockquote></div><div class="para">
			De eerste zin benadrukt de bepaalde toets die moet worden ingedrukt. De tweede benadrukt twee reeksen van drie toetsen, waarbij de toetsen van elke reeks tegelijk moet worden ingedrukt.
		</div><div class="para">
			Indien broncode wordt besproken, worden klassennamen, functies, variabele namen en resultaten die in een paragraaf worden genoemd, weergegeven als hier boven afgedrukt, namelijk in <code class="literal">Mono-spaced Bold</code>. Voorbeeld:
		</div><div class="blockquote"><blockquote class="blockquote"><div class="para">
				Onder bestandsgerelateerde klassen vallen <code class="classname">filesystem</code> voor bestandsystemen, <code class="classname">file</code> voor bestanden, en <code class="classname">dir</code> voor directories. Elke klasse heeft haar eigen set van permissies.
			</div></blockquote></div><div class="para">
			<span class="application"><strong>Proportional Bold</strong></span>
		</div><div class="para">
			Wordt gebruikt om woorden of zinsdelen op een systeem aan te duiden, waaronder applicatie namen, dialoogtekst-boxen, gelabelde toetsen, checkbox en radiobutton labels, menutitels en submenutitels. Voorbeeld:
		</div><div class="blockquote"><blockquote class="blockquote"><div class="para">
				Kies <span class="guimenu"><strong>Systeem > Voorkeuren > Muis</strong></span> uit de hoofdmenubalk om <span class="application"><strong>Muis Voorkeuren</strong></span> te openen. In de <span class="guilabel"><strong>Knoppen</strong></span> tab, klik de <span class="guilabel"><strong>Linkshandige muis</strong></span> checkbox aan en klik <span class="guibutton"><strong>Sluiten</strong></span> om de primaire muisknop van links naar rechts te wisselen (waardoor de muis beter geschikt is geworden voor linkshandig gebruik).
			</div><div class="para">
				Om een speciaal teken in een <span class="application"><strong>gedit</strong></span> bestand op te nemen, kiest u <span class="guimenu"><strong>Toepassingen > Hulpmiddelen > Tekentabel</strong></span> uit de hoofdmenubalk. Vervolgens kiest u <span class="guimenu"><strong>Zoeken > Findâ€¦</strong></span> uit de <span class="application"><strong>Tekentabel</strong></span> menubalk, typ de naam van het teken in het <span class="guilabel"><strong>Zoek</strong></span> veld en klik <span class="guibutton"><strong>Volgende</strong></span>. Het teken dat u zoekt zal worden gemarkeerd in de <span class="guilabel"><strong>Tekentafel</strong></span>. Dubbel-klik op dit teken om het in de <span class="guilabel"><strong>Te kopiÃ«ren tekst</strong></span> veld op te nemen en klik dan de <span class="guibutton"><strong>KopiÃ«ren</strong></span> knop. Keer terug naar uw document en kies <span class="guimenu"><strong>Bewerken > Plakken</strong></span> uit de <span class="appli
 cation"><strong>gedit</strong></span> menubalk.
			</div></blockquote></div><div class="para">
			De bovenstaande tekst bevat applicatienamen, systeemwijde menunamen en onderdelen, applicatie specifieke menunamen, en knoppen en tekst van een GUI-interface, alle vertoond in Proportional Bold en alle te onderscheiden dankzij hun context.
		</div><div class="para">
			Merk het <span class="guimenu"><strong>></strong></span>-teken op, gebruikt om aan te geven dat door een menu en sub-menu wordt gelopen. Dit voorkomt het gebruik van de nogal omslachtige 'Selecteer <span class="guimenuitem"><strong>Muis</strong></span> van het <span class="guimenu"><strong>Voorkeuren</strong></span> sub-menu in het <span class="guimenu"><strong>Systeem</strong></span> menu uit de hoofdmenubalk'-omschrijvingen.
		</div><div class="para">
			<code class="command"> <em class="replaceable"><code>Mono-spaced Bold Italic</code></em> </code> of <span class="application"><strong> <em class="replaceable"><code>Proportional Bold Italic</code></em> </strong></span>
		</div><div class="para">
			Mono-spaced Bold of Proportional Bold behandelt indien cursief gedrukt altijd vervangbare of wisselende teksten. Cursief wijst op niet letterlijke tekst of toont tekst dat wisselt naar omstandigheden. Voorbeeld:
		</div><div class="blockquote"><blockquote class="blockquote"><div class="para">
				Om verbinding te maken met een andere computer met behulp van ssh, typt u <code class="command">ssh <em class="replaceable"><code>gebruikersnaam</code></em>@<em class="replaceable"><code>domein.naam</code></em> </code> bij een shell prompt.
			</div><div class="para">
				Het <code class="command">mount -o remount <em class="replaceable"><code>file-system</code></em> </code> commando mount opnieuw het genoemde bestandsysteem. Om bijvoorbeeld het <code class="filename">/home</code> bestandsysteem opnieuw te mounten, gebruikt men het <code class="command">mount -o remount /home</code> commando.
			</div><div class="para">
				Om de versie van een huidig geÃ¯nstalleerd pakket te zien, gebruikt u het <code class="command">rpm -q <em class="replaceable"><code>package</code></em> </code> commando. Dit zal het volgende resultaat opleveren: <code class="command"> <em class="replaceable"><code>package-version-release</code></em> </code>.
			</div></blockquote></div><div class="para">
			Let op de woorden in bold italics in bovenstaande tekst â€” username, domain.name, file-system, package, version en release. Elk woord is een [plaatshouder], hetzij voor tekst dat u invult indien u een commando typt, hetzij voor tekst die door het systeem wordt getoond.
		</div><div class="para">
			Buiten het standaard gebruik bij het presenteren van een titel van een werk, wordt cursief ingezet om het eerste gebruik van een nieuwe en belangrijke term te benadrukken. Voorbeeld:
		</div><div class="blockquote"><blockquote class="blockquote"><div class="para">
				Wanneer de Apache HTTP Server verzoeken accepteert, zet het childprocessen of threads ter afhandeling in. Deze groep van childprocessen of threads staan bekend als een <em class="firstterm">server-pool</em>. Onder Apache HTTP Server 2.0 is de verantwoordelijkheid voor het creÃ«ren en onderhouden van deze server-pools toegewezen aan een groep modules genaamd <em class="firstterm">Multi-Processing Modules</em> (<em class="firstterm">MPMs</em>). Anders dan bij de andere modules kan slechts Ã©Ã©n module van de MPM groep door de Apache HTTP Server geladen zijn.
			</div></blockquote></div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="d0e330">1.2. Pull-quote Conventies</h3></div></div></div><div class="para">
			Twee, normaal gesproken uit meerdere regels bestaande, datatypes worden visueel van de omringende tekst gescheiden.
		</div><div class="para">
			Tekst gezonden naar een terminal wordt getoond in <code class="computeroutput">Mono-spaced Roman</code> en als volgt gepresenteerd:
		</div><pre class="screen">books        Desktop   documentation  drafts  mss    photos   stuff  svn
books_tests  Desktop1  downloads      images  notes  scripts  svgs
</pre><div class="para">
			Opsommingen van broncode worden ook vertoond in <code class="computeroutput">Mono-spaced Roman</code> maar worden alsvolgt gepresenteerd en benadrukt:
		</div><pre class="programlisting">package org.jboss.book.jca.ex1;

import javax.naming.InitialContext;

public class ExClient
{
   public static void main(String args[]) 
       throws Exception
   {
      InitialContext iniCtx = new InitialContext();
      Object         ref    = iniCtx.lookup("EchoBean");
      EchoHome       home   = (EchoHome) ref;
      Echo           echo   = home.create();

      System.out.println("Created Echo");

      System.out.println("Echo.echo('Hello') = " + echo.echo("Hello"));
   }

}
</pre></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="d0e349">1.3. Noten en waarschuwingen</h3></div></div></div><div class="para">
			Tenslotte gebruiken we drie visuele stijlen om aandacht te vestigen op informatie die anders misschien over het hoofd zou worden gezien.
		</div><div class="note"><h2>Noot</h2><div class="para">
				A Note is a tip or shortcut or alternative approach to the task at hand. Ignoring a note should have no negative consequences, but you might miss out on a trick that makes your life easier.
			</div></div><div class="important"><h2>Belangrijk</h2><div class="para">
				Important boxes detail things that are easily missed: configuration changes that only apply to the current session, or services that need restarting before an update will apply. Ignoring Important boxes won't cause data loss but may cause irritation and frustration.
			</div></div><div class="warning"><h2>Waarschuwing</h2><div class="para">
				Een waarschuwing dient niet genegeerd te worden. Waarschuwingen negeren zal ongetwijfeld leiden tot data- en haarverlies.
			</div></div></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="index.html"><strong>Terug</strong>Beveiligings gids </a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="We_Need_Feedback.html"><strong>Volgende</strong>2. We hebben terugkoppeling nodig!</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Additional_Resources-Related_Books.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.5.3. Gerelateerde boeken</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-Additional_Resources.html" title="2.5.5. Extra hulpbronnen"/><link rel="prev" href="sect-Security_Guide-Additional_Resources-Useful_TCP_Wrappers_Websites.html" title="2.5.5.2. Nuttige TCP wrapper websites"/><link rel="next" href="sect-Security_Guide-Kerberos.html" title="2.6. Kerberos"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documen
 tation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Additional_Resources-Useful_TCP_Wrappers_Websites.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Additional_Resources-Related_Books">2.5.5.3. Gerelateerde boeken</h4></div></div></div><div class="itemizedlist"><ul><li><div class="para">
						<em class="citetitle">Hacking Linux Exposed</em> door Brian Hatch, James Lee, en George Kurtz; Osbourne/McGraw-Hill â€” Een uitstekende beveiligings hulpbron met informatie over TCP wrappers en <code class="systemitem">xinetd</code>.
					</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Additional_Resources-Useful_TCP_Wrappers_Websites.html"><strong>Terug</strong>2.5.5.2. Nuttige TCP wrapper websites</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos.html"><strong>Volgende</strong>2.6. Kerberos</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Additional_Resources-Related_Documentation.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.9.3. Gerelateerde documentatie</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Firewalls-Additional_Resources.html" title="2.8.9. Extra hulpbronnen"/><link rel="prev" href="sect-Security_Guide-Additional_Resources-Useful_Firewall_Websites.html" title="2.8.9.2. Nuttige firewall websites"/><link rel="next" href="sect-Security_Guide-IPTables.html" title="2.9. IPTables"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/><
 /a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Additional_Resources-Useful_Firewall_Websites.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Additional_Resources-Related_Documentation">2.8.9.3. Gerelateerde documentatie</h4></div></div></div><div class="itemizedlist"><ul><li><div class="para">
						<em class="citetitle">Red Hat Linux Firewalls</em>, door Bill McCarty; Red Hat Press â€” een uitgebreide referentie voor het bouwen netwerk en server firewalls met gebruiken van open bron bron pakket filtering technologie zoals Netfilter en <code class="command">iptables</code>. Het bevat onderwerpen die het analyseren van firewall logs behandelen, het ontwikkelen van firewall regels, en het aanpassen van je firewall met gebruik van meerdere grafische gereedschappen.
					</div></li><li><div class="para">
						<em class="citetitle">Linux Firewalls</em>, door Robert Ziegler; New Riders Press â€” bevat een schat van informatie over het bouwen vn firewalls met gebruik van zowel <code class="command">ipchains</code> van kernel 2.2 als Netfilter en <code class="command">iptables</code>. Extra beveiligings onderwerpen zoals problemen over toegang op afstand en indringings detectie systemen worden ook behandeld.
					</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Additional_Resources-Useful_Firewall_Websites.html"><strong>Terug</strong>2.8.9.2. Nuttige firewall websites</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables.html"><strong>Volgende</strong>2.9. IPTables</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Additional_Resources-Useful_Firewall_Websites.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.9.2. Nuttige firewall websites</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Firewalls-Additional_Resources.html" title="2.8.9. Extra hulpbronnen"/><link rel="prev" href="sect-Security_Guide-Firewalls-Additional_Resources.html" title="2.8.9. Extra hulpbronnen"/><link rel="next" href="sect-Security_Guide-Additional_Resources-Related_Documentation.html" title="2.8.9.3. Gerelateerde documentatie"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.pn
 g" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-Additional_Resources.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Additional_Resources-Related_Documentation.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Additional_Resources-Useful_Firewall_Websites">2.8.9.2. Nuttige firewall websites</h4></div></div></div><div class="itemizedlist"><ul><li><div class="para">
						<a href="http://www.netfilter.org/">http://www.netfilter.org/</a> â€” De officiele thuispagina van het Netfilter en <code class="command">iptables</code> project.
					</div></li><li><div class="para">
						<a href="http://www.tldp.org/">http://www.tldp.org/</a> â€” De Linux Documentation Project bevat verscheidene nuttige handleidingen met betrekking tot het maken en beheren van firewalls.
					</div></li><li><div class="para">
						<a href="http://www.iana.org/assignments/port-numbers">http://www.iana.org/assignments/port-numbers</a> â€” De officiele lijst van geregistreerde en algemene service poorten zoals toegekend door de Internet Assigned Numbers Authority.
					</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-Additional_Resources.html"><strong>Terug</strong>2.8.9. Extra hulpbronnen</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Additional_Resources-Related_Documentation.html"><strong>Volgende</strong>2.8.9.3. Gerelateerde documentatie</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Additional_Resources-Useful_IP_Tables_Websites.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9.7.2. Nuttige IPTables websites</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-IPTables-Additional_Resources.html" title="2.9.7. Extra hulpbronnen"/><link rel="prev" href="sect-Security_Guide-IPTables-Additional_Resources.html" title="2.9.7. Extra hulpbronnen"/><link rel="next" href="chap-Security_Guide-Encryption.html" title="Hoofdstuk 3. Versleuteling"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul c
 lass="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables-Additional_Resources.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="chap-Security_Guide-Encryption.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Additional_Resources-Useful_IP_Tables_Websites">2.9.7.2. Nuttige IPTables websites</h4></div></div></div><div class="itemizedlist"><ul><li><div class="para">
						<a href="http://www.netfilter.org/">http://www.netfilter.org/</a> â€” De thuis pagina van het netfilter/iptables project. Bevat verschillende informatie over <code class="command">iptables</code>, inclusief een FAQ voor specifieke problemen en verscheidene nuttige gidsen door Rusty Russell, de Linux IP firewall onderhouder. De HOWTO documenten op de site behandelen onderwerpen zoals basis netwerk comcepten, kernel pakket filtering, en NAT configuraties.
					</div></li><li><div class="para">
						<a href="http://www.linuxnewbie.org/nhf/Security/IPtables_Basics.html">http://www.linuxnewbie.org/nhf/Security/IPtables_Basics.html</a> â€” Een inleiding over de manier waarop pakketten door de Linux kernek bewegen, plus een inleiding voor het maken van basis <code class="command">iptables</code> commando's.
					</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables-Additional_Resources.html"><strong>Terug</strong>2.9.7. Extra hulpbronnen</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="chap-Security_Guide-Encryption.html"><strong>Volgende</strong>Hoofdstuk 3. Versleuteling</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Additional_Resources-Useful_Kerberos_Websites.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.6.10.2. Nuttige Kerberos websites</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Kerberos-Additional_Resources.html" title="2.6.10. Extra hulpbronnen"/><link rel="prev" href="sect-Security_Guide-Kerberos-Additional_Resources.html" title="2.6.10. Extra hulpbronnen"/><link rel="next" href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html" title="2.7. Virtuele privÃ© netwerken (VPN's)"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="
 Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Additional_Resources.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Additional_Resources-Useful_Kerberos_Websites">2.6.10.2. Nuttige Kerberos websites</h4></div></div></div><div class="itemizedlist"><ul><li><div class="para">
						<a href="http://web.mit.edu/kerberos/www/">http://web.mit.edu/kerberos/www/</a> â€” <em class="citetitle">Kerberos: The Network Authentication Protocol</em> webpagina van MIT.
					</div></li><li><div class="para">
						<a href="http://www.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html">http://www.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html</a> â€” De Kerberos vaak gestelde vragen (FAQ).
					</div></li><li><div class="para">
						<a href="ftp://athena-dist.mit.edu/pub/kerberos/doc/usenix.PS">ftp://athena-dist.mit.edu/pub/kerberos/doc/usenix.PS</a> â€” De PostScript versie van <em class="citetitle">Kerberos: An Authentication Service for Open Network Systems</em> door Jennifer G. Steiner, Clifford Neuman, and Jeffrey I. Schiller. Dit document is het orginele artikel dat Kerberos beschrijft.
					</div></li><li><div class="para">
						<a href="http://web.mit.edu/kerberos/www/dialogue.html">http://web.mit.edu/kerberos/www/dialogue.html</a> â€” <em class="citetitle">Designing an Authentication System: a Dialogue in Four Scenes</em> origineel door Bill Bryant in 1988, veranderd door Theodore Ts'o in 1997. Dit document is een gesprek tussen twee ontwikkelaars die het denkproces van het maken van een authenticatie systeem lijkend op Kerberos doormaken. De gesprekstoon van de discussie maakt dit een goed startpunt voor iedereen die geheel onbekend is met Kerberos.
					</div></li><li><div class="para">
						<a href="http://www.ornl.gov/~jar/HowToKerb.html">http://www.ornl.gov/~jar/HowToKerb.html</a> â€” <em class="citetitle">How to Kerberize your site</em> is een goede referentie voor het kerberizing van een netwerk.
					</div></li><li><div class="para">
						<a href="http://www.networkcomputing.com/netdesign/kerb1.html">http://www.networkcomputing.com/netdesign/kerb1.html</a> â€” <em class="citetitle">Kerberos Network Design Manual</em> is een gedegen overzicht van het Kerberos systeem.
					</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Additional_Resources.html"><strong>Terug</strong>2.6.10. Extra hulpbronnen</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html"><strong>Volgende</strong>2.7. Virtuele privÃ© netwerken (VPN's)</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Additional_Resources-Useful_PAM_Websites.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.4.8.2. Nuttige PAM websites</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Additional_Resources.html" title="2.4.8. Extra hulpbronnen"/><link rel="prev" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Additional_Resources.html" title="2.4.8. Extra hulpbronnen"/><link rel="next" href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html" title="2.5. TCP wrappers en xinetd"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Conten
 t/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Additional_Resources.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Additional_Resources-Useful_PAM_Websites">2.4.8.2. Nuttige PAM websites</h4></div></div></div><div class="itemizedlist"><ul><li><div class="para">
						<a href="http://www.kernel.org/pub/linux/libs/pam/">http://www.kernel.org/pub/linux/libs/pam/</a> â€” De hoofd distributie website voor het Linux-PAM project, deze bevat informatie over verscheidene PAM modules, een FAQ, en extra PAM documentatie.
					</div><div class="note"><h2>Opmerking</h2><div class="para">
							De documentatie op bovengenoemde website is voor de laatste vrijgegeven upstream versie van PAM en hoeft niet 100% correct te zijn voor de PAM versie in Fedora.
						</div></div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Additional_Resources.html"><strong>Terug</strong>2.4.8. Extra hulpbronnen</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html"><strong>Volgende</strong>2.5. TCP wrappers en xinetd</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Additional_Resources-Useful_TCP_Wrappers_Websites.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.5.2. Nuttige TCP wrapper websites</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-Additional_Resources.html" title="2.5.5. Extra hulpbronnen"/><link rel="prev" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-Additional_Resources.html" title="2.5.5. Extra hulpbronnen"/><link rel="next" href="sect-Security_Guide-Additional_Resources-Related_Books.html" title="2.5.5.3. Gerelateerde boeken"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/imag
 es/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-Additional_Resources.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Additional_Resources-Related_Books.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Additional_Resources-Useful_TCP_Wrappers_Websites">2.5.5.2. Nuttige TCP wrapper websites</h4></div></div></div><div class="itemizedlist"><ul><li><div class="para">
						<a href="http://www.xinetd.org">http://www.xinetd.org/</a> â€” De thuisbasis van <code class="systemitem">xinetd</code>, welke voorbeeld configuratie bestanden bevat, een volledige lijst van eigenschappen, en een informatieve FAQ.
					</div></li><li><div class="para">
						<a href="http://www.docstoc.com/docs/2133633/An-Unofficial-Xinetd-Tutorial">http://www.docstoc.com/docs/2133633/An-Unofficial-Xinetd-Tutorial</a> â€” Een gedegen handleiding die verschillende manieren bespreekt om standaard <code class="systemitem">xinetd</code> configuratie bestanden te optimaliseren voor het bereiken van specifieke beveiligings doelen .
					</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-Additional_Resources.html"><strong>Terug</strong>2.5.5. Extra hulpbronnen</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Additional_Resources-Related_Books.html"><strong>Volgende</strong>2.5.5.3. Gerelateerde boeken</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Altering_xinetd_Configuration_Files-Access_Control_Options.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.4.3.2. Toegangs controle opties</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-xinetd_Configuration_Files-Altering_xinetd_Configuration_Files.html" title="2.5.4.3. xinetd configuratie bestanden veranderen"/><link rel="prev" href="sect-Security_Guide-xinetd_Configuration_Files-Altering_xinetd_Configuration_Files.html" title="2.5.4.3. xinetd configuratie bestanden veranderen"/><link rel="next" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Binding_and_Redirection_Options.html" title="2.5.4.3.3. Verbindings en omleidings opties"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Conten
 t/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-xinetd_Configuration_Files-Altering_xinetd_Configuration_Files.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Binding_and_Redirection_Options.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Altering_xinetd_Configuration_Files-Access_Control_Options">2.5.4.3.2. Toegangs controle opties</h5></div></div></div><div class="para">
					Gebruikers van <code class="systemitem">xinetd</code> services kunnen kiezen om de TCP wrapper host toegangsregels te gebruiken, toegangs controle te bieden met de <code class="systemitem">xinetd</code> configuratie bestanden, of een combinatie van beide. Refereer naar <a class="xref" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html" title="2.5.2. Configuratie bestanden voor TCP wrappers">ParagraafÂ 2.5.2, â€œConfiguratie bestanden voor TCP wrappersâ€</a> voor meer informatie over TCP wrapper host toegangs controle bestanden.
				</div><div class="para">
					Deze paragraaf bespreekt het gebruik van <code class="systemitem">xinetd</code> om toegang tot de services te controleren.
				</div><div class="note"><h2>Opmerking</h2><div class="para">
						In tegenstelling tot TCP wrappers, hebben veranderingen in toegangs controle pas effect als de <code class="systemitem">xinetd</code> beheerder de <code class="systemitem">xinetd</code> service opnieuw opstart.
					</div><div class="para">
						En ook in tegenstelling tot TCP wrappers, heeft toegangscontrole met <code class="systemitem">xinetd</code>alleen effect voor services die gecontroleerd worden door <code class="systemitem">xinetd</code>.
					</div></div><div class="para">
					De <code class="systemitem">xinetd</code> hosts toegangs controle verschilt van de methode die gebruikt wordt met TCP wrappers. Terwijl TCP wrappers alle toegangs instellingen in twee bestanden plaatst, <code class="filename">/etc/hosts.allow</code> en <code class="filename">/etc/hosts.deny</code>, wordt de toegangs controle van <code class="systemitem">xinetd</code> gevonden in het configuratie bestand van elke service in de <code class="filename">/etc/xinetd.d/</code> map.
				</div><div class="para">
					De volgende host toegangs opties worden ondersteund door <code class="systemitem">xinetd</code>:
				</div><div class="itemizedlist"><ul><li><div class="para">
							<code class="option">only_from</code> â€” Staat alleen de opgegeven hosts het gebruik van de service toe.
						</div></li><li><div class="para">
							<code class="option">no_access</code> â€” Staat de opgegeven hosts het gebruik van de service niet toe.
						</div></li><li><div class="para">
							<code class="option">access_times</code> â€” Specificeert het tijdsslot waarbinnen een bepaalde service gebruikt mag worden. Het tijdsslot moet in 24-uur notatie opgegeven worden, UU:MM-UU:MM.
						</div></li></ul></div><div class="para">
					De <code class="option">only_from</code> en<code class="option">no_access</code> opties kunnen een lijst van IP adressen of hostnamen gebruiken, of kunnen een heel netwerk specificeren. Net als TCPOwrappers, kan het combineren van <code class="systemitem">xinetd</code> toegangs controle met verbeterde loggings instelling de beveiliging verbeteren door het blokkeren van verzoeken van verbannen hostes terwijl iedere verbindings poging uitvoerig opgeslagen wordt.
				</div><div class="para">
					Bijvoorbeeld, het volgende <code class="filename">/etc/xinetd.d/telnet</code> bestand kan gebruikt worden om Telnet toegang vanaf een bepaalde netwerk groep te blikkeren en het tijdsslot te beperken waarbinnen zelfs goedgekeurde gebruikers in kunnen loggen:
				</div><pre class="screen">service telnet
{
         disable         = no
         flags           = REUSE
         socket_type     = stream
         wait            = no
         user            = root
         server          = /usr/kerberos/sbin/telnetd
         log_on_failure  += USERID
         no_access       = 172.16.45.0/24
         log_on_success  += PID HOST EXIT
         access_times    = 09:45-16:15
}
</pre><div class="para">
					Als in dit voorbeeld een client systeem van het <code class="systemitem">10.0.1.0/24</code> netwerk, zoals <code class="systemitem">10.0.1.2</code>, toegang tot de Telnet service probeert te krijgen, ontvang het de volgende boodschap:
				</div><pre class="screen">Connection closed by foreign host.
</pre><div class="para">
					Boverndien worden hun inlog pogingen als volgt in <code class="filename">/var/log/messages</code> gelogd:
				</div><pre class="screen">Sep  7 14:58:33 localhost xinetd[5285]: FAIL: telnet address from=172.16.45.107
Sep  7 14:58:33 localhost xinetd[5283]: START: telnet pid=5285 from=172.16.45.107
Sep  7 14:58:33 localhost xinetd[5283]: EXIT: telnet status=0 pid=5285 duration=0(sec)
</pre><div class="para">
					Als TCP wrappers tesamen met <code class="systemitem">xinetd</code> toegangs controle gebruikt wordt, is het belangrijk om de relatie tussen de twee toegangs controle mechanismes te begrijpen.
				</div><div class="para">
					Het volgende is de volgorde van gebeurtenissen doorlopen door <code class="systemitem">xinetd</code> als een client een verbinding aanvraagt:
				</div><div class="orderedlist"><ol><li><div class="para">
							De <code class="systemitem">xinetd</code> daemon krijgt toegang tot de TCP wrappers host toegangs regels met gebruik van een <code class="filename">libwrap.a</code> bibliotheek aanroep. Als een weigerings regel overeenkomt met de client, wordt de verbinding verbroken. Als een toestemmings regel overeenkomt met de client, wordt de verbinding doorgegeven aan <code class="systemitem">xinetd</code>.
						</div></li><li><div class="para">
							De <code class="systemitem">xinetd</code> daemon controleert zijn eigen toegangs controle regels zowel voor de <code class="systemitem">xinetd</code> service als de gevraagde service. Als een weigerings regel overeen komt met de client, wordt de verbinding verbroken. Anders start <code class="systemitem">xinetd</code> een instantiatie van de gevraagde service op en geeft de controle over de verbinding door aan die service.
						</div></li></ol></div><div class="important"><h2>Belangrijk</h2><div class="para">
						Let op bij het gebruik van TCP wrappers tesamen met <code class="systemitem">xinetd</code> toegangs regels. Een verkeerde instelling kan ongewenste effecten hebben.
					</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-xinetd_Configuration_Files-Altering_xinetd_Configuration_Files.html"><strong>Terug</strong>2.5.4.3. xinetd configuratie bestanden veranderen</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Binding_and_Redirection_Options.html"><strong>Volgende</strong>2.5.4.3.3. Verbindings en omleidings opties</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Altering_xinetd_Configuration_Files-Binding_and_Redirection_Options.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.4.3.3. Verbindings en omleidings opties</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-xinetd_Configuration_Files-Altering_xinetd_Configuration_Files.html" title="2.5.4.3. xinetd configuratie bestanden veranderen"/><link rel="prev" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Access_Control_Options.html" title="2.5.4.3.2. Toegangs controle opties"/><link rel="next" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Resource_Management_Options.html" title="2.5.4.3.4. Hulpbronnen beheer opties"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.p
 ng" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Access_Control_Options.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Resource_Management_Options.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Altering_xinetd_Configuration_Files-Binding_and_Redirection_Options">2.5.4.3.3. Verbindings en omleidings opties</h5></div></div></div><div class="para">
					De service configuratie bestanden voor <code class="systemitem">xinetd</code> ondersteunen het verbinden van de service aan een IP adres en het omleiden van binnenkomende verzoeken voor die service naar een ander IP adres, hostnaam of poort.
				</div><div class="para">
					Verbinden wordt gecontroleerd door de <code class="option">bind</code> optie in de service specifieke configuratie bestanden en verbindt de service met het IP adres van het systeem. Als dit ingesteld is, staat de <code class="option">bind</code> optie alleen verzoeken naar het juiste IP adres toe voor toegang naar de service. Je kunt deze methode gebruiken om verschillende services te verbinden met verschillende neterk interfaces gebaseerd op de vereisten.
				</div><div class="para">
					Dit is in het bijzonder nuttig voor systemen met meerdere netwerk adapters of met meerdere IP adressen. Op zo'n systeem, kunnen onveilige services (bijvoorbeeld, Telnet) ingesteld worden om alleen te luisteren naar de interface die verbonden is met een privÃ© netwerk en niet naar de interface die verbonden is met het Internet.
				</div><div class="para">
					De <code class="option">redirect</code> optie accepteert een IP adres of hostnaam gevolgd door een poort nummer. Het stelt de service in om elk verzoek voor deze service om te leiden naar de opgegeven host en poort nummer. Deze eigenschap kan gebruikt worden om naar een ander poort nummer op hetzelfde systeem te wijzen, om het verzoek om te leiden naar een ander IP adres op dezelfde machine, om het verzoek te door te geven aan een totaal ander systeem en poort nummer, of elke combinatie van deze opties. Een gebruiker die verbindt met een bepaalde service op een systeem kan daarom omgeleid worden van een ander systeem zonder onderbreking.
				</div><div class="para">
					De <code class="systemitem">xinetd</code> daemon is in staat om deze omleiding uit te voeren door het maken van een proces dat blijft bestaan tijdens de duur van de verbinding tussen de vragende client machine en de host die de service in feite biedt, en dat de data overdracht tussen de twee systemen verzorgt
				</div><div class="para">
					De voordelen van de <code class="option">bind</code> and <code class="option">redirect</code> opties zijn het duidelijkst zichtbaar als ze tesamen worden gebruikt. Door een service te verbinden met een bepaald IP adres op een systeem en dan de verzoeken voor deze service om te leiden naar een tweede machine die alleen de eerste machine kan zien, kan een intern systeem worden gebruikt om services aan te bieden voor een totaal ander netwerk. Deze opties kunnen alternatief gebruikt worden om de zichtbaarheid te beperken van een bepaalde service op een multi-homed machine naar een bekend IP adres, en ook elk verzoek voor die service om te leiden naar een andere machine die speciaal voor dat doel is ingesteld.
				</div><div class="para">
					Bijvoorbeeld, overweeg een systeem dat wordt gebruikt als een firewall met deze instelling voor zijn Telnet service:
				</div><pre class="screen">service telnet
{
         socket_type                = stream
         wait                        = no
         server                        = /usr/kerberos/sbin/telnetd
         log_on_success                += DURATION USERID
         log_on_failure                += USERID
         bind                    = 123.123.123.123
         redirect                = 10.0.1.13 23
}
</pre><div class="para">
					De <code class="option">bind</code> and <code class="option">redirect</code> opties in dit bestand verzekeren dat de Telnet service op de machine is verbonden met het externe IP adres (<code class="systemitem">123.123.123.123</code>), het adres dat het Internet ziet. Bovendien wordt elk verzoek voor de Telnet service die gestuurd wordt naar <code class="systemitem">123.123.123.123</code> omgeleid met een tweede netwerk adapter naar een intern IP adres (<code class="systemitem">10.0.1.13</code>) dat alleen toegang heeft to de firewall en interne systemen. De firewall bestuurt dan communicatie tussen de twee systemen, en het verbindende systeem denkt dat het verbonden is met <code class="systemitem">123.123.123.123</code> terwijl het in werkelijkheid met een ander systeem verbonden is.
				</div><div class="para">
					Deze eigenschap is in het bijzonder nuttig voor gebruikers met breedband verbindingen en slechts een vast IP adres. Als Network Address Translation (NAT) gebruikt wordt, zijn de systemen achter de gateway machine, welke alleen interne IP adressen gebruiken, niet beschikbaar buiten het gateway systeem. Als echter bepaalde services gecontroleerd door <code class="systemitem">xinetd</code> ingesteld zijn met de <code class="option">bind</code> en <code class="option">redirect</code> opties, kan de gateway machine als een proxy functioneren tussen de systemen buiten en een bepaalde interne machine ingesteld om de service te verlenen. Bovendien zijn de verschillende <code class="systemitem">xinetd</code> toegangs controle en loggings opties ook beschikbaar voor extra bescherming.
				</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Access_Control_Options.html"><strong>Terug</strong>2.5.4.3.2. Toegangs controle opties</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Resource_Management_Options.html"><strong>Volgende</strong>2.5.4.3.4. Hulpbronnen beheer opties</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Altering_xinetd_Configuration_Files-Resource_Management_Options.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.4.3.4. Hulpbronnen beheer opties</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-xinetd_Configuration_Files-Altering_xinetd_Configuration_Files.html" title="2.5.4.3. xinetd configuratie bestanden veranderen"/><link rel="prev" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Binding_and_Redirection_Options.html" title="2.5.4.3.3. Verbindings en omleidings opties"/><link rel="next" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-Additional_Resources.html" title="2.5.5. Extra hulpbronnen"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site
 "/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Binding_and_Redirection_Options.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-Additional_Resources.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Altering_xinetd_Configuration_Files-Resource_Management_Options">2.5.4.3.4. Hulpbronnen beheer opties</h5></div></div></div><div class="para">
					De <code class="systemitem">xinetd</code> daemon kan een basis niveau van bescherming bieden voor weigering van dienst (DoS) aanvallen. De instructies van de volgende lijst kunnen helpen om de effectiviteit van zo'n aanval te beperken:
				</div><div class="itemizedlist"><ul><li><div class="para">
							<code class="option">per_source</code> â€” Definieert het maximum aantal instantiaties van een service per bron IP adres. Het accepteert alleen gehele getallen als argument en kan gebruikt worden in zowel <code class="filename">xinetd.conf</code> als de configuratie bestanden specifiek voor een service in de <code class="filename">xinetd.d/</code> map.
						</div></li><li><div class="para">
							<code class="option">cps</code> â€” Definieert het maximum aantal verbindingen per seconde. Deze instructie heeft twee gehele getallen als argument gescheiden door spaties. Het eerste argument is het maximum aantal verbindingen oer seconde toegestaan voor de service. Het tweede argument is het aantal secondes dat <code class="systemitem">xinetd</code> moet wachten voor dat de service weer beschikbaar komt. Het accepteert alleen gehele getallen als argument en kan gebruikt worden in zowel <code class="filename">xinetd.conf</code> als de configuratie bestanden specifiek voor een service in de <code class="filename">xinetd.d/</code> map.
						</div></li><li><div class="para">
							<code class="option">max_load</code> â€” Definieert het CPU gebruik of gemiddelde load drempel voor een service. Het accepteert een drijvendekommagetal als argument.
						</div><div class="para">
							De gemiddelde load is een ruwe maatstaf voor het aantal processen dat op een gegeven moment actief is. Zie de <code class="command">uptime</code>, <code class="command">who</code>, en <code class="command">procinfo</code> commando's voor meer informatie over gemiddelde load.
						</div></li></ul></div><div class="para">
					Er zijn meer hulpbron beheer opties beschikbaar voor <code class="systemitem">xinetd</code>. Refereer naar de <code class="filename">xinetd.conf</code> manual pagina voor meer informatie.
				</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Binding_and_Redirection_Options.html"><strong>Terug</strong>2.5.4.3.3. Verbindings en omleidings opties</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-Additional_Resources.html"><strong>Volgende</strong>2.5.5. Extra hulpbronnen</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Network_Security.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.3.2. Bedreigingen voor netwerk beveiliging</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Attackers_and_Vulnerabilities.html" title="1.3. Aanvallers en kwetsbaarheden"/><link rel="prev" href="sect-Security_Guide-Attackers_and_Vulnerabilities.html" title="1.3. Aanvallers en kwetsbaarheden"/><link rel="next" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Server_Security.html" title="1.3.3. Bedreigingen voor server beveiliging"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.or
 g"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Attackers_and_Vulnerabilities.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Server_Security.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Network_Security">1.3.2. Bedreigingen voor netwerk beveiliging</h3></div></div></div><div class="para">
			Slechte praktijken tijdens het instellen van de volgende aspecten van een netwerk kunnen het risico van een aanval vergroten.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Threats_to_Network_Security-Insecure_Architectures">1.3.2.1. Onveilige architecturen</h4></div></div></div><div class="para">
				Een verkeerd ingesteld netwerk is de eerste ingang voor niet bevoegde gebruikers. Om een op vertrouwen gebaseerd, open locaal netwerk kwetsbaar te laten voot het in grote mate onveilige Internet is zoiets als de deur op een kier laten in een misdadige omgeving â€” gedurende een willekeurige tijds periode gebeurt er niets, maar <span class="emphasis"><em>uiteindelijk</em></span> benut iemand de mogelijkheid.
			</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Insecure_Architectures-Broadcast_Networks">1.3.2.1.1. Broadcast netwerken</h5></div></div></div><div class="para">
					Systeembeheerders realiseren zich vaak niet wat de belangrijkheid is van netwerk hardware in hun beveiligings schema's. Eenvoudige hardware zoals hubs en routers vertrouwen op het broadcast of niet-geschakeld principe; wat betekent dat steeds wanneer een node data over het netwerk stuurt naar een ontvangende node, de hub of router de data pakketten naar alle hosts stuurt totdat de ontvangende node de data ontvangt en verwerkt. Deze methode is de meest kwetsbare voor adres resolutie protocol (<em class="firstterm">arp</em>) of media access control (<em class="firstterm">MAC</em>) adres misleiding voor zowel indringers van buiten als ongeoorloofde gebruikers op locale hosts.
				</div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Insecure_Architectures-Centralized_Servers">1.3.2.1.2. Gecentraliseerde servers</h5></div></div></div><div class="para">
					Een andere potentuele netwerk valkuil is het gebruik van gecentraliseerde computers. Een vaak voorkomende kosten besparing in veel bedrijven is om alle services te bundelen op een krachtige machine. Dit is handig omdat het eenvodiger te beheren is en behoorlijk goedkoper is dan een configuratie met meerdere servers. Een gecentraliseerde server introduceert echter een enkel punt van falen. Als de centrale server in gevaar is gebracht, kan het netwerk compleet nutteloos zijn of erger, vatbaar zijn voor data manipulatie of diefstal. In deze situaties wordt een centrale server een open deur die toegang toestaat tot het gehele netwerk.
				</div></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Attackers_and_Vulnerabilities.html"><strong>Terug</strong>1.3. Aanvallers en kwetsbaarheden</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Server_Security.html"><strong>Volgende</strong>1.3.3. Bedreigingen voor server beveiliging</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Server_Security.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.3.3. Bedreigingen voor server beveiliging</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Attackers_and_Vulnerabilities.html" title="1.3. Aanvallers en kwetsbaarheden"/><link rel="prev" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Network_Security.html" title="1.3.2. Bedreigingen voor netwerk beveiliging"/><link rel="next" href="sect-Security_Guide-Threats_to_Server_Security-Unpatched_Services.html" title="1.3.3.2. Niet gecorrigeerde services"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://d
 ocs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Network_Security.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Threats_to_Server_Security-Unpatched_Services.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Server_Security">1.3.3. Bedreigingen voor server beveiliging</h3></div></div></div><div class="para">
			Server beveiliging is even belangrijk als netwerk beveiliging omdat servers vaak een groot deel van de vitale informatie van een organisatie bevatten. Als een server in gevaar is gebracht, komt zijn gehele inhoud misschien beschikbaar voor de cracker die het naar goeddunken kan stelen of manipuleren. De volgende paragrafen bespreken sommige van de hoofdzaken.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Threats_to_Server_Security-Unused_Services_and_Open_Ports">1.3.3.1. Ongebruikte services en open poorten</h4></div></div></div><div class="para">
				Een volledige installatie van Fedora bevat meer dan 1000 toepassings en bibliotheek pakketten. De meeste serverbeheerders zullen er echter niet voor kiezen om ieder pakket in de distributie te installeren, maar zullen er de voorkeur aangeven om een installatie van basis pakketten uit te voeren, plus een aantal server toepassingen.
			</div><div class="para">
				Het komt onder systeembeheerders vaak voor om het operating systeem te installeren zonder aandacht te schenken aan welke programma's er in feite geinstalleerd worden. Dit kan een probleem zijn omdat onnodige services geinstalleerd kunnen worden, ingesteld met standaard instellingen, en mogelijk aangezet. Dit veroorzaakt dat onnodige services, zoals Telnet, DHCP, of DNS, op een server of werkstation draaien zonder dat de beheerder zich dit realiseert, wat op zijn beurt kan leiden tot ongewenst verkeer naar de server, of zelfs, een potentiele weg in het systeem voor crackers. Refereer naar <a class="xref" href="sect-Security_Guide-Server_Security.html" title="2.2. Server beveiliging">ParagraafÂ 2.2, â€œServer beveiligingâ€</a> voor informatie over het sluiten van poorten en het uitzetten van niet gebruikte services.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Network_Security.html"><strong>Terug</strong>1.3.2. Bedreigingen voor netwerk beveiliging</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Threats_to_Server_Security-Unpatched_Services.html"><strong>Volgende</strong>1.3.3.2. Niet gecorrigeerde services</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Workstation_and_Home_PC_Security.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.3.4. Bedreigingen voor werkstations en beveiliging van thuis PC's</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Attackers_and_Vulnerabilities.html" title="1.3. Aanvallers en kwetsbaarheden"/><link rel="prev" href="sect-Security_Guide-Threats_to_Server_Security-Inherently_Insecure_Services.html" title="1.3.3.4. Inherent onveilige services"/><link rel="next" href="sect-Security_Guide-Threats_to_Workstation_and_Home_PC_Security-Vulnerable_Client_Applications.html" title="1.3.4.2. Kwetsbare client toepassingen"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Produ
 ct Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Threats_to_Server_Security-Inherently_Insecure_Services.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Threats_to_Workstation_and_Home_PC_Security-Vulnerable_Client_Applications.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Workstation_and_Home_PC_Security">1.3.4. Bedreigingen voor werkstations en beveiliging van thuis PC's</h3></div></div></div><div class="para">
			Werkstations en thuis PC's zijn misschien niet even vatbaar voor een aanval als netwerken of servers, maar omdat ze vaak gevoelige data bevatten, zoals credit kaart informatie, zijn ze het doelwit van systeem crackers. Werkstations kunnen ook besmet zijn zonder dat de gebruiker dat weet en gebruikt door aanvallers als een "slaaf" macine in gecoÃ¶rdineerde aanvallen. Als gebruikers daarom de kwetsbaarheden van een werkstation kennen, kunnen ze zich de moeite besparen om het operating systeem opnieuw te moeten installeren, of erger, te moeten herstellen van data diefstal.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Threats_to_Workstation_and_Home_PC_Security-Bad_Passwords">1.3.4.1. Slechte wachtwoorden</h4></div></div></div><div class="para">
				Slechte wachtwoorden is een van de eenvoudigste manieren om toegang te krijgen tot een systeem. Voor meer informatie over het vermijden van valkuilen bij het aanmaken van een wachtwoord, refereer je naar <a class="xref" href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security-Password_Security" title="2.1.3. Wachtwoord beveiliging">ParagraafÂ 2.1.3, â€œWachtwoord beveiligingâ€</a>.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Threats_to_Server_Security-Inherently_Insecure_Services.html"><strong>Terug</strong>1.3.3.4. Inherent onveilige services</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Threats_to_Workstation_and_Home_PC_Security-Vulnerable_Client_Applications.html"><strong>Volgende</strong>1.3.4.2. Kwetsbare client toepassingen</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Attackers_and_Vulnerabilities.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.3. Aanvallers en kwetsbaarheden</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="chap-Security_Guide-Security_Overview.html" title="Hoofdstuk 1. Beveiligings overzicht"/><link rel="prev" href="sect-Security_Guide-Evaluating_the_Tools-Anticipating_Your_Future_Needs.html" title="1.2.3.5. Anticiperen op je toekomstige behoeftes"/><link rel="next" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Network_Security.html" title="1.3.2. Bedreigingen voor netwerk beveiliging"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://doc
 s.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Evaluating_the_Tools-Anticipating_Your_Future_Needs.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Network_Security.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Attackers_and_Vulnerabilities">1.3. Aanvallers en kwetsbaarheden</h2></div></div></div><div class="para">
		Om een goede beveiligings strategie te plannen en te implementeren, moet je bewust zijn van een paar van de problemen die vastberaden en gemotiveerde hackers uitbuiten om systemen in gevaar te brengen. Voordat we echter in detail gaan over deze problemen, moeten we de terminologie definieren voor het identificeren van een aanvaller.
	</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Attackers_and_Vulnerabilities-A_Quick_History_of_Hackers">1.3.1. Een kleine geschiedenis van hackers</h3></div></div></div><div class="para">
			De huidige betekenis van de term <em class="firstterm">hacker</em> heeft een oorsprong die teruggaat naar 1960-er jaren en de Massachusetts Institute of Technology (MIT) Tech Model Railroad Club,welke treinstellen ontwierp op een grote schaal en met complexe details. Hacker was de naam die gebruikt werd voor leden van de club die een slimme truc of workaround voor een probleem ontdekten.
		</div><div class="para">
			Sindsdien beschrijft de term hacker iedereen van computer fanaten tot begaafde programmeurs. Een gemeenschappelijke eigenschap van de meeste hackers is de bereidheid om tot in detail te ontdekken hoe computer systemen en netwerken werken met weinig of geen motivatie van buitenaf. Open source software ontwikkelaars beschouwen zichzelf en hun collega's vaak als hackers, en gebruiken het woord als teken van respect.
		</div><div class="para">
			Gewoonlijk volgen hackers een vorm van de <em class="firstterm">hacker ethiek</em> die voorschrijft dat de zoektocht naar informatie en expertise essentieel is, en dat het delen van deze kennis met de gemeenschap een plicht is. Gedurende deze zoektocht naar kennis, genieten sommige hackers van de academische uitdaging van het omzeilen van beveiligings maatregelen in computer systemen. Daarom gebruikt de pers vaak de term hacker voor het beschrijven van mensen die ongeoorloofd toegang krijgen tot systemen en netwerken met gewetenlose, kwaadwillige, of criminele voornemens. De meer nauwkeurige term voor dit type computer hacker is <em class="firstterm">cracker</em> â€” een term die midden 1980-er jaren door hackers is bedacht om het verschil tussen de twee soorten aan te geven.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-A_Quick_History_of_Hackers-Shades_of_Gray">1.3.1.1. Grijsschalen</h4></div></div></div><div class="para">
				Binnen de gemeenschap van individuen die kwetsbaarheden in systemen en netwetwerken vinden en benutten zijn verschillende aparte groepen. Deze groepen worden vaak beschreven door de kleurschakering van de hoed die ze "dragen" als ze hun beveiligingsonderzoek uitvoeren en deze kleurschakering geeft hun bedoeling aan.
			</div><div class="para">
				De <em class="firstterm">witte hoed hacker</em> is iemand die netwerken en systemen test om hun prestaties te onderzoeken en te bepalen hoe kwetsbaar ze zijn voor indringing. Gewoonlijk kraken witte hoed hackers hun eigen systemen of de systemen van een opdrachtgever die ze specifiek heeft aangenomen om de beveiliging te onderzoeken. Academische onderzoekers en professionele beveiligings consulenten zijn twee voorbeelden van witte hoed hackers.
			</div><div class="para">
				Een <em class="firstterm">zwarte hoed hacker</em> komt overeen met een cracker. In het algemeen zijn crackers minder gericht op programmeren en de academische kant van het inbreken in systemen. Zij steunen vaak op beschikbare crack programma's en buiten bekende zwakheden in systemen uit om gevoelige informatie te ontdekken voor persoonlijke winst of om schade aan te richten op het doel systeem of netwerk.
			</div><div class="para">
				De <em class="firstterm">grijze hoed hacker</em>, daarintegen, heeft in de meeste situaties de vaardigheden en bedoeling van een witte hoed hacker, maar gebruikt deze kennis soms voor minder nobele doeleinden. Een grijze hoed hacker kan beschouwd worden als een witte hoed hacker die soms een zwarte hoed draagt om zijn doel te bereiken.
			</div><div class="para">
				Grijze hoed hackers onderschrijven gewoonlijk een andere vorm van de hackers ethiek, die zegt dat het geoorloofd is om in te breken in systemen zolang de hacker geen diefstal pleegt of vertrouwlijke gegevens schendt. Sommigen zullen echter zeggen dat het inbreken in systemen op zich al niet ethisch is.
			</div><div class="para">
				Onafhankelijk van de bedoeling van de indringer is het belangrijk om de zwaktes te kennen die een cracker waarschijnlijk zal proberen uit te buiten. De rest van dit hoofdstuk concentreert zich op de zaken.
			</div></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Evaluating_the_Tools-Anticipating_Your_Future_Needs.html"><strong>Terug</strong>1.2.3.5. Anticiperen op je toekomstige behoeftes</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Network_Security.html"><strong>Volgende</strong>1.3.2. Bedreigingen voor netwerk beveiliging</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Basic_Firewall_Configuration-Activating_the_IPTables_Service.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.2.6. Het activeren van de IPTables service</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html" title="2.8.2. Basis firewall instelling"/><link rel="prev" href="sect-Security_Guide-Basic_Firewall_Configuration-Saving_the_Settings.html" title="2.8.2.5. De instellingen opslaan"/><link rel="next" href="sect-Security_Guide-Firewalls-Using_IPTables.html" title="2.8.3. IPTables gebruiken"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Co
 ntent/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Basic_Firewall_Configuration-Saving_the_Settings.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-Using_IPTables.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Basic_Firewall_Configuration-Activating_the_IPTables_Service">2.8.2.6. Het activeren van de IPTables service</h4></div></div></div><div class="para">
				De firewall regels zijn alleen actief als de <code class="command">iptables</code> service draait. Om de service handmatig te starten, gebruik je het volgende commando:
			</div><pre class="screen">[root at myServer ~] # service iptables restart
</pre><div class="para">
				Om er zeker van te zijn dat <code class="command">iptables</code> start als het systeem opgestart wordt, gebruik je het volgende commando:
			</div><pre class="screen">[root at myServer ~] # chkconfig --level 345 iptables on
</pre><div class="para">
				De <code class="command">ipchains</code> service is geen onderdeel van Fedora. Als <code class="command">ipchains</code> echter geinstalleerd is (bijvoorbeeld, als een upgrade werd uitgevoerd en het systeem had <code class="command">ipchains</code> reeds geinstalleerd), moeten de <code class="command">ipchains</code> en <code class="command">iptables</code> services niet tegelijkertijd actief zijn. Om er zeker van te zijn dat de <code class="command">ipchains</code> service uitgezet wordt en ingesteld wordt om niet op te starten tijdens het opstarten van het systeem, gebruik je de volgende twee commando's:
			</div><pre class="screen">[root at myServer ~] # service ipchains stop
[root at myServer ~] # chkconfig --level 345 ipchains off
</pre></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Basic_Firewall_Configuration-Saving_the_Settings.html"><strong>Terug</strong>2.8.2.5. De instellingen opslaan</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-Using_IPTables.html"><strong>Volgende</strong>2.8.3. IPTables gebruiken</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Basic_Firewall_Configuration-Enabling_and_Disabling_the_Firewall.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.2.2. Het aan- en uitzetten van de firewall</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html" title="2.8.2. Basis firewall instelling"/><link rel="prev" href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html" title="2.8.2. Basis firewall instelling"/><link rel="next" href="sect-Security_Guide-Basic_Firewall_Configuration-Trusted_Services.html" title="2.8.2.3. Vertrouwde services"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img 
 src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Basic_Firewall_Configuration-Trusted_Services.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Basic_Firewall_Configuration-Enabling_and_Disabling_the_Firewall">2.8.2.2. Het aan- en uitzetten van de firewall</h4></div></div></div><div class="para">
				Selecteer een van de volgende opties voor de firewall:
			</div><div class="itemizedlist"><ul><li><div class="para">
						<span class="guilabel"><strong>Uitzetten</strong></span> â€” De firewall uitzetten geeft complete toegang tot je systeem en er vindt geen beveiligingscontrole plaats. Dit moet alleen geselecteerd worden als je op een vertrouwd netwerk draait (niet het Internet) of als je een aangepaste firewall moet instellen met gebruik van het iptables commandoregel gereedschap.
					</div><div class="warning"><h2>Waarschuwing</h2><div class="para">
							Firewall configuraties en alle handmatige firewall regels worden opgeslagen in het <code class="filename">/etc/sysconfig/iptables</code> bestand. Als je kiest voor <span class="guilabel"><strong>Uitzetten</strong></span> en op <span class="guibutton"><strong>OK</strong></span> klikt, zullen deze configuraties en firewall regels verloren gaan.
						</div></div></li><li><div class="para">
						<span class="guilabel"><strong>Aanzetten</strong></span> â€” Deze optie stelt je systeem in om binnenkomende verbindingen niet toe te staan als ze geen antwoord zijn op uitgaande verzoeken, zoals DNS antwoorden of DHCP verzoeken. Als toegang tot services die op deze machine draaien nodig is, kun je er voor kiezen om specifieke services door de firewall toe te laten.
					</div><div class="para">
						Als je jouw systeem met het Internet verbindt, maar je bent niet van plan een server te draaien, is dit de veiligste keuze.
					</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html"><strong>Terug</strong>2.8.2. Basis firewall instelling</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Basic_Firewall_Configuration-Trusted_Services.html"><strong>Volgende</strong>2.8.2.3. Vertrouwde services</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Basic_Firewall_Configuration-Other_Ports.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.2.4. Andere poorten</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html" title="2.8.2. Basis firewall instelling"/><link rel="prev" href="sect-Security_Guide-Basic_Firewall_Configuration-Trusted_Services.html" title="2.8.2.3. Vertrouwde services"/><link rel="next" href="sect-Security_Guide-Basic_Firewall_Configuration-Saving_the_Settings.html" title="2.8.2.5. De instellingen opslaan"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_C
 ontent/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Basic_Firewall_Configuration-Trusted_Services.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Basic_Firewall_Configuration-Saving_the_Settings.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Basic_Firewall_Configuration-Other_Ports">2.8.2.4. Andere poorten</h4></div></div></div><div class="para">
				Het <span class="application"><strong>Firewall Configuration Tool</strong></span> gereedschap heeft een <span class="guilabel"><strong>Andere poorten</strong></span> sectie voor het opgeven van specifieke IP poorten als vertrouwd voor <code class="command">iptables</code>. Bijvoorbeeld, om IRC en Internet printing protocol (IPP) toe te staan door de firewall, voeg je de volgende poorten toe in de <span class="guilabel"><strong>Andere poorten</strong></span> sectie:
			</div><div class="para">
				<code class="computeroutput">194:tcp,631:tcp</code>
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Basic_Firewall_Configuration-Trusted_Services.html"><strong>Terug</strong>2.8.2.3. Vertrouwde services</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Basic_Firewall_Configuration-Saving_the_Settings.html"><strong>Volgende</strong>2.8.2.5. De instellingen opslaan</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Basic_Firewall_Configuration-Saving_the_Settings.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.2.5. De instellingen opslaan</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html" title="2.8.2. Basis firewall instelling"/><link rel="prev" href="sect-Security_Guide-Basic_Firewall_Configuration-Other_Ports.html" title="2.8.2.4. Andere poorten"/><link rel="next" href="sect-Security_Guide-Basic_Firewall_Configuration-Activating_the_IPTables_Service.html" title="2.8.2.6. Het activeren van de IPTables service"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraprojec
 t.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Basic_Firewall_Configuration-Other_Ports.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Basic_Firewall_Configuration-Activating_the_IPTables_Service.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Basic_Firewall_Configuration-Saving_the_Settings">2.8.2.5. De instellingen opslaan</h4></div></div></div><div class="para">
				Klik op <span class="guibutton"><strong>OK</strong></span> om de veranderingen op te slaan en de firewall aan of uit te zetten. Als <span class="guilabel"><strong>Aanzetten</strong></span> was geselecteerd, worden de geselecteerde opties vertaald naar <code class="command">iptables</code> commando's en weggeschreven naar het <code class="filename">/etc/sysconfig/iptables</code> bestand. De <code class="command">iptables</code> service wordt ook gestart zodat de firewall onmiddelijk na het opslaan van de geselecteerde opties geactiveerd wordt. Als <span class="guilabel"><strong>Uitzetten</strong></span> was geselecteerd, wordt het <code class="filename">/etc/sysconfig/iptables</code> bestand verwijderd en de <code class="command">iptables</code> service wordt onmiddelijk gestopt.
			</div><div class="para">
				De geselecteerde opties worden ook naar het <code class="filename">/etc/sysconfig/system-config-securitylevel</code> bestand geschreven zodat de instellingen hersteld kunnen worden als de toepassing de volgende keer opstart. Bewerk dit bestand niet handmatig.
			</div><div class="para">
				Hoewel de firewall onmiddelijk geactiveerd wordt, wordt de <code class="command">iptables</code> service niet ingesteld om automatisch op de starten tijden het opstarten van de machine. Refereer naar <a class="xref" href="sect-Security_Guide-Basic_Firewall_Configuration-Activating_the_IPTables_Service.html" title="2.8.2.6. Het activeren van de IPTables service">ParagraafÂ 2.8.2.6, â€œHet activeren van de IPTables serviceâ€</a> voor meer informatie.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Basic_Firewall_Configuration-Other_Ports.html"><strong>Terug</strong>2.8.2.4. Andere poorten</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Basic_Firewall_Configuration-Activating_the_IPTables_Service.html"><strong>Volgende</strong>2.8.2.6. Het activeren van de IPTables service</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Basic_Firewall_Configuration-Trusted_Services.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.2.3. Vertrouwde services</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html" title="2.8.2. Basis firewall instelling"/><link rel="prev" href="sect-Security_Guide-Basic_Firewall_Configuration-Enabling_and_Disabling_the_Firewall.html" title="2.8.2.2. Het aan- en uitzetten van de firewall"/><link rel="next" href="sect-Security_Guide-Basic_Firewall_Configuration-Other_Ports.html" title="2.8.2.4. Andere poorten"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraprojec
 t.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Basic_Firewall_Configuration-Enabling_and_Disabling_the_Firewall.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Basic_Firewall_Configuration-Other_Ports.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Basic_Firewall_Configuration-Trusted_Services">2.8.2.3. Vertrouwde services</h4></div></div></div><div class="para">
				Het aanzetten van opties in de <span class="guilabel"><strong>Vertrouwde diensten</strong></span> lijst, laat de opgegeven service door in de firewall.
			</div><div class="variablelist"><dl><dt><span class="term"><span class="guilabel"><strong>WWW (HTTP)</strong></span></span></dt><dd><div class="para">
							Het HTTP protocol wordt gebruikt door Apache (en door andere Web servers) om web pagina's beschikbaar te maken. Als je van plan bent om je Web server publiek beschikbaar te maken, selecteer je dit aanvinkhokje. Deze optie is niet nodig om locaal pagina's te bekijken of voor het ontwikkelen van web pagina's. Deze service vereist dat het <code class="filename">httpd</code> pakket geinstalleerd is.
						</div><div class="para">
							Het aanzetten van <span class="guilabel"><strong>WWW (HTTP)</strong></span> zal geen poort openen voor HTTPS, de SSL versie van HTTP. Als deze service vereist is, selecteer je <span class="guilabel"><strong>Secure WWW (HTTPS)</strong></span>.
						</div></dd><dt><span class="term"><span class="guilabel"><strong>FTP</strong></span></span></dt><dd><div class="para">
							Het FTP protocol wordt gebruikt voor het overbrengen van bestanden tussen machines op een netwerk. Als je van plan bent op je FTP server publiek beschikbaar te maken, selecteer je dit aanvinkhokje. Deze service vereist dat het <code class="filename">vsftpd</code> pakket geinstalleerd is.
						</div></dd><dt><span class="term"><span class="guilabel"><strong>SSH</strong></span></span></dt><dd><div class="para">
							Secure Shell (SSH) is een verzameling gereedschappen voor het inloggen en uitvoeren van commando's op een machine op afstand. Om toegang op afstand naar de machine toe te staan, selecteer je dit aanvinkhokje. Deze service vereist dat het <code class="filename">openssh-server</code> pakket geinstalleerd is.
						</div></dd><dt><span class="term"><span class="guilabel"><strong>Telnet</strong></span></span></dt><dd><div class="para">
							Telnet is een protocol voor het inloggen op machines op afstand. Telnet communiceert onversleuteld en biedt geen bescherming tegen netwerk snuffelen. Het toestaan van binnenkomende Telnet toegang wordt niet aanbevolen. Om toegang op afstand naar de machine met Telnet toe te staan, selecteer je dit aanvinkhokje. Deze service vereist dat het <code class="filename">telnet-server</code> pakket geinstalleerd is.
						</div></dd><dt><span class="term"><span class="guilabel"><strong>Mail (SMTP)</strong></span></span></dt><dd><div class="para">
							SMTP is een protocol die hosts op afstand toestaat om rechtstreeks met je machine te verbinden om mail af te leveren. Je hoeft deze service niet aan te zetten als je jouw mail ophaalt van de server van jouw ISP met gebruik van POP3 of IMAP, of als je een gereedschap zoals <code class="command">fetchmail</code> gebruikt. Om het afleveren van mail op je machine toe te staan, selecteer je dit aanvinkhokje. Merk op dat een onjuist ingestelde SMTP server machines op afstand kan toestaan om jouw server te gebruiken voor het versturen van spam.
						</div></dd><dt><span class="term"><span class="guilabel"><strong>NFS4</strong></span></span></dt><dd><div class="para">
							Het Network File System (NFS) is een bestandsdelings protocol veel gebtuikt op *NIX systemen. Versie 4 van dit protocol is veiliger dan zijn voorgangers. Als je bestanden of mappen op je systeem wilt delen met andere netwerkgebruikers, selecteer je dit aanvinkhokje.
						</div></dd><dt><span class="term"><span class="guilabel"><strong>Samba</strong></span></span></dt><dd><div class="para">
							Samba is een implementatie van het eigendomsmatige SMB netwerk protocol van Microsoft. Als je bestanden, mappen, of locaal verbonden printers moet delen met Microsoft Windows machines, selecteer je dit aanvinkhokje.
						</div></dd></dl></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Basic_Firewall_Configuration-Enabling_and_Disabling_the_Firewall.html"><strong>Terug</strong>2.8.2.2. Het aan- en uitzetten van de firewall</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Basic_Firewall_Configuration-Other_Ports.html"><strong>Volgende</strong>2.8.2.4. Andere poorten</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Command_Options_for_IPTables-Command_Options.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9.3.2. Commando opties</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-IPTables-Command_Options_for_IPTables.html" title="2.9.3. Commando opties voor IPTables"/><link rel="prev" href="sect-Security_Guide-IPTables-Command_Options_for_IPTables.html" title="2.9.3. Commando opties voor IPTables"/><link rel="next" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Parameter_Options.html" title="2.9.3.3. IPTables parameter opties"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img 
 src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables-Command_Options_for_IPTables.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Parameter_Options.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Command_Options_for_IPTables-Command_Options">2.9.3.2. Commando opties</h4></div></div></div><div class="para">
				Commando opties instrueren <code class="command">iptables</code> om een bepaalde actie uit te voeren. Slechts een commando optie is toegestaan per <code class="command">iptables</code> commando. Met uitzondering van het help commando, worden alle commando's in hoofdletters geschreven.
			</div><div class="para">
				De <code class="command">iptables</code> commando's zijn de volgende:
			</div><div class="itemizedlist"><ul><li><div class="para">
						<code class="option">-A</code> â€” Voeg de regel toe aan het einde van de gespecificeerde keten. In tegenstelling tot de <code class="option">-I</code> optie hieronder beschreven, accepteert het geen geheel getal als argument. Het voegt de regel altijd toe aan het einde van de keten.
					</div></li><li><div class="para">
						<code class="option">-C</code> â€” Controleert een bepaalde regel voordat het deze toevoegt aan de keten door de gebruiker opgegeven. Dit commando kan je helpen om complexe <code class="command">iptables</code> regels te maken omdat het vraagt om extra parameters en opties.
					</div></li><li><div class="para">
						<code class="option">-D <integer> | <regel></code> â€” Verwijdert een regel in een bepaalde keten volgens nummer ( zoals <code class="option">5</code> voor de vijfde regel in een keten), of volgens regel specificatie. De regel specificatie moet exact overeenkomen met een bestaande regel.
					</div></li><li><div class="para">
						<code class="option">-E</code> â€” Verandert de naam van een keten opgegeven door een gebruiker. Een keten opgegeven door een gebruiker is een keten anders dan de standaard, voor-gedifinieerde ketens. (Refereer naar de <code class="option">-N</code> optie hier beneden voor informatie over het maken van ketens gedefinieerd door een gebruiker). Dit is een cosmetische verandering en heeft geen effect op de structuur.
					</div><div class="note"><h2>Opmerking</h2><div class="para">
							Als je probeert een van de standaard ketens van naam te veranderen, rapporteert het systeem een <code class="computeroutput">Match not found</code> fout. Je kunt de standaard ketens geen andere naam geven.
						</div></div></li><li><div class="para">
						<code class="option">-F</code> â€” Verschoont de geselecteerde keten, wat effectief elke regel in de keten verwijdert. Als geen keten is opgegeven, verschoont dit commando elke regel van elke keten.
					</div></li><li><div class="para">
						<code class="option">-h</code> â€” Geeft een lijst van commando structuren, en ook een korte samenvatting van commando parameters en opties.
					</div></li><li><div class="para">
						<code class="option">-I [<integer>]</code> â€” Voeg in regel toe in de opgegeven keten op de plek aangegeven door het gehele getal opgegeven door de gebruiker. Als geen argument wordt opgegeven, wordt de regel bovenin de keten toegevoegd.
					</div><div class="important"><h2>Belangrijk</h2><div class="para">
							Zoals eerder is aangegeven, bepaalt de volgorde van de regels in een keten welke regels voor welke pakketten gelden. Dit is belangrijk om te onthouden bij het toevoegen van regels met zowel de <code class="option">-A</code> als de <code class="option">-I</code> optie.
						</div><div class="para">
							Dit is in het bijzonder belangrijk als regels toegevoegd worden met <code class="option">-I</code> met een integer argument. Als je een bestaand nummer opgeeft bij het toevoegen van een regel aan een keten, voegt <code class="command">iptables</code> de nieuwe regel toe <span class="emphasis"><em>voor</em></span> (of boven) de bestaande regel.
						</div></div></li><li><div class="para">
						<code class="option">-L</code> â€” Geeft een lijst van alle regels in de keten die na het commando gespecificeerd zijn. Om alle regels in de keten in de standaard <code class="option">filter</code> tabel te laten zien, hoef je geen keten of tabel op te geven. Anders moet de volgende syntax gebruikt worden om de regels te laten zien van een specifieke keten in een specifieke tabel:
					</div><pre class="screen"><code class="computeroutput"> iptables -L <em class="replaceable"><code><keten-naam></code></em> -t <em class="replaceable"><code><tabel-naam></code></em></code>
</pre><div class="para">
						Extra opties voor de <code class="option">-L</code> commando optie, welke regel nummers geven en meer uitgebreide regel beschrijving toestaan, worden beschreven in <a class="xref" href="sect-Security_Guide-Command_Options_for_IPTables-Listing_Options.html" title="2.9.3.6. Lijst opties">ParagraafÂ 2.9.3.6, â€œLijst optiesâ€</a>.
					</div></li><li><div class="para">
						<code class="option">-N</code> â€” Maakt een nieuwe keten aan met de opgegeven naam. De keten naam moet uniek zijn, anders wordt een foutboodschap getoond.
					</div></li><li><div class="para">
						<code class="option">-P</code> â€” Stelt de standaard tactiek in voor de opgegeven keten, zodat pakketten die door een gehele keten gaan zonder dat ze overeenkomen met een regel, naar het opgegeven doel gestuurd worden, zoals ACCEPT of DROP.
					</div></li><li><div class="para">
						<code class="option">-R</code> â€” Vervangt een regel in de opgegeven keten. Het nummer van de regel moet opgegeven worden na de naam van de keten. De eerste regel in de keten komt overeen met regel nummer een.
					</div></li><li><div class="para">
						<code class="option">-X</code> â€” Verwijdert een door de gebruiker opgegeven keten. Je kunt geen ingebouwde keten verwijderen.
					</div></li><li><div class="para">
						<code class="option">-Z</code> â€” Zet de byte en pakket tellers in alle ketens voor een tabel op nul.
					</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables-Command_Options_for_IPTables.html"><strong>Terug</strong>2.9.3. Commando opties voor IPTables</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Parameter_Options.html"><strong>Volgende</strong>2.9.3.3. IPTables parameter opties</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Command_Options_for_IPTables-IPTables_Match_Options.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9.3.4. IPTables overeenkomst opties</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-IPTables-Command_Options_for_IPTables.html" title="2.9.3. Commando opties voor IPTables"/><link rel="prev" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Parameter_Options.html" title="2.9.3.3. IPTables parameter opties"/><link rel="next" href="sect-Security_Guide-IPTables_Match_Options-UDP_Protocol.html" title="2.9.3.4.2. UDP protocol"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img sr
 c="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Parameter_Options.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables_Match_Options-UDP_Protocol.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Match_Options">2.9.3.4. IPTables overeenkomst opties</h4></div></div></div><div class="para">
				Verscheidene netwerk protocollen bieden gespecialiseerde overkomst opties welke ingesteld kunnen worden om overeen te komen met een bepaald pakket gebruikmakend van dat protocol. Het protocol moet echter eerst opgegeven worden in het <code class="command">iptables</code> commando. Bijvoorbeeld, <code class="option">-p <em class="replaceable"><code><protocol-naam></code></em></code> zet opties aan voor het opgegeven protocol. Merk op dat je ook het protocol ID kunt opgeven in plaats van de protocol naam. Refereer naar de volgende voorbeelden, die ieder hetzelfde effect hebben:
			</div><pre class="screen"><code class="command"> iptables -A INPUT -p icmp --icmp-type any -j ACCEPT </code>
</pre><pre class="screen"><code class="command"> iptables -A INPUT -p 5813 --icmp-type any -j ACCEPT </code>
</pre><div class="para">
				Service definities zijn te vinden in het <code class="filename">/etc/services</code> bestand. Voor de leesbaarheid wordt het echter aanbevolen dat je service namen gebruikt in plaats van poortnummers.
			</div><div class="warning"><h2>Waarschuwing</h2><div class="para">
					Beveilig het <code class="filename">/etc/services</code> bestand om ongeoorloofde bewerking te voorkomen. Als dit bestand bewerkbaar is, kunnen krakers het gebruiken om poorten aan te zetten op je computer die je gesloten had. Om dit bestand te beveiligen, type je het volgende commando's in als root:
				</div><pre class="screen">[root at myServer ~]# chown root.root /etc/services 
[root at myServer ~]# chmod 0644 /etc/services
[root at myServer ~]# chattr +i /etc/services
</pre><div class="para">
					Dit belet dat het bestand een andere naam krijgt, verwijderd wordt of dat er verwijzingen naar zijn.
				</div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-IPTables_Match_Options-TCP_Protocol">2.9.3.4.1. TCP protocol</h5></div></div></div><div class="para">
					De volgende overeenkomst opties zijn beschikbaar voor het TCP protocol (<code class="option">-p tcp</code>):
				</div><div class="itemizedlist"><ul><li><div class="para">
							<code class="option">--dport</code> â€” Stelt de bestemings poort in voor het pakket.
						</div><div class="para">
							Om deze optie in te stellen, gebruik je een netwerk service naam (zoals www of smtp); een poortnummer; of een reeks van poortnummers.
						</div><div class="para">
							Om een reeks van poortnummers op te geven, scheidt je de nummer met een dubbelepunt (<code class="option">:</code>). Bijvoorbeeld, <code class="option">-p tcp --dport 3000:3200</code>. De grootste geaccepteerde geldige reeks is <code class="option">0:65535</code>.
						</div><div class="para">
							Gebruik een uitroepteken (<code class="option">!</code>) na de <code class="option">--dport</code> optie om overeen te komen met alle pakketten die <span class="emphasis"><em>geen gebruik</em></span> maken van die netwerk service of poort.
						</div><div class="para">
							Om de namen en bijnamen van netwerk services en de poortnummers die ze gebruiken te bekijken, refereer je naar het <code class="filename">/etc/services</code> bestand.
						</div><div class="para">
							De <code class="option">--destination-port</code> overeenkomst optie is synoniem met <code class="option">--dport</code>.
						</div></li><li><div class="para">
							<code class="option">--sport</code> â€” Stelt de bron poort van het pakket in met dezelfde opties als <code class="option">--dport</code>. De <code class="option">--source-port</code> overeenkomst optie is synoniem met <code class="option">--sport</code>.
						</div></li><li><div class="para">
							<code class="option">--syn</code> â€” Is van toepassing op alle TCP pakketten ontworpen om communicatie op te zetten, gewoonlijk <em class="firstterm">SYN pakketten</em> genaamd. Alle pakketten die een data lading bevatten worden niet beinvloed.
						</div><div class="para">
							Gebruik een uitroepteken (<code class="option">!</code>) na de <code class="option">--syn</code> optie om overeen te komen met alle niet-SYN pakketten.
						</div></li><li><div class="para">
							<code class="option">--tcp-flags <geteste vlag lijst> <ingestelde vlag lijst></code> â€” Staat TCP pakketten die specifieke bits (vlaggen) gezet hebben, om overeen te komen met een regel.
						</div><div class="para">
							De <code class="option">--tcp-flags</code> overeenkomst optie accepteert twee parameters. De eerste parameter is het masker, een door komma's gescheiden lijst van vlaggen in het pakket die bekeken worden. De tweede parameter is een door komma's gescheiden lijst van vlaggen de gezet moeten zijn om met de regel overeen te komen.
						</div><div class="para">
							De mogelijke vlaggen zijn:
						</div><div class="itemizedlist"><ul><li><div class="para">
									<code class="option">ACK</code>
								</div></li><li><div class="para">
									<code class="option">FIN</code>
								</div></li><li><div class="para">
									<code class="option">PSH</code>
								</div></li><li><div class="para">
									<code class="option">RST</code>
								</div></li><li><div class="para">
									<code class="option">SYN</code>
								</div></li><li><div class="para">
									<code class="option">URG</code>
								</div></li><li><div class="para">
									<code class="option">ALL</code>
								</div></li><li><div class="para">
									<code class="option">NONE</code>
								</div></li></ul></div><div class="para">
							Bijvoorbeeld, een <code class="command">iptables</code> regel die de volgende specificatie bevat komt alleen overeen met TCP pakketten die de SYN vlag gezet hebben en de ACK en FIN vlaggen niet gezet:
						</div><div class="para">
							<code class="command">--tcp-flags ACK,FIN,SYN SYN</code>
						</div><div class="para">
							Gebruik het uitroepteken (<code class="option">!</code>) na de <code class="option">--tcp-flags</code> om het effect van de overeenkomst optie om te keren.
						</div></li><li><div class="para">
							<code class="option">--tcp-option</code> â€” Probeert overeen te komen met TCP specifieke opties die gezet kunnen zijn in een bepaald pakket. Deze overeenkomst optie kan ook omgedraaid worden met het uitroepteken (<code class="option">!</code>).
						</div></li></ul></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Parameter_Options.html"><strong>Terug</strong>2.9.3.3. IPTables parameter opties</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables_Match_Options-UDP_Protocol.html"><strong>Volgende</strong>2.9.3.4.2. UDP protocol</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Command_Options_for_IPTables-IPTables_Parameter_Options.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9.3.3. IPTables parameter opties</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-IPTables-Command_Options_for_IPTables.html" title="2.9.3. Commando opties voor IPTables"/><link rel="prev" href="sect-Security_Guide-Command_Options_for_IPTables-Command_Options.html" title="2.9.3.2. Commando opties"/><link rel="next" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Match_Options.html" title="2.9.3.4. IPTables overeenkomst opties"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><
 img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Command_Options_for_IPTables-Command_Options.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Match_Options.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Parameter_Options">2.9.3.3. IPTables parameter opties</h4></div></div></div><div class="para">
				Bepaalde <code class="command">iptables</code> commando's, zoals diegene die gebruikt worden voor het toevoegen, aansluiten, verwijderen, invoegen, of vervangen van regels in een bepaalde keten, vereisen verschillende parameters om een pakket filterings regel te maken.
			</div><div class="itemizedlist"><ul><li><div class="para">
						<code class="option">-c</code> â€” Zet de tellers voor een bepaalde regel op nul. Deze parameter accepteert de <code class="option">PKTS</code> en <code class="option">BYTES</code> opties op gewenste teller op te geven.
					</div></li><li><div class="para">
						<code class="option">-d</code> â€” Stelt de bestemmings hostnaam, IP adres, of netwerk in van een pakket dat overeenkomt met de regel. Voor het overeenkomen met een netwerk, worden de volgende IP adres/netmasker formaten ondersteund:
					</div><div class="itemizedlist"><ul><li><div class="para">
								<code class="option"><em class="replaceable"><code>N.N.N.N</code></em>/<em class="replaceable"><code>M.M.M.M</code></em></code> â€” Waarin <em class="replaceable"><code>N.N.N.N</code></em> de IP adres reeks is en <em class="replaceable"><code>M.M.M.M</code></em> het netmasker.
							</div></li><li><div class="para">
								<code class="option"><em class="replaceable"><code>N.N.N.N</code></em>/<em class="replaceable"><code>M</code></em></code> â€” Waarin<em class="replaceable"><code>N.N.N.N</code></em> de IP adres reeks is en <em class="replaceable"><code>M</code></em> het bitmasker.
							</div></li></ul></div></li><li><div class="para">
						<code class="option">-f</code> â€” Laat deze regel alleen werken op gefragmenteerde pakketten.
					</div><div class="para">
						Je kunt de uitroepteken (<code class="option">!</code>) optie na deze parameter gebruiken om op te geven dat alleen ongefragmenteerde pakketten als overeenkomend worden beschouwd.
					</div><div class="note"><h2>Opmerking</h2><div class="para">
							Verschil maken tussen gefragmenteerde on ongefragmenteerde pakketten is gewenst, ondaks dat gefragmenteerde pakketten een standaard deel van het IP protocol is.
						</div><div class="para">
							Hoewel oorspronkelijk ontworpen om IP pakketten toe te staan door netwerken te gaan met verschillende frame afmetingen, wordt tegenwoordig fragmentatie meer algemeen gebruikt om DoS aanvallen uit te voeren met slecht gevormde pakketten. Het is ook nuttig om op te merken dat IPv6 fragmentatie geheel verbiedt.
						</div></div></li><li><div class="para">
						<code class="option">-i</code> â€” Stelt de binnenkomende interface in, zoals <code class="option">eth0</code> of <code class="option">ppp0</code>. Met <code class="command">iptables</code> mag deze optionele parameter alleen gebruikt worden in de INPUT en FORWARD ketens als het met de <code class="option">filter</code> tabel gebruikt wordt en de PREROUTING keten met de <code class="option">nat</code> en <code class="option">mangle</code> tabellen.
					</div><div class="para">
						Deze parameter ondersteunt ook de volgende speciale opties:
					</div><div class="itemizedlist"><ul><li><div class="para">
								Uitroepteken (<code class="option">!</code>) â€” Keert de instructie om, wat betekent dat voor alle opgegeven interfaces deze regel niet geldt.
							</div></li><li><div class="para">
								Plus (<code class="option">+</code>) â€” Een wildcard karakter gebruikt om overeen te komen met alle interfaces die overeenkomen met de opgegeven reeks karakters. Bijvoorbeeld, de parameter <code class="option">-i eth+</code> is van toepassing voor alle Ethernet interfaces maar sluiten alle andere interfaces uit, zoals <code class="option">ppp0</code>.
							</div></li></ul></div><div class="para">
						Als de <code class="option">-i</code> parameter wordt gebruikt maar er is geen interface opgegeven, dan geldt de regel voor elke interface.
					</div></li><li><div class="para">
						<code class="option">-j</code> â€” Springt naar het opgegeven doel als een pakket overeenkomt met een bepaalde regel.
					</div><div class="para">
						De standaard doelen zijn <code class="option">ACCEPT</code>, <code class="option">DROP</code>, <code class="option">QUEUE</code>, en <code class="option">RETURN</code>.
					</div><div class="para">
						Uitgebreide opties zijn ook beschikbaar met behulp van modules die standaard geladen worden met het <code class="command">iptables</code> RPM pakket van Fedora. Geldige doelen in deze modules zijn onder andere <code class="option">LOG</code>, <code class="option">MARK</code>, en <code class="option">REJECT</code>. Refereer naar de <code class="command">iptables</code> manual pagina voor meer informatie over deze en andere doelen.
					</div><div class="para">
						Deze optie kan ook gebruikt worden om een pakket dat overeenkomt met een bepaalde regel door te sturen naar een door de gebruiker gedefinieerde keten buiten de huidige keten zodat andere regels op het pakket toegepast kunnen worden.
					</div><div class="para">
						Als geen doel is opgegeven, gaat het pakket voorbij de regel zonder dat er actie ondernomen wordt. De teller voor deze regel wordt echter met een verhoogd.
					</div></li><li><div class="para">
						<code class="option">-o</code> â€” Stelt de uitgaande netwerk interface in voor een regel. Deze optie is alleen geldig voor OUTPUT en FORWARD ketens in de <code class="option">filter</code> tabel, en de POSTROUTING keten in de <code class="option">nat</code> en <code class="option">mangle</code> tabellen. Deze parameter accepteert dezelfde opties als de binnenkomende netwerk interface parameter (<code class="option">-i</code>).
					</div></li><li><div class="para">
						<code class="option">-p <protocol></code> â€” Stelt het IP protocol in waarvoor de regel geldt. Dit kan <code class="option">icmp</code>, <code class="option">tcp</code>, <code class="option">udp</code>, of <code class="option">all</code> zijn, of het kan een numerieke waarde zijn die een van deze of een ander protocol representeert. Je kunt ook elk protocol gebruiken dat opgegeven is in het <code class="filename">/etc/protocols</code> bestand.
					</div><div class="para">
						Het "<code class="option">all</code>" protocol betekent dat de regel geldt voor elk ondersteund protocol. Als in deze regel geen protocol wordt opgegeven, dan wordt "<code class="option">all</code>" de standaard.
					</div></li><li><div class="para">
						<code class="option">-s</code> â€” Stelt de bron in voor een bepaald pakket met gebruik van dezelfde syntax als de bestemmings (<code class="option">-d</code>) parameter.
					</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Command_Options_for_IPTables-Command_Options.html"><strong>Terug</strong>2.9.3.2. Commando opties</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Match_Options.html"><strong>Volgende</strong>2.9.3.4. IPTables overeenkomst opties</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Command_Options_for_IPTables-Listing_Options.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9.3.6. Lijst opties</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-IPTables-Command_Options_for_IPTables.html" title="2.9.3. Commando opties voor IPTables"/><link rel="prev" href="sect-Security_Guide-Command_Options_for_IPTables-Target_Options.html" title="2.9.3.5. Doel opties"/><link rel="next" href="sect-Security_Guide-IPTables-Saving_IPTables_Rules.html" title="2.9.4. Het opslaan van IPTables regels"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_r
 ight.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Command_Options_for_IPTables-Target_Options.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables-Saving_IPTables_Rules.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Command_Options_for_IPTables-Listing_Options">2.9.3.6. Lijst opties</h4></div></div></div><div class="para">
				Het standaard lijst commando, <code class="command">iptables -L [<keten-naam>]</code>, biedt een basis overzicht van de huidige ketens van de standaard filter tabel. Extra opties bieden meer informatie:
			</div><div class="itemizedlist"><ul><li><div class="para">
						<code class="option">-v</code> â€” Laat uitgebreide output zien, zoals het aantal pakketten en bytes die elke keten verwerkt heeft, het aantal pakketten en bytes die overeenkwamen met elke regel, en welke interface van toepassing is voor een bepaalde regel.
					</div></li><li><div class="para">
						<code class="option">-x</code> â€” Expandeert nummers naar hun exacte waarde. Op een druk systeem, kunnen de nummers van pakketten en bytes verwerkt door een bepaalde keten of regel afgekort worden naar <code class="computeroutput">Kilobytes</code>, <code class="computeroutput">Megabytes</code> of <code class="computeroutput">Gigabytes</code>. Deze optie forceert dat het volledige nummer getoond wordt.
					</div></li><li><div class="para">
						<code class="option">-n</code> â€” Laat IP adressen en poortnummers in numeriek formaat zien, in plaats van de standaard hostnaam en netwerk service formaat.
					</div></li><li><div class="para">
						<code class="option">--line-numbers</code> â€” Laat de regels in elke keten zien met hun numerieke volgorde in de keten. Deze optie is nuttig als je probeert een specifieke regel in een keten te verwijderen of om te bepalen waar een regel ingevoegd moet worden in een keten.
					</div></li><li><div class="para">
						<code class="option">-t <tabel-naam></code> â€” Specificeert een table naam. Als dit weggelaten wordt is de standaard de filter tabel.
					</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Command_Options_for_IPTables-Target_Options.html"><strong>Terug</strong>2.9.3.5. Doel opties</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables-Saving_IPTables_Rules.html"><strong>Volgende</strong>2.9.4. Het opslaan van IPTables regels</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Command_Options_for_IPTables-Target_Options.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9.3.5. Doel opties</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-IPTables-Command_Options_for_IPTables.html" title="2.9.3. Commando opties voor IPTables"/><link rel="prev" href="sect-Security_Guide-IPTables_Match_Options-Additional_Match_Option_Modules.html" title="2.9.3.4.4. Extra overeenkomst optie modules"/><link rel="next" href="sect-Security_Guide-Command_Options_for_IPTables-Listing_Options.html" title="2.9.3.6. Lijst opties"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src=
 "Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables_Match_Options-Additional_Match_Option_Modules.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Command_Options_for_IPTables-Listing_Options.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Command_Options_for_IPTables-Target_Options">2.9.3.5. Doel opties</h4></div></div></div><div class="para">
				Als een pakket overeenkomt met een bepaalde regel, kan de regel het pakket naar een aantal verschillende doelen sturen welke de juiste actie bepalen. Elke keten heeft een standaard doel, welke gebruikt wordt als geen enkele regel in die keten overeenkomt met een pakket of als geen van de regels die overeenkomen met het pakket een doel opgeven.
			</div><div class="para">
				De volgende zijn de standaard doelen:
			</div><div class="itemizedlist"><ul><li><div class="para">
						<code class="option"><em class="replaceable"><code><gebruikers-gedefinieerde-keten></code></em></code> â€” Een gebruikers gedefinieerde keten binnen de tabel. De namen van gebruikers gedefinieerde ketens moeten uniek zijn. Dit doel geeft het pakket door aan de opgegeven keten.
					</div></li><li><div class="para">
						<code class="option">ACCEPT</code> â€” Laat het pakket doorgaan naar zijn bestemming of naar een andere keten.
					</div></li><li><div class="para">
						<code class="option">DROP</code> â€” Laat het pakket vallen zonder bericht aan de aanvrager. Het systeem dat het pakket stuurt krijgt geen bericht van het mislukken.
					</div></li><li><div class="para">
						<code class="option">QUEUE</code> â€” Het pakket wordt doorgegeven voor afhandeling door een toepassing in de gebruikersruimte.
					</div></li><li><div class="para">
						<code class="option">RETURN</code> â€” Stopt met het controleren van het pakket voor de regels in de huidige keten. Als een pakket met een <code class="option">RETURN</code> doel overeenkomt met een regel in een keten die aangeroepen is van een andere keten, wordt het pakket teruggestuurd naar de eerste keten om verder te gaan met de regel controle op de plek waar het gebeleven was. Als de <code class="option">RETURN</code> regel wordt gebruikt voor een ingebouwde keten en het pakket kan kan niet verder gaan naar zijn vorige keten, dan wordt het standaard doel voor de huidige keten gebruikt.
					</div></li></ul></div><div class="para">
				Bovendien zijn uitbreidingen beschikbaar die toestaan dat andere doelen worden opgegeven. Deze uitbreidingen worden doel modules of overeenkomst optie modules genoemd en de meeste zijn alleen van toepassing voor specifieke tabellen en situaties. Refereer naar <a class="xref" href="sect-Security_Guide-IPTables_Match_Options-Additional_Match_Option_Modules.html" title="2.9.3.4.4. Extra overeenkomst optie modules">ParagraafÂ 2.9.3.4.4, â€œExtra overeenkomst optie modulesâ€</a> voor meer informatie over overeenkomst optie modules.
			</div><div class="para">
				Er bestaan vele uitgebreide doel modules, waarvan de meeste alleen van toepassing zijn voor specifieke tabellen of situaties. Sommige van de meer populaire modules die standaard beschikbaar zijn in Fedora zijn:
			</div><div class="itemizedlist"><ul><li><div class="para">
						<code class="option">LOG</code> â€” Logt alle paketten die overeenkomen met deze regel. Omdat pakketten gelogd worden door de kernel, bepaalt het <code class="filename">/etc/syslog.conf</code> bestand waar deze log boodschappen geschreven worden. Standaard komen ze in het <code class="filename">/var/log/messages</code> bestand.
					</div><div class="para">
						Extra opties kunnen gebruikt worden na het <code class="option">LOG</code> doel om op te geven hoe de logging gebeurt:
					</div><div class="itemizedlist"><ul><li><div class="para">
								<code class="option">--log-level</code> â€” Zet het prioriteitsniveau van een log gebeurtenis. Refereer naar de <code class="filename">syslog.conf</code> manual pagina voor een lijst van prioriteitsniveau's.
							</div></li><li><div class="para">
								<code class="option">--log-ip-options</code> â€” Legt elke optie die ingesteld is in de koptekst van een IP pakket.
							</div></li><li><div class="para">
								<code class="option">--log-prefix</code> â€” Plaatst een karakterreeks van maximaal 29 karakters voordat de log regel wordt geschreven. Dit is nuttig voor het schrijven van syslog filters tesamen met pakket logging.
							</div><div class="note"><h2>Opmerking</h2><div class="para">
									Door een probleem met deze optie, moet je een spatie laten volgen na de <em class="replaceable"><code>log-prefix</code></em> waarde.
								</div></div></li><li><div class="para">
								<code class="option">--log-tcp-options</code> â€” Logt elke optie die gezet is in de koptekst van en TCP pakket.
							</div></li><li><div class="para">
								<code class="option">--log-tcp-sequence</code> â€” Schrijft het TCP volgorde nummer voor het pakket in de log.
							</div></li></ul></div></li><li><div class="para">
						<code class="option">REJECT</code> â€” Stuurt een fout pakket terug naar het systeem op afstand en laat het pakket vallen.
					</div><div class="para">
						Het <code class="option">REJECT</code> doel accepteert <code class="option">--reject-with <em class="replaceable"><code><type></code></em></code> (waarin <em class="replaceable"><code><type></code></em> het weigeringstype is) wat meer detail toestaat in de informatie die teruggestuurd wordt met het fout pakket. De boodschap <code class="computeroutput">port-unreachable</code> is het standaard fout type dat gegeven wordt als geen andere optie wordt gebruikt. Refereer naar de <code class="command">iptables</code> manual pagina voor een volledige lijst van <code class="option"><em class="replaceable"><code><type></code></em></code> opties.
					</div></li></ul></div><div class="para">
				Andere doel uitbreidingen, waaronder verscheidene die nuttig zijn voor IP vermomming met gebruik van de <code class="option">nat</code> tabel, of met pakket verandering met gebruik van de <code class="option">mangle</code> tabel, kunnen gevonden worden in de <code class="command">iptables</code> manual pagina.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables_Match_Options-Additional_Match_Option_Modules.html"><strong>Terug</strong>2.9.3.4.4. Extra overeenkomst optie modules</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Command_Options_for_IPTables-Listing_Options.html"><strong>Volgende</strong>2.9.3.6. Lijst opties</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Common_Exploits_and_Attacks.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.4. Veel voorkomende uitbuitingen en aanvallen</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="chap-Security_Guide-Security_Overview.html" title="Hoofdstuk 1. Beveiligings overzicht"/><link rel="prev" href="sect-Security_Guide-Threats_to_Workstation_and_Home_PC_Security-Vulnerable_Client_Applications.html" title="1.3.4.2. Kwetsbare client toepassingen"/><link rel="next" href="sect-Security_Guide-Security_Updates.html" title="1.5. Beveiligings vernieuwingen"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img s
 rc="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Threats_to_Workstation_and_Home_PC_Security-Vulnerable_Client_Applications.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Security_Updates.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Common_Exploits_and_Attacks">1.4. Veel voorkomende uitbuitingen en aanvallen</h2></div></div></div><div class="para">
		<a class="xref" href="sect-Security_Guide-Common_Exploits_and_Attacks.html#tabl-Security_Guide-Common_Exploits_and_Attacks-Common_Exploits" title="Tabel 1.1. Veel voorkomende uitbuitingen">TabelÂ 1.1, â€œVeel voorkomende uitbuitingenâ€</a> geeft details van de meest voorkomende uitbuitingen en ingangspunten gebruikt door indringers om toegang te krijgen tot hulpbronnen in het netwerk van een organisatie. De sleutel voor deze veel voorkomende uitbuitingen is de uitleg hoe ze uitgevoerd worden en hoe beheerders hun netwerk kunnen behoeden voor zulke aanvallen.
	</div><div class="table" id="tabl-Security_Guide-Common_Exploits_and_Attacks-Common_Exploits"><div class="table-contents"><table summary="Veel voorkomende uitbuitingen" border="1"><colgroup><col width="2*"/><col width="4*"/><col width="4*"/></colgroup><thead><tr><th>
						Uitbuiting
					</th><th>
						Beschrijving
					</th><th>
						Opmerkingen
					</th></tr></thead><tbody><tr><td>
						Lege of standaard wachtwoorden
					</td><td>
						Het leeg laten van een beheerderswachtwoord of het gebruiken van een standaard wachtwoord ingesteld door de leverancier. Dit is vaak heel gebruikelijk in hardware zoals routers en firewalls, hoewel sommige services die op Linux draaien een standaard beheerderswachtwoord kunnen bevatten (deze bevinden zich niet in Fedora 11).
					</td><td>
						<table class="simplelist" border="0" summary="Simple list"><tr><td>Vaak voorkomend in netwerk hardware zoals routers, firewalls, VPN's, en aan het netwerk gekoppelde opslag (NAS) apparaten. </td></tr><tr><td>Veel voorkomend in legacy operating systemen, in het bijzonder diegene die services bundelen (zoals UNIX en Windows). </td></tr><tr><td>Beheerders maken soms gebruikersaccount met veel rechten onder tijdsdruk aan en laten het wachtwoord leeg, daarmee maken ze een perfecte ingang voor kwaadwillige gebruikers die dat account ontdekken. </td></tr></table>
					</td></tr><tr><td>
						Standaard gedeelde sleutels
					</td><td>
						Beveiligde services bevatten soms standaard beveiligingssleutels voor ontwikkelings of evaluatie test doeleinden. Als deze sleutels onveranderd blijven en ze worden in een productie omgeving op het Internet geplaatst, hebben <span class="emphasis"><em>alle</em></span> gebruikers met dezelfde standaard sleutels toegang tot die gedeelde sleutel hulpbron, en alle gevoelige informatie die het bevat.
					</td><td>
						<table class="simplelist" border="0" summary="Simple list"><tr><td>Veel voorkomend in draadloze toegangs punten en voor-ingestelde beveiligde server apparaten. </td></tr></table>
					</td></tr><tr><td>
						IP adres voor de gek houden (spoofing)
					</td><td>
						Een machine op afstand doet zich voor als een node in jouw locale netwerk, vindt kwetsbaarheden van je servers, en installeert een achterdeur programma of een paard van Troje om controle te krijgen over je netwerk hulpbronnen.
					</td><td>
						<table class="simplelist" border="0" summary="Simple list"><tr><td>Spoofing is erg moeilijk omdat het inhoudt dat de aanvaller TCP/IP volgorde nummers moet voorspellen om een verbinding naar de doelsystemen te coÃ¶rdineren, maar verschillende gereedschappen zijn beschikbaar die crackers helpen een dergelijke kwetsbaarheid uit te voeren. </td></tr><tr><td>Hangt af van de op het doel systeem draaiende services (zoals <code class="command">rsh</code>, <code class="command">telnet</code>, FTP en andere) die <em class="firstterm">op-broncode-gebaseerde</em> authenticatie technieken gebruiken, wat niet aanbevolen wordt in vergelijk met PKI of andere vormen van versleutelde authenticatie zoals gebruikt in <code class="command">ssh</code> of SSL/TLS. </td></tr></table>
					</td></tr><tr><td>
						Afluisteren
					</td><td>
						Het verzamelen van data dat tussen twee actieve nodes op een netwerk uitgewisseld wordt door het afluisteren van de verbinding tussen de twee nodes.
					</td><td>
						<table class="simplelist" border="0" summary="Simple list"><tr><td>Dit aanvals type werkt meestal met leesbare tekst verbindings protocollen, zoals Telnet, FTP, en HTTP overdracht. </td></tr><tr><td>Een aanvaller op afstand moet toegang hebben tot een in gevaar gebracht systeem in een LAN om een dergelijke aanval uit te voeren; gewoonlijk heeft de cracker een actieve aanval (zoals IP spoofing of de-man-in-het-midden) gebruikt om een systeem in het LAN in gevaar te brengen. </td></tr><tr><td>Preventieve maatregelen zijn services met versleutelde sleutel uitwisseling, eenmalige wachtwoorden, of versleutelde authenticatie om wachtwoord snuffelen te voorkomen; sterke versleuteling gedurende de overdracht is ook aanbevolen. </td></tr></table>
					</td></tr><tr><td>
						Service kwetsbaarheden
					</td><td>
						Een aanvaller vindt een zwakte of kijkgat in een service die op het Internet draait; met deze kwetsbaarheid compromitteert de aanvaller het gehele systeem en alle data die het bevat, en kan mogelijk andere systemen in het netwerk in gevaar brengen.
					</td><td>
						<table class="simplelist" border="0" summary="Simple list"><tr><td>Op HTTP-gebaseerde services zoals CGI zijn kwetsbaar voor het uitvoeren van commando's op afstand en zelfs voor interactieve shell toegang. Zelfs als de HTTP service draait als een gebruiker zonder rechten zoals "nobody", kan informatie zoals configuratie bestanden en netwerk plattegronden gelezen worden, of de aanvalerl kan een dienstweigerings aanval starten die de systeem hulpbronnen laat opdrogen en het onbereikbaar maakt voor andere gebruikers. </td></tr><tr><td>Services kunnen soms kwetsbaarheden hebben die niet opgemerkt worden tijdens de ontwikkeling en het testen; deze kwetsbaarheden (zoals <em class="firstterm">buffer overloop</em>, waarbij aanvallers een service laten crashen door het gebruik van willekeurige waardes die het geheugen buffer van een toepassing vullen, geven de aanvaller een interactieve commando prompt van waaruit ze willekeurige commando's kunnen uitvoeren) kunnen de hele behe
 ers controle aan de aanvaller geven. </td></tr><tr><td>Beheerders moeten er zeker van zijn dat services niet als de root gebruiker draaien, en moeten waakzaam blijven voor correcties of vernieuwingen voor toepassingen van leveranciers of beveiligings organisaties zoals CERT en CVE. </td></tr></table>
					</td></tr><tr><td>
						Toepassings kwetsbaarheden
					</td><td>
						Aanvallers vinden fouten in bureaublad en werkstation toepassingen (zoals email clienten) en voeren willekeurige code uit, brengen paarden van Troje aan voor toekomstig in gevaar brengen, of laten systemen chrashen. Verdere uitbuiting kan plaatsvinden als het in gevaar gebrachte werkstation beheersrechten heeft op de rest van het netwerk.
					</td><td>
						<table class="simplelist" border="0" summary="Simple list"><tr><td>Werkstations en bureaubladen zijn gevoeliger voor uitbuiting omdat werknemers niet de kennis of ervaring hebben om in gevaar brengen te voorkomen of te ontdekken; het is noodzakelijk om mensen te informeren over de risico's die ze nemen als ze ongeoorloofde software installeren of ongevraagde bijlages van emails openen. </td></tr><tr><td>Beschermingen kunnen aangebracht worden zodat email client software niet automatisch bijlages opent of uitvoert. Daarnaast kan de automatische vernieuwing van werkstation software met Red Hat Network of andere systeembeheerdiensten, de taak van multi-seat beveiligings opstellingen verlichten. </td></tr></table>
					</td></tr><tr><td>
						Service weigerings (Denial of service - DoS) aanvallen
					</td><td>
						Een aanvaller of een groep van aanvallers coÃ¶rdineren tegen het netwerk of de server hulpbronen van een organisatie door het ongevraagd sturen van pakketten naar de doel host (of server, router, of werkstation). Dit veroorzaakt dat de hulpbronnen niet beschikbaar zijn voor rechtmatige gebruikers.
					</td><td>
						<table class="simplelist" border="0" summary="Simple list"><tr><td>De meest vermelde DoS aanval in de VS vond plaats in 2000. Verscheidene druk bezochte commerciÃ«le en regerings sites werden onbereikbaar gemaakt door een gecoÃ¶rdineerde ping overspoelings aanval door het gebruik van verscheidene in gevaar gebrachte systemen met hoge bandbreedte verbindingen die optraden als <em class="firstterm">zombies</em>, of doorsturende uitzend nodes. </td></tr><tr><td>Bron pakketten zij meestal vervalsd (en ook opnieuw uitgezonden), wat het onderzoek naar de echte herkomst van de aanval moeilijk maakt. </td></tr><tr><td>Vooruitgang in toegangs filtering (IETF rfc2267) met gebruik van <code class="command">iptables</code> en netwerk indringings detectie systemen zoals <code class="command">snort</code> helpen beheerders met het opsporen en voorkomen van gespreide DoS aanvallen. </td></tr></table>
					</td></tr></tbody></table></div><h6>Tabel 1.1. Veel voorkomende uitbuitingen</h6></div><br class="table-break"/></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Threats_to_Workstation_and_Home_PC_Security-Vulnerable_Client_Applications.html"><strong>Terug</strong>1.3.4.2. Kwetsbare client toepassingen</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Security_Updates.html"><strong>Volgende</strong>1.5. Beveiligings vernieuwingen</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Installation-Instructions.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.8.2. Step-by-Step Installation Instructions</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html" title="3.8. 7-Zip Encrypted Archives"/><link rel="prev" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html" title="3.8. 7-Zip Encrypted Archives"/><link rel="next" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Usage_Instructions.html" title="3.8.3. Step-by-Step Usage Instructions"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"
 ><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Usage_Instructions.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Installation-Instructions">3.8.2. Step-by-Step Installation Instructions</h3></div></div></div><div class="itemizedlist"><ul><li><div class="para">
					Open a Terminal: <code class="code">Click ''Applications'' -> ''System Tools'' -> ''Terminal''</code>
				</div></li><li><div class="para">
					Install 7-Zip with sudo access: <code class="code">sudo yum install p7zip</code>
				</div></li><li><div class="para">
					Close the Terminal: <code class="code">exit</code>
				</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html"><strong>Terug</strong>3.8. 7-Zip Encrypted Archives</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Usage_Instructions.html"><strong>Volgende</strong>3.8.3. Step-by-Step Usage Instructions</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Things_of_note.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.8.4. Things of note</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html" title="3.8. 7-Zip Encrypted Archives"/><link rel="prev" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Usage_Instructions.html" title="3.8.3. Step-by-Step Usage Instructions"/><link rel="next" href="sect-Security_Guide-Encryption-Using_GPG.html" title="3.9. Using GNU Privacy Guard (GnuPG)"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images
 /image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Usage_Instructions.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-Using_GPG.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Things_of_note">3.8.4. Things of note</h3></div></div></div><div class="para">
			7-Zip is not shipped by default with Microsoft Windows or Mac OS X. If you need to use your 7-Zip files on those platforms you will need to install the appropriate version of 7-Zip on those computers. See the 7-Zip <a href="http://www.7-zip.org/download.html">download page</a>.
		</div><div class="para">
			GNOME's File Roller application will recognize your .7z files and attempt to open them, but it will fail with the error "''An error occurred while loading the archive.''" when it attempts to do so. This is because File Roller does not currently support the extraction of encrypted 7-Zip files. A bug report ([http://bugzilla.gnome.org/show_bug.cgi?id=490732 Gnome Bug 490732]) has been submitted.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Usage_Instructions.html"><strong>Terug</strong>3.8.3. Step-by-Step Usage Instructions</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-Using_GPG.html"><strong>Volgende</strong>3.9. Using GNU Privacy Guard (GnuPG)</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Usage_Instructions.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.8.3. Step-by-Step Usage Instructions</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html" title="3.8. 7-Zip Encrypted Archives"/><link rel="prev" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Installation-Instructions.html" title="3.8.2. Step-by-Step Installation Instructions"/><link rel="next" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Things_of_note.html" title="3.8.4. Things of note"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedo
 raproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Installation-Instructions.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Things_of_note.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Usage_Instructions">3.8.3. Step-by-Step Usage Instructions</h3></div></div></div><div class="para">
			By following these instructions you are going to compress and encrypt your "Documents" directory. Your original "Documents" directory will remain unaltered. This technique can be applied to any directory or file you have access to on the filesystem.
		</div><div class="itemizedlist"><ul><li><div class="para">
					Open a Terminal:<code class="code">Click ''Applications'' -> ''System Tools'' -> ''Terminal''</code>
				</div></li><li><div class="para">
					Compress and Encrypt: (enter a password when prompted) <code class="code">7za a -mhe=on -ms=on -p Documents.7z Documents/</code>
				</div></li></ul></div><div class="para">
			The "Documents" directory is now compressed and encrypted. The following instructions will move the encrypted archive somewhere new and then extract it.
		</div><div class="itemizedlist"><ul><li><div class="para">
					Create a new directory: <code class="code">mkdir newplace</code>
				</div></li><li><div class="para">
					Move the encrypted file: <code class="code">mv Documents.7z newplace</code>
				</div></li><li><div class="para">
					Go to the new directory: <code class="code">cd newplace</code>
				</div></li><li><div class="para">
					Extract the file: (enter the password when prompted) <code class="code">7za x Documents.7z</code>
				</div></li></ul></div><div class="para">
			The archive is now extracted into the new location. The following instructions will clean up all the prior steps and restore your computer to its previous state.
		</div><div class="itemizedlist"><ul><li><div class="para">
					Go up a directory: <code class="code">cd ..</code>
				</div></li><li><div class="para">
					Delete the test archive and test extraction: <code class="code">rm -r newplace</code>
				</div></li><li><div class="para">
					Close the Terminal: <code class="code">exit</code>
				</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Installation-Instructions.html"><strong>Terug</strong>3.8.2. Step-by-Step Installation Instructions</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Things_of_note.html"><strong>Volgende</strong>3.8.4. Things of note</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.8. 7-Zip Encrypted Archives</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="chap-Security_Guide-Encryption.html" title="Hoofdstuk 3. Versleuteling"/><link rel="prev" href="sect-Security_Guide-LUKS_Disk_Encryption-Links_of_Interest.html" title="3.7.5. Interessante verwijzingen"/><link rel="next" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Installation-Instructions.html" title="3.8.2. Step-by-Step Installation Instructions"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Conten
 t/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-LUKS_Disk_Encryption-Links_of_Interest.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Installation-Instructions.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives">3.8. 7-Zip Encrypted Archives</h2></div></div></div><div class="para">
		<a href="http://www.7-zip.org/">7-Zip</a> is a cross-platform, next generation, file compression tool that can also use strong encryption (AES-256) to protect the contents of the archive. This is extremely useful when you need to move data between multiple computers that use varying operating systems (i.e. Linux at home, Windows at work) and you want a portable encryption solution.
	</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Installation">3.8.1. 7-Zip Installation in Fedora</h3></div></div></div><div class="para">
			7-Zip is not a base package in Fedora, but it is available in the software repository. Once installed, the package will update alongside the rest of the software on the computer with no special attention necessary.
		</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-LUKS_Disk_Encryption-Links_of_Interest.html"><strong>Terug</strong>3.7.5. Interessante verwijzingen</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Installation-Instructions.html"><strong>Volgende</strong>3.8.2. Step-by-Step Installation Instructions</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Encryption-Protecting_Data_at_Rest-Full_Disk_Encryption.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.2. Volledige schijf versleuteling</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="chap-Security_Guide-Encryption.html" title="Hoofdstuk 3. Versleuteling"/><link rel="prev" href="chap-Security_Guide-Encryption.html" title="Hoofdstuk 3. Versleuteling"/><link rel="next" href="Security_Guide-Encryption-Protecting_Data_at_Rest-File_Based_Encryption.html" title="3.3. Bestand gebaseerde versleuteling"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation S
 ite"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="chap-Security_Guide-Encryption.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="Security_Guide-Encryption-Protecting_Data_at_Rest-File_Based_Encryption.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Encryption-Protecting_Data_at_Rest-Full_Disk_Encryption">3.2. Volledige schijf versleuteling</h2></div></div></div><div class="para">
			Volledige schijf of partitie versleuteling is een van de beste manieren om je data te beschermen. Niet alleen is elk bestand beschermd, maar ook de tijdelijke opslag die onderdelen van die bestanden kan bevatten is beschermd. Volledige schijf versleuteling zal al je bestanden beschermen zodat je er niet druk over hoeft maken wat je wilt beschermen en mogelijk een bestand vergeet.
		</div><div class="para">
			Fedora 9, en later, ondersteunt ingebouwde LUKS versleuteling. LUKS zal je gehele harde schijf partities versleutelen zodat je date beschermd is als de computer uit staat. Dit zal je computer ook beschermen tegen aanvallers die proberen in enkele-gebruikers mode in te loggen op je computer of op een andere manier toegang krijgen.
		</div><div class="para">
			Volledige schijf versleuteling zoals LUKS beschermen je data alleen als de computer uit staat. Zodra de computer aan is en LUKS heeft de schijf ontsleuteld, zijn de bestanden op die schijf beschikbaar voor iedereen die normaal toegang tot deze heeft. Om je bestanden te beschermen als je computer aan staat, gebruik je volledige schijf versleuteling in combinatie met een andere oplossing zoals versleuteling op bestands basis. Denk er ook aan je computer af te sluiten als je er vandaan bent. Een met een wachtwoord beschermde screensaver die activeert na een paar minuten van inactiviteit is een goede manier om indringers buiten te houden.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="chap-Security_Guide-Encryption.html"><strong>Terug</strong>Hoofdstuk 3. Versleuteling</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="Security_Guide-Encryption-Protecting_Data_at_Rest-File_Based_Encryption.html"><strong>Volgende</strong>3.3. Bestand gebaseerde versleuteling</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Encryption-Using_GPG-About_Public_Key_Encryption.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.9.4. About Public Key Encryption</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Encryption-Using_GPG.html" title="3.9. Using GNU Privacy Guard (GnuPG)"/><link rel="prev" href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE.html" title="3.9.3. Creating GPG Keys Using the Command Line"/><link rel="next" href="chap-Security_Guide-General_Principles_of_Information_Security.html" title="Hoofdstuk 4. Algemene principes van informatie beveiliging"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.f
 edoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="chap-Security_Guide-General_Principles_of_Information_Security.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Encryption-Using_GPG-About_Public_Key_Encryption">3.9.4. About Public Key Encryption</h3></div></div></div><div class="orderedlist"><ol><li><div class="para">
					<a href="http://en.wikipedia.org/wiki/Public-key_cryptography">Wikipedia - Public Key Cryptography</a>
				</div></li><li><div class="para">
					<a href="http://computer.howstuffworks.com/encryption.htm">HowStuffWorks - Encryption</a>
				</div></li></ol></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE.html"><strong>Terug</strong>3.9.3. Creating GPG Keys Using the Command Line</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="chap-Security_Guide-General_Principles_of_Information_Security.html"><strong>Volgende</strong>Hoofdstuk 4. Algemene principes van informatie be...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.9.3. Creating GPG Keys Using the Command Line</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Encryption-Using_GPG.html" title="3.9. Using GNU Privacy Guard (GnuPG)"/><link rel="prev" href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE1.html" title="3.9.2. Creating GPG Keys in KDE"/><link rel="next" href="sect-Security_Guide-Encryption-Using_GPG-About_Public_Key_Encryption.html" title="3.9.4. About Public Key Encryption"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><i
 mg src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE1.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-Using_GPG-About_Public_Key_Encryption.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE">3.9.3. Creating GPG Keys Using the Command Line</h3></div></div></div><div class="para">
			Use the following shell command: <code class="code">gpg --gen-key</code>
		</div><div class="para">
			This command generates a key pair that consists of a public and a private key. Other people use your public key to authenticate and/or decrypt your communications. Distribute your public key as widely as possible, especially to people who you know will want to receive authentic communications from you, such as a mailing list. The Fedora Documentation Project, for example, asks participants to include a GPG public key in their self-introduction.
		</div><div class="para">
			A series of prompts directs you through the process. Press the <code class="code">Enter</code> key to assign a default value if desired. The first prompt asks you to select what kind of key you prefer:
		</div><div class="para">
			Please select what kind of key you want: (1) DSA and ElGamal (default) (2) DSA (sign only) (4) RSA (sign only) Your selection? In almost all cases, the default is the correct choice. A DSA/ElGamal key allows you not only to sign communications, but also to encrypt files.
		</div><div class="para">
			Next, choose the key size: minimum keysize is 768 bits default keysize is 1024 bits highest suggested keysize is 2048 bits What keysize do you want? (1024) Again, the default is sufficient for almost all users, and represents an ''extremely'' strong level of security.
		</div><div class="para">
			Next, choose when the key will expire. It is a good idea to choose an expiration date instead of using the default, which is ''none.'' If, for example, the email address on the key becomes invalid, an expiration date will remind others to stop using that public key.
		</div><div class="para">
			Please specify how long the key should be valid. 0 = key does not expire d = key expires in n days w = key expires in n weeks m = key expires in n months y = key expires in n years Key is valid for? (0)
		</div><div class="para">
			Entering a value of <code class="code">1y</code>, for example, makes the key valid for one year. (You may change this expiration date after the key is generated, if you change your mind.)
		</div><div class="para">
			Before the <code class="code">gpg</code>code > program asks for signature information, the following prompt appears: <code class="code">Is this correct (y/n)?</code> Enter <code class="code">y</code>code > to finish the process.
		</div><div class="para">
			Next, enter your name and email address. Remember this process is about authenticating you as a real individual. For this reason, include your real name. Do not use aliases or handles, since these disguise or obfuscate your identity.
		</div><div class="para">
			Enter your real email address for your GPG key. If you choose a bogus email address, it will be more difficult for others to find your public key. This makes authenticating your communications difficult. If you are using this GPG key for [[DocsProject/SelfIntroduction| self-introduction]] on a mailing list, for example, enter the email address you use on that list.
		</div><div class="para">
			Use the comment field to include aliases or other information. (Some people use different keys for different purposes and identify each key with a comment, such as "Office" or "Open Source Projects.")
		</div><div class="para">
			At the confirmation prompt, enter the letter O to continue if all entries are correct, or use the other options to fix any problems. Finally, enter a passphrase for your secret key. The <code class="code">gpg</code> program asks you to enter your passphrase twice to ensure you made no typing errors.
		</div><div class="para">
			Finally, <code class="code">gpg</code> generates random data to make your key as unique as possible. Move your mouse, type random keys, or perform other tasks on the system during this step to speed up the process. Once this step is finished, your keys are complete and ready to use:
		</div><pre class="screen">pub  1024D/1B2AFA1C 2005-03-31 John Q. Doe (Fedora Docs Project) <jqdoe at example.com>
Key fingerprint = 117C FE83 22EA B843 3E86  6486 4320 545E 1B2A FA1C
sub  1024g/CEA4B22E 2005-03-31 [expires: 2006-03-31]
</pre><div class="para">
			The key fingerprint is a shorthand "signature" for your key. It allows you to confirm to others that they have received your actual public key without any tampering. You do not need to write this fingerprint down. To display the fingerprint at any time, use this command, substituting your email address: <code class="code"> gpg --fingerprint jqdoe at example.com </code>
		</div><div class="para">
			Your "GPG key ID" consists of 8 hex digits identifying the public key. In the example above, the GPG key ID is 1B2AFA1C. In most cases, if you are asked for the key ID, you should prepend "0x" to the key ID, as in "0x1B2AFA1C".
		</div><div class="warning"><h2>Warning</h2><div class="para">
				If you forget your passphrase, the key cannot be used and any data encrypted using that key will be lost.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE1.html"><strong>Terug</strong>3.9.2. Creating GPG Keys in KDE</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-Using_GPG-About_Public_Key_Encryption.html"><strong>Volgende</strong>3.9.4. About Public Key Encryption</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE1.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.9.2. Creating GPG Keys in KDE</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Encryption-Using_GPG.html" title="3.9. Using GNU Privacy Guard (GnuPG)"/><link rel="prev" href="sect-Security_Guide-Encryption-Using_GPG.html" title="3.9. Using GNU Privacy Guard (GnuPG)"/><link rel="next" href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE.html" title="3.9.3. Creating GPG Keys Using the Command Line"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/imag
 es/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-Using_GPG.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE1">3.9.2. Creating GPG Keys in KDE</h3></div></div></div><div class="para">
			Start the KGpg program from the main menu by selecting Applications > Utilities > Encryption Tool. If you have never used KGpg before, the program walks you through the process of creating your own GPG keypair. A dialog box appears prompting you to create a new key pair. Enter your name, email address, and an optional comment. You can also choose an expiration time for your key, as well as the key strength (number of bits) and algorithms. The next dialog box prompts you for your passphrase. At this point, your key appears in the main <code class="code">KGpg</code> window.
		</div><div class="warning"><h2>Warning</h2><div class="para">
				If you forget your passphrase, the key cannot be used and any data encrypted using that key will be lost.
			</div></div><div class="para">
			To find your GPG key ID, look in the ''Key ID'' column next to the newly created key. In most cases, if you are asked for the key ID, you should prepend "0x" to the key ID, as in "0x6789ABCD". You should make a backup of your private key and store it somewhere secure.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-Using_GPG.html"><strong>Terug</strong>3.9. Using GNU Privacy Guard (GnuPG)</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE.html"><strong>Volgende</strong>3.9.3. Creating GPG Keys Using the Command Line</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Encryption-Using_GPG.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.9. Using GNU Privacy Guard (GnuPG)</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="chap-Security_Guide-Encryption.html" title="Hoofdstuk 3. Versleuteling"/><link rel="prev" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Things_of_note.html" title="3.8.4. Things of note"/><link rel="next" href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE1.html" title="3.9.2. Creating GPG Keys in KDE"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.
 png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Things_of_note.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE1.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Encryption-Using_GPG">3.9. Using GNU Privacy Guard (GnuPG)</h2></div></div></div><div class="para">
		GPG is used to identify yourself and authenticate your communications, including those with people you don't know. GPG allows anyone reading a GPG-signed email to verify its authenticity. In other words, GPG allows someone to be reasonably certain that communications signed by you actually are from you. GPG is useful because it helps prevent third parties from altering code or intercepting conversations and altering the message.
	</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Encryption-Using_GPG-Keys_in_GNOME">3.9.1. Creating GPG Keys in GNOME</h3></div></div></div><div class="para">
			Install the Seahorse utility, which makes GPG key management easier. From the main menu, select <code class="code">System > Administration > Add/Remove Software</code> and wait for PackageKit to start. Enter <code class="code">Seahorse</code> into the text box and select the Find. Select the checkbox next to the ''seahorse'' package and select ''Apply'' to add the software. You can also install <code class="code">Seahorse</code> at the command line with the command <code class="code">su -c "yum install seahorse"</code>.
		</div><div class="para">
			To create a key, from the ''Applications > Accessories'' menu select ''Passwords and Encryption Keys'', which starts the application <code class="code">Seahorse</code>. From the ''Key'' menu select ''Create New Key...'' then ''PGP Key'' then click ''Continue''. Type your full name, email address, and an optional comment describing who are you (e.g.: John C. Smith, jsmith at example.com, The Man). Click ''Create''. A dialog is displayed asking for a passphrase for the key. Choose a strong passphrase but also easy to remember. Click ''OK'' and the key is created.
		</div><div class="warning"><h2>Warning</h2><div class="para">
				If you forget your passphrase, the key cannot be used and any data encrypted using that key will be lost.
			</div></div><div class="para">
			To find your GPG key ID, look in the ''Key ID'' column next to the newly created key. In most cases, if you are asked for the key ID, you should prepend "0x" to the key ID, as in "0x6789ABCD". You should make a backup of your private key and store it somewhere secure.
		</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives-Things_of_note.html"><strong>Terug</strong>3.8.4. Things of note</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-Using_GPG-Creating_GPG_Keys_in_KDE1.html"><strong>Volgende</strong>3.9.2. Creating GPG Keys in KDE</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Evaluating_the_Tools-Anticipating_Your_Future_Needs.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.2.3.5. Anticiperen op je toekomstige behoeftes</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Vulnerability_Assessment-Evaluating_the_Tools.html" title="1.2.3. Het evalueren van de gereedschappen"/><link rel="prev" href="sect-Security_Guide-Evaluating_the_Tools-VLAD_the_Scanner.html" title="1.2.3.4. VLAD de scanner"/><link rel="next" href="sect-Security_Guide-Attackers_and_Vulnerabilities.html" title="1.3. Aanvallers en kwetsbaarheden"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img s
 rc="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Evaluating_the_Tools-VLAD_the_Scanner.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Attackers_and_Vulnerabilities.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Evaluating_the_Tools-Anticipating_Your_Future_Needs">1.2.3.5. Anticiperen op je toekomstige behoeftes</h4></div></div></div><div class="para">
				Afhankelijk van je doel en hulpmiddelen, zijn er veel gereedschappen beschikbaar. Er zijn gereedschappen voor draadloze netwerken, Novell netwerken, Windows systemen, Linux systemen, een nog veel meer. Een ander essentieel onderdeel van het uitvoeren van onderzoeken kan zijn het bekijken van fysieke beveiliging, personeel doorlichten, of voice/PBX netwerk beoordeling. Nieuwe concepten, zoals <em class="firstterm">war walking</em>, wat het scannen van de omtrek van de fysieke structuur van je onderneming inhoudt voor draadloze netwerk kwetsbaarheden, zijn opkomende concepten die je kunt bekijken en, indien nodig, onderdeel maken van je onderzoek. Verbeelding en blootstelling zijn de enigste beperkingen voor het plannen en uitvoeren van kwetsbaarheidsonderzoeken.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Evaluating_the_Tools-VLAD_the_Scanner.html"><strong>Terug</strong>1.2.3.4. VLAD de scanner</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Attackers_and_Vulnerabilities.html"><strong>Volgende</strong>1.3. Aanvallers en kwetsbaarheden</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Evaluating_the_Tools-Nessus.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.2.3.2. Nessus</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Vulnerability_Assessment-Evaluating_the_Tools.html" title="1.2.3. Het evalueren van de gereedschappen"/><link rel="prev" href="sect-Security_Guide-Vulnerability_Assessment-Evaluating_the_Tools.html" title="1.2.3. Het evalueren van de gereedschappen"/><link rel="next" href="sect-Security_Guide-Evaluating_the_Tools-Nikto.html" title="1.2.3.3. Nikto"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/ima
 ge_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Vulnerability_Assessment-Evaluating_the_Tools.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Evaluating_the_Tools-Nikto.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Evaluating_the_Tools-Nessus">1.2.3.2. Nessus</h4></div></div></div><div class="para">
				Nessus is een beveiligings scanner voor alle services. De plug-in architectuur van Nessus staat gebruikers toe het aan te passen voor hun systemen en netwerken. Zoals met elke scanner is Nesses niet beter dan de handtekeningen database waar het op steunt. Gelukkig wordt Nessus regelmatig vernieuwd en biedt het volledige rapportering, en real-time kwetsbaarheid zoeken. Denk er aan dat er verkeerde plussen en verkeerde minnen kunnen zijn, zelfs bij een gereedschap zo krachtig en regelmatie vernieuwd als Nessus.
			</div><div class="note"><h2>Opmerking</h2><div class="para">
					De Nessus client en server software is onderdeel van Fedora in de repositories maar vereist een abonnement om te gebruiken. Het wordt in dit document genoemd als een referentie voor gebruikers die er interesse in hebben om deze populaire toepassing te gebruiken.
				</div></div><div class="para">
				Voor meer informatie over Nessus refereer je naar de officiele web pagina op:
			</div><div class="para">
				<a href="http://www.nessus.org/">http://www.nessus.org/</a>
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Vulnerability_Assessment-Evaluating_the_Tools.html"><strong>Terug</strong>1.2.3. Het evalueren van de gereedschappen</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Evaluating_the_Tools-Nikto.html"><strong>Volgende</strong>1.2.3.3. Nikto</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Evaluating_the_Tools-Nikto.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.2.3.3. Nikto</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Vulnerability_Assessment-Evaluating_the_Tools.html" title="1.2.3. Het evalueren van de gereedschappen"/><link rel="prev" href="sect-Security_Guide-Evaluating_the_Tools-Nessus.html" title="1.2.3.2. Nessus"/><link rel="next" href="sect-Security_Guide-Evaluating_the_Tools-VLAD_the_Scanner.html" title="1.2.3.4. VLAD de scanner"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Docume
 ntation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Evaluating_the_Tools-Nessus.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Evaluating_the_Tools-VLAD_the_Scanner.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Evaluating_the_Tools-Nikto">1.2.3.3. Nikto</h4></div></div></div><div class="para">
				Nikto een zeer goede common gateway interface (CGI) script scanner. Nikto controleert niet alleen voor CGI kwetsbaarheden maar doet dit op een ontwijkende manier zodat het ontsnapt aan indringings detectie systemen. Het heeft een grondige documentatie die je zorgvuldig moet bekijken voordat je het programma draait. Als je Web servers hebt die CGI scripts aanbieden, kan Nikto een uitstekende hulpbron zijn om de beveiliging van deze servers te controleren.
			</div><div class="para">
				Meer informatie over Nikto kan gevonden worden op:
			</div><div class="para">
				<a href="http://www.cirt.net/code/nikto.shtml">http://www.cirt.net/code/nikto.shtml</a>
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Evaluating_the_Tools-Nessus.html"><strong>Terug</strong>1.2.3.2. Nessus</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Evaluating_the_Tools-VLAD_the_Scanner.html"><strong>Volgende</strong>1.2.3.4. VLAD de scanner</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Evaluating_the_Tools-VLAD_the_Scanner.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.2.3.4. VLAD de scanner</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Vulnerability_Assessment-Evaluating_the_Tools.html" title="1.2.3. Het evalueren van de gereedschappen"/><link rel="prev" href="sect-Security_Guide-Evaluating_the_Tools-Nikto.html" title="1.2.3.3. Nikto"/><link rel="next" href="sect-Security_Guide-Evaluating_the_Tools-Anticipating_Your_Future_Needs.html" title="1.2.3.5. Anticiperen op je toekomstige behoeftes"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Comm
 on_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Evaluating_the_Tools-Nikto.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Evaluating_the_Tools-Anticipating_Your_Future_Needs.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Evaluating_the_Tools-VLAD_the_Scanner">1.2.3.4. VLAD de scanner</h4></div></div></div><div class="para">
				VLAD is een kwetsbaarheids scanner, ontwikkelt door het <acronym class="acronym">RAZOR</acronym> team van Bindview, Inc., welke controleert voor de SANS Top Tien lijst van algemene beveiligings problemen (SNMP problemen, bestandsdeling problemen, enz.). Hoewel het niet zo volledig is als Nessus, is VLAD de moeite van het bekijken waard.
			</div><div class="note"><h2>Opmerking</h2><div class="para">
					VLAD is geen onderdeel van Fedora en wordt niet ondersteund. Het wordt in dit document genoemd als een referentie voor gebruikers die er interesse in hebben om deze populaire toepassing te gebruiken.
				</div></div><div class="para">
				Meer informatie over VLAD kan gevonden worden op de RAZOR team website op:
			</div><div class="para">
				<a href="http://www.bindview.com/Support/Razor/Utilities/">http://www.bindview.com/Support/Razor/Utilities/</a>
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Evaluating_the_Tools-Nikto.html"><strong>Terug</strong>1.2.3.3. Nikto</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Evaluating_the_Tools-Anticipating_Your_Future_Needs.html"><strong>Volgende</strong>1.2.3.5. Anticiperen op je toekomstige behoeftes</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-FORWARD_and_NAT_Rules-DMZs_and_IPTables.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.5.3. DMZ's en IPTables</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html" title="2.8.5. FORWARD en NAT regels"/><link rel="prev" href="sect-Security_Guide-FORWARD_and_NAT_Rules-Prerouting.html" title="2.8.5.2. Prerouting"/><link rel="next" href="sect-Security_Guide-Firewalls-Malicious_Software_and_Spoofed_IP_Addresses.html" title="2.8.6. Kwaadwillige software en bedrogen IP adressen"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Conten
 t/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-FORWARD_and_NAT_Rules-Prerouting.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-Malicious_Software_and_Spoofed_IP_Addresses.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-FORWARD_and_NAT_Rules-DMZs_and_IPTables">2.8.5.3. DMZ's en IPTables</h4></div></div></div><div class="para">
				Je kunt <code class="command">iptables</code> regels maken om verkeer naar een bepaalde machine, zoals een specifieke HTTP of FTP server, te sturen in een <em class="firstterm">demilitarized zone</em> (<acronym class="acronym">DMZ</acronym>). Een <acronym class="acronym">DMZ</acronym> is een speciaal locaal subnetwerk bestemd om services op een publieke drager (zoals het Internet) aan te bieden.
			</div><div class="para">
				Bjvoorbeeld, om een regel te maken om binnenkomende HTTP verzoeken door te sturen naar een specifieke HTTP server op 10.0.4.2 (buiten de 192.168.1.0/24 reeks van het LAN), gebruikt NAT de <code class="computeroutput">PREROUTING</code> tabel om de pakketten door te sturen naar de juiste bestemming:
			</div><pre class="screen">[root at myServer ~ ] # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 10.0.4.2:80
</pre><div class="para">
				Met dit comando, worden alle HTTP verbindingen naar poort 80 van buiten het LAN doorgestuurd naar de HTTP server op een netwerk los van de rest van het interne netwerk. Deze vorm van netwerkverdeling kan veiliger zijn dat het toestaan van HTTP verbindingen naar een machine in het netwerk.
			</div><div class="para">
				Als de HTTP server is ingesteld om veilige verbindingen te accepteren, dan moet poort 443 ook doorgestuurd orden.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-FORWARD_and_NAT_Rules-Prerouting.html"><strong>Terug</strong>2.8.5.2. Prerouting</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-Malicious_Software_and_Spoofed_IP_Addresses.html"><strong>Volgende</strong>2.8.6. Kwaadwillige software en bedrogen IP adres...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-FORWARD_and_NAT_Rules-Prerouting.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.5.2. Prerouting</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html" title="2.8.5. FORWARD en NAT regels"/><link rel="prev" href="sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html" title="2.8.5. FORWARD en NAT regels"/><link rel="next" href="sect-Security_Guide-FORWARD_and_NAT_Rules-DMZs_and_IPTables.html" title="2.8.5.3. DMZ's en IPTables"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Document
 ation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-FORWARD_and_NAT_Rules-DMZs_and_IPTables.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-FORWARD_and_NAT_Rules-Prerouting">2.8.5.2. Prerouting</h4></div></div></div><div class="para">
				Als je een server in je interne netwerk hebt die je extern beschikbaar wilt maken, kun je het <code class="option">-j DNAT</code> doel van de PREROUTING keten in NAT gebruiken om een bestemmings IP adres en poort te specificeren waarnaar binnenkomende pakketten die een verbinding verzoeken naar je interne service geforward kunnen worden.
			</div><div class="para">
				Bijvoorbeeld, als je binnenkomende HTTP verzoeken wilt forwarden naar je specifieke Apache HTTP server op 172.31.0.23, gebruik je het volgende commando:
			</div><pre class="screen">[root at myServer ~ ] # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 172.31.0.23:80
</pre><div class="para">
				Deze regel specificeert dat de <acronym class="acronym">nat</acronym> tabel de ingebouwde PREROUTING gebruikt om binnenkomende HTTP verzoeken uitsluitend door te sturen naar het opgegeven bestemmings IP adres 172.31.0.23.
			</div><div class="note"><h2>Opmerking</h2><div class="para">
					Als je een standaard DROP tactiek in je FORWARD keten hebt, moet je een regel toevoegen om alle binnenkomende HTTP verzoeken te forwarden zodat bestemmings NAT routing mogelijk is. Om dit te doen gebruik je het volgende commando:
				</div><pre class="screen">[root at myServer ~ ] # iptables -A FORWARD -i eth0 -p tcp --dport 80 -d 172.31.0.23 -j ACCEPT
</pre><div class="para">
					Deze regel forward alle binnenkomende HTTP verzoeken van de firewall naar de bedoelde bestemming; de Apache HTTP server achter de forewall.
				</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html"><strong>Terug</strong>2.8.5. FORWARD en NAT regels</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-FORWARD_and_NAT_Rules-DMZs_and_IPTables.html"><strong>Volgende</strong>2.8.5.3. DMZ's en IPTables</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Firewalls-Additional_Resources.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.9. Extra hulpbronnen</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Firewalls.html" title="2.8. Firewalls"/><link rel="prev" href="sect-Security_Guide-Firewalls-IPv6.html" title="2.8.8. IPv6"/><link rel="next" href="sect-Security_Guide-Additional_Resources-Useful_Firewall_Websites.html" title="2.8.9.2. Nuttige firewall websites"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="
 previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-IPv6.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Additional_Resources-Useful_Firewall_Websites.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Firewalls-Additional_Resources">2.8.9. Extra hulpbronnen</h3></div></div></div><div class="para">
			Er zijn verscheidene aspecten van firewalls en het Linux Netfilter subsysteem die in dit hoofdstuk niet behandeld konden worden. Voor meer informatie refereer je naar de volgende hulpbronnen.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Additional_Resources-Installed_Firewall_Documentation">2.8.9.1. Geinstalleerde firewall documentatie</h4></div></div></div><div class="itemizedlist"><ul><li><div class="para">
						Refereer naar <a class="xref" href="sect-Security_Guide-IPTables.html" title="2.9. IPTables">ParagraafÂ 2.9, â€œIPTablesâ€</a> voor meer details over het <code class="command">iptables</code> commando, inclusief definities voor vele commando opties.
					</div></li><li><div class="para">
						De <code class="command">iptables</code> manual pagina bevat een korte samenvatting van de verschillende opties.
					</div></li></ul></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-IPv6.html"><strong>Terug</strong>2.8.8. IPv6</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Additional_Resources-Useful_Firewall_Websites.html"><strong>Volgende</strong>2.8.9.2. Nuttige firewall websites</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.2. Basis firewall instelling</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Firewalls.html" title="2.8. Firewalls"/><link rel="prev" href="sect-Security_Guide-Firewalls.html" title="2.8. Firewalls"/><link rel="next" href="sect-Security_Guide-Basic_Firewall_Configuration-Enabling_and_Disabling_the_Firewall.html" title="2.8.2.2. Het aan- en uitzetten van de firewall"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/><
 /a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Basic_Firewall_Configuration-Enabling_and_Disabling_the_Firewall.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration">2.8.2. Basis firewall instelling</h3></div></div></div><div class="para">
			Net zoals een firewall in een gebouw probeert te voorkomen dat het vuur zich verspreidt, probeert een computer firewall te voorkomen dat kwaadwillige software zich verspreidt naar je computer. Het helpt ook om niet gemachtigde gebruikers toegang tot je computer te beletten.
		</div><div class="para">
			In een standaard Fedora installatie is er een firewall tussen jouw computer of netwerk en alle niet vertrouwde netwerken, bijvoorbeeld het Internet. Het bepaalt tot welke services op jouw computer gebruikers op afstand toegang kunnen hebben. Een juist ingestelde firewall kan de beveiliging van je systeem sterk verbeteren. Het wordt aanbevolen dat je een firewall instelt voor elk Fedora systeem met een Internet verbinding.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Basic_Firewall_Configuration-RHSECLEVELTOOL">2.8.2.1. <span class="application"><strong>Firewallconfiguratie</strong></span></h4></div></div></div><div class="para">
				Op het <span class="guilabel"><strong>Firewallconfiguratie</strong></span> scherm van de Fedora installatie, heb je de mogelijkheid gekregen om een basis firewall aan te zetten evanals het toestaan van specifieke apparaten, binnenkomende servies, en poorten.
			</div><div class="para">
				Na de installatie, kun je deze instelling veranderen met het <span class="application"><strong>Firewall Configuration Tool</strong></span> gereedschap.
			</div><div class="para">
				Om deze toepassing te starten gebruik je het volgende commando:
			</div><pre class="screen">[root at myServer ~] # system-config-firewall
</pre><div class="figure" id="figu-Security_Guide-RHSECLEVELTOOL-RHSECLEVELTOOL"><div class="figure-contents"><div class="mediaobject"><img src="images/fed-firewall_config.png" alt="Firewallconfiguratie"/><div class="longdesc"><div class="para">
							Beveilingsniveau instelling
						</div></div></div></div><h6>Figuur 2.15. <span class="application">Firewallconfiguratie</span></h6></div><br class="figure-break"/><div class="note"><h2>Opmerking</h2><div class="para">
					De <span class="application"><strong>Firewall Configuration Tool</strong></span> toepassing stelt een basis firewall in. Als het systeem meer complexe regels nodig heeft, refereer je naar <a class="xref" href="sect-Security_Guide-IPTables.html" title="2.9. IPTables">ParagraafÂ 2.9, â€œIPTablesâ€</a> voor details over het instellen van specifieke <code class="command">iptables</code> regels.
				</div></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls.html"><strong>Terug</strong>2.8. Firewalls</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Basic_Firewall_Configuration-Enabling_and_Disabling_the_Firewall.html"><strong>Volgende</strong>2.8.2.2. Het aan- en uitzetten van de firewall</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Firewalls-Common_IPTables_Filtering.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.4. Algemene IPTables filtering</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Firewalls.html" title="2.8. Firewalls"/><link rel="prev" href="sect-Security_Guide-Using_IPTables-Saving_and_Restoring_IPTables_Rules.html" title="2.8.3.3. Opslaan en terugzetten van IPTables regels"/><link rel="next" href="sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html" title="2.8.5. FORWARD en NAT regels"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png
 " alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Using_IPTables-Saving_and_Restoring_IPTables_Rules.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Firewalls-Common_IPTables_Filtering">2.8.4. Algemene IPTables filtering</h3></div></div></div><div class="para">
			Een van de belangrijkste aspecten van netwerkbeveiliging is het voorkomen dat aanvallers op afstand toegang krijgen tot een LAN. De integriteit van een LAN moet beschermd worden tegen kwaadwillige gebruikers door het gebruik van strenge firewall regels.
		</div><div class="para">
			Met een standaard tactiek om alle binnenkomende, uitgaande, een doorgestuurde pakketten te blokkeren, is het echter onmogelijk voor de firewall/gateway en interne LAN gebruikers om met elkaar of met externe hulpbronnen te communiceren.
		</div><div class="para">
			Om gebruikers netwerk gerelateerde functies toe te staan en netwerk toepassingen te gebruiken, moeten beheerders bepaalde poorten openen voor communicatie.
		</div><div class="para">
			Bijvoorbeeld, om toegang toe te staan tot poort 80 <span class="emphasis"><em>op de firewall</em></span>, voeg je de volgende regel toe:
		</div><pre class="screen">[root at myServer ~ ] # iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
</pre><div class="para">
			Dit staat gebruikers toe om websites te bezoeken die communiceren met gebruik van de standaard poort 80. Om toegang toe te staan voor beveiligde websites (bijvoorbeeld, https://www.example.com/), moet je als volgt ook toegang geven tot poort 443:
		</div><pre class="screen">[root at myServer ~ ] # iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
</pre><div class="important"><h2>Belangrijk</h2><div class="para">
				Bij het maken van een <code class="command">iptables</code> regelstelsel is de volgorde belangrijk.
			</div><div class="para">
				Als een regel specificeert dat alle pakketten van het 192.168.100.0/24 subnet gedropd moeten worden, en dit wordt gevolgd door een regel die pakketten toestaat van 192.168.100.13 (welke binnen het gedropte subnet ligt), wordt de tweede regel genegeerd.
			</div><div class="para">
				De regel die pakketten toestaat van 192.168.100.13 moet voor de regel komen die de rest van het subnet dropped.
			</div><div class="para">
				Om een regel in te voegen op een specifieke locatie in een bestaande keten, gebruik je de <code class="option">-I</code> optie. Bijvoorbeeld:
			</div><pre class="screen">[root at myServer ~ ] # iptables -I INPUT 1 -i lo -p all -j ACCEPT
</pre><div class="para">
				Deze regel wordt ingevoegd als de eerste regel in de INPUT keten om local loopback apparaat verkeer toe te staan.
			</div></div><div class="para">
			Het kan voorkomen dat je toegang op afstand naar het LAN nodig hebt. Beveiligde services, bijvoorbeeld SSH, kunnen gebruikt worden voor versleutelde verbinding op afstand naar LAN services.
		</div><div class="para">
			Beheerders met hulpbronnen gebaseerd op PPP (zoals modems of bulk ISP accounts), kunnen dial-up toegang gebruiken om firewall beperkingen veilig te omzeilen. Omdat het directe verbindingen zijn, bevinden modem verbindingen zich gewoonlijk achter een firewall/gateway.
		</div><div class="para">
			Voor gebruikers op afstand met breedband verbindingen, kunnen echter speciale gevallen gemaakt worden. Je kunt <code class="command">iptables</code> instellen om verbindingen van SSH clienten op afstand te accepteren. Bijvoorbeeld, de volgende regels staan SSH toegang op afstaand toe:
		</div><pre class="screen">[root at myServer ~ ] # iptables -A INPUT -p tcp --dport 22 -j ACCEPT
[root at myServer ~ ] # iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
</pre><div class="para">
			Deze regels staan binnenkomende en uitgaande toegang toe voor een individueel systeem, zoals een enkele PC direct verbonden met het Internet of een firewall/gateway. Sta echter nodes achter de firewall/gateway toegang tot deze services niet toe. Om LAN toegang naar deze services toe te staan, kun je <em class="firstterm">Network Address Translation</em> (<acronym class="acronym">NAT</acronym>) gebruiken met <code class="command">iptables</code> filterings regels.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Using_IPTables-Saving_and_Restoring_IPTables_Rules.html"><strong>Terug</strong>2.8.3.3. Opslaan en terugzetten van IPTables rege...</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html"><strong>Volgende</strong>2.8.5. FORWARD en NAT regels</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.5. FORWARD en NAT regels</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Firewalls.html" title="2.8. Firewalls"/><link rel="prev" href="sect-Security_Guide-Firewalls-Common_IPTables_Filtering.html" title="2.8.4. Algemene IPTables filtering"/><link rel="next" href="sect-Security_Guide-FORWARD_and_NAT_Rules-Prerouting.html" title="2.8.5.2. Prerouting"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class=
 "docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-Common_IPTables_Filtering.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-FORWARD_and_NAT_Rules-Prerouting.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Firewalls-FORWARD_and_NAT_Rules">2.8.5. <code class="computeroutput">FORWARD</code> en <acronym class="acronym">NAT</acronym> regels</h3></div></div></div><div class="para">
			De meeste ISP's bieden slechts een beperkt aantal publiek bereikbare IP adressen aan de organisaties die ze bedienen.
		</div><div class="para">
			Beheerders moeten daarom een alternatieve manier vinden om toegang tot Internet services te delen zonder aan iedere node op het LAN een publiek IP adres te geven.
		</div><div class="para">
			Rand routers (zoals firewalls) kunnen binnenkomende verzendingen van het Internet ontvangen en de pakketten door sturen naar de bedoelde LAN node. Tegelijkertijd kunnen firewalls/gateways ook uitgaande verzoeken doorsturen van een LAN node naar de Internet service op afstand.
		</div><div class="para">
			Dit doorsturen van netwerk verkeer kan soms gevaarlijk worden, zeker met de beschikbaarheid van moderne kraak gereedschappen die zich voor kunnen doen als <span class="emphasis"><em>interne</em></span> IP adressen, en die de machine van de aanvaller op afstand laten opereren als een node op je LAN.
		</div><div class="para">
			Om dit te voorkomen, biedt <code class="command">iptables</code> routing en forwarding tactieken die geimplementeerd kunnen worden om abnormaal gebruik van netwerk hulpbronnen te voorkomen.
		</div><div class="para">
			De <code class="computeroutput">FORWARD</code> keten laat een beheerder controleren welke pakketten binnen een LAN doorgestuurd kunnen worden. Bijvoorbeeld, om doorsturen voor het gehele LAN toe te staan (aannemende dat aan de firewall/gateway een intern IP adres op eth1 is toegekend), gebruik je de volgende regels:
		</div><pre class="screen">[root at myServer ~ ] # iptables -A FORWARD -i eth1 -j ACCEPT
[root at myServer ~ ] # iptables -A FORWARD -o eth1 -j ACCEPT
</pre><div class="para">
			Deze regel geeft systemen achter de firewall/gateway toegang tot het interne netwerk. De gateway stuurt pakketten van een LAN node naar zijn bedoelde bestemmings node, door alle pakketten door zijn <code class="filename">eth1</code> apparaat te sturen.
		</div><div class="note"><h2>Opmerking</h2><div class="para">
				Standaard zet de IPv4 tactiek in Fedora kernels ondersteuning voor IP forwarding uit. Dit belet machines die Fedora draaien om te werken als specifieke rand routers. Om IP forwarding aan te zetten, gebruik je het volgende commando:
			</div><pre class="screen">[root at myServer ~ ] # sysctl -w net.ipv4.ip_forward=1
</pre><div class="para">
				De instellingsverandering is alleen geldig voor de huidige sessie; het verdwijnt na een systeem herstart of een netwerk service herstart. Om IP forwarding permanent aan te zetten, bewerk je het <code class="filename">/etc/sysctl.conf</code> bestand als volgt:
			</div><div class="para">
				Zoek de volgende regel:
			</div><pre class="screen">net.ipv4.ip_forward = 0
</pre><div class="para">
				Verander de regel als volgt:
			</div><pre class="screen">net.ipv4.ip_forward = 1
</pre><div class="para">
				Gebruik het volgende commando om de verandering in het <code class="filename">sysctl.conf</code> bestand te activeren:
			</div><pre class="screen">[root at myServer ~ ] # sysctl -p /etc/sysctl.conf
</pre></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-FORWARD_and_NAT_Rules-Postrouting_and_IP_Masquerading">2.8.5.1. Postrouting en IP masquerade</h4></div></div></div><div class="para">
				Het accepteren van doorgestuurde pakketten via het interne IP apparaat van de firewall laat LAN nodes met elkaar communiceren; ze kunnen echter nog steeds niet extern met het Internet communiceren.
			</div><div class="para">
				Om LAN nodes met privÃ© IP adressen te laten communiceren met externe publieke netwerken, configureer je de firewall voor <em class="firstterm">IP masquerading</em>, welke verzoeken van LAN nodes met het IP adres van het externe apparaat van de firwall (in dit geval, eth0) maskeert:
			</div><pre class="screen">[root at myServer ~ ] # iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
</pre><div class="para">
				Deze regel gebruikt NAT pakket matching tabel (<code class="option">-t nat</code>) en specificeert de ingebouwde POSTROUTING keten voor NAT (<code class="option">-A POSTROUTING</code>) op het externe netwerkapparaat van de firewall (<code class="option">-o eth0</code>).
			</div><div class="para">
				POSTROUTING staat toe dat pakketten veranderd worden zodra ze het externe apparaat van de firewall verlaten.
			</div><div class="para">
				Het <code class="option">-j MASQUERADE</code> doel is opgegeven om het privÃ© IP adres van een node te maskeren met het externe IP adres van de firewall/gateway.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-Common_IPTables_Filtering.html"><strong>Terug</strong>2.8.4. Algemene IPTables filtering</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-FORWARD_and_NAT_Rules-Prerouting.html"><strong>Volgende</strong>2.8.5.2. Prerouting</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Firewalls-IPTables_and_Connection_Tracking.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.7. IPTables en verbindingen volgen</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Firewalls.html" title="2.8. Firewalls"/><link rel="prev" href="sect-Security_Guide-Firewalls-Malicious_Software_and_Spoofed_IP_Addresses.html" title="2.8.6. Kwaadwillige software en bedrogen IP adressen"/><link rel="next" href="sect-Security_Guide-Firewalls-IPv6.html" title="2.8.8. IPv6"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"
 /></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-Malicious_Software_and_Spoofed_IP_Addresses.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-IPv6.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Firewalls-IPTables_and_Connection_Tracking">2.8.7. IPTables en verbindingen volgen</h3></div></div></div><div class="para">
			Je kunt verbindingen naar services inspecteren en beperken gebaseerd op hun <em class="firstterm">verbindingstoestand</em>. Een module binnen <code class="command">iptables</code> gebruikt een methode, <em class="firstterm">verbindingen volgen</em> genaamd, om informatie op te slaan over binnenkomende verbindingen. Je kunt toegang toestaan of weigeren op basis van de volgende verbindingstoestanden:
		</div><div class="itemizedlist"><ul><li><div class="para">
					<code class="option">NEW</code> â€” Een pakket verzoekt een nieuwe verbinding, zoals een HTTP verzoek.
				</div></li><li><div class="para">
					<code class="option">ESTABLISHED</code> â€” Een pakket dat onderdeel is van een bestaande verbinding.
				</div></li><li><div class="para">
					<code class="option">RELATED</code> â€” Een pakket dat een nieuwe verbinding vraagt maar onderdeel is van een bestaande verbinding. Bijvoorbeeld, FTP gebruikt poort 21 om een verbinding op te zetten, maar de dataoverdracht gebeurt op een andere poort (gewoonlijk poort 20).
				</div></li><li><div class="para">
					<code class="option">INVALID</code> â€” Een pakket dat van geen enkele verbinding in de verbindingen volgen tabel onderdeel is.
				</div></li></ul></div><div class="para">
			Je kunt de met-toestand functionaliteit van <code class="command">iptables</code> verbindingen volgen gebruiken bij elk netwerkprotocol, zelfs als het protocol zelf zonder-toestand is (zoals UDP). Het volgende voorbeeld laat een regel zien die verbindingen volgen gebruikt om alleen pakketten door te sturen die behoren bij een bestaande verbinding:
		</div><pre class="screen">[root at myServer ~ ] # iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
</pre></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-Malicious_Software_and_Spoofed_IP_Addresses.html"><strong>Terug</strong>2.8.6. Kwaadwillige software en bedrogen IP adres...</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-IPv6.html"><strong>Volgende</strong>2.8.8. IPv6</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Firewalls-IPv6.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.8. IPv6</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Firewalls.html" title="2.8. Firewalls"/><link rel="prev" href="sect-Security_Guide-Firewalls-IPTables_and_Connection_Tracking.html" title="2.8.7. IPTables en verbindingen volgen"/><link rel="next" href="sect-Security_Guide-Firewalls-Additional_Resources.html" title="2.8.9. Extra hulpbronnen"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="do
 cnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-IPTables_and_Connection_Tracking.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-Additional_Resources.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Firewalls-IPv6">2.8.8. IPv6</h3></div></div></div><div class="para">
			De introductie van het volgende generatie Internet protocol met de naam IPv6, gaat boven de 32-bit adres limiet van IPv4 (of IP). IPv6 ondersteunt 128-bit adressen, en vervoersnetwerken die bewust zijn van IPv6 kunnen daarom een groter aantal adressen aan dan IPv4.
		</div><div class="para">
			Fedora ondersteunt IPv6 firewall regels door gebruik van het Netfilter 6 subsysteem en het <code class="command">ip6tables</code> commando. In Fedora 11 zijn standaard zowel IPv4 als IPv6 services aangezet.
		</div><div class="para">
			De <code class="command">ip6tables</code> commando syntax is in alle aspecten identiek aan <code class="command">iptables</code>, behalve dat het 128-bit adressen ondersteunt. Bijvoorbeeld, je gebruikt het volgende commando om SSH verbindingen aan te zetten op een netwerk server bewust van IPv6:
		</div><pre class="screen">[root at myServer ~ ] # ip6tables -A INPUT -i eth0 -p tcp -s 3ffe:ffff:100::1/128 --dport 22 -j ACCEPT
</pre><div class="para">
			Voor meer informatie over IPv6 netwerken, refereer je naar de IPv6 informatie pagina op <a href="http://www.ipv6.org/">http://www.ipv6.org/</a>.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-IPTables_and_Connection_Tracking.html"><strong>Terug</strong>2.8.7. IPTables en verbindingen volgen</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-Additional_Resources.html"><strong>Volgende</strong>2.8.9. Extra hulpbronnen</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Firewalls-Malicious_Software_and_Spoofed_IP_Addresses.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.6. Kwaadwillige software en bedrogen IP adressen</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Firewalls.html" title="2.8. Firewalls"/><link rel="prev" href="sect-Security_Guide-FORWARD_and_NAT_Rules-DMZs_and_IPTables.html" title="2.8.5.3. DMZ's en IPTables"/><link rel="next" href="sect-Security_Guide-Firewalls-IPTables_and_Connection_Tracking.html" title="2.8.7. IPTables en verbindingen volgen"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.
 png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-FORWARD_and_NAT_Rules-DMZs_and_IPTables.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-IPTables_and_Connection_Tracking.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Firewalls-Malicious_Software_and_Spoofed_IP_Addresses">2.8.6. Kwaadwillige software en bedrogen IP adressen</h3></div></div></div><div class="para">
			Uitgebreidere regels kunnen gemaakt worden om toegang te controleren naar specifieke subnetten, of zelfs specifieke nodes, binnen een LAN. Je kunt ook bepaalde verdachte toepassingen of programma's zoals, trojans, worms, en andere client/server virussen beperken om contact op te nemen met hun server.
		</div><div class="para">
			Bijvoorbeeld, sommige trojans scannen netwerken voor services op poorten van 31337 tot 31340 (de <span class="emphasis"><em>elite</em></span> poorten genoemd in krakers terminologie).
		</div><div class="para">
			Omdat er geen legitieme services zijn die communiceren via deze niet-standaard poorten, kan het blokkeren hiervan de kans effectief verkleinen dat potentieel besmette nodes op je netwerk onafhankelijk communiceren met hun meester servers op afstand.
		</div><div class="para">
			De volgende regels verbieden alle TCP verkeer dat probeert poort 31337 te gebruiken:
		</div><pre class="screen">[root at myServer ~ ] # iptables -A OUTPUT -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
[root at myServer ~ ] # iptables -A FORWARD -o eth0 -p tcp --dport 31337 --sport 31337 -j DROP
</pre><div class="para">
			Je kunt ook buiten verbindingen blokkeren die proberen zich voor te doen als een adres uit privÃ© IP adres reeksen om je LAN te infiltreren.
		</div><div class="para">
			Bijvoorbeeld, als je LAN de 192.168.1.0/24 reks gebruikt, kun je een regel maken die het netwerkapparaat die met het Internet verbonden is (bijvoorbeeld, eth0) instrueert om alle pakketten naar dat apparaat te weigeren met een adres die in jouw LAN IP reeks ligt.
		</div><div class="para">
			Omdat het aanbevolen is om alle forwarded pakketten als een standaard tactiek te weigeren, wordt elk ander vermomd IP adres naar het apparaat dat extern aangesloten is (eth0) automatisch geweigerd.
		</div><pre class="screen">[root at myServer ~ ] # iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -j DROP
</pre><div class="note"><h2>Opmerking</h2><div class="para">
				Er is een verschil tussen de <code class="computeroutput">DROP</code> en <code class="computeroutput">REJECT</code> doelen in samenhang met <span class="emphasis"><em>toegevoegde</em></span> regels.
			</div><div class="para">
				Het <code class="computeroutput">REJECT</code> doel verbiedt toegang en stuurt een <code class="computeroutput">connection refused</code> fout terug naar de gebruikers die proberen met de service te verbinden. Het <code class="computeroutput">DROP</code> doel, zoals de naam al aangeeft, verwijdert het pakket zonder enige waarschuwing.
			</div><div class="para">
				Behherders kunnen hun eigen goeddunken gebruiken bij het gebruik van deze doelen. Om echter verwarring bij gebruikers en herhaalde verbindings pogingen te vermijden, wordt het <code class="computeroutput">REJECT</code> doel aanbevolen.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-FORWARD_and_NAT_Rules-DMZs_and_IPTables.html"><strong>Terug</strong>2.8.5.3. DMZ's en IPTables</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-IPTables_and_Connection_Tracking.html"><strong>Volgende</strong>2.8.7. IPTables en verbindingen volgen</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Firewalls-Using_IPTables.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.3. IPTables gebruiken</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Firewalls.html" title="2.8. Firewalls"/><link rel="prev" href="sect-Security_Guide-Basic_Firewall_Configuration-Activating_the_IPTables_Service.html" title="2.8.2.6. Het activeren van de IPTables service"/><link rel="next" href="sect-Security_Guide-Using_IPTables-Basic_Firewall_Policies.html" title="2.8.3.2. Basis firewall tactieken"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_r
 ight.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Basic_Firewall_Configuration-Activating_the_IPTables_Service.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Using_IPTables-Basic_Firewall_Policies.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Firewalls-Using_IPTables">2.8.3. IPTables gebruiken</h3></div></div></div><div class="para">
			De eerste stap voor het gebruik van <code class="command">iptables</code> is om de <code class="command">iptables</code> service te starten. Gebruik het volgende commando om de <code class="command">iptables</code> service te starten:
		</div><pre class="screen">[root at myServer ~] # service iptables start
</pre><div class="note"><h2>Opmerking</h2><div class="para">
				De <code class="command">ip6tables</code> service kan uitgezet worden als je alleen de <code class="command">iptables</code> service gebruikt. Als je de <code class="command">ip6tables</code> service uitzet, denk er dan aan om ook het IPv6 netwerk uit te zetten. Laat nooit een netwerk apparaat actief zonder een bijbehorende firewall.
			</div></div><div class="para">
			Om te forceren dat <code class="command">iptables</code> standaard opstart als het systeem opgestart wordt, gebruik je het volgende commando:
		</div><pre class="screen">[root at myServer ~] # chkconfig --level 345 iptables on
</pre><div class="para">
			Dit forceert dat <code class="command">iptables</code> start als het systeem opgestart wordt in runlevel 3, 4, of 5.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Using_IPTables-IPTables_Command_Syntax">2.8.3.1. IPTables commando syntax</h4></div></div></div><div class="para">
				Het volgende voorbeeld <code class="command">iptables</code> commando laat de basis commando syntax zien:
			</div><pre class="screen">[root at myServer ~ ] # iptables -A <em class="replaceable"><code><keten></code></em> -j <em class="replaceable"><code><doel></code></em>
</pre><div class="para">
				De <code class="option">-A</code> optie specificeert dat de regel toegevoegd wordt aan <em class="firstterm"><keten></em>. Elke keten bestaat uit een of meer <em class="firstterm">regels</em>, en stasat daarom ook bekend als een <em class="firstterm">ketenstelsel</em>.
			</div><div class="para">
				De drie ingebouwde ketens zijn INPUT, OUTPUT, en FORWARD. Deze ketens zijn permanent en kunnen niet verwijderd worden. De keten specificeert het punt waarop een pakket gemanipuleerd wordt.
			</div><div class="para">
				De <code class="option">-j <em class="replaceable"><code><doel></code></em></code> optie specificeert het doel van de regel; d.w.z. wat te doen als het pakket overeenkomt met de regel. Voorbeelden van ingebouwde doelen zijn ACCEPT, DROP, en REJECT.
			</div><div class="para">
				Refereer naar de <code class="command">iptables</code> manual pagina voor meer informatie over beschikbare, ketens, opties, en doelen.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Basic_Firewall_Configuration-Activating_the_IPTables_Service.html"><strong>Terug</strong>2.8.2.6. Het activeren van de IPTables service</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Using_IPTables-Basic_Firewall_Policies.html"><strong>Volgende</strong>2.8.3.2. Basis firewall tactieken</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Firewalls.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8. Firewalls</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="chap-Security_Guide-Securing_Your_Network.html" title="Hoofdstuk 2. Je netwerk beveiligen"/><link rel="prev" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Starting_and_Stopping_an_IPsec_Connection.html" title="2.7.8. Het starten en stoppen van een IPsec verbinding"/><link rel="next" href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html" title="2.8.2. Basis firewall instelling"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org">
 <img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Starting_and_Stopping_an_IPsec_Connection.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Firewalls">2.8. Firewalls</h2></div></div></div><div class="para">
		Informatie beveiliging wordt meestal beschouwd als een proces en niet als een product. Standaard beveiligings implementaties gebruiken gewoonlijk echter een specifiek mechanisme om de toegangsrechten te controleren en netwerkhulpbronnen te beperken tot gebruikers die gemachtigd, identificeerbaar en traceerbaar zijn. Fedora bevat verscheidene gereedschappen om beheerders en beveiligings ingenieurs te helpen met toegangscontrole zaken op netwerk niveau.
	</div><div class="para">
		Firewalls zijn een van de kernonderdelen van een netwerkbeveiligings implementatie. Verscheidene leveranciers brengen firewall oplossingen op de markt die zich richten op alle niveau's van de markt: van thuisgebruikers die een PC beschermen tot datacentrum oplossingen die vitale bedrijfsinformatie beschermen. Firewalls kunnen op zichzelf staande hardware oplossingen zijn, zoals firewall apparaten van Cisco, Nokia, en Sonicwall. Leveranciers zoals Checkpoint, McAfee, en Symantec hebben ook eigendomsmatige software firewall oplossingen ontwikkeld voor thuis en zakelijke markten.
	</div><div class="para">
		Naast het verschil tussen hardware en software firewalls, zijn er ook verschillen in de manier waarop firewalls werken die de ene oplossing onderscheidt van een andere. <a class="xref" href="sect-Security_Guide-Firewalls.html#tabl-Security_Guide-Firewalls-Firewall_Types" title="Tabel 2.2. Firewall types">TabelÂ 2.2, â€œFirewall typesâ€</a> geeft details van drie veel voorkomende types van firewalls en hoe ze werken:
	</div><div class="table" id="tabl-Security_Guide-Firewalls-Firewall_Types"><div class="table-contents"><table summary="Firewall types" border="1"><colgroup><col width="1*"/><col width="3*"/><col width="3*"/><col width="3*"/></colgroup><thead><tr><th>
						Methode
					</th><th>
						Beschrijving
					</th><th>
						Voordelen
					</th><th>
						Nadelen
					</th></tr></thead><tbody><tr><td>
						NAT
					</td><td>
						<em class="firstterm">Network Address Translation</em> (NAT) plaatst privÃ© IP subnetwerken achter een of een kleine aantal publieke IP adressen en vermommen alle verzoeken alsof ze afkomstig zijn van een bron in plaats van een groter aantal. De Linux kernel heeft ingebouwde NAT functionaliteit door middel van het Netfilter kernel subsysteem.
					</td><td>
						<table class="simplelist" border="0" summary="Simple list"><tr><td>Â· Kan transparant ingesteld worden voor machines op een LAN </td></tr><tr><td>Â· Bescherming van vele machines en services achter een of meer externe IP adressen vereenvoudigt beheers verplichtingen </td></tr><tr><td>Â· Beperking van gebruikerstoegang tot en vanaf het LAN kan ingesteld worden door het openen en sluiten van poorten op de NAT firewall/gateway </td></tr></table>
					</td><td>
						<table class="simplelist" border="0" summary="Simple list"><tr><td>Â· Kan kwaadwillige activiteit niet voorkomen zodra gebruikers verbonden zijn met een service buiten de firewall </td></tr></table>
					</td></tr><tr><td>
						Pakket filter
					</td><td>
						Een pakketfiltering firewall leest elk datapakket die door een LAN passeert. Het kan pakketten lezen en verwerken door de koptekst informatie en filtert de pakketten gebaseerd op een stelsel van programmeerbare regels geimplementeerd door de firewallbeheerder. De Linux kernel heeft ingebouwde pakketfiltering functionaliteit door middel van het Netfilter kernel subsysteem.
					</td><td>
						<table class="simplelist" border="0" summary="Simple list"><tr><td>Â· Op maat in te stellen met het <code class="command">iptables</code> front-end programma </td></tr><tr><td>Â· Vereist geen aanpassingen aan de kant van de client, omdat alle netwerk activiteit gefilterd wordt op het router niveau in plaats van het toepassings niveau </td></tr><tr><td>Â· Omdat pakketten niet via een proxy verzonden worden, is de netwerk snelheid hoger door de directe verbinding tussen de client en de host op afstand </td></tr></table>
					</td><td>
						<table class="simplelist" border="0" summary="Simple list"><tr><td>Â· Kan geen pakketten filteren op inhoud zoals proxy firewalls </td></tr><tr><td>Â· Verwerken pakketten op de protocol laag, maar kunnen pakketten niet filteren op een toepassings laag </td></tr><tr><td>Â· Complexe netwerk architecturen kunnen het opstellen van pakketfilterings regels moeilijk maken, in het bijzonder als het gekoppeld wordt met <em class="firstterm">IP masquerading</em> of locale subnetwerken en DMZ netwerken </td></tr></table>
					</td></tr><tr><td>
						Proxy
					</td><td>
						Proxy firewalls filteren alle verzoeken van een bepaald protocol of type van LAN clienten naar een proxy machine, welke dan deze verzoeken op het Internet plaatst namens de locale client. Een proxy machine werkt als een buffer tussen kwaadwillige gebruikers op afstand en de interne netwerk client machines.
					</td><td>
						<table class="simplelist" border="0" summary="Simple list"><tr><td>Â· Geeft beheerders controle over welke toepassingen en protocols buiten het LAN kunnen werken </td></tr><tr><td>Â· Sommige netwerk servers kunnen vaak benaderde data locaal opslaan in plaats van de Internet verbinding te gebruiken om het te verzoeken. Dit helpt om het bandbreedte verbruik te verkeinen. </td></tr><tr><td>Â· Proxy services kunnen nauwlettend gevolg en gelogd worden, wat een betere controle toestaat van het gebruik van de hulpbronnen op het netwerk </td></tr></table>
					</td><td>
						<table class="simplelist" border="0" summary="Simple list"><tr><td>Â· Proxies zijn vaak toepassings-specifiek (HTTP, Telnet, enz.), of beperkt tot een protocol (de meeste proxies werken alleen met services verbonden via TCP) </td></tr><tr><td>Â· Toepassingsservices kunnen niet acher een proxy draaien, dus je toepassingsservers moeten een andere vorm van netwerkbeveiliging gebruiken </td></tr><tr><td>Â· Proxies kunnen een netwek flessehals worden, omdat alle verzoeken en verzendingen door een bron gaan in plaats van direct van een client naar een service op afstand </td></tr></table>
					</td></tr></tbody></table></div><h6>Tabel 2.2. Firewall types</h6></div><br class="table-break"/><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Firewalls-Netfilter_and_IPTables">2.8.1. Netfilter en IPTables</h3></div></div></div><div class="para">
			De Linux kernel biedt een krachtig netwerk subsysteem met de naam <em class="firstterm">Netfilter</em>. Het Netfilter subsysteem biedt met-toestand of zonder-toestand pakket filtering te samen met NAT en IP vermommings services. Netfilter heeft ook de mogelijkheid om IP koptekst informatie te mangelen voor geavanceerde routings en verbindings toestand beheer. Netfilter wordt gecontroleerd met gebruik van het <code class="command">iptables</code> gereedschap.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Netfilter_and_IPTables-IPTables_Overview">2.8.1.1. IPTables overzicht</h4></div></div></div><div class="para">
				De kracht en flexibiliteit van Netfilter wordt ingezet met gebruik van het <code class="command">iptables</code> beheersgereedschap, een commandoregel gereedschap met een syntax die lijkt op die van zijn voorganger, <code class="command">ipchains</code>.
			</div><div class="para">
				Een vergelijkbare syntax betekent echter niet een vergelijkbare implementatie. <code class="command">ipchains</code> vereist een complex stelsel regels voor: het filteren van bronpaden; het filteren van bestemmingspaden; en het filteren van zowel bron als bestemmings verbindingspoorten.
			</div><div class="para">
				<code class="command">iptables</code>, in tegenstelling, gebruikt het Netfilter subsysteem om netwerk verbinding, inspectie, en verwerking te verbeteren. <code class="command">iptables</code> bevat geavanceerde logging, pre- en post-routing acties, netwerkadres vertaling, en poort forwarding, dit alles in een commandoregel interface.
			</div><div class="para">
				Deze paragraaf geeft een overzicht van <code class="command">iptables</code>. Voor meer gedetaileerde informatie refereer je naar <a class="xref" href="sect-Security_Guide-IPTables.html" title="2.9. IPTables">ParagraafÂ 2.9, â€œIPTablesâ€</a>.
			</div></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Starting_and_Stopping_an_IPsec_Connection.html"><strong>Terug</strong>2.7.8. Het starten en stoppen van een IPsec verbi...</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html"><strong>Volgende</strong>2.8.2. Basis firewall instelling</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-IPTables-Additional_Resources.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9.7. Extra hulpbronnen</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-IPTables.html" title="2.9. IPTables"/><link rel="prev" href="sect-Security_Guide-IPTables-IPTables_and_IPv6.html" title="2.9.6. IPTables en IPv6"/><link rel="next" href="sect-Security_Guide-Additional_Resources-Useful_IP_Tables_Websites.html" title="2.9.7.2. Nuttige IPTables websites"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul cla
 ss="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables-IPTables_and_IPv6.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Additional_Resources-Useful_IP_Tables_Websites.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-IPTables-Additional_Resources">2.9.7. Extra hulpbronnen</h3></div></div></div><div class="para">
			Refereer naar de volgende bronnen voor meer informatie over pakket filtering met <code class="command">iptables</code>.
		</div><div class="itemizedlist"><ul><li><div class="para">
					<a class="xref" href="sect-Security_Guide-Firewalls.html" title="2.8. Firewalls">ParagraafÂ 2.8, â€œFirewallsâ€</a> â€” Bevat een hoofdstuk over de rol van firewalls binnen een algehele beveiligingsstrategie en strategieÃ«n voor het maken van firewalls.
				</div></li></ul></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Additional_Resources-Installed_IP_Tables_Documentation">2.9.7.1. Geinstalleerde IPTables documentatie</h4></div></div></div><div class="itemizedlist"><ul><li><div class="para">
						<code class="command">man iptables</code> â€” Bevat een beschrijving van <code class="command">iptables</code> en een uitgebreide lijt van doelen, opties, en overeenkomst uitbreidingen.
					</div></li></ul></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables-IPTables_and_IPv6.html"><strong>Terug</strong>2.9.6. IPTables en IPv6</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Additional_Resources-Useful_IP_Tables_Websites.html"><strong>Volgende</strong>2.9.7.2. Nuttige IPTables websites</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-IPTables-Command_Options_for_IPTables.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9.3. Commando opties voor IPTables</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-IPTables.html" title="2.9. IPTables"/><link rel="prev" href="sect-Security_Guide-IPTables-Differences_Between_IPTables_and_IPChains.html" title="2.9.2. Verschillen tussen IPTables en IPChains"/><link rel="next" href="sect-Security_Guide-Command_Options_for_IPTables-Command_Options.html" title="2.9.3.2. Commando opties"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right
 .png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables-Differences_Between_IPTables_and_IPChains.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Command_Options_for_IPTables-Command_Options.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-IPTables-Command_Options_for_IPTables">2.9.3. Commando opties voor IPTables</h3></div></div></div><div class="para">
			Regels voor het filteren van pakketten worden gemaakt met behulp van het <code class="command">iptables</code> commando. De volgende aspecten van het pakket worden het meest als criteria:
		</div><div class="itemizedlist"><ul><li><div class="para">
					<span class="emphasis"><em>Pakket type</em></span> â€” Specificeert het type van de pakketten die het commando filtert.
				</div></li><li><div class="para">
					<span class="emphasis"><em>Pakket bron/bestemming</em></span> â€” Specificeert welke pakketten door het commando gefilterd worden gebaseerd op de bron of de bestemming van het pakket
				</div></li><li><div class="para">
					<span class="emphasis"><em>Doel</em></span> â€” specificeert welke actie wordt ondernomen voor pakketten die overeenkomen met de vorige criteria.
				</div></li></ul></div><div class="para">
			Refereer naar <a class="xref" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Match_Options.html" title="2.9.3.4. IPTables overeenkomst opties">ParagraafÂ 2.9.3.4, â€œIPTables overeenkomst optiesâ€</a> en <a class="xref" href="sect-Security_Guide-Command_Options_for_IPTables-Target_Options.html" title="2.9.3.5. Doel opties">ParagraafÂ 2.9.3.5, â€œDoel optiesâ€</a> voor meer informatie over specifieke opties die deze aspecten van een pakket aangaan.
		</div><div class="para">
			De opties die gebruikt worden bij specifieke <code class="command">iptables</code> regels moeten logisch gegroepeerd worden, gebaseerd op het doel en de condidties van de gehele regel, wil de regel geldig zijn.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Command_Options_for_IPTables-Structure_of_IPTables_Command_Options">2.9.3.1. Structuur van de IPTables commando opties</h4></div></div></div><div class="para">
				Vele <code class="command">iptables</code> commando's hebben de volgende structuur:
			</div><pre class="screen"><code class="computeroutput"> iptables [-t <em class="replaceable"><code><tabel-naam></code></em>] <em class="replaceable"><code><commando></code></em> <em class="replaceable"><code><keten-naam></code></em> \ <em class="replaceable"><code><parameter-1></code></em> <em class="replaceable"><code><optie-1></code></em> \ <em class="replaceable"><code><parameter-n></code></em> <em class="replaceable"><code><optie-n></code></em></code>
</pre><div class="para">
				<em class="replaceable"><code><tabel-naam></code></em> â€” Specificeert op welke tabel de regel betrekking heeft. Als het weggelaten wordt, wordt de <code class="option">filter</code> tabel gebruikt.
			</div><div class="para">
				<em class="replaceable"><code><commando></code></em> â€” Specificeert de uit te voeren actie, zoals het toevoegen of verwijderen van een regel.
			</div><div class="para">
				<em class="replaceable"><code><keten-naam></code></em> â€” Specificeert de keten die veranderd, gemaakt, of verwijderd moet worden.
			</div><div class="para">
				<em class="replaceable"><code><parameter>-<optie></code></em> paren â€” Parameters en bijbehorende opties die aangeven hoe het pakket verwerkt moet worden als het overeenkomt met de regel.
			</div><div class="para">
				De lengte en complexiteit van een <code class="command">iptables</code> commando kan behoorlijk veranderen, dit afhankelijk van zijn doel.
			</div><div class="para">
				Bijvoorbeeld, een commando om een regel van een keten te verwijderen kan erg kort zijn:
			</div><div class="para">
				<code class="command">iptables -D <em class="replaceable"><code><keten-naam> <regel-nummer></code></em></code>
			</div><div class="para">
				In tegenstelling hiermee kan een commando dat een regel toevoegt welek pakketten filtert van een bepaald subnet met gebruik van verscheidene specifieke parameters en opties kan behoorlijk lang zijn. Bij het maken van <code class="command">iptables</code> commando's is het belangrijk om te onthouden dat sommige parameters en opties extra parameters en opties nodig hebben om een geldige regel te maken. Dit kan een explosie veroorzaken, als de extra parameters weer nieuwe parameters nodig hebben. Slechts nadat aan elke parameter en optie die een ander paar opties nodig heeft voldaan is, is de regel geldig.
			</div><div class="para">
				Type <code class="command">iptables -h</code> om een uitgebreide lijst te bekijken van alle <code class="command">iptables</code> commando structuren.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables-Differences_Between_IPTables_and_IPChains.html"><strong>Terug</strong>2.9.2. Verschillen tussen IPTables en IPChains</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Command_Options_for_IPTables-Command_Options.html"><strong>Volgende</strong>2.9.3.2. Commando opties</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-IPTables-Differences_Between_IPTables_and_IPChains.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9.2. Verschillen tussen IPTables en IPChains</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-IPTables.html" title="2.9. IPTables"/><link rel="prev" href="sect-Security_Guide-IPTables.html" title="2.9. IPTables"/><link rel="next" href="sect-Security_Guide-IPTables-Command_Options_for_IPTables.html" title="2.9.3. Commando opties voor IPTables"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><
 li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables-Command_Options_for_IPTables.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-IPTables-Differences_Between_IPTables_and_IPChains">2.9.2. Verschillen tussen IPTables en IPChains</h3></div></div></div><div class="para">
			Zowel <code class="command">ipchains</code> als <code class="command">iptables</code> gebruiken ketens van regels die binnen de Linux kernel werken om pakketten te filteren gebaseerd op het overeenkomen met opgegeven regels of regelstelsels. <code class="command">iptables</code> biedt echter een uitgebreidere manier om pakketten te filteren, wat de beheerder meer controle geeft zonder dat overmatige complexiteit in het systeem ingebouwd wordt.
		</div><div class="para">
			Je moet bedacht zijn op de volgende belangrijke verschillen tussen <code class="command">ipchains</code> en <code class="command">iptables</code>:
		</div><div class="variablelist"><dl><dt><span class="term"><span class="emphasis"><em>Met gebruik van <code class="command">iptables</code> wordt elk gefilterd pakket verwerkt met behulp van regels uit slechts een keten in plaats van meerdere ketens.</em></span></span></dt><dd><div class="para">
						Bijvoorbeeld, een FORWARD pakket wat binnenkomt in een systeem dat <code class="command">ipchains</code> gebruikt, moet door de INPUT, FORWARD, en OUTPUT ketens gaan om zijn weg te vervolgen. <code class="command">iptables</code> stuurt echter pakketten alleen naar de INPUT keten als ze bestemd zijn voor het locale systeem, en stuurt ze alleen naar de OUTPUT keten als het locale systeem de pakketten aanmaakt. Het is daarom belangrijk dat de regel die ontworpen is om een bepaald pakket af te vangen in de keten wordt geplaatst die het pakket afhandelt.
					</div></dd><dt><span class="term"><span class="emphasis"><em>Het DENY doel is veranderd naar DROP.</em></span></span></dt><dd><div class="para">
						Pakketten die in <code class="command">ipchains</code> overeenkomen met een regel in de keten kan naar het DENY doel gestuurd worden. Dit doel moet vervangen worden door DROP in <code class="command">iptables</code>.
					</div></dd><dt><span class="term"><span class="emphasis"><em>Volgorde is van belang bij het plaatsen van opties in een regel.</em></span></span></dt><dd><div class="para">
						In <code class="command">ipchains</code> is de volgorde van de opties van een regel niet van belang.
					</div><div class="para">
						Het <code class="command">iptables</code> commando heeft een striktere syntax. Het <code class="command">iptables</code> commando vereist dat het protocol (ICMP, TCP, or UDP) wordt opgegeven voor de bron of bestemmings poorten.
					</div></dd><dt><span class="term"><span class="emphasis"><em>Netwerk interfaces moet overeenkomen met de juiste keten in firewall regels.</em></span></span></dt><dd><div class="para">
						Bijvoorbeeld, binnenkomende interfaces (<code class="option">-i</code> optie) kan alleen gebruikt worden in INPUT of FORWARD ketens. Overeenkomstig kunnen uitgaande interfaces (<code class="option">-o</code> optie) alleen gebruikt worden in FORWARD of OUTPUT ketens.
					</div><div class="para">
						Met andere woorden, INPUT ketens en binnenkomende interfaces werken tesamen; OUTPUT ketens en uitgaande interfaces werken tesamen. FORWARD ketens werken met binnenkomende en uitgaande interfaces.
					</div><div class="para">
						OUTPUT ketens worden niet meer gebruikt door binnenkomende interfaces, en INPUT ketens worden niet gezien door pakketten die zich door de uitgaande interface verplaatsen.
					</div></dd></dl></div><div class="para">
			Dit is niet een complete lijst van de veranderingen. Refereer naar <a class="xref" href="sect-Security_Guide-IPTables-Additional_Resources.html" title="2.9.7. Extra hulpbronnen">ParagraafÂ 2.9.7, â€œExtra hulpbronnenâ€</a> voor meer specifieke informatie.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables.html"><strong>Terug</strong>2.9. IPTables</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables-Command_Options_for_IPTables.html"><strong>Volgende</strong>2.9.3. Commando opties voor IPTables</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-IPTables-IPTables_Control_Scripts.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9.5. IPTables controle scripts</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-IPTables.html" title="2.9. IPTables"/><link rel="prev" href="sect-Security_Guide-IPTables-Saving_IPTables_Rules.html" title="2.9.4. Het opslaan van IPTables regels"/><link rel="next" href="sect-Security_Guide-IPTables-IPTables_and_IPv6.html" title="2.9.6. IPTables en IPv6"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="
 docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables-Saving_IPTables_Rules.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables-IPTables_and_IPv6.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-IPTables-IPTables_Control_Scripts">2.9.5. IPTables controle scripts</h3></div></div></div><div class="para">
			Er zijn twee basis methodes voor het controleren van <code class="command">iptables</code> in Fedora:
		</div><div class="itemizedlist"><ul><li><div class="para">
					<span class="application"><strong>Firewall Configuration Tool</strong></span> (<code class="command">system-config-securitylevel</code>) â€” Een grafische interface voor het maken, activeren, en opslaan van basis firewall regels. Refereer naar <a class="xref" href="sect-Security_Guide-Firewalls-Basic_Firewall_Configuration.html" title="2.8.2. Basis firewall instelling">ParagraafÂ 2.8.2, â€œBasis firewall instellingâ€</a> voor meer informatie.
				</div></li><li><div class="para">
					<code class="command">/sbin/service iptables <em class="replaceable"><code><optie></code></em></code> â€” Wordt gebruikt om de verschllende functies van <code class="command">iptables</code> te manipuleren met behulp van zijn initscripts. De volgende opties zijn beschikbaar:
				</div><div class="itemizedlist"><ul><li><div class="para">
							<code class="command">start</code> â€” Als een firwall is ingesteld (dat wil zeggen, <code class="filename">/etc/sysconfig/iptables</code> bestaat), worden alle draaiende <code class="command">iptables</code> helemaal gestopt en daarna gestart met het <code class="command">/sbin/iptables-restore</code> commando. Deze optie werkt alleen als de <code class="command">ipchains</code> kernel module niet geladen is. Om te controleren of deze module geladen is, type je het volgende commando als root:
						</div><pre class="screen"><code class="command"> [root at MyServer ~]# lsmod | grep ipchains </code>
</pre><div class="para">
							Als dit commando geen output teruggeeft, beteknt het dat de module niet geladen is. Indien noodzakelijk, gebruik je het <code class="command">/sbin/rmmod</code> commando om de module te verwijderen.
						</div></li><li><div class="para">
							<code class="command">stop</code> â€” Als de firewall draait, worden de firewall regels in het geheugen verwijderd en alle iptables modules en hulpprogramma's worden verwijderd.
						</div><div class="para">
							Als de <code class="command">IPTABLES_SAVE_ON_STOP</code> instructie in het <code class="filename">/etc/sysconfig/iptables-config</code> configuratie bestand is veranderd van zijn standaard waarde naar <code class="command">yes</code>, worden de huidige regels opgeslagen in <code class="filename">/etc/sysconfig/iptables</code> en alle bestaande regels worden verhuisd naar het bestand <code class="filename">/etc/sysconfig/iptables.save</code>.
						</div><div class="para">
							Refereer naar <a class="xref" href="sect-Security_Guide-IPTables-IPTables_Control_Scripts.html#sect-Security_Guide-IPTables_Control_Scripts-IPTables_Control_Scripts_Configuration_File" title="2.9.5.1. IPTables controle scripts configuratie bestand">ParagraafÂ 2.9.5.1, â€œIPTables controle scripts configuratie bestandâ€</a> voor meer informatie over het <code class="filename">iptables-config</code> bestand.
						</div></li><li><div class="para">
							<code class="command">restart</code> â€” Als een firewall draait, worden de firewall regels in het geheugen verwijderd, en de firewall wordt opnieuw gestart als het ingesteld is in <code class="filename">/etc/sysconfig/iptables</code>. Deze optie werkt alleen als de <code class="command">ipchains</code> kernel module niet geladen is.
						</div><div class="para">
							Als de <code class="command">IPTABLES_SAVE_ON_RESTART</code> instructie in het <code class="filename">/etc/sysconfig/iptables-config</code> configuratie bestand is veranderd van zijn standaard waarde naar <code class="command">yes</code>, worden de huidige regels opgeslagen in <code class="filename">/etc/sysconfig/iptables</code> en alle bestaande regels verhuisd naar het bestand <code class="filename">/etc/sysconfig/iptables.save</code>.
						</div><div class="para">
							Refereer naar <a class="xref" href="sect-Security_Guide-IPTables-IPTables_Control_Scripts.html#sect-Security_Guide-IPTables_Control_Scripts-IPTables_Control_Scripts_Configuration_File" title="2.9.5.1. IPTables controle scripts configuratie bestand">ParagraafÂ 2.9.5.1, â€œIPTables controle scripts configuratie bestandâ€</a> voor meer informatie over het <code class="filename">iptables-config</code> bestand.
						</div></li><li><div class="para">
							<code class="command">status</code> â€” Laat de status van de firewall zien en geeft een lijst van alle actieve regels.
						</div><div class="para">
							De standaard instelling voor deze optie laat IP adressen zien in elke regel. Om de domein en hostnaam informatie te tonen, bewerk je het <code class="filename">/etc/sysconfig/iptables-config</code> bestand en je verandert de waarde van <code class="command">IPTABLES_STATUS_NUMERIC</code> naar <code class="command">no</code>. Refereer naar <a class="xref" href="sect-Security_Guide-IPTables-IPTables_Control_Scripts.html#sect-Security_Guide-IPTables_Control_Scripts-IPTables_Control_Scripts_Configuration_File" title="2.9.5.1. IPTables controle scripts configuratie bestand">ParagraafÂ 2.9.5.1, â€œIPTables controle scripts configuratie bestandâ€</a> voor meer informatie over het <code class="filename">iptables-config</code> bestand.
						</div></li><li><div class="para">
							<code class="command">panic</code> â€” Verwijdert alle firewall regels. De tactiek van alle ingestelde tabellen wordt op <code class="command">DROP</code> gezet.
						</div><div class="para">
							Deze optie kan nuttig zijn als het bekend is dat een server in gevaar is gebracht. Inplaats van de machine fysiek van het netwerk af te halen, of het systeem uit te zetten, kun je deze optie gebruiken om alle verdere netwerkverkeer te stoppen, maar de machine in een toestand te laten klaar voor analyse of andere onderzoeken.
						</div></li><li><div class="para">
							<code class="command">save</code> â€” Slaat de firewall regels op in <code class="filename">/etc/sysconfig/iptables</code> met behulp van <code class="command">iptables-save</code>. Refereer naar <a class="xref" href="sect-Security_Guide-IPTables-Saving_IPTables_Rules.html" title="2.9.4. Het opslaan van IPTables regels">ParagraafÂ 2.9.4, â€œHet opslaan van IPTables regelsâ€</a> voor meer informatie.
						</div></li></ul></div></li></ul></div><div class="note"><h2>Opmerking</h2><div class="para">
				Om dezelfde initscripts commando's te gebruiken om netfilter te controleren voor IPv6, vervang je <code class="command">iptables</code> met <code class="command">ip6tables</code> in de <code class="command">/sbin/service</code> commando's getoond in deze paragraaf. Voor meer informatie over IPv6 en netfilter, refereer je naar <a class="xref" href="sect-Security_Guide-IPTables-IPTables_and_IPv6.html" title="2.9.6. IPTables en IPv6">ParagraafÂ 2.9.6, â€œIPTables en IPv6â€</a>.
			</div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-IPTables_Control_Scripts-IPTables_Control_Scripts_Configuration_File">2.9.5.1. IPTables controle scripts configuratie bestand</h4></div></div></div><div class="para">
				Het gedrag van het <code class="command">iptables</code> initscripts wordt gecontroleerd door het <code class="filename">/etc/sysconfig/iptables-config</code> configuratie bestand. Het volgende is een lijst van de instructies in dit bestand:
			</div><div class="itemizedlist"><ul><li><div class="para">
						<code class="command">IPTABLES_MODULES</code> â€” Specificeert een door spaties gescheiden lijst van extra <code class="command">iptables</code> modules die geladen moeten worden als de firewall geactiveerd wordt. Ze kunnen ook verbindingsvolger en NAT hulpprogramma's bevatten.
					</div></li><li><div class="para">
						<code class="command">IPTABLES_MODULES_UNLOAD</code> â€” Verwijdert modules bij herstarten en stoppen. Deze instructie accepteert de volgende waardes:
					</div><div class="itemizedlist"><ul><li><div class="para">
								<code class="command">yes</code> â€” De standaard waarde. Deze optie moet ingesteld zijn om een correcte toestand te bereiken voor het opnieuw starten en stoppen van een firewall.
							</div></li><li><div class="para">
								<code class="command">no</code> â€” Deze optie moet alleen gebruikt worden als er problemen zijn met het verwijderen van de netfilter modules.
							</div></li></ul></div></li><li><div class="para">
						<code class="command">IPTABLES_SAVE_ON_STOP</code> â€” Slaat de huidige firewall regels op in <code class="filename">/etc/sysconfig/iptables</code> als de firewall gestopt wordt. Deze instructie accepteert de volgende waardes:
					</div><div class="itemizedlist"><ul><li><div class="para">
								<code class="command">yes</code> â€” Slaat de bestaande regels op in <code class="filename">/etc/sysconfig/iptables</code> als de firewall gestopt wordt, en verhuit de vorige versie naar het <code class="filename">/etc/sysconfig/iptables.save</code> bestand.
							</div></li><li><div class="para">
								<code class="command">no</code> â€” De standaard waarde. Slaat de bestaande regels niet op als de firewall gestopt wordt.
							</div></li></ul></div></li><li><div class="para">
						<code class="command">IPTABLES_SAVE_ON_RESTART</code> â€” Slaat de huidige firewall regels op als de firewall opnieuw gestart wordt. Deze instructie accepteert de volgende waardes:
					</div><div class="itemizedlist"><ul><li><div class="para">
								<code class="command">yes</code> â€” Slaat de bestaande regels op in <code class="filename">/etc/sysconfig/iptables</code> als de firewall opnieuw gestart wordt, en verhuist de vorige versie naar het <code class="filename">/etc/sysconfig/iptables.save</code> bestand.
							</div></li><li><div class="para">
								<code class="command">no</code> â€” De standaard waarde. Slaat de bestaande regels niet op als de firewall opnieuw opgestart wordt.
							</div></li></ul></div></li><li><div class="para">
						<code class="command">IPTABLES_SAVE_COUNTER</code> â€” Bewaart en herlaadt alle pakket en byte tellers in alle ketens en regels. Deze instructie accepteert de volgende waardes:
					</div><div class="itemizedlist"><ul><li><div class="para">
								<code class="command">yes</code> â€” Bewaart de teller waardes.
							</div></li><li><div class="para">
								<code class="command">no</code> â€” De standaard waarde. Bewaard de teller waardes niet.
							</div></li></ul></div></li><li><div class="para">
						<code class="command">IPTABLES_STATUS_NUMERIC</code> â€” Laat de IP adressen in numerieke vorm zien in plaats van domein of hostnamen. Deze instructie accepteert de volgende waardes:
					</div><div class="itemizedlist"><ul><li><div class="para">
								<code class="command">yes</code> â€” De standaard waarde. Geeft alleen IP adressen terug binnen een status output.
							</div></li><li><div class="para">
								<code class="command">no</code> â€” Geeft domein of hostnamen terug in een status output
							</div></li></ul></div></li></ul></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables-Saving_IPTables_Rules.html"><strong>Terug</strong>2.9.4. Het opslaan van IPTables regels</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables-IPTables_and_IPv6.html"><strong>Volgende</strong>2.9.6. IPTables en IPv6</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-IPTables-IPTables_and_IPv6.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9.6. IPTables en IPv6</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-IPTables.html" title="2.9. IPTables"/><link rel="prev" href="sect-Security_Guide-IPTables-IPTables_Control_Scripts.html" title="2.9.5. IPTables controle scripts"/><link rel="next" href="sect-Security_Guide-IPTables-Additional_Resources.html" title="2.9.7. Extra hulpbronnen"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav">
 <li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables-IPTables_Control_Scripts.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables-Additional_Resources.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-IPTables-IPTables_and_IPv6">2.9.6. IPTables en IPv6</h3></div></div></div><div class="para">
			Als het <code class="filename">iptables-ipv6</code> pakket geinstalleerd is, kan netfilter in Fedora het volgende generatie IPv6 Internet protocol filteren. Het commando dat gebruikt wordt om het IPv6 netfilter te manipuleren is <code class="command">ip6tables</code>.
		</div><div class="para">
			De meeste instructies zijn identiek aan degene die gebruikt worden voor <code class="command">iptables</code>, behalve dat de <code class="command">nat</code> nog niet ondersteund wordt. Dit betekent dat het nog niet mogelijk is om IPv6 netwerk adres vertaings taken uit te voeren, zoals vermomming en poort forwarding.
		</div><div class="para">
			Regels voor <code class="command">ip6tables</code> worden bewaard in het <code class="filename">/etc/sysconfig/ip6tables</code> bestand. Vorige regels opgeslagen door de <code class="command">ip6tables</code> initscripts worden opgeslagen in het <code class="filename">/etc/sysconfig/ip6tables.save</code> bestand.
		</div><div class="para">
			Configuratie opties voor het <code class="command">ip6tables</code> init script worden opgeslagen in <code class="filename">/etc/sysconfig/ip6tables-config</code>, en de namen voor elke instructie verschillen een klein beetje vergelekn met hun <code class="command">iptables</code> tegenhangers.
		</div><div class="para">
			Bijvoorbeeld, de <code class="filename">iptables-config</code> instructie <code class="command">IPTABLES_MODULES</code>: het equivalent in het <code class="filename">ip6tables-config</code> bestand is <code class="command">IP6TABLES_MODULES</code>.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables-IPTables_Control_Scripts.html"><strong>Terug</strong>2.9.5. IPTables controle scripts</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables-Additional_Resources.html"><strong>Volgende</strong>2.9.7. Extra hulpbronnen</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-IPTables-Saving_IPTables_Rules.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9.4. Het opslaan van IPTables regels</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-IPTables.html" title="2.9. IPTables"/><link rel="prev" href="sect-Security_Guide-Command_Options_for_IPTables-Listing_Options.html" title="2.9.3.6. Lijst opties"/><link rel="next" href="sect-Security_Guide-IPTables-IPTables_Control_Scripts.html" title="2.9.5. IPTables controle scripts"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/>
 </a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Command_Options_for_IPTables-Listing_Options.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables-IPTables_Control_Scripts.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-IPTables-Saving_IPTables_Rules">2.9.4. Het opslaan van IPTables regels</h3></div></div></div><div class="para">
			Regels die gemaakt worden met het <code class="command">iptables</code> commando worden opgeslagen in het geheigen. Als het systeem opnieuw opgestart wordt voordat de <code class="command">iptables</code> regels opgeslagen worden, gaan alle regels verloren. Om netfilter regels bestand te laten zijn tegen een systeem opstart, moeten ze opgeslagen worden. Om netfilter regels op te slaan, type je het volgende commando als root:
		</div><pre class="screen"><code class="command"> /sbin/service iptables save </code>
</pre><div class="para">
			Dit voert het <code class="command">iptables</code> init script uit, welke het <code class="command">/sbin/iptables-save</code> programma uitvoert om de huidige <code class="command">iptables</code> configuratie naar <code class="filename">/etc/sysconfig/iptables</code> te schrijven. Het bestaande <code class="filename">/etc/sysconfig/iptables</code> bestand wordt bewaard als <code class="filename">/etc/sysconfig/iptables.save</code>.
		</div><div class="para">
			Als het systeem de volgende keer opstart, laadt het <code class="command">iptables</code> init script de regels opgeslagen in <code class="filename">/etc/sysconfig/iptables</code> door het <code class="command">/sbin/iptables-restore</code> commando te gebruiken.
		</div><div class="para">
			Terwijl het altijd een goed idee is om een nieuwe <code class="command">iptables</code> regel te testen voordat je het naar het <code class="filename">/etc/sysconfig/iptables</code> bestand schrijft, is het mogelijk om de <code class="command">iptables</code> regels te kopiÃ«ren in dat bestand vanaf de versie van dit bestand op een andere machine. Dit biedt een snelle manier om stelsels van <code class="command">iptables</code> regels te verspreiden over meerdere machines.
		</div><div class="para">
			Je kunt ook de iptables regel opslaan in een aparte bestand voor verspreiding, backup, of andere doeleinden. Om je iptables regels op te slaan, type je het volgende commando in als root:
		</div><pre class="screen"><code class="command"> [root at myServer ~]# iptables-save > <em class="replaceable"><code><bestandsnaam></code></em></code>waarin <em class="replaceable"><code><bestandsnaam></code></em> een door jouw gedefinieerde naam voor je regelstelsel.
</pre><div class="important"><h2>Belangrijk</h2><div class="para">
				Als het <code class="filename">/etc/sysconfig/iptables</code> bestand naar andere machines verspreid wordt, type je <code class="command">/sbin/service iptables restart</code> om deze nieuwe regels effectief te maken.
			</div></div><div class="note"><h2>Opmerking</h2><div class="para">
				Merk het verschil op tussen het <code class="command">iptables</code> <span class="emphasis"><em>commando</em></span> (<code class="command">/sbin/iptables</code>), welke wordt gebruikt voor het manipuleren van de tabellen en regels die de <code class="command">iptables</code> functionaliteit bevatten, en de <code class="command">iptables</code> <span class="emphasis"><em>service</em></span> (<code class="command">/sbin/iptables service</code>), welke wordt gebruikt om de <code class="command">iptables</code> service zelf aan en uit te zetten.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Command_Options_for_IPTables-Listing_Options.html"><strong>Terug</strong>2.9.3.6. Lijst opties</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables-IPTables_Control_Scripts.html"><strong>Volgende</strong>2.9.5. IPTables controle scripts</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-IPTables.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9. IPTables</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="chap-Security_Guide-Securing_Your_Network.html" title="Hoofdstuk 2. Je netwerk beveiligen"/><link rel="prev" href="sect-Security_Guide-Additional_Resources-Related_Documentation.html" title="2.8.9.3. Gerelateerde documentatie"/><link rel="next" href="sect-Security_Guide-IPTables-Differences_Between_IPTables_and_IPChains.html" title="2.9.2. Verschillen tussen IPTables en IPChains"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content
 /images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Additional_Resources-Related_Documentation.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables-Differences_Between_IPTables_and_IPChains.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-IPTables">2.9. IPTables</h2></div></div></div><div class="para">
		Onderdeel van Fedora zijn geavanceerde gereedschappen voor netwerk <em class="firstterm">pakket filtering</em> â€” het proces van het controleren van netwerkpakketten tijdens het binnenkomen, doorlopen, en verlaten van de netwerkstack in de kernel. Kernel versies voor 2.4 vertrouwden op <code class="command">ipchains</code> voor pakket filtering en gebruikten lijsten met regels toe toegepast werden voor pakketten in iedere stap van het filter proces. De 2.4 kernel introduceerde <code class="command">iptables</code> (ook <em class="firstterm">netfilter</em> genaamd), welke overeenkomt met <code class="command">ipchains</code> maar die het bereik en de controle beschikbaar voor het filteren van netwerk pakketten verder uitbreidt.
	</div><div class="para">
		Dit hoofdstuk richt zich op de pakket filtering basis eigenschappen, definieert de verschillen tussen <code class="command">ipchains</code> en <code class="command">iptables</code>, legt verschillende opties beschikbaar voor <code class="command">iptables</code> commando's uit, en legt uit hoe filter regels behouden kunnen blijven als het systeem opnieuw opstart.
	</div><div class="para">
		Refereer naar <a class="xref" href="sect-Security_Guide-IPTables-Additional_Resources.html" title="2.9.7. Extra hulpbronnen">ParagraafÂ 2.9.7, â€œExtra hulpbronnenâ€</a> voor instructies over het maken van <code class="command">iptables</code> regels en het instellen van een firewall gebaseerd op deze regels.
	</div><div class="important"><h2>Belangrijk</h2><div class="para">
			Het standaard firewall mechanisme in 2.4 en latere kernels is <code class="command">iptables</code>, maar <code class="command">iptables</code> kan niet gebruikt worden als <code class="command">ipchains</code> al draait. Als <code class="command">ipchains</code> aanwezig is tijdens het opstarten, geeft de kernel een fout en wordt <code class="command">iptables</code> niet opgestart.
		</div><div class="para">
			De functionaliteit van <code class="command">ipchains</code> wordt niet getroffen door deze fouten.
		</div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-IPTables-Packet_Filtering">2.9.1. Pakket filtering</h3></div></div></div><div class="para">
			De Linux kernel gebruikt <span class="application"><strong>Netfilter</strong></span> om pakketten te filteren en staat toe dat sommige van hen ontvangen of doorgelaten worden, terwijl gestopt worden. Deze functionaliteit is ingebouwd in de Linux kernel, en heeft drie ingebouwde <em class="firstterm">tabellen</em> of <em class="firstterm">regel lijsten</em>, namelijk de volgende:
		</div><div class="itemizedlist"><ul><li><div class="para">
					<code class="option">filter</code> â€” De standaard tabel voor het afhandelen van netwerk pakketten.
				</div></li><li><div class="para">
					<code class="option">nat</code> â€” Wordt gebruikt om pakketten te veranderen die een nieuwe verbinding maken en wordt gebruikt voor <em class="firstterm">Network Address Translation</em> (<em class="firstterm">NAT</em>).
				</div></li><li><div class="para">
					<code class="option">mangle</code> â€” Wordt gebruikt voor specifieke soorten pakket verandering.
				</div></li></ul></div><div class="para">
			Elke tabel heeft een groep van ingebouwde <em class="firstterm">ketens</em>, welek overeenkomen met de acties die <code class="command">netfilter</code> uitvoert op de pakketten.
		</div><div class="para">
			De ingebouwde ketens voor de <code class="option">filter</code> tabel zijn de volgende:
		</div><div class="itemizedlist"><ul><li><div class="para">
					<em class="firstterm">INPUT</em> â€” Wordt toegepast op netwerk pakketten die bestemd zijn voor de host.
				</div></li><li><div class="para">
					<em class="firstterm">OUTPUT</em> â€” Wordt toegepast op locaal aangemaakte pakketten.
				</div></li><li><div class="para">
					<em class="firstterm">FORWARD</em> â€” Wordt toegepast op netwerk pakketten die door de host geleid worden.
				</div></li></ul></div><div class="para">
			De ingebouwde ketens voor de <code class="option">nat</code> tabel zijn de volgende:
		</div><div class="itemizedlist"><ul><li><div class="para">
					<em class="firstterm">PREROUTING</em> â€” Verandert netwerk pakketten als ze binnenkomen.
				</div></li><li><div class="para">
					<em class="firstterm">OUTPUT</em> â€” Verandert locaal aangemaakte pakketten voordat ze verzonden worden.
				</div></li><li><div class="para">
					<em class="firstterm">POSTROUTING</em> â€” Verandert netwerk pakketten voordat ze verzonden worden.
				</div></li></ul></div><div class="para">
			De ingebuwde ketens voor de <code class="option">mangle</code> tabel zijn de volgende:
		</div><div class="itemizedlist"><ul><li><div class="para">
					<em class="firstterm">INPUT</em> â€” Verandert netwerk pakketten die bestemd zijn voor de host.
				</div></li><li><div class="para">
					<em class="firstterm">OUTPUT</em> â€” Verandert locaal aangemaakte pakketten voordat ze verzonden worden.
				</div></li><li><div class="para">
					<em class="firstterm">FORWARD</em> â€” Verandert netwerk pakketten die door de host geleid worden.
				</div></li><li><div class="para">
					<em class="firstterm">PREROUTING</em> â€” Verandert binnenkomende netwerk pakketten voordat ze verder geleid worden.
				</div></li><li><div class="para">
					<em class="firstterm">POSTROUTING</em> â€” Verandert netwerk pakketten voordat ze verzonden worden.
				</div></li></ul></div><div class="para">
			Elk netwerkpakket dat wordt ontvangen of verstuurd door een Linux systeem wordt onderworpen aan tenminste een tabel. Een pakket kan echter onderworpen zijn aan meerdere regels binnen elke tabel voordat het aan het einde van de keten verschijnt. De structuur en het doel van deze regels kan anders zijn, maar gewoonlijk proberen ze een pakket te identificeren als het komt van of gaat naar een bepaald IP adres, of een verzameling van adressen, bij het gebruik van een bepaalde protocol of netwerk service.
		</div><div class="note"><h2>Opmerking</h2><div class="para">
				Standaard worden firewall regels opgeslagen in de <code class="filename">/etc/sysconfig/iptables</code> of <code class="filename">/etc/sysconfig/ip6tables</code> bestanden.
			</div><div class="para">
				De <code class="command">iptables</code> service start voor elke andere aan DNS gerelateerde service als een Linux systeem wordt opgestart. Cit betekent dat firewall regels alleen naar numerieke IP adressen (bijvoorbeeld, 192.168.0.1) kunnen refereren. Domein namen (bijvoorbeeld, host.example.com) veroorzaken in zulke regels fouten.
			</div></div><div class="para">
			Als een pakket overeenkomt met een bepaalde regel in een van de tabellen wordt, onafhankelijk van hun bestemming, een <em class="firstterm">doel</em> of actie op hen uitgevoerd. Als de regel een <code class="command">ACCEPT</code> doel voor een overeenkomend pakket specificeert, slaat het pakket de rest van de regel controles over en wordt het toegestaan om te vervolgen naar zijn bestemming. Als een regel een <code class="command">DROP</code> doel specificeert, wordt dat pakket toegang tot het systeem geweigerd en er wordt niets terug gestuurd naar de host die het pakket verzond. Als de regel een <code class="command">QUEUE</code> doel specificeert, wordt het pakket doorgegeven naar de gebruikersruimte. Als de regel het optionele <code class="command">REJECT</code> doel specificeerde, wordt het pakket geweigerd, maar een fout pakket wordt terug gestuurd naar de verzender van het pakket.
		</div><div class="para">
			Elke keten heeft een standaad tactiek voor <code class="command">ACCEPT</code>, <code class="command">DROP</code>, <code class="command">REJECT</code>, of <code class="command">QUEUE</code>. Als geen van deze regels inb de keten van toepassing is op het pakket, dan wordt het pakket behandeld overeenkomstig de standaard tactiek.
		</div><div class="para">
			Het <code class="command">iptables</code> commando onfigureert deze tabellen, en zet zo nodig ook nieuwe tabellen op.
		</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Additional_Resources-Related_Documentation.html"><strong>Terug</strong>2.8.9.3. Gerelateerde documentatie</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables-Differences_Between_IPTables_and_IPChains.html"><strong>Volgende</strong>2.9.2. Verschillen tussen IPTables en IPChains</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-IPTables_Match_Options-Additional_Match_Option_Modules.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9.3.4.4. Extra overeenkomst optie modules</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Match_Options.html" title="2.9.3.4. IPTables overeenkomst opties"/><link rel="prev" href="sect-Security_Guide-IPTables_Match_Options-ICMP_Protocol.html" title="2.9.3.4.3. ICMP protocol"/><link rel="next" href="sect-Security_Guide-Command_Options_for_IPTables-Target_Options.html" title="2.9.3.5. Doel opties"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="
 Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables_Match_Options-ICMP_Protocol.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Command_Options_for_IPTables-Target_Options.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-IPTables_Match_Options-Additional_Match_Option_Modules">2.9.3.4.4. Extra overeenkomst optie modules</h5></div></div></div><div class="para">
					Extra overeenkomst opties zijn beschikbaar met modules die geladen worden door het <code class="command">iptables</code> commando.
				</div><div class="para">
					Om een overeenkomst optie module te gebruiken, laad je de module bij naam met gebruik van <code class="option">-m <em class="replaceable"><code><module-naam></code></em></code>, waarin <em class="replaceable"><code><module-naam></code></em> de naam van de module is.
				</div><div class="para">
					Standaard zijn vele modules beschikbaar. Je kunt ook modules maken om extra functionaliteit te bieden.
				</div><div class="para">
					Het volgende is een gedeeltelijke lijst van de meest gebruikte modules:
				</div><div class="itemizedlist"><ul><li><div class="para">
							<code class="option">limit</code> module â€” Brengt limieten aan voor hoeveel pakketten kunnen overeenkomen met een bepaalde regel.
						</div><div class="para">
							Als dit gebruikt wordt tesamen met het <code class="command">LOG</code> doel, kan de <code class="option">limit</code> module een vloed van overeenkomende pakketten beletten om de systeemlog te vullen met herhaalde boodschappen of het opmaken van systeem hulpbronnen.
						</div><div class="para">
							Refereer naar <a class="xref" href="sect-Security_Guide-Command_Options_for_IPTables-Target_Options.html" title="2.9.3.5. Doel opties">ParagraafÂ 2.9.3.5, â€œDoel optiesâ€</a> voor meer informatie over het <code class="command">LOG</code> doel.
						</div><div class="para">
							De <code class="option">limit</code> module maakt de volgende opties beschikbaar:
						</div><div class="itemizedlist"><ul><li><div class="para">
									<code class="option">--limit</code> â€” Stelt het maximum aantal overeenkomsten in voor een bepaalde tijdsperiode, opgegeven als een <code class="option"><em class="replaceable"><code><waarde>/<periode></code></em></code> paar. Bijvoorbeeld, het gebruiken van <code class="option">--limit 5/hour</code> staat vijf regel overeenkomsten per uur toe.
								</div><div class="para">
									Periodes kunnen opgegeven worden in seconden, minuten, uren, of dagen
								</div><div class="para">
									Als dit paar niet wordt opgegeven, wordt de standaard waarde van <code class="option">3/hour</code> aangenomen.
								</div></li><li><div class="para">
									<code class="option">--limit-burst</code> â€” Stelt een limiet aan het aantal pakketten die ten alle tijde kunnen overeenkomen met een pakket.
								</div><div class="para">
									Deze optie wordt opgegeven als een geheel getal en moet gebruikt worden tesamen met de <code class="option">--limit</code> optie.
								</div><div class="para">
									Als geen waarde wordt opgegeven, wordt de standaard waarde vijf (5) aangenomen.
								</div></li></ul></div></li><li><div class="para">
							<code class="option">state</code> module â€” Zet toestand overeenkomst aan.
						</div><div class="para">
							De <code class="option">state</code> module maakt de volgende opties beschikbaar:
						</div><div class="itemizedlist"><ul><li><div class="para">
									<code class="option">--state</code> â€” Kijkt of een pakket overeenkomt met de volgende verbindingstoestanden:
								</div><div class="itemizedlist"><ul><li><div class="para">
											<code class="option">ESTABLISHED</code> â€” Het pakket dat overeenkomt is gerelateerd aan andere pakketten in een bestaande verbinding. Je moet deze toestand accepteren als je een verbinding tussen een client en een server wilt onderhouden.
										</div></li><li><div class="para">
											<code class="option">INVALID</code> â€” Het pakket dat overeenkomt past niet bij een bekende verbinding.
										</div></li><li><div class="para">
											<code class="option">NEW</code> â€” Het pakket dat overeenkomt is of een pakket dat een nieuwe verbinding aanmaakt, of onderdeel van een tweezijdige verbinding die eerder niet gezien is. Je moet deze toestand accepteren als je nieuwe verbindingen naar een service wilt toestaan.
										</div></li><li><div class="para">
											<code class="option">RELATED</code> â€” Het pakket dat overeenkomt start een nieuwe verbinding die op een bepaalde manier gerelateerd is aan een bestaande verbinding. Een voorbeeld hiervan is FTP, die een verbinding gebruikt voor controle verkeer (poort 21), en een aparte verbinding voor data overdracht (poort 20).
										</div></li></ul></div><div class="para">
									Deze verbindings toestanden kunnen in combinatie met elkaar gebruikt worden door ze te scheiden met komma's, zoals <code class="option">-m state --state INVALID,NEW</code>.
								</div></li></ul></div></li><li><div class="para">
							<code class="option">mac</code> module â€” Zet hardware MACX adres overeenkomst aan.
						</div><div class="para">
							De <code class="option">mac</code> module maakt de volgende opties beschikbaar:
						</div><div class="itemizedlist"><ul><li><div class="para">
									<code class="option">--mac-source</code> â€” Maakt een overeenkomst met een MAC adres van het netwerk interface dat het pakket verzendt. Om een MAC adres uit te zonderen van een regel, plaats je een uitroepteken (<code class="option">!</code>) na de <code class="option">--mac-source</code> overeenkomst optie.
								</div></li></ul></div></li></ul></div><div class="para">
					Refereer naar de <code class="command">iptables</code> manual pagina voor meer overeenkomst opties die beschikbaar zijn met behulp van modules.
				</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables_Match_Options-ICMP_Protocol.html"><strong>Terug</strong>2.9.3.4.3. ICMP protocol</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Command_Options_for_IPTables-Target_Options.html"><strong>Volgende</strong>2.9.3.5. Doel opties</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-IPTables_Match_Options-ICMP_Protocol.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9.3.4.3. ICMP protocol</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Match_Options.html" title="2.9.3.4. IPTables overeenkomst opties"/><link rel="prev" href="sect-Security_Guide-IPTables_Match_Options-UDP_Protocol.html" title="2.9.3.4.2. UDP protocol"/><link rel="next" href="sect-Security_Guide-IPTables_Match_Options-Additional_Match_Option_Modules.html" title="2.9.3.4.4. Extra overeenkomst optie modules"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.or
 g"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables_Match_Options-UDP_Protocol.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables_Match_Options-Additional_Match_Option_Modules.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-IPTables_Match_Options-ICMP_Protocol">2.9.3.4.3. ICMP protocol</h5></div></div></div><div class="para">
					De volgende overeenkomst opties zijn beschikbaar voor het Internet Control Message Protocol (ICMP) (<code class="option">-p icmp</code>):
				</div><div class="itemizedlist"><ul><li><div class="para">
							<code class="option">--icmp-type</code> â€” Stelt de naam of het nummer in van het IMCP type die overeen moet komen met de regel. Een lijst van geldige IMCP namen kan verkregen worden door het <code class="command">iptables -p icmp -h</code> commando in te typen.
						</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPTables_Match_Options-UDP_Protocol.html"><strong>Terug</strong>2.9.3.4.2. UDP protocol</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables_Match_Options-Additional_Match_Option_Modules.html"><strong>Volgende</strong>2.9.3.4.4. Extra overeenkomst optie modules</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-IPTables_Match_Options-UDP_Protocol.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.9.3.4.2. UDP protocol</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Match_Options.html" title="2.9.3.4. IPTables overeenkomst opties"/><link rel="prev" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Match_Options.html" title="2.9.3.4. IPTables overeenkomst opties"/><link rel="next" href="sect-Security_Guide-IPTables_Match_Options-ICMP_Protocol.html" title="2.9.3.4.3. ICMP protocol"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img 
 src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Match_Options.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables_Match_Options-ICMP_Protocol.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-IPTables_Match_Options-UDP_Protocol">2.9.3.4.2. UDP protocol</h5></div></div></div><div class="para">
					De volgende overeenkomst opties zijn beschikbaar voor het UDP protocol (<code class="option">-p udp</code>):
				</div><div class="itemizedlist"><ul><li><div class="para">
							<code class="option">--dport</code> â€” Specificeert de bestemmingspoort voor het UDP pakket met gebruik van de service naam, poortnummer, of reeks van poortnummers. De <code class="option">--destination-port</code> overeenkomst optie is synoniem met <code class="option">--dport</code>.
						</div></li><li><div class="para">
							<code class="option">--sport</code> â€” Specificeert de bronpoort van het UDP pakket met gebruik van de service naam, poortnummer, of reeks van poortnummers. De <code class="option">--source-port</code> overeenkomst optie is synoniem met <code class="option">--sport</code>.
						</div></li></ul></div><div class="para">
					Om voor de <code class="option">--dport</code> en <code class="option">--sport</code> opties een reeks van poortnummers op te geven, scheidt je de twee nummers met een dubbelepunt (:). Bijvoorbeeld, <code class="option">-p tcp --dport 3000:3200</code>. De grootste geaccepteerde geldige reeks is <code class="option">0:65535</code>.
				</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Command_Options_for_IPTables-IPTables_Match_Options.html"><strong>Terug</strong>2.9.3.4. IPTables overeenkomst opties</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPTables_Match_Options-ICMP_Protocol.html"><strong>Volgende</strong>2.9.3.4.3. ICMP protocol</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-IPsec_Host_to_Host_Configuration-Manual_IPsec_Host_to_Host_Configuration.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.7.6.2. Handmatige IPsec host-naar-host configuratie</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html" title="2.7.6. IPsec host-naar-host configuratie"/><link rel="prev" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html" title="2.7.6. IPsec host-naar-host configuratie"/><link rel="next" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html" title="2.7.7. IPsec netwerk-naar-netwerk configuratie"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Co
 ntent/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-IPsec_Host_to_Host_Configuration-Manual_IPsec_Host_to_Host_Configuration">2.7.6.2. Handmatige <abbr class="abbrev">IPsec</abbr> host-naar-host configuratie</h4></div></div></div><div class="para">
				De eerste stap voor het maken van een verbinding is het verzamelen van systeem en netwerk informatie voor ieder werkstation. Voor een host-naar-host verbinding heb je het volgende nodig:
			</div><div class="itemizedlist"><ul><li><div class="para">
						Het IP{ adres van elke host
					</div></li><li><div class="para">
						Een unieke naam, bijvoorbeeld, <code class="computeroutput">ipsec1</code>. Deze wordt gebruikt om de <abbr class="abbrev">IPsec</abbr> verbinding te identificeren en te onderscheiden van andere apparaten of verbindingen.
					</div></li><li><div class="para">
						Een vast encryptiesleutel, of een automatisch aangemaakte door <code class="command">racoon</code>.
					</div></li><li><div class="para">
						Een pre-gedeelde authenticatie sleutel die gebruikt wordt tijdens de initiele fase van de verbinding en om encryptiesleutels uit te wisselen tijdens de sessie.
					</div></li></ul></div><div class="para">
				Bijvoorbeeld, veronderstel dat Werkstation A en Werkstation B met elkaar willen verbinden met een <abbr class="abbrev">IPsec</abbr> tunnel. Ze willen verbinden met gebruik van een pre-gedeelde sleutel met de waarde <code class="computeroutput">Key_Value01</code>, en de gebruikers zijn erover eens om <code class="command">racoon</code> te gebruiken voor het automatisch genereren en delen van een authenticatie sleutel tussen iedere host. Beide host gebruikers besluiten om hun verbinding <code class="computeroutput">ipsec1</code> te noemen.
			</div><div class="note"><h2>Opmerking</h2><div class="para">
					Je moet een PSK kiezen die een mengeling gebruikt van hoofdletters, kleine letters, cijfers en leestekens. Een gemakkelijk raadbare PSK is een beveiligings risico.
				</div><div class="para">
					Het is niet nodig om dezelfde verbindingsnaam re gebruiken voor iedere host. Je moet ee naam kiezen die handig is en betekenis heeft voor je installatie.
				</div></div><div class="para">
				Het volgende is het <abbr class="abbrev">IPsec</abbr> configuratie bestand voor Werkstation A voor een host-naar-host <abbr class="abbrev">IPsec</abbr> verbinding met Werkstation B. De unieke naam om de verbinding te identificeren is in dit voorbeeld <em class="replaceable"><code>ipsec1</code></em>,. dus het resulterende bestand wordt <code class="filename">/etc/sysconfig/network-scripts/ifcfg-ipsec1</code> genoemd.
			</div><pre class="screen">DST=<em class="replaceable"><code>X.X.X.X</code></em>TYPE=IPSEC
ONBOOT=no
IKE_METHOD=PSK
</pre><div class="para">
				Voor Werkstation A, is <em class="replaceable"><code>X.X.X.X</code></em> het IP adres van Werkstation B. Voor Werkstsation B, is <em class="replaceable"><code>X.X.X.X</code></em> het IP adres van Werkstation A. Deze verbinding is niet ingesteld om op te starten tijdens het opstarten van de computer (<code class="computeroutput">ONBOOT=no</code>) en het gebruikt een pre-gedeelde sleutel methode voor authenticatie (<code class="computeroutput">IKE_METHOD=PSK</code>).
			</div><div class="para">
				Het volgende is de inhoud van het pre-gedeelde sleutel bestand (met de naam <code class="filename">/etc/sysconfig/network-scripts/keys-ipsec1</code>) dat beide werkstations noddig hebben voor autenticatie van elkaar. De inhoud van dit bestand moet op beide werkstations identiek zijn, en alleen de root gebruiker moet in staat zijn dit bestand te lezen of te schrijven.
			</div><pre class="screen">IKE_PSK=Key_Value01
</pre><div class="important"><h2>Belangrijk</h2><div class="para">
					Om het <code class="filename">keys-ipsec1</code> bestand zodanig te veranderen dat alleen de root gebruiker dit bestand kan lezen of veranderen, voer je het volgende commando uit na het aanmaken van het bestand:
				</div><pre class="screen">[root at myServer ~] # chmod 600 /etc/sysconfig/network-scripts/keys-ipsec1
</pre></div><div class="para">
				Om op elk gewenst moment de authenticatie sleutel te veranderen, bewerk je het <code class="filename">keys-ipsec1</code> bestand op beide werkstations.<span class="emphasis"><em>Beide authenticatie sleutels moeten identiek zijn voor een juiste verbinding</em></span>.
			</div><div class="para">
				Het volgende voorbeeld laat de specifieke instelling voor de fase 1 verbinding naar de host op afstand zien. Het bestand wordt <code class="filename"><em class="replaceable"><code>X.X.X.X</code></em>.conf</code> genoemd, waarin <em class="replaceable"><code>X.X.X.X</code></em> het IP adres van de <abbr class="abbrev">IPsec</abbr> host op afstand is. Merk op dat dit bestand automatisch aangemaakt wordt als de <abbr class="abbrev">IPsec</abbr> tunnel actief is en moet niet direct bewerkt worden.
			</div><pre class="screen">remote <em class="replaceable"><code>X.X.X.X</code></em>{
         exchange_mode aggressive, main;
         my_identifier address;
         proposal {
                 encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group 2 ;
        }
}
</pre><div class="para">
				Het standaard fase 1 configuratie bestand wordt aangemaakt als een <abbr class="abbrev">IPsec</abbr> verbinding wordt opgezet, bevat de volgende instructies gebruikt door de Fedora implementatie van IPsec
			</div><div class="variablelist"><dl><dt><span class="term">remote <em class="replaceable"><code>X.X.X.X</code></em></span></dt><dd><div class="para">
							Specificeert dat de volgende regels van dit configuratie bestand alleen van toepassing zijn voor de node op afstang geidentificeerd met het <em class="replaceable"><code>X.X.X.X</code></em> IP adres.
						</div></dd><dt><span class="term">exchange_mode aggressive</span></dt><dd><div class="para">
							De standaard configuratie voor <abbr class="abbrev">IPsec</abbr> in Fedora gebruikt een aggressieve authenticatie methode, wat de verbindings overhead verlaagt terwijl het de instelling van verscheidene <abbr class="abbrev">IPsec</abbr> verbindingen met meerdere hosts toestaat.
						</div></dd><dt><span class="term">my_identifier address</span></dt><dd><div class="para">
							Specificeert de identificatie methode te gebruiken voor de authenticatie van nodes. Fedora gebruikt alleen IP adressen om nodes te identificeren.
						</div></dd><dt><span class="term">encryption_algorithm 3des</span></dt><dd><div class="para">
							Specificeert de encryptie code gebruikt tijdens de authenticatie. Standaard wordt <em class="firstterm">Triple Data Encryption Standard</em> (<acronym class="acronym">3DES</acronym>) gebruikt.
						</div></dd><dt><span class="term">hash_algorithm sha1;</span></dt><dd><div class="para">
							Specificeert het hash algorithme gebruikt tijdens de fase 1 onderhandeling tussen nodes. Standaard wordt Secure Hash Algorithm versie 1 gebruikt.
						</div></dd><dt><span class="term">authentication_method pre_shared_key</span></dt><dd><div class="para">
							Specificeert de authenticatie methode die gebruikt wordt tijdens de node onderhandeling. Standaard gebruikt Fedora pre-gedeelde sleutels voor authenticatie.
						</div></dd><dt><span class="term">dh_group 2</span></dt><dd><div class="para">
							Specificeert het Diffie-Hellman groep getal voor het instellen van dynamisch aangemaakte sessie sleutels. Standaard wordt modp1024 (groep 2) gebruikt.
						</div></dd></dl></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Manual_IPsec_Host_to_Host_Configuration-The_Racoon_Configuration_File">2.7.6.2.1. Het racoon configuratie bestand</h5></div></div></div><div class="para">
					De <code class="filename">/etc/racoon/racoon.conf</code> bestanden moeten identiek zijn op alle <abbr class="abbrev">IPsec</abbr> nodes <span class="emphasis"><em>behalve</em></span> voor de <code class="command">include "/etc/racoon/<em class="replaceable"><code>X.X.X.X</code></em>.conf"</code> instructie. Deze instructie (en het bestand waarnaar het verwijst) wordt aangemaakt als de <abbr class="abbrev">IPsec</abbr> tunnel actief wordt. Voor Werkstation A is de <em class="replaceable"><code>X.X.X.X</code></em> in de <code class="command">include</code> instructie het IP adres van Werkstation B. Het omgekeerde geldt voor Werkstation B. Het volgende toont een typisch <code class="filename">racoon.conf</code> bestand als de <abbr class="abbrev">IPsec</abbr> verbinding actief is.
				</div><pre class="screen"># Racoon IKE daemon configuration file.
# See 'man racoon.conf' for a description of the format and entries.

path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

sainfo anonymous
{
        pfs_group 2;
        lifetime time 1 hour ;
        encryption_algorithm 3des, blowfish 448, rijndael ;
        authentication_algorithm hmac_sha1, hmac_md5 ;
        compression_algorithm deflate ;
}
include "/etc/racoon/X.X.X.X.conf";
</pre><div class="para">
					Dit standaard <code class="filename">racoon.conf</code> bestand bevat gedefinieerde paden voor <abbr class="abbrev">IPsec</abbr> configuratie, pre-gedeelde sleutel bestanden, en certificaten. De velden in <code class="computeroutput">sainfo anonymous</code> beschrijven een fase 2 SA tussen <abbr class="abbrev">IPsec</abbr> nodes â€” het karakter van de <abbr class="abbrev">IPsec</abbr> verbinding (inclusief de ondersteunde encryptie algorithmes die gebruikt worden) en de methode voor het uitwisselen van sleutels. De volgende lijst definieert de velden van fase 2:
				</div><div class="variablelist"><dl><dt><span class="term">sainfo anonymous</span></dt><dd><div class="para">
								Geeft aan dat SA anoniem kan initialiseren met iedere gelijke mits de <abbr class="abbrev">IPsec</abbr> legitimaties overeen komen.
							</div></dd><dt><span class="term">pfs_group 2</span></dt><dd><div class="para">
								Definieert het Diffie-Hellman sleutel uitwisselings protocol, welke de methode bepaalt waarmee de <abbr class="abbrev">IPsec</abbr> nodes een gemeenschappelijke tijdelijke sessie sleutel vaststellen voor de tweede fase van de <abbr class="abbrev">IPsec</abbr> verbinding. Standaard gebruikt de Fedora implementatie van <abbr class="abbrev">IPsec</abbr> groep 2 (of <code class="computeroutput">modp1024</code>) van de Diffie-Hellman cryptografische sleutel uitwisselings groepen. Groep 2 gebruikt een 1024-bit modulair machtverheffen dat aanvallers belet om vorige <abbr class="abbrev">IPsec</abbr> overdrachten te ontsleutelen zelfs als de privÃ© sleutel in gevaar is gebracht.
							</div></dd><dt><span class="term">lifetime time 1 hour</span></dt><dd><div class="para">
								Deze parameter specificeert de levenduur van een SA en kan opgegeven worden met tijd of data bytes. De standaard Fedora implementatie van <abbr class="abbrev">IPsec</abbr> specificeert een uur levenduur.
							</div></dd><dt><span class="term">encryption_algorithm 3des, blowfish 448, rijndael</span></dt><dd><div class="para">
								Specificeert de ondersteunde encryptoe codes voor fase 2. Fedora onderstent 3DES, 448-bit Blowfish, en Rijndael (de code gebruikt in de <em class="firstterm">Advanced Encryption Standard</em>, of <acronym class="acronym">AES</acronym>).
							</div></dd><dt><span class="term">authentication_algorithm hmac_sha1, hmac_md5</span></dt><dd><div class="para">
								Laat de ondersteunde hash algorithmes voor authenticatie zien. Ondersteunde modes zijn sha1 en md5 hash boodschap authenticatie codes (HMAC).
							</div></dd><dt><span class="term">compression_algorithm deflate</span></dt><dd><div class="para">
								Definieert het Deflate compressie algorithme voor IP Payload Compression (IPCOMP) ondersteuning, die een potentieel sneller transport van IP datagrams over langzame verbindingen toestaat.
							</div></dd></dl></div><div class="para">
					Om de verbinding te starten gebruik je het volgende commando op iedere host:
				</div><pre class="screen">[root at myServer ~]# /sbin/ifup <nickname>
</pre><div class="para">
					waarin <nickname> de naam is die je opgegeven hebt voor de <abbr class="abbrev">IPsec</abbr> verbinding.
				</div><div class="para">
					Om de <abbr class="abbrev">IPsec</abbr> verbinding te testen, voer je het <code class="command">tcpdump</code> commando uit om de netwerkpakketten te zien die tussen de hosts uitgewisseld wordt en verifieer dat ze versleuteld zijn met IPsec. Het pakket moet een AH koptekst bevatten en moet getoond worden als ESP pakkettern. ESP betekent dat het versleuteld is. Bijvoorbeeld:
				</div><pre class="screen">[root at myServer ~]# tcpdump -n -i eth0 host <targetSystem>

IP 172.16.45.107 > 172.16.44.192: AH(spi=0x0954ccb6,seq=0xbb): ESP(spi=0x0c9f2164,seq=0xbb)
</pre></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html"><strong>Terug</strong>2.7.6. IPsec host-naar-host configuratie</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html"><strong>Volgende</strong>2.7.7. IPsec netwerk-naar-netwerk configuratie</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-IPsec_Network_to_Network_Configuration-Manual_IPsec_Network_to_Network_Configuration.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.7.7.2. Handmatige IPsec netwerk-naar-netwerk configurtie</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html" title="2.7.7. IPsec netwerk-naar-netwerk configuratie"/><link rel="prev" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html" title="2.7.7. IPsec netwerk-naar-netwerk configuratie"/><link rel="next" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Starting_and_Stopping_an_IPsec_Connection.html" title="2.7.8. Het starten en stoppen van een IPsec verbinding"/></head><body class=""><p id="title"><a class="left" href="http://ww
 w.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Starting_and_Stopping_an_IPsec_Connection.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-IPsec_Network_to_Network_Configuration-Manual_IPsec_Network_to_Network_Configuration">2.7.7.2. Handmatige <abbr class="abbrev">IPsec</abbr> netwerk-naar-netwerk configurtie</h4></div></div></div><div class="para">
				Veronderstel dat <acronym class="acronym">LAN</acronym> A (lana.example.com) en <acronym class="acronym">LAN</acronym> B (lanb.example.com) met elkaar verbinden willen via een <abbr class="abbrev">IPsec</abbr> tunnel. Het netwerk adres voor <acronym class="acronym">LAN</acronym> A is in de 192.168.1.0/24 reeks, terwijl <acronym class="acronym">LAN</acronym> B de 192.168.2.0/24 reeks gebruikt. Het gateway IP adres is 192.168.1.254 voor <acronym class="acronym">LAN</acronym> A en 192.168.2.254 voor <acronym class="acronym">LAN</acronym> B. De <abbr class="abbrev">IPsec</abbr> routers zijn apart van iedere <acronym class="acronym">LAN</acronym> gateway en gebruiken twee netwerkapparaten: eth0 is toegekend an een extern toegankelijk statisch IP adres die toegang geeft tot het Internet, terwijl eth1 werkt als een routing punt voor het bewerken en verzenden van <acronym class="acronym">LAN</acronym> pakketten van een netwerk node naar netwerk nodes op afstand.
			</div><div class="para">
				De <abbr class="abbrev">IPsec</abbr> verbinding tussen elk netwerk gebruikt een pre-gedeelde sleutel met de waarde <code class="computeroutput">r3dh4tl1nux</code>, en de beheerders van A en B komen overeen om <code class="command">racoon</code> te gebruiken voor het automatisch genereren en delen van authenticatie sleutels tussen elke <abbr class="abbrev">IPsec</abbr> router. De beheerder van <acronym class="acronym">LAN</acronym> A besluit de <abbr class="abbrev">IPsec</abbr> verbinding <code class="computeroutput">ipsec0</code> te noemen, terwijl de beheerder van <acronym class="acronym">LAN</acronym> B de <abbr class="abbrev">IPsec</abbr> verbinding <code class="computeroutput">ipsec1</code> noemt.
			</div><div class="para">
				Het volgende voorbeeld laat de inhoud van het <code class="filename">ifcfg</code> bestand voor een netwerk-naar-netwerk <abbr class="abbrev">IPsec</abbr> verbinding voor <acronym class="acronym">LAN</acronym> A zien. De unieke naam om de verbinding in dit voorbeeld te identificeren is <em class="replaceable"><code>ipsec0</code></em>, dus het resulterende bestand wordt <code class="filename">/etc/sysconfig/network-scripts/ifcfg-ipsec0</code> genoemd.
			</div><pre class="screen">TYPE=IPSEC
ONBOOT=yes
IKE_METHOD=PSK
SRCGW=192.168.1.254
DSTGW=192.168.2.254
SRCNET=192.168.1.0/24
DSTNET=192.168.2.0/24
DST=<em class="replaceable"><code>X.X.X.X</code></em>
</pre><div class="para">
				De volgende lijst beschrijft de inhoud van dit bestand:
			</div><div class="variablelist"><dl><dt><span class="term">TYPE=IPSEC</span></dt><dd><div class="para">
							Specificeert het type verbinding.
						</div></dd><dt><span class="term">ONBOOT=yes</span></dt><dd><div class="para">
							Specificeert dat de verbinding opgezet moet worden bij het opstarten van de computer.
						</div></dd><dt><span class="term">IKE_METHOD=PSK</span></dt><dd><div class="para">
							Specificeert dat de verbinding de pre-gedeelde sleutel methode voor authenticatie gebruikt.
						</div></dd><dt><span class="term">SRCGW=192.168.1.254</span></dt><dd><div class="para">
							Het IP adres voor de bron gateway. Voor LAN A, is dit de LAN A gateway, en voor LAN B, de LAN B gateway.
						</div></dd><dt><span class="term">DSTGW=192.168.2.254</span></dt><dd><div class="para">
							Het IP adres voor de bestemmings gateway. Voor LAN A, is dit de LAN B gateway, en voor LAN B, de LAN A gateway.
						</div></dd><dt><span class="term">SRCNET=192.168.1.0/24</span></dt><dd><div class="para">
							Specificeert het bron netwerk voor de <abbr class="abbrev">IPsec</abbr> verbinding, welle in dit voorbeeld de netwerk reeks voor LAN A is.
						</div></dd><dt><span class="term">DSTNET=192.168.2.0/24</span></dt><dd><div class="para">
							Specificeert het bestemmings netwerk voor de <abbr class="abbrev">IPsec</abbr> verbinding, welke in dit voorbeeld de netwerk reeks voor <acronym class="acronym">LAN</acronym> B is
						</div></dd><dt><span class="term">DST=X.X.X.X</span></dt><dd><div class="para">
							Het extern toegankelijke IP adres van <acronym class="acronym">LAN</acronym> B.
						</div></dd></dl></div><div class="para">
				Het volgende voorbeeld is de inhoud van het pre-gedeelde sleutel bestand met de naam <code class="filename">/etc/sysconfig/network-scripts/keys-ipsec<em class="replaceable"><code>X</code></em></code> (waarin <em class="replaceable"><code>X</code></em> 0 is voor <acronym class="acronym">LAN</acronym> A en 1 voor <acronym class="acronym">LAN</acronym> B) dat beide netwerken gebruiken voor authenticatie van elkaar. De inhoud van dit bestand moet identiek zijn en alleen de root gebruiker moet in staat zijn dit bestand te lezen of te schrijven.
			</div><pre class="screen">IKE_PSK=r3dh4tl1nux
</pre><div class="important"><h2>Belangrijk</h2><div class="para">
					Om het <code class="filename">keys-ipsec<em class="replaceable"><code>X</code></em></code> bestand te veranderen zodat alleen de root gebruiker dit bestand kan lezen of schrijven, gebruik je het volgende commando na het aanmaken van het bestand:
				</div><pre class="screen">chmod 600 /etc/sysconfig/network-scripts/keys-ipsec1
</pre></div><div class="para">
				Om op een willekeurig moment de authenticatie sleutel te veranderen, bewerk je het <code class="filename">keys-ipsec<em class="replaceable"><code>X</code></em></code> bestand op beide <abbr class="abbrev">IPsec</abbr> routers. <span class="emphasis"><em>Beide sleutels moeten identiek zijn voor een juiste verbinding</em></span>.
			</div><div class="para">
				Het volgende voorbeeld is de inhoud van het <code class="filename">/etc/racoon/racoon.conf</code> configuratie bestand voor de <abbr class="abbrev">IPsec</abbr> verbinding. Merk op dat de <code class="computeroutput">include</code> regel onder in het bestand automatisch gegenereerd wordt en alleen verschijnt als de <abbr class="abbrev">IPsec</abbr> tunnel actief is.
			</div><pre class="screen"># Racoon IKE daemon configuration file.
# See 'man racoon.conf' for a description of the format and entries.
path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

sainfo anonymous
{
        pfs_group 2;
        lifetime time 1 hour ;
        encryption_algorithm 3des, blowfish 448, rijndael ;
        authentication_algorithm hmac_sha1, hmac_md5 ;
        compression_algorithm deflate ;
}
include "/etc/racoon/<em class="replaceable"><code>X.X.X.X</code></em>.conf"
</pre><div class="para">
				Het volgende is de specifieke configuratie voor de verbinding naar het netwerk op afstand. Het gbestand wordt <code class="filename"><em class="replaceable"><code>X.X.X.X</code></em>.conf</code> genoemd (waarin <em class="replaceable"><code>X.X.X.X</code></em> het IP adres is van de <abbr class="abbrev">IPsec</abbr> router op afstand). Merk op dat dit bestand automatisch gegenereerd wordt als de <abbr class="abbrev">IPsec</abbr> tunnel actief is en moet niet direct bewerkt worden.
			</div><pre class="screen">remote <em class="replaceable"><code>X.X.X.X</code></em>{
        exchange_mode aggressive, main;
        my_identifier address;
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group 2 ;
        }
}
</pre><div class="para">
				Voor het opstarten van de <abbr class="abbrev">IPsec</abbr> verbinding, moet IP forwarding aangezet worden in de kernel. Om IP forwarding aan te zetten:
			</div><div class="orderedlist"><ol><li><div class="para">
						Bewerk <code class="filename">/etc/sysctl.conf</code> en zet <code class="computeroutput">net.ipv4.ip_forward</code> op <strong class="userinput"><code>1</code></strong>.
					</div></li><li><div class="para">
						Gebruik het volgende commando om de verandering aan te zetten:
					</div><pre class="screen">[root at myServer ~] # sysctl -p /etc/sysctl.conf
</pre></li></ol></div><div class="para">
				Om de <abbr class="abbrev">IPsec</abbr> verbinding te starten gebruik je het volgende commando op elke router:
			</div><pre class="screen">[root at myServer ~] # /sbin/ifup ipsec0
</pre><div class="para">
				De verbindingen zijn geactiveerd en zowel <acronym class="acronym">LAN</acronym> A als <acronym class="acronym">LAN</acronym> B zijn in staat om met elkaar te communiceren. De routes worden automatisch aangemaakt via het initialisatie script aangeroepen door het uitvoeren van <code class="command">ifup</code> op de <abbr class="abbrev">IPsec</abbr> verbinding. Om een lijst van routes voor het netwerk te zien, gebruik je het volgende commando:
			</div><pre class="screen">[root at myServer ~] # /sbin/ip route list
</pre><div class="para">
				Om de <abbr class="abbrev">IPsec</abbr> verbinding te testen, voer je het <code class="command">tcpdump</code> commando uit op het extern-routable apparaat (eth0 in dit geval) om de netwerkpakketten te zien die verstuurd worden tussen de kosts (of netwerken), en verifieer dat ze versleuteld zijn met IPsec. Bijvoorbeeld, om de <abbr class="abbrev">IPsec</abbr> verbinding van <acronym class="acronym">LAN</acronym> A te controleren, gebruik je het volgende commando:
			</div><pre class="screen">[root at myServer ~] # tcpdump -n -i eth0 host <em class="replaceable"><code>lana.example.com</code></em>
</pre><div class="para">
				Het pakket moet een AH koptekst bevatten en moet getoond worden als ESP pakketten. ESP betekent dat het versleuteld is. Bijvoorbeeld ( back slashes (\) geven het vervolgen van een regel aan):
			</div><pre class="screen">12:24:26.155529 lanb.example.com > lana.example.com: AH(spi=0x021c9834,seq=0x358): \
        lanb.example.com > lana.example.com: ESP(spi=0x00c887ad,seq=0x358) (DF) \
        (ipip-proto-4)
</pre></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html"><strong>Terug</strong>2.7.7. IPsec netwerk-naar-netwerk configuratie</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Starting_and_Stopping_an_IPsec_Connection.html"><strong>Volgende</strong>2.7.8. Het starten en stoppen van een IPsec verbi...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Kerberos-Additional_Resources.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.6.10. Extra hulpbronnen</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Kerberos.html" title="2.6. Kerberos"/><link rel="prev" href="sect-Security_Guide-Kerberos-Setting_Up_Cross_Realm_Authentication.html" title="2.6.9. Cross gebieds authenticatie instellen"/><link rel="next" href="sect-Security_Guide-Additional_Resources-Useful_Kerberos_Websites.html" title="2.6.10.2. Nuttige Kerberos websites"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png"
  alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Setting_Up_Cross_Realm_Authentication.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Additional_Resources-Useful_Kerberos_Websites.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Kerberos-Additional_Resources">2.6.10. Extra hulpbronnen</h3></div></div></div><div class="para">
			Voor meer informatie over Kerberos, refereer je naar de volgende hulpbronnen.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Additional_Resources-Installed_Kerberos_Documentation">2.6.10.1. Geinstalleerde Kerberos documentatie</h4></div></div></div><div class="itemizedlist"><ul><li><div class="para">
						De <em class="citetitle">Kerberos V5 Installation Guide</em> en de <em class="citetitle">Kerberos V5 System Administrator's Guide</em> in PostScript en HTML formaten. Deze kunnen gevonden worden in de <code class="filename">/usr/share/doc/krb5-server-<em class="replaceable"><code><versie-nummer></code></em>/</code> map (waarin <em class="replaceable"><code><versie-nummer></code></em> het versie nummer is van het <code class="command">krb5-server</code> pakket geinstalleerd op je systeem).
					</div></li><li><div class="para">
						De <em class="citetitle">Kerberos V5 UNIX User's Guide</em> in PostScript en HTML formaten. Deze kunnen gevonden worden in de <code class="filename">/usr/share/doc/krb5-workstation-<em class="replaceable"><code><versie-nummer></code></em>/</code> map (waarin <em class="replaceable"><code><versie-nummer></code></em> het versie nummer is van het <code class="command">krb5-workstation</code> pakket geinstalleerd op je systeem).
					</div></li><li><div class="para">
						Kerberos manual pagina's â€” Er zijn een aantal manual . voor de verschillende toepassingen en configuratie bestanden betrokken bij een Kerberos implementatie. Het volgende is een lijst van een paar van de meest interessante maual pagina's
					</div><div class="variablelist"><dl><dt><span class="term">Client toepassingen</span></dt><dd><div class="itemizedlist"><ul><li><div class="para">
											<code class="command">man kerberos</code> â€” Een inleiding voor het Kerberos systeem welke beschrijft hoe legitimaties werken en biedt aanbevelingen voor het verkrijgen en vernietigen van Kerberos kaartjes. Onderin refereert de manual pagina naar een aantal gerelateerde manual pagina's.
										</div></li><li><div class="para">
											<code class="command">man kinit</code> â€” Beschrijf hoe je dit commando kunt gebruiken om een kaartjes-verlenend kaartje kunt verkrijgen en opslaan.
										</div></li><li><div class="para">
											<code class="command">man kdestroy</code> â€” Beschrijft hoe je dit commando kunt gebruiken om Kerberos legitimaties te vernietigen.
										</div></li><li><div class="para">
											<code class="command">man klist</code> â€” Beschrijft hoe je dit commando kunt gebruiken om de opgeslagen Kerberos legitimaties te tonen.
										</div></li></ul></div></dd><dt><span class="term">Beheers toepassingen</span></dt><dd><div class="itemizedlist"><ul><li><div class="para">
											<code class="command">man kadmin</code> â€” Beschrijft hoe je dit commando kunt gebruiken om de Kerberos V5 database te beheren.
										</div></li><li><div class="para">
											<code class="command">man kdb5_util</code> â€” Beschrijft hoe je dit commando kunt gebruiken voor het aanmaken en uitvoeren van beheersfuncties op laag niveau voor de Kerberos V5 database.
										</div></li></ul></div></dd><dt><span class="term">Server toepassingen</span></dt><dd><div class="itemizedlist"><ul><li><div class="para">
											<code class="command">man krb5kdc</code> â€” Beschrijft beschikbare commandoregel opties voor de Kerberos V5 KDC.
										</div></li><li><div class="para">
											<code class="command">man kadmind</code> â€” Beschrijft beschikbare commandoregel opties voor de Kerberos V5 beheersserver.
										</div></li></ul></div></dd><dt><span class="term">Configuratie bestanden</span></dt><dd><div class="itemizedlist"><ul><li><div class="para">
											<code class="command">man krb5.conf</code> â€” Beschrijft het formaat en de opties beschikbaar in het configuratie bestand voor de Kerberos V5 bibliotheek.
										</div></li><li><div class="para">
											<code class="command">man kdc.conf</code> â€” Beschrijft het formaat en de opties beschikbaar in het configuratie bestand voor de Kerberos V5 AS en KDC.
										</div></li></ul></div></dd></dl></div></li></ul></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Setting_Up_Cross_Realm_Authentication.html"><strong>Terug</strong>2.6.9. Cross gebieds authenticatie instellen</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Additional_Resources-Useful_Kerberos_Websites.html"><strong>Volgende</strong>2.6.10.2. Nuttige Kerberos websites</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Client.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.6.6. Het instellen van een Kerberos 5 client</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Kerberos.html" title="2.6. Kerberos"/><link rel="prev" href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Server.html" title="2.6.5. Het instellen van een Kerberos 5 server"/><link rel="next" href="sect-Security_Guide-Kerberos-Domain_to_Realm_Mapping.html" title="2.6.7. Domein naar gebied afbeelding"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right
 .png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Server.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Domain_to_Realm_Mapping.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Client">2.6.6. Het instellen van een Kerberos 5 client</h3></div></div></div><div class="para">
			Het instellen van een Kerberos 5 client is eenvoudiger dan het instellen van de server. Als een minimum installeer je de client pakketten en geef je iedere client een geldig <code class="filename">krb5.conf</code> configuratie bestand. Terwijl <code class="command">ssh</code> en <code class="command">slogin</code> de voorkeurs mthodes zijn om in te loggen op client systemen, zijn kerberized versies van <code class="command">rsh</code> en <code class="command">rlogin</code> nog steeds beschikbaar, hoewel het gebruik hiervan vereist dat nog een aantal extra configuratie veranderingen gemaakt worden.
		</div><div class="procedure"><ol class="1"><li><div class="para">
					Wees er zeker van dat tijdssynchronisatie aanwezig is tussen de Kerberos client en de KDC. Refereer naar <a class="xref" href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Server.html" title="2.6.5. Het instellen van een Kerberos 5 server">ParagraafÂ 2.6.5, â€œHet instellen van een Kerberos 5 serverâ€</a> voor meer informatie. Verifieer bovendien dat DNS correct werkt op de Kerberos client voordat je de Kerberos client programma's instelt.
				</div></li><li><div class="para">
					Installeer de <code class="filename">krb5-libs</code> en <code class="filename">krb5-workstation</code> pakketten op alle client machines. Maak een geldig <code class="filename">/etc/krb5.conf</code> bestand voor iedere client (gewoonlijk kan dit hetzelfde <code class="filename">krb5.conf</code> bestand zijn gebruikt door de KDC).
				</div></li><li><div class="para">
					Voordat een werkstation in het gebied Kerberos kan gebruiken voor authenticatie van gebruikers die verbinden met <code class="command">ssh</code> of kerberized <code class="command">rsh</code> of <code class="command">rlogin</code>, moet het zijn eigen hoofdrolspeler hebben in de Kerberos database. De <code class="command">sshd</code>, <code class="command">kshd</code>, en <code class="command">klogind</code> server programma's hebben allemaal toegang nodig tot de sleutels voor de <span class="emphasis"><em>host</em></span> service van de hoofdrolspeler. Bovendien moet het werkstation, om de kerberized <code class="command">rsh</code> en <code class="command">rlogin</code> services te gebruiken, het <code class="filename">xinetd</code> pakket geinstalleerd hebben.
				</div><div class="para">
					Met gebruik van <code class="command">kadmin</code> voeg je een host hoofdrolspeler toe voor het werkstation op de KDC. De instance is in dit geval de hostnaam van het werkstation. Gebruik de <code class="command">-randkey</code> optie voor het <code class="command">addprinc</code> commando van de <code class="command">kadmin</code> om de hoofdrolspeler aan te maken en ken het een wiilekeurige sleutel toe:
				</div><pre class="screen">addprinc -randkey host/<em class="replaceable"><code>blah.example.com</code></em>
</pre><div class="para">
					Nu de hoofdrolspeler is aangemaakt, kunnen sleutels bepaald worden voor het werkstation door het uitvoeren van <code class="command">kadmin</code> <span class="emphasis"><em>op het workstation zelf</em></span>, en het gebruik van het <code class="command">ktadd</code> commando binnen <code class="command">kadmin</code>:
				</div><pre class="screen">ktadd -k /etc/krb5.keytab host/<em class="replaceable"><code>blah.example.com</code></em>
</pre></li><li><div class="para">
					Om andere kerberized netwerk services re gebruiken, moeten ze eerst gestart worden. Hieronder is een lijst van enkele algemene kerberized services en instructies over het aanzetten:
				</div><div class="itemizedlist"><ul><li><div class="para">
							<code class="command">ssh</code> â€” OpenSSH gebruikt GSS-API voor authenticatie van gebruikers voor servers als de configuratie bestanden van zowel de client als de server beide <code class="option">GSSAPIAuthentication</code> aangezet hebben. Als de client ook <code class="option">GSSAPIDelegateCredentials</code> aangezet heeft, wordt de legitimatie van de gebruiker beschikbaar gemaakt op het systeem op afstand.
						</div></li><li><div class="para">
							<code class="command">rsh</code> en <code class="command">rlogin</code> â€” Om kerberized versies van <code class="command">rsh</code> en <code class="command">rlogin</code> te gebruiken, zet je <code class="command">klogin</code>, <code class="command">eklogin</code>, en <code class="command">kshell</code> aan.
						</div></li><li><div class="para">
							Telnet â€” Om kerberized Telnet te gebruiken, moet <code class="command">krb5-telnet</code> aangezet worden.
						</div></li><li><div class="para">
							FTP â€” Om FTP toegang te geven, bepaal je een sleutel voor de hoofdrolspeler met een root <code class="computeroutput">ftp</code>. Wees er zeker van om de instance in te stellen naar de volledig gekwalificeerde hostnaam van de FTP serverm en zet dan <code class="command">gssftp</code> aan.
						</div></li><li><div class="para">
							IMAP â€” Om een kerberized IMAP server te gebruiken, gebruikt het <code class="filename">cyrus-imap</code> pakket Kerberos 5 als ook het <code class="filename">cyrus-sasl-gssapi</code> pakket geinstalleerd is. Het <code class="filename">cyrus-sasl-gssapi</code> pakket bevat de Cyrus SASL plugins welke GSS-API authenticatie ondersteunen. Cyrus IMAP moet correct werken met Kerberos zo lang de <code class="command">cyrus</code> gebruiker in staat is om de juiste sleutel in <code class="filename">/etc/krb5.keytab</code> te vinden, en de root voor de hoofdrolspeler in ingesteld naar <code class="command">imap</code> (aangemaakt met <code class="command">kadmin</code>).
						</div><div class="para">
							Een alternatief voor <code class="filename">cyrus-imap</code> kan gevonden worden in het <code class="command">dovecot</code> pakket, welke ook toegevoegd is aan Fedora. Dit pakket bevat een IMAP server die, op dit moment GSS-API en Kerberos niet ondersteund.
						</div></li><li><div class="para">
							CVS â€” Om een kerberized CVS server te gebruiken, gebruikt <code class="command">gserver</code> een hoofdrolspeler met een root <code class="computeroutput">cvs</code> en is anders identiek aan de <code class="command">pserver</code>.
						</div></li></ul></div></li></ol></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Server.html"><strong>Terug</strong>2.6.5. Het instellen van een Kerberos 5 server</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Domain_to_Realm_Mapping.html"><strong>Volgende</strong>2.6.7. Domein naar gebied afbeelding</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Server.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.6.5. Het instellen van een Kerberos 5 server</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Kerberos.html" title="2.6. Kerberos"/><link rel="prev" href="sect-Security_Guide-Kerberos-Kerberos_and_PAM.html" title="2.6.4. Kerberos en PAM"/><link rel="next" href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Client.html" title="2.6.6. Het instellen van een Kerberos 5 client"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentat
 ion Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Kerberos_and_PAM.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Client.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Server">2.6.5. Het instellen van een Kerberos 5 server</h3></div></div></div><div class="para">
			Als Kerberos ingesteld wordt, installeer dan de KDC eerst. Als het nodig is om slaaf servers in te stellen, installeer dan de meester eerst.
		</div><div class="para">
			Om de eerste Kerberos KDC in te stellen, volg je deze stappen op:
		</div><div class="procedure"><ol class="1"><li><div class="para">
					Verzeker je ervan dat tijdssynchronisatie en DNS correct werken op alle client en server machines voor het instellen van Kerberos. Geef in het bijzonder aandacht aan de tijdssynchronisatie tussen de Kerberos server en zijn clienten. Als het tijdsverschil tussen de server en zijn clienten groter is dan vijf minuten (dit is instelbaar in Kerberos 5) kunnen Kerberos clienten geen authenticatie krijgen van de server. Deze tijdssynchronisatie is nodig om een aanvaller te beletten om een oud Kerberos kaartje te gebruiken om zich de vermommen als een geldige gebruiker.
				</div><div class="para">
					Het wordt aanbevolen om een Network Time Protocol (NTP) compatibel client/netwerk in te stellen zelfs als Kerberos niet wordt gebruikt. Fedora bevat het <code class="filename">ntp</code> pakket voor dit doel. Refereer naar <code class="filename">/usr/share/doc/ntp-<em class="replaceable"><code><versie-nummer></code></em>/index.html</code> (waarin <em class="replaceable"><code><versie-nummer></code></em> het versie nummer is van het <code class="filename">ntp</code> pakket geinstalleerd op je systeem) voor details over het instellen van Network Time Protocol servers, en <a href="http://www.ntp.org">http://www.ntp.org</a> voor meer informatie over NTP.
				</div></li><li><div class="para">
					Installeer de <code class="filename">krb5-libs</code>, <code class="filename">krb5-server</code>, en <code class="filename">krb5-workstation</code> pakketten op de specifieke computer die de KDC draait. Deze machine moet goed beveiligd zijn â€” indien mogelijk moet het geen andere services draaien dan de KDC.
				</div></li><li><div class="para">
					Bewerk de <code class="filename">/etc/krb5.conf</code> en <code class="filename">/var/kerberos/krb5kdc/kdc.conf</code> configuratie bestanden om de gebiedsnaam en de domein naar gebied afbeelding weer te geven. Een eenvoudig gebied kan gemaakt worden door het vervangen van instantiaties van <em class="replaceable"><code>EXAMPLE.COM</code></em> en <em class="replaceable"><code>example.com</code></em> met de correcte domein naam â€” let er op om de hoofd en kleine letter namen in het juiste formaat te houden â€” en door het veranderen van de KDC van <em class="replaceable"><code>kerberos.example.com</code></em> naar de naam van de Kerberos server. Bij conventie zijn alle gebiedsnamen in hoofsletters en alle DNS hostnamen en domeinnamen in kleine letters. Voor volledige details over het formaat van deze configuratie bestanden, refereer je naar hun respectievelijke manual pagina's.
				</div></li><li><div class="para">
					Maak de database met gebruik van het <code class="command">kdb5_util</code> programma vanaf een shell prompt:
				</div><pre class="screen">/usr/kerberos/sbin/kdb5_util create -s
</pre><div class="para">
					Het <code class="command">create</code> commando maakt de database dat de sleutels voor het Kerberos gebied bewaart. De <code class="command">-s</code> schakelaar forceert het aanmaken van een <em class="firstterm">stash</em> bestand waarin de meester server sleutel bewaard wordt. Als er geen stash bestand aanwezig is om de sleutel van te lezen, vraagt de Kerberos server (<code class="command">krb5kdc</code>) de gebruiker naar het meester server wachtwoord (welek gebruikt kan worden om de sleutel te genereren) iedere keer als het opstart.
				</div></li><li><div class="para">
					Bewerk het <code class="filename">/var/kerberos/krb5kdc/kadm5.acl</code> bestand. Dit bestand wordt gebruikt door <code class="command">kadmind</code> om te bepalen welke hoofrolspelers beheerstoegang hebben tot de Kerberos database en hun niveau van toegang. De meeste organisaties kunnen volstaan met een enkele regel:
				</div><pre class="screen">*/admin at EXAMPLE.COMÂ Â *
</pre><div class="para">
					De meeste gebruikers worden in de database gerepresenteerd door een enkele hoofdrolspeler (met een <span class="emphasis"><em>NULL</em></span>, of lege, instance, zoals <span class="emphasis"><em>joe at EXAMPLE.COM</em></span>). In deze configuratie zijn gebruikers met een tweede hoofdrolspeler met een instance van <span class="emphasis"><em>admin</em></span> (bijvoorbeeld, <span class="emphasis"><em>joe/admin at EXAMPLE.COM</em></span>) in staat om volledige macht over de Kerberos database van het gebied uit te voeren.
				</div><div class="para">
					Nadat <code class="command">kadmind</code> is opgestart op de server, kan elke gebruiker toegang krijgen tot zijn services door het uitvoeren van <code class="command">kadmin</code> op een van de clienten of servers in het gebied. Echter alleen gebruikers opgegeven in het <code class="filename">kadm5.acl</code> bestand kunnen de database op enige manier veranderen, behalve voor het veranderen van hun eigen wachtwoorden.
				</div><div class="note"><h2>Opmerking</h2><div class="para">
						Het <code class="command">kadmin</code> programma communiceert met de <code class="command">kadmind</code> server over het netwerk, en gebruikt Kerberos om authenticatie af te handelen. Als gevolg hiervan moet de eerste hoofdrolspeler al bestaan voordat het met de server kan verbinden over het netwerk om het te beheren. Maak de eerste hoofdrolspeler met het <code class="command">kadmin.local</code> commando, welke specifiek is ontworpen om gebruikt te worden op dezelfde host als de KDC en Kerberos niet gebruikt voor authenticatie.
					</div></div><div class="para">
					Type het volgende <code class="command">kadmin.local</code> commando op de KDC termial om de eerste hoofdrolspeler aan te maken:
				</div><pre class="screen">/usr/kerberos/sbin/kadmin.local -q "addprinc <em class="replaceable"><code>username</code></em>/admin"
</pre></li><li><div class="para">
					Start Kerberos met de volgende commando's:
				</div><pre class="screen">/sbin/service krb5kdc start
/sbin/service kadmin start
/sbin/service krb524 start
</pre></li><li><div class="para">
					Voeg hoofdrolspelers toe voor de gebruikers met het <code class="command">addprinc</code> commando in <code class="command">kadmin</code>. <code class="command">kadmin</code> en <code class="command">kadmin.local</code> zijn commandoregel interfaces voor de KDC. Daarom zijn vele commando's â€” zoals <code class="command">addprinc</code> â€” beschikbaar na het opstarten van het <code class="command">kadmin</code> programma. Refereer naar de <code class="command">kadmin</code> manual pagina voor meer informatie.
				</div></li><li><div class="para">
					Verifieer dat de KDC kaartjes uitgeeft. Voer eerst <code class="command">kinit</code> uit om een kaartje te krijgen en het te bewaren in het legitimatie opslag bestand. Vervolgens gebruik je <code class="command">klist</code> om de lijst van legitimaties in de opslag te zien en gebruik je <code class="command">kdestroy</code> om de opslag en de legitimatie die het bevat te vernietigen.
				</div><div class="note"><h2>Opmerking</h2><div class="para">
						Standaard probeert <code class="command">kinit</code> authenticatie uit te voeren met dezelfde systeem login gebruikersnaam (niet de Kerberos server). Als die gebruikersnaam niet overeenkomt met een hoofdrolspeler in de Kerberos database, geeft <code class="command">kinit</code> een fout boodschap. Als dat gebeurt, geeft je <code class="command">kinit</code> de naam van de juiste hoofdrolspeler mee als argument op de commandoregel (<code class="command">kinit <em class="replaceable"><code><hoofdrolspeler></code></em></code>).
					</div></div></li></ol></div><div class="para">
			Zodra deze stappen klaar zijn, moet de Kerberos server klaar zijn en draaien.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Kerberos_and_PAM.html"><strong>Terug</strong>2.6.4. Kerberos en PAM</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Client.html"><strong>Volgende</strong>2.6.6. Het instellen van een Kerberos 5 client</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Kerberos-Domain_to_Realm_Mapping.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.6.7. Domein naar gebied afbeelding</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Kerberos.html" title="2.6. Kerberos"/><link rel="prev" href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Client.html" title="2.6.6. Het instellen van een Kerberos 5 client"/><link rel="next" href="sect-Security_Guide-Kerberos-Setting_Up_Secondary_KDCs.html" title="2.6.8. Instellen van secundaire KDC's"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" a
 lt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Client.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Setting_Up_Secondary_KDCs.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Kerberos-Domain_to_Realm_Mapping">2.6.7. Domein naar gebied afbeelding</h3></div></div></div><div class="para">
			Als een client probeert om toegang te krijgen tot een service die op een bepaalde server draait, weet het de naam van de service (<span class="emphasis"><em>host</em></span>) en de naam van de server (<span class="emphasis"><em>foo.example.com</em></span>), maar omdat er meer dan een gebieden in je netwerk kunnen zijn, moet het raden naar de naam van het gebied waarin de server zich bevindt.
		</div><div class="para">
			Standaard wordt aangenomen dat de naam van het gebied de DNS naam van de server is in hoofdletters.
		</div><div class="literallayout"><p>foo.example.orgÂ â†’Â EXAMPLE.ORG<br/>
Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â foo.example.comÂ â†’Â EXAMPLE.COM<br/>
Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â foo.hq.example.comÂ â†’Â HQ.EXAMPLE.COM<br/>
</p></div><div class="para">
			In sommige configuraties zal dit voldoende zijn, maar in andere zal de gebiedsnaam die zo afgeleid wordt, de naam van een niet bestaand gebied zijn. In die gevallen moet de afbeelding van de DNS domeinnaam van de server naar de naam van zijn gebied opgegeven worden in de <span class="emphasis"><em>domain_realm</em></span> sectie van het <code class="filename">krb5.conf</code> bestand op het client systeem. Bijvoorbeeld:
		</div><pre class="screen">[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM
</pre><div class="para">
			De bovenstaande instelling geeft twee afbeeldingen op. De eerste afbeelding specificeert dat elk systeem in het "example.com" DNS domein onderdeel is van het <span class="emphasis"><em>EXAMPLE.COM</em></span> gebied. De tweede specificeert dat een systeem met de exacte naam "example.com" ook onderdeel van het gebied is. (Het verschil tussen een domein en een specifieke host wordt aangegeven door de aanwezigheid of ontbreken van de eerste ".".) De afbeelding kan ook direct in DNS opgeslagen worden.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Client.html"><strong>Terug</strong>2.6.6. Het instellen van een Kerberos 5 client</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Setting_Up_Secondary_KDCs.html"><strong>Volgende</strong>2.6.8. Instellen van secundaire KDC's</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Kerberos-How_Kerberos_Works.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.6.3. Hoe werkt Kerberos</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Kerberos.html" title="2.6. Kerberos"/><link rel="prev" href="sect-Security_Guide-Kerberos-Kerberos_Terminology.html" title="2.6.2. Kerberos terminologie"/><link rel="next" href="sect-Security_Guide-Kerberos-Kerberos_and_PAM.html" title="2.6.4. Kerberos en PAM"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="p
 revious"><a accesskey="p" href="sect-Security_Guide-Kerberos-Kerberos_Terminology.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Kerberos_and_PAM.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Kerberos-How_Kerberos_Works">2.6.3. Hoe werkt Kerberos</h3></div></div></div><div class="para">
			Kerberos verschilt van de gebruikersnaam/wachtwoord authenticatie methodes. In plaats van het authenticeren van elke gebruiker voor elke netwerk service, gebruikt Kerberos symmetrische versleuteling en een vertrouwde derde partij (een KDC), om gebruikers te authenticeren voor een aantal netwerk services. Als een gebruiker authenticeert naar de KDC, stuurt de KDC een kaartje specifiek voor die sessie terug naar de machine van de gebruiker, en elke service bewust van Kerberos kijkt naar het kaartje op de machine van de gebruiker in plaats van het vragen aan de gebruiker om authentiek verklaard te worden met gebruik van een wachtwoord.
		</div><div class="para">
			Als een gebruiker op een netwerk dat zich bewust is van Kerberos inlogt op zijn werkstation, wordt zijn hoofdrolspeler opgestuurd naar de KDC als onderdeel van een verzoek voor een TGT van de Authenticatie server. Dit verzoek kan verstuurd worden het login programma zodat het transparant is voor de gebruiker, of het kan verzonden worden door het <code class="command">kinit</code> programma nadat de gebruiker heeft ingelogd.
		</div><div class="para">
			De KDC controleert daarna voor de hoofdrolspeler in zijn database. Als de hoofdrolspeler wordt gevonden, maakt de KDC een TGT, die versleuteld wordt met de sleutel van de gebruiker en teruggestuurd naar die gebruiker.
		</div><div class="para">
			Het login of <code class="command">kinit</code> programma op de client ontsleuteld daarna de TGT met gebruik van de sleutel van de gebruiker, welke berekend wordt van het wachtwoord van de gebruiker. De sleutel van de gebruiker wordt alleen op de client machine gebruikt en wordt <span class="emphasis"><em>niet</em></span> over het netwerk verstuurd.
		</div><div class="para">
			De TGT wordt ingesteld om te verlopen na een zekere tijdsperiode (gewoonlijk tien tot vierentwintig uur) en wordt bewaard in de legitimatie opslag van de client machine. Een verloop tijd wordt ingesteld zodat een in gevaar gebrachte TGT slechts korte tijd door een aanvaller gebruikt kan worden. Nadat de TGT is uitgegeven, hoeft de gebruiker zijn wachtwoord niet meer op te geven totdat de TGT verloopt of totdat de gebruiker uitlogt en opnieuw inlogt.
		</div><div class="para">
			Iedere keer dat een gebruiker toegang nodig heeft tot een netwerk service, gebruikt de client software de TGT om een nieuw kaartje voor die specifieke service aan de TGS. Het service kaartje wordt daarna gebruikt om de gebruiker transparant voor authentiek te verklaren voor die service.
		</div><div class="warning"><h2>Waarschuwing</h2><div class="para">
				Het Kerberos systeem kan in gevaar worden gebracht als een gebruiker op het netwerk authenticieert bij een service die niet bewust is van Kerberos door een wachtwoord in leesbare tekst te versturen. Het gebruik van services niet bewust van Kerberos wordt ten sterkste ontraden. Zulke services zijn Telnet en FTP. Het gebruik van andere versleutelde protocollen, zoals SSH of SSL beveiligde services heeft de voorkeur, maar dit is niet ideaal.
			</div></div><div class="para">
			Dit is slechts een algemeen overzicht over de werking van Kerberos authenticatie. Refereer naar <a class="xref" href="sect-Security_Guide-Kerberos-Additional_Resources.html" title="2.6.10. Extra hulpbronnen">ParagraafÂ 2.6.10, â€œExtra hulpbronnenâ€</a> voor meer detail informatie.
		</div><div class="note"><h2>Opmerking</h2><div class="para">
				Kerberos is afhankelijk van de juiste werking van de volgende netwerk services. 
				<div class="itemizedlist"><ul><li><div class="para">
							Bij benadering tijdssynchronisatie tussen de machines op het netwerk.
						</div><div class="para">
							Een tijdssynchronisatie programma moet ingesteld worden voor het netwerk, zoals <code class="command">ntpd</code>. Refereer naar <code class="filename">/usr/share/doc/ntp-<em class="replaceable"><code><versie-nummer></code></em>/index.html</code> voor meer informatie over het instellen van Network Time Protocol servers (waarin <em class="replaceable"><code><versie-nummer></code></em> het versie nummer is van het <code class="filename">ntp</code> pakket geinstalleerd op je systeem).
						</div></li><li><div class="para">
							Domain Name Service (DNS).
						</div><div class="para">
							Je moet er zeker van zijn dat de DNS regels en hosts in het netwerk juist ingesteld zijn. Refereer naar <em class="citetitle">Kerberos V5 System Administrator's Guide</em> in <code class="filename">/usr/share/doc/krb5-server-<em class="replaceable"><code><versie-nummer></code></em></code> voor meer informatie (waarin <em class="replaceable"><code><versie-nummer></code></em> het versie nummer is van het <code class="filename">krb5-server</code> pakket geinstalleerd op jouw systeem.
						</div></li></ul></div>
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Kerberos_Terminology.html"><strong>Terug</strong>2.6.2. Kerberos terminologie</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Kerberos_and_PAM.html"><strong>Volgende</strong>2.6.4. Kerberos en PAM</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Kerberos-Kerberos_Terminology.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.6.2. Kerberos terminologie</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Kerberos.html" title="2.6. Kerberos"/><link rel="prev" href="sect-Security_Guide-Kerberos.html" title="2.6. Kerberos"/><link rel="next" href="sect-Security_Guide-Kerberos-How_Kerberos_Works.html" title="2.6.3. Hoe werkt Kerberos"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" hr
 ef="sect-Security_Guide-Kerberos.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-How_Kerberos_Works.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Kerberos-Kerberos_Terminology">2.6.2. Kerberos terminologie</h3></div></div></div><div class="para">
			Kerberos heeft zijn eigen terminologie om verschillende aspecten van de service te definiÃ«ren. Voordat je leert hoe Kerberos werkt, is het belangrijk om de volgende vaktermen te leren.
		</div><div class="variablelist"><dl><dt><span class="term">authenticatie server (AS)</span></dt><dd><div class="para">
						Een server die kaartjes uitgeeft voor een gewenste service die op hun beurt gegeven worden aan gebruikers voor toegang tot de service. De AS beantwoordt verzoeken van clienten die geen legitimatie hebben of niet hebben verstuurd met een verzoek. Het wordt gewoonlijk gebruikt om toegang te krijgen tot de kaartjes uitgevende server (TGS) service door het uitgeven van een kaartjes-gerechtigde kaartje (TGT). De AS draait gewoonlijk op dezelfde host als het sleutel verdelings centrum (KDC).
					</div></dd><dt><span class="term">ciphertext</span></dt><dd><div class="para">
						Versleutelde data
					</div></dd><dt><span class="term">client</span></dt><dd><div class="para">
						Een eenheid op het netwerk (een gebruiker, een host, of een toepassing) die een kaarje van Kerberos kan ontvangen.
					</div></dd><dt><span class="term">legitimatiebewijs</span></dt><dd><div class="para">
						Een tijdelijke set van electronische legitimatie die de identiteit van een gebruiker voor een bepaalde service verifieert. Ook een kaartje genoemd.
					</div></dd><dt><span class="term">legitimatie opslag of kaartjes bestand</span></dt><dd><div class="para">
						Een bestand dat de sleutels bevat voor het versleutelen van de communicatie tussen een gebruiker en verscheidene netwerk services. Kerberos 5 ondersteunt een raamwerk voor het gebruik van andere opslag types, zoals gedeeld geheugen, maar bestanden worden meer uitgebreid ondersteund.
					</div></dd><dt><span class="term">crypt hash</span></dt><dd><div class="para">
						Een eenrichtings hash gebruikt om gebruikers te authenticeren. Deze zijn veiliger dan het gebruik van niet-versleutelde data, maar ze zijn relatief eenvoudig te ontsleutelen voor een ervaren cracker.
					</div></dd><dt><span class="term">GSS-API</span></dt><dd><div class="para">
						De Generic Security Service Application Program Interface (gedefinieerd in RFC-2743 uitgegeven door The Internet Engineering Task Force) is een set functies die beveiligings services bieden. Deze API wordt gebruikt door clienten en ervices om elkaar te authenticeren zonder dat een van de programma's specifieke kennis heeft van het onderliggende mechanisme. Als een netwerk service (zoals cyrus-IMAP) GSS-API gebruikt, kan het Kerberos gebruiken voor authenticatie.
					</div></dd><dt><span class="term">hash</span></dt><dd><div class="para">
						Ook bekent als een <em class="firstterm">hash waarde</em>. Een waarde gemaakt door op opgeven van een reeks karakters aan een <em class="firstterm">hash functie</em>. Deze waarden worden gewoonlijk gebruikt om de verzekeren van de verstuurde data niet gemanipuleerd is.
					</div></dd><dt><span class="term">hash functie</span></dt><dd><div class="para">
						Een manier om een digitale "vingerafdruk" van input data te maken. Deze functie, herrangschikken, transponeren of veranderen data op een andere manier om een <em class="firstterm">hash waarde</em> te maken.
					</div></dd><dt><span class="term">sleutel</span></dt><dd><div class="para">
						Data gebruikt om adere date te versleutelen of ontsleutelen. Versleutelde data kan niet ontsleuteld worden zonder de juiste sleutel of met uitzonderlijk goed geluk door de cracker.
					</div></dd><dt><span class="term">sleutel distributie centrum (KDC)</span></dt><dd><div class="para">
						Een service die Kerberos kaartjes uitgeeft, en die gewoonlijk op dezelfde host draait als de kaartjes-verlenende server (TGS)
					</div></dd><dt><span class="term">sleuteltab (of sleutel tabel)</span></dt><dd><div class="para">
						Een bestand dat een niet-versleutelde lijst van hoofdrolspelers en hun sleutels bevat. Servers halen de sleutel die ze nodig hebben van de sleuteltab bestanden in plaats van <code class="command">kinit</code> te gebruiken. Het standaard sleuteltab bestand is <code class="filename">/etc/krb5.keytab</code>. De KDC beheer server, <code class="command">/usr/kerberos/sbin/kadmind</code>, is de enigste service die een ander bestand gebruikt (het gebruikt <code class="filename">/var/kerberos/krb5kdc/kadm5.keytab</code>).
					</div></dd><dt><span class="term">kinit</span></dt><dd><div class="para">
						Het <code class="command">kinit</code> commando laat een hoofdrolspeler die al ingelogd is het initiÃ«le kaartjes-verlenende kaarjte (TGT) verkrijgen en opslaan.
					</div></dd><dt><span class="term">hoofdrolspeler (of hoofdrolspeler naam)</span></dt><dd><div class="para">
						De hoofdrolspeler is de unieke naam van een gebruiker of service die toegestaan is om Kerberos te gebruiken voor authenticatie. Een hoofdrolspeler volgt de vorm <code class="computeroutput">root[/instance]@REALM</code>. Voor een typische gebruiker, is de root gelijk aan hun login ID. De <code class="computeroutput">instance</code> is optioneel. Als de hoofdrolspeler een instance heeft, is het gescheiden van de root met een slash ("/"). Een lege string ("") wordt als een geldige instance beschouwd (welke verschilt van de standaard <code class="computeroutput">NULL</code> instance), maar het gebruiken kan verwarrend zijn. Alle hoofdrolspelers in een gebied hebben hun eigen sleutel, welke voor gebruikers is afgeleid van een wachtwoord of willekeurig is ingesteld voor services.
					</div></dd><dt><span class="term">gebied</span></dt><dd><div class="para">
						Een netwerk dat Kerberos gebruikt, bestaande uit een of meer servers, KDC's genaamd, en een potentieel grote groep clienten.
					</div></dd><dt><span class="term">service</span></dt><dd><div class="para">
						Een programma waarnaar over het netwerk toegang wordt verkregen.
					</div></dd><dt><span class="term">kaartje</span></dt><dd><div class="para">
						Een tijdelijke set van electrische legitimatie die de identiteit van een client voor een bepaalde service verifieert. Ook legitimatiebewijs genaamd.
					</div></dd><dt><span class="term">kaartje-verlenende server (TGS)</span></dt><dd><div class="para">
						Een server die kaartjes uitgeeft voor een gewenste service welke op zijn beurt gebruikers toegang geeft tot de service. De TGS draait gewoonlijk op dezelfde host als de KDC.
					</div></dd><dt><span class="term">kaartjes-verlenende kaartje (TGT)</span></dt><dd><div class="para">
						Een speciaal kaartje dat de client toestaat om extra kaartjes te verkrijgen zonder ze aan te hoeven vragen bij de KDC.
					</div></dd><dt><span class="term">onversleuteld wachtwoord</span></dt><dd><div class="para">
						Een leesbare tekst wachtwoord
					</div></dd></dl></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos.html"><strong>Terug</strong>2.6. Kerberos</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-How_Kerberos_Works.html"><strong>Volgende</strong>2.6.3. Hoe werkt Kerberos</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Kerberos-Kerberos_and_PAM.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.6.4. Kerberos en PAM</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Kerberos.html" title="2.6. Kerberos"/><link rel="prev" href="sect-Security_Guide-Kerberos-How_Kerberos_Works.html" title="2.6.3. Hoe werkt Kerberos"/><link rel="next" href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Server.html" title="2.6.5. Het instellen van een Kerberos 5 server"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p>
 <ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-How_Kerberos_Works.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Server.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Kerberos-Kerberos_and_PAM">2.6.4. Kerberos en PAM</h3></div></div></div><div class="para">
			Services die zich bewust zijn van Kerberos maken op dit moment geen gebruik van Pluggable Authentication Modules (PAM) â€” deze services mijden PAM helemaal. Toepassingen die echter PAM gebruiken kunnen gebruik maken van Kerberos voor authenticatie als de <code class="filename">pam_krb5</code> module (geleverd in het <code class="filename">pam_krb5</code> pakket) geinstalleerd is. Het <code class="filename">pam_krb5</code> pakket bevat voorbeeld configuratie bestanden die services zoals <code class="command">login</code> en <code class="command">gdm</code> toestaan om gebruikers te authenticeren en ook om initiÃ«le legitimatie te verkrijgen met gebruik van hun wachtwoord. Als toegang tot netwerk services altijd wordt uitgevoerd met service die zich bewust zijn van Kerberos of services die GSS-API gebruiken zoals IMAP, kan het netwerk als redelijk veilig beschouwd worden.
		</div><div class="important"><h2>Belangrijk</h2><div class="para">
				Beheerders moet er op letten om gebruikers niet toe te staan om authenticatie uit te voeren voor de meeste netwerk services met gebruik van Kerberos wachtwoorden. Vele protocollen versleutelen hun wachtwoorden niet voordat ze over het netwerk verzonden worden, wat de voordelen van het Kerberos systeem vernietigd. Bijvoorbeeld, gebruikers moeten niet toegestaan worden om authenticatie uit te voeren voor Telnet met hetzelfde wachtwoord dat ze voor Kerberos gebruiken.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-How_Kerberos_Works.html"><strong>Terug</strong>2.6.3. Hoe werkt Kerberos</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Configuring_a_Kerberos_5_Server.html"><strong>Volgende</strong>2.6.5. Het instellen van een Kerberos 5 server</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Kerberos-Setting_Up_Cross_Realm_Authentication.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.6.9. Cross gebieds authenticatie instellen</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Kerberos.html" title="2.6. Kerberos"/><link rel="prev" href="sect-Security_Guide-Kerberos-Setting_Up_Secondary_KDCs.html" title="2.6.8. Instellen van secundaire KDC's"/><link rel="next" href="sect-Security_Guide-Kerberos-Additional_Resources.html" title="2.6.10. Extra hulpbronnen"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/
 ></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Setting_Up_Secondary_KDCs.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Additional_Resources.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Kerberos-Setting_Up_Cross_Realm_Authentication">2.6.9. Cross gebieds authenticatie instellen</h3></div></div></div><div class="para">
			<span class="emphasis"><em>Cross-gebieds authenticatie</em></span> is de term die gebruikt wordt voor het beschrijven van situaties waarin clienten (gewoonlijk gebruikers) van een gebied Kerberos gebruiken voor authenticatie van services (gewoonlijk server processen die draaien op een bepaald server systeem) die behoort tot een ander gebied dan hun eigen.
		</div><div class="para">
			In het eenvoudigste geval, om voor een client in een gebied met de naam <code class="literal">A.EXAMPLE.COM</code> toegaang te krijgen tot een service in het <code class="literal">B.EXAMPLE.COM</code> gebied, moeten beide gebieden een sleutel delen voor een hoofdrolspeler van de naam <code class="literal">krbtgt/B.EXAMPLE.COM at A.EXAMPLE.COM</code>, en beide sleutels moeten hetzelfde sleutel versie nummer ermee verbonden hebben.
		</div><div class="para">
			Om dit te bereiken, kies je een zeer sterk wachtwoord of wachtzin, en je maakt een regel voor de hoofdrolspeler voor beide gebieden met gebruik van kadmin.
		</div><div class="literallayout"><p><code class="computeroutput"><code class="prompt">#</code>Â <strong class="userinput"><code>kadminÂ -rÂ A.EXAMPLE.COM</code></strong></code>Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â <code class="computeroutput"><code class="prompt">kadmin:</code>Â <strong class="userinput"><code>add_principalÂ krbtgt/B.EXAMPLE.COM at A.EXAMPLE.COM</code></strong></code>Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â <code class="computeroutput">EnterÂ passwordÂ forÂ principalÂ "krbtgt/B.EXAMPLE.COM at A.EXAMPLE.COM":</code>Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â <code class="computeroutput">Re-enterÂ passwordÂ forÂ principalÂ "krbtgt/B.EXAMPLE.COM at A.EXAMPLE.COM":</code>Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â <code class="computeroutput">PrincipalÂ "krbtgt/B.EXAMPLE.COM at A.EXAMPLE.COM"Â created.</code>Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â <strong class="userinput"><code>quit</code></strong>Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â <code class="computeroutput"><code class="prompt">#</code>Â <strong class="userinput"><cod
 e>kadminÂ -rÂ B.EXAMPLE.COM</code></strong></code>Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â <code class="computeroutput"><code class="prompt">kadmin:</code>Â <strong class="userinput"><code>add_principalÂ krbtgt/B.EXAMPLE.COM at A.EXAMPLE.COM</code></strong></code>Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â <code class="computeroutput">EnterÂ passwordÂ forÂ principalÂ "krbtgt/B.EXAMPLE.COM at A.EXAMPLE.COM":</code>Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â <code class="computeroutput">Re-enterÂ passwordÂ forÂ principalÂ "krbtgt/B.EXAMPLE.COM at A.EXAMPLE.COM":</code>Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â <code class="computeroutput">PrincipalÂ "krbtgt/B.EXAMPLE.COM at A.EXAMPLE.COM"Â created.</code>Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â <strong class="userinput"><code>quit</code></strong><br/>
</p></div><div class="para">
			Gebruik het <code class="command">get_principal</code> commando om te verifieren dat beide regels overeenkomende sleutel versie nummers (<code class="literal">kvno</code> waarden) en versleuteling types hebben
		</div><div class="important"><h2>Het dumpen van de database werk niet</h2><div class="para">
				Beheerders die bewust zijn van beveiliging proberen misschien de <code class="literal">-randkey</code> optie van het <code class="command">add_principal</code> commando te gebruiken om een willekeurige sleutel toe te kennen in plaats van een wachtwoord, dumpen daarna de nieuwe regel uit de database van het eerste gebied, en importeren het in het tweede. Dit zal niet werken behalve als de meester sleutels voor de gebieds databases identiek zijn, omdat de sleutels in een database dump zelf versleuteld zijn met de meester sleutel.
			</div></div><div class="para">
			Clienten in het <code class="literal">A.EXAMPLE.COM</code> gebied kunnen nu authentificeren voor services in het <code class="literal">B.EXAMPLE.COM</code> gebied. Anders gezegd, het <code class="literal">B.EXAMPLE.COM</code> gebied <span class="emphasis"><em>vertrouwt</em></span> nu het <code class="literal">A.EXAMPLE.COM</code> gebied, of nog eenvoudiger, <code class="literal">B.EXAMPLE.COM</code> <span class="emphasis"><em>vertrouwt</em></span> nu <code class="literal">A.EXAMPLE.COM</code>.
		</div><div class="para">
			Dit brengt ons naar een belangrijk punt: cross-gebieds vertrouwen is standaard in een richting. De KDC voor het <code class="literal">B.EXAMPLE.COM</code> gebied kan de clienten van <code class="literal">A.EXAMPLE.COM</code> vertrouwen voor authenticatie voor services in het <code class="literal">B.EXAMPLE.COM</code> gebied, maar dit heeft geen effect of clienten in het <code class="literal">B.EXAMPLE.COM</code> gebied wel of niet vertrouwd worden voor authenticatie voor services in het <code class="literal">A.EXAMPLE.COM</code> gebied. Om vertrouwen in de andere richting te krijgen, moeten beide gebieden sleutels delen voor de <code class="literal">krbtgt/A.EXAMPLE.COM at B.EXAMPLE.COM</code> service (let op de omgekeerde volgorde van de twee gebieden vergeleken met het vorige voorbeeld).
		</div><div class="para">
			Als directe vertrouwens relaties de enigste methode was voor het aanbieden van vertrouwen tussen gebieden, dan zouden netwerken die meerdere gebieden bevatten erg moeilijk in te stellen zijn. Gelukkig is cross-gebieds vetrouwen transitief. Als clienten van <code class="literal">A.EXAMPLE.COM</code> authenticatie kunnen verkrijgen voor services in <code class="literal">B.EXAMPLE.COM</code>, en clienten van <code class="literal">B.EXAMPLE.COM</code> authenticatie kunnen verkrijgen voor services in<code class="literal">C.EXAMPLE.COM</code>, dan kunnen clienten in <code class="literal">A.EXAMPLE.COM</code> ook authenticatie verkrijgen voor services in <code class="literal">C.EXAMPLE.COM</code>, <span class="emphasis"><em>zelfs als <code class="literal">C.EXAMPLE.COM</code> <code class="literal">A.EXAMPLE.COM</code> niet direct vertrouwt</em></span>. Dit betekent dat op een netwerk met meerdere gebieden die elkaar moeten vertrouwen, het maken van goede keuzes over de op te zett
 en vetrouwens relaties, de hoeveelheid werk aanzienlijk kan reduceren.
		</div><div class="para">
			Nu zit je met de meer conventionele problemen: het systeem van de client moet zodanig ingesteld worden, dat het correct het gebied kan bepalen waartoe een bepaalde service hoort en het moet in staat zijn om te bepalen hoe legitimatie voor services in dat gebied te verkrijgen zijn.
		</div><div class="para">
			Eerste dingen eerst: de naam van de hoofdrolspeler voor een service geboden van af een specifieke server in een gegeven gebied ziet er als volgt uit:
		</div><div class="literallayout"><p>service/server.example.com at EXAMPLE.COM<br/>
</p></div><div class="para">
			In dit voorbeeld is <span class="emphasis"><em>service</em></span> gewoonlijk of de naam van het protocol dat gebruikt wordt (andere veel voorkomende waarden zijn <span class="emphasis"><em>ldap</em></span>, <span class="emphasis"><em>imap</em></span>, <span class="emphasis"><em>cvs</em></span>, en <span class="emphasis"><em>HTTP</em></span>) of <span class="emphasis"><em>host</em></span>, <span class="emphasis"><em>server.example.com</em></span> is de volledig gekwalifiseerde domein naan van het systeem die de service draaut, en <code class="literal">EXAMPLE.COM</code> is de naam van het gebied.
		</div><div class="para">
			Om te bepalen tot welk gebied de service behoort, zullen clienten vaak DNS moeten raadplegen, of de <code class="literal">domain_realm</code> sectie van <code class="filename">/etc/krb5.conf</code> om of een hostnaam (<span class="emphasis"><em>server.example.com</em></span>) of een DNS domein naam (<span class="emphasis"><em>.example.com</em></span>) te koppelen aan de naam van het gebied (<span class="emphasis"><em>EXAMPLE.COM</em></span>).
		</div><div class="para">
			Nadat bepaald is tot welk gebied een service behoort, moet een client bepalen welke set van gebieden het moet benaderen, en in welke volgorde dit moet gebeuren om legitmatie te krijgen om authenticatie te vragen aan de service.
		</div><div class="para">
			Dit kan op twee manieren gedaan worden.
		</div><div class="para">
			De standaard methode, die geen expliciete instelling nodig heeft, is om gebieden namen te geven binnen een gedeelde hierarchie. Als voorbeeld, beschouw gebieden met de namen <code class="literal">A.EXAMPLE.COM</code>, <code class="literal">B.EXAMPLE.COM</code>, en <code class="literal">EXAMPLE.COM</code>. Als een client in het <code class="literal">A.EXAMPLE.COM</code> gebied probeert authenticatie te krijgen voor een service in <code class="literal">B.EXAMPLE.COM</code>, zal het standaard eerst proberen legitimatie voor het <code class="literal">EXAMPLE.COM</code> gebied te krijgen, en deze legitimatie gebruiken om legitimatie te krijgen voor gebruik in het <code class="literal">B.EXAMPLE.COM</code> gebied.
		</div><div class="para">
			De client behandelt de gebiedsnaam in dit scenario zoals men een DNS naam behandelt. Het stript herhaaldelijk onderdelen van zijn eigen gebiedsnaam af om de namen van gebieden tre genereren die "boven" zijn in de hierarchie totdat het een punt bereikt die ook "boven" is voor het gebied van de service. Op dat punt begint het met toevoegen van onderdelen van de gebiedsnaam van de server totdat het gebied van de server bereikt wordt. Elk gebied die in dit proces betrokken is is een nieuwe "hop".
		</div><div class="para">
			Bijvoorbeeld, met gebruik van legitimatie in <code class="literal">A.EXAMPLE.COM</code>, om dan authenticatie te krijgen voor een service in <code class="literal">B.EXAMPLE.COM</code> <code class="literal">A.EXAMPLE.COM â†’ EXAMPLE.COM â†’ B.EXAMPLE.COM </code> <div class="itemizedlist"><ul><li><div class="para">
						<code class="literal">A.EXAMPLE.COM</code> en<code class="literal">EXAMPLE.COM</code> delen een sleutel voor <code class="literal">krbtgt/EXAMPLE.COM at A.EXAMPLE.COM</code>
					</div></li><li><div class="para">
						<code class="literal">EXAMPLE.COM</code> en <code class="literal">B.EXAMPLE.COM</code> delen een sleutel voor <code class="literal">krbtgt/B.EXAMPLE.COM at EXAMPLE.COM</code>
					</div></li></ul></div>
		</div><div class="para">
			Een ander voorbeeld, met gebruik van legitimatie in <code class="literal">SITE1.SALES.EXAMPLE.COM</code>, om dat authenticatie te krijgen voor een service in <code class="literal">EVERYWHERE.EXAMPLE.COM</code> <code class="literal">SITE1.SALES.EXAMPLE.COM â†’ SALES.EXAMPLE.COM â†’ EXAMPLE.COM â†’ EVERYWHERE.EXAMPLE.COM </code> <div class="itemizedlist"><ul><li><div class="para">
						<code class="literal">SITE1.SALES.EXAMPLE.COM</code> en <code class="literal">SALES.EXAMPLE.COM</code> delen een sleutel voor <code class="literal">krbtgt/SALES.EXAMPLE.COM at SITE1.SALES.EXAMPLE.COM</code>
					</div></li><li><div class="para">
						<code class="literal">SALES.EXAMPLE.COM</code> en <code class="literal">EXAMPLE.COM</code> delen een sleutel voor <code class="literal">krbtgt/EXAMPLE.COM at SALES.EXAMPLE.COM</code>
					</div></li><li><div class="para">
						<code class="literal">EXAMPLE.COM</code> rn <code class="literal">EVERYWHERE.EXAMPLE.COM</code> delen een sleutel voor <code class="literal">krbtgt/EVERYWHERE.EXAMPLE.COM at EXAMPLE.COM</code>
					</div></li></ul></div>
		</div><div class="para">
			Een ander voorbeeld, deze keer met gebiedsnamen waarvan de namen geen gemeenschappelijke achtervoegsel hebben (<code class="literal">DEVEL.EXAMPLE.COM</code> en <code class="literal">PROD.EXAMPLE.ORG</code> <code class="literal"> DEVEL.EXAMPLE.COM â†’ EXAMPLE.COM â†’ COM â†’ ORG â†’ EXAMPLE.ORG â†’ PROD.EXAMPLE.ORG </code> <div class="itemizedlist"><ul><li><div class="para">
						<code class="literal">DEVEL.EXAMPLE.COM</code> en <code class="literal">EXAMPLE.COM</code> delen een sleutel voor <code class="literal">krbtgt/EXAMPLE.COM at DEVEL.EXAMPLE.COM</code>
					</div></li><li><div class="para">
						<code class="literal">EXAMPLE.COM</code> en <code class="literal">COM</code> delen een sleutel voor <code class="literal">krbtgt/COM at EXAMPLE.COM</code>
					</div></li><li><div class="para">
						<code class="literal">COM</code> en <code class="literal">ORG</code> delen een sleutel voor <code class="literal">krbtgt/ORG at COM</code>
					</div></li><li><div class="para">
						<code class="literal">ORG</code> en <code class="literal">EXAMPLE.ORG</code> delen een sleutel voor <code class="literal">krbtgt/EXAMPLE.ORG at ORG</code>
					</div></li><li><div class="para">
						<code class="literal">EXAMPLE.ORG</code> en <code class="literal">PROD.EXAMPLE.ORG</code> delen een sleutel voor <code class="literal">krbtgt/PROD.EXAMPLE.ORG at EXAMPLE.ORG</code>
					</div></li></ul></div>
		</div><div class="para">
			De meer ingewikkelde, maar ook meer flexibele, methode bevat het instellen van de <code class="literal">capaths</code> sectie van <code class="filename">/etc/krb5.conf</code>, zodat clienten die legitimatie hebben voor een gebied in staat zijn om op te zoeken welk gebied de volgende is in de keten die zal leiden tot het punt waarop het authenticatie kan aanvragen aan de servers.
		</div><div class="para">
			Het formaat van de <code class="literal">capaths</code> sectie is relatief ongecompliceerd: iedere regel in de sectie wordt genoemd naar een gebied waarin een client kan bestaan. Binnen die subsectie, wordt een lijst gegeven van tussengelegen gebieden waarvan de client legitimatie moet verkrijgen met als waarde de sleutel die overeenkomt met het gebied waarin een service kan bestaan. Als er geen tussenliggende gebieden zijn, wordt de waarde "." gebruikt.
		</div><div class="para">
			Hier is een voorbeeld:
		</div><div class="literallayout"><p>[capaths]<br/>
Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â A.EXAMPLE.COMÂ =Â {<br/>
Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â B.EXAMPLE.COMÂ =Â .<br/>
Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â C.EXAMPLE.COMÂ =Â B.EXAMPLE.COM<br/>
Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â D.EXAMPLE.COMÂ =Â B.EXAMPLE.COM<br/>
Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â D.EXAMPLE.COMÂ =Â C.EXAMPLE.COM<br/>
Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â }<br/>
</p></div><div class="para">
			In dit voorbeeld kunnen clienten in het <code class="literal">A.EXAMPLE.COM</code> gebied cross-gebied legitimatie verkrijgen voor <code class="literal">B.EXAMPLE.COM</code> rechtstreeks van de <code class="literal">A.EXAMPLE.COM</code> KDC.
		</div><div class="para">
			Als die clienten contact willen maken met een service in het <code class="literal">C.EXAMPLE.COM</code> gebied, moeten ze eerst de benodigde legitimaties verkrijgen van het <code class="literal">B.EXAMPLE.COM</code> gebied (dit vereist dat <code class="literal">krbtgt/B.EXAMPLE.COM at A.EXAMPLE.COM</code> bestaat), en dan <code class="literal">die</code> legitimatie gebruiken om legitimaties te verkrijgen voor gebruik in het <code class="literal">C.EXAMPLE.COM</code> gebied (met gebruik van <code class="literal">krbtgt/C.EXAMPLE.COM at B.EXAMPLE.COM</code>).
		</div><div class="para">
			Als die clienten contact willen maken met een service in het <code class="literal">D.EXAMPLE.COM</code> gebied, moeten ze eerst de benodigde legitimatie verkrijgen van het <code class="literal">B.EXAMPLE.COM</code> gebied, en dan legitimaties van het <code class="literal">C.EXAMPLE.COM</code> gebied voordat ze tenslotte legitmaties voor gebruik met het <code class="literal">D.EXAMPLE.COM</code> gebied kunnen krijgen.
		</div><div class="note"><h2>Opmerking</h2><div class="para">
				Zonder een capath regel die anders aangeeft, neemt Kerberos aan dat cross-gebieds vetrouwens relaties een heirarchie vormen.
			</div><div class="para">
				Clienten in het <code class="literal">A.EXAMPLE.COM</code> gebied kunnen rechtstreeks cross-gebieds legitimatie verkrijgen van <code class="literal">B.EXAMPLE.COM</code>. Zonder de "." die dit aangeeft, zou de client anders proberen het hierarchische pad te gebruiken, in dit geval:
			</div><div class="literallayout"><p>A.EXAMPLE.COMÂ â†’Â EXAMPLE.COMÂ â†’Â B.EXAMPLE.COM<br/>
</p></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Setting_Up_Secondary_KDCs.html"><strong>Terug</strong>2.6.8. Instellen van secundaire KDC's</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Additional_Resources.html"><strong>Volgende</strong>2.6.10. Extra hulpbronnen</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Kerberos-Setting_Up_Secondary_KDCs.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.6.8. Instellen van secundaire KDC's</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Kerberos.html" title="2.6. Kerberos"/><link rel="prev" href="sect-Security_Guide-Kerberos-Domain_to_Realm_Mapping.html" title="2.6.7. Domein naar gebied afbeelding"/><link rel="next" href="sect-Security_Guide-Kerberos-Setting_Up_Cross_Realm_Authentication.html" title="2.6.9. Cross gebieds authenticatie instellen"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png"
  alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Domain_to_Realm_Mapping.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Setting_Up_Cross_Realm_Authentication.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Kerberos-Setting_Up_Secondary_KDCs">2.6.8. Instellen van secundaire KDC's</h3></div></div></div><div class="para">
			Om een aantal redenen kun je er voor kiezen om meerdere KDC's te draaien in een bepaald gebied. In dit scenario bewaart een KDC (de <span class="emphasis"><em>meester KDC</em></span>) een schrijfbare kopie van de gebieds database en draait <code class="command">kadmind</code> (het is ook de <span class="emphasis"><em>admin server</em></span> voor jouw gebied), en een of meer KDC's (slaaf KDC's) bewaren alleen-lezen kopieÃ«n van de database en draaien <code class="command">kpropd</code>.
		</div><div class="para">
			De meester-slaaf overdrachtsprocedure houdt in dat de meester KDC zijn database dumpt in een tijdelijk dump bestand en dat bestand dan overbrengt naar iedere slaaf., welke daarna zijn vorig ontvangen alleen-lezen kopieÃ«n van de database overschrijft met de inhoud van het dump bestand.
		</div><div class="para">
			Om een slaaf KDC in te srellen, wees er dan eerst zeker van om de <code class="filename">krb5.conf</code> en <code class="filename">kdc.conf</code> bestanden van de meester KDC te kopiÃ«ren naar de slaaf KDC.
		</div><div class="para">
			Start <code class="command">kadmin.local</code> op in een root shell op de meester KDC en gebruik zijn <code class="command">add_principal</code> commando om een nieuwe regel aan te maken voor de <span class="emphasis"><em>host</em></span> service van de meester KDC, en gebruik daarna zijn <code class="command">ktadd</code> commando om gelijktijdig een willekeurige sleutel voor de service in te stellen en die sleutel op te slaan in het standaard keytab bestand van de meester. Deze sleutel zal door het <code class="command">kprop</code> commando gebruikt worden voor authenticatie naar de slaaf servers. Je hoeft dit maar een keer te doen, onafhankelijk van hoeveel slaaf servers je installeert.
		</div><pre class="screen"><code class="prompt">#</code> <strong class="userinput"><code>kadmin.local -r EXAMPLE.COM</code></strong>

Authenticating as principal root/admin at EXAMPLE.COM with password. 

<code class="prompt">kadmin:</code> <strong class="userinput"><code>add_principal -randkey host/masterkdc.example.com</code></strong> 

Principal "host/host/masterkdc.example.com at EXAMPLE.COM" created. 

<code class="prompt">kadmin:</code> <strong class="userinput"><code>ktadd host/masterkdc.example.com</code></strong> 

Entry for principal host/masterkdc.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5.keytab. 

Entry for principal host/masterkdc.example.com with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5.keytab. 

Entry for principal host/masterkdc.example.com with kvno 3, encryption type DES with HMAC/sha1 added to keytab WRFILE:/etc/krb5.keytab. 

Entry for principal host/masterkdc.example.com with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5.keytab.

<code class="prompt">kadmin:</code> <strong class="userinput"><code>quit</code></strong>
</pre><div class="para">
			Start <code class="command">kadmin</code> op in een root shell op de slaaf KDC en gebruik zijn <code class="command">add_principal</code> commando om een nieuwe regel aan te maken voor de <span class="emphasis"><em>host</em></span> service van de slaaf KDC, en gebruik daarna zijn <code class="command">ktadd</code> commando om gelijktijdig een willekeurige sleutel voor de service in te stellen en die sleutel op te slaan in het standaard keytab bestand van de slaaf. Deze sleutel wordt door de <code class="command">kpropd</code> srviece gebruikt voor authenticatie van clienten.
		</div><pre class="screen"><code class="prompt">#</code> <strong class="userinput"><code>kadmin -p jimbo/admin at EXAMPLE.COM -r EXAMPLE.COM</code></strong>

Authenticating as principal jimbo/admin at EXAMPLE.COM with password. 

<code class="prompt">Password for jimbo/admin at EXAMPLE.COM: </code>

<code class="prompt">kadmin:</code> <strong class="userinput"><code>add_principal -randkey host/slavekdc.example.com</code></strong> 

Principal "host/slavekdc.example.com at EXAMPLE.COM" created. 

<code class="prompt">kadmin:</code> <strong class="userinput"><code>ktadd host/slavekdc.example.com at EXAMPLE.COM</code></strong> 

Entry for principal host/slavekdc.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5.keytab. 

Entry for principal host/slavekdc.example.com with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5.keytab. 

Entry for principal host/slavekdc.example.com with kvno 3, encryption type DES with HMAC/sha1 added to keytab WRFILE:/etc/krb5.keytab. 

Entry for principal host/slavekdc.example.com with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5.keytab. 

<code class="prompt">kadmin:</code> <strong class="userinput"><code>quit</code></strong>
</pre><div class="para">
			Met zijn service sleutel, kan de slaaf KDC elke client authenticeren die er naar verbindt. Het is duidelijk dat het ze niet allemaal toegestaan kan zijn om de <code class="command">kprop</code> service van de slaaf te voorzien met een nieuwe gebiedsdatabase. Om toegang te beperken, zal de <code class="command">kprop</code> service op de slaaf KDC alleen vernieuwingen accepteren van clienten waarvan de hoofdrolspeler namen opgegeven zijn in <code class="filename">/var/kerberos/krb5kdc/kpropd.acl</code>. Voeg de naam van de host service van de master KDC toe aan dat bestand.
		</div><div class="literallayout"><p><code class="computeroutput"><code class="prompt">#</code>Â <strong class="userinput"><code>echoÂ host/masterkdc.example.com at EXAMPLE.COMÂ >Â /var/kerberos/krb5kdc/kpropd.acl</code></strong></code><br/>
</p></div><div class="para">
			Zodra de slaaf KDC een kopie van de database heeft verkregen, zal het ook de meester sleutel nodig hebben die gebruikt is om het te versleutelen. Als de meester sleutel van de database van jouw KDC wordt bewaard in een <span class="emphasis"><em>stash</em></span> bestand op de meester KCD (gewoonlijk met de naam <code class="filename">/var/kerberos/krb5kdc/.k5.REALM</code>), kopieer je het naar de slaaf KDC met een beschikbare veilige methode, of je maakt een dummy database en identiek stash bestand op de slaaf KDC door <code class="command">kdb5_util create -s</code> uit te voeren (de dummy database zal overschreven worden door de eerste succesvolle database overdracht) en hetzelfde wachtwoord op te geven.
		</div><div class="para">
			Verzeker je ervan dat de firewall van de slaaf KDC de meester KDC toestaat om er toegang tot te hebben met gebruik van TCP op poort 754 (<span class="emphasis"><em>krb5_prop</em></span>), en start de <code class="command">kprop</code> service. Controleer daarna opnieuw of de <code class="command">kadmin</code> service <span class="emphasis"><em>uitgezet</em></span> is.
		</div><div class="para">
			Voer nu een handmatige database overdrachts test uit door het dumpen van de gebiedsdatabase, op de meester KDC, naar het standaard data bestand welke het <code class="command">kprop</code> commando zal lezen (<code class="filename">/var/kerberos/krb5kdc/slave_datatrans</code>), en gebruik daarna het <code class="command">kprop</code> commando om zijn inhoud over te brengen naar de slaaf KDC.
		</div><div class="literallayout"><p><code class="computeroutput"><code class="prompt">#</code>Â <strong class="userinput"><code>/usr/kerberos/sbin/kdb5_utilÂ dumpÂ /var/kerberos/krb5kdc/slave_datatrans</code></strong><code class="prompt">#</code>Â <strong class="userinput"><code>kpropÂ slavekdc.example.com</code></strong></code><br/>
</p></div><div class="para">
			Met gebruik van <code class="command">kinit</code> verifieer je dat een client systeem waarvan <code class="filename">krb5.conf</code> alleen de slaaf KDC laat zien in zijn lijst van KDC's voor jouw gebied, nu correct in staat is om initiele legitimatie te verkrijgen van de slaaf KDC.
		</div><div class="para">
			Als dat gebeurd is, maak je een script welke de gebiedsdatabase dumpt en het <code class="command">kprop</code> commando uitvoert om de database naar iedere slaaf KDC over te brengen, en stel de <code class="command">cron</code> service in om het script periodiek uit te voeren.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Kerberos-Domain_to_Realm_Mapping.html"><strong>Terug</strong>2.6.7. Domein naar gebied afbeelding</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Setting_Up_Cross_Realm_Authentication.html"><strong>Volgende</strong>2.6.9. Cross gebieds authenticatie instellen</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Kerberos.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.6. Kerberos</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="chap-Security_Guide-Securing_Your_Network.html" title="Hoofdstuk 2. Je netwerk beveiligen"/><link rel="prev" href="sect-Security_Guide-Additional_Resources-Related_Books.html" title="2.5.5.3. Gerelateerde boeken"/><link rel="next" href="sect-Security_Guide-Kerberos-Kerberos_Terminology.html" title="2.6.2. Kerberos terminologie"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></
 a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Additional_Resources-Related_Books.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Kerberos_Terminology.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Kerberos">2.6. Kerberos</h2></div></div></div><div class="para">
		Systeem beveiliging en integriteit binnen een netwerk kan onhandelbaar zijn. Het kan verschillende beheerders bezighouden om alleen maar in de gaten te houden welke services op een netwerk draaien en hoe deze services gebruikt worden.
	</div><div class="para">
		Verder kan het authenticeren van gebruikers voor netwerk services gevaarlijk blijken als de methode gebruikt in het protocol inherent onveilig is, zoals aangetoond wordt door het versturen van onversleutelde wachtwoorden over een netwerk met FTP en Telent protocollen.
	</div><div class="para">
		Kerberos is een manier om de noodzaak voor protocollen die onveilige authenticatie methodes toestaan te elimineren, en op die manier de netwerk beveiliging verbeteren.
	</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Kerberos-What_is_Kerberos">2.6.1. Wat is Kerberos?</h3></div></div></div><div class="para">
			Kerberos is een netwerk authenticatie protocol gemaakt door MIT, wat symmetrische sleutel cryptografie<sup>[<a id="d0e7520" href="#ftn.d0e7520" class="footnote">14</a>]</sup> gebruikt om gebruikers te authenticeren voor netwerk services, wat betekent dat wachtwoorden nooit echt over het netwerk verstuurd worden.
		</div><div class="para">
			Als gevolg hiervan zullen gebruikers die authenticeren voor netwerk services met gebruik van Kerberos, ongeoorloofde gebruikers die proberen wachtwoorden te verzamelen door het bekijken van het netwerk verkeer effectief dwarsbomen.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-What_is_Kerberos-Advantages_of_Kerberos">2.6.1.1. Voordelen van Kerberos</h4></div></div></div><div class="para">
				De meeste conventionele netwerk services gebruiken een op wachtwoorden gebaseerd authenticatie schema. Zulke schema's vereisen dat een gebruiker zich authentiseert bij een bepaalde service door een gebruikersnaam en wachtwoord op te geven. Helaas gebeurt het versturen van deze authenticatie informatie voor veel services onversleuteld. Om zo'n schema veilig te laten zijn, moet het netwerk ontoegankelijk voor buitenstaanders zijn, en moeten alle computers en gebruikers op het netwerk vertrouwd en betrouwbaar zijn.
			</div><div class="para">
				Zelfs als dit het geval is, kan een netwerk dat verbonden is met het Internet niet langer als veilig verondersteld worden. Elke aanvaller die toegang krijgt tot het netwerk kan een eenvoudig pakket analyse programma, ook bekend als pakket snuffelaar, gebruiken om gebruikersnamen en wachtwoorden te onderscheppen, en gebruikersaccounts en de integriteit van de gehele beveiligings infrastructuur in gevaar brengen.
			</div><div class="para">
				Het belangrijkste ontwerp doel van Kerberos is om het versturen van onversleutelde wachtwoorden over het netwerk te elimineren. Als het juist gebruikt wordt, zal Kerberos de bedreiging, die pakket suffelaars anders op een netwerk zijn, effectief te elimineren.
			</div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-What_is_Kerberos-Disadvantages_of_Kerberos">2.6.1.2. Nadelen van Kerberos</h4></div></div></div><div class="para">
				Hoewel Kerberos een algemene en ernstige beveiligings bedreiging verwijdert, kan het om een aantal redenen moeilijk te implementeren zijn:
			</div><div class="itemizedlist"><ul><li><div class="para">
						Het verhuizen van gebruikers wachtwoorden van een standaard UNIX wachtwoorden database, zoals <code class="filename">/etc/passwd</code> of <code class="filename">/etc/shadow</code>, naar een Kerberos wachtwoord database kan vervelend zijn, omdat er geen geautomatiseerd mechanisme is om deze taak uit te voeren. Refereer naar Vraag 2.23 in de online Kerberos FAQ:
					</div><div class="para">
						<a href="http://www.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html#pwconvert">http://www.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html</a>
					</div></li><li><div class="para">
						Kerberos is slechts gedeeltelijk compatibel met het Pluggable Authentication Modules (PAM) systeem die door de meeste Fedora servers gebruikt wordt. Refereer naar <a class="xref" href="sect-Security_Guide-Kerberos-Kerberos_and_PAM.html" title="2.6.4. Kerberos en PAM">ParagraafÂ 2.6.4, â€œKerberos en PAMâ€</a> voor meer informatie over dit probleem.
					</div></li><li><div class="para">
						Kerberos neemt aan dat elke gebruiker vertrouwd is, maar dat deze een onvertrouwde host op een onvertrouwd netwerk gebruikt. Zijn belangrijkste doel is om te voorkomen dat onversleutelde wachtwoorden over dat netwerk verstuurd worden. Als echter iemand anders dan de werkelijke gebruiker toegang heeft tot de host die kaartjes voor authenticatie uitgeeft â€” het <em class="firstterm">sleutel distributie centrum</em> (<em class="firstterm">KDC</em>) genaamd â€” is het hele Kerberos authenticatie systeem in gevaar.
					</div></li><li><div class="para">
						Om een toepassing Kerberos te laten gebruiken, moet zijn broncode veranderd worden om de juiste aanroepen naar de Kerberos bibliotheken te maken. Toepassingen die op deze manier veranderd zijn worden <em class="firstterm">bewust van Kerberos</em>, of <em class="firstterm">kerberized</em> genoemd. Voor sommige toepassingen kan dit een heel probleem zijn door de grootte van de toepassing of zijn ontwerp. Voor andere niet-compatibele toepassingen moeten veranderingen gemaakt worden in de manier waarop de server en client communiceren. Dit kan nogal wat werk zijn. Gesloten bron toepassingen die standaard geen Kerberos ondersteuning hebben zijn vaak de meest problematische.
					</div></li><li><div class="para">
						Kerberos is een alles of niets oplossing. Als Kerberos op het netwerk gebruikt wordt, is elk onversleuteld wachtwoord verstuurd naar een service die zich niet bewust is van Kerberos een gevaar. Dus het netwerk heeft geen voordeel van het gebruik van Kerberos. Om een netwerk met Kerberos te beveiligen, moet men of zich van Kerberos bewuste versies van <span class="emphasis"><em>alle</em></span> client/server toepassingen die wachtwoorden onverslueteld versturen gebruiken, of <span class="emphasis"><em>geen enkele</em></span> van zulke client/server toepassingen gebruiken.
					</div></li></ul></div></div></div><div class="footnotes"><br/><hr/><div class="footnote"><p><sup>[<a id="ftn.d0e7520" href="#d0e7520" class="para">14</a>] </sup>
				Een systeem waarbij zowel de client als de server een gemeenschappelijke sleutel delen die gebruikt wordt voor het versleutelen en ontsleutelen van netwerk communicatie.
			</p></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Additional_Resources-Related_Books.html"><strong>Terug</strong>2.5.5.3. Gerelateerde boeken</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Kerberos-Kerberos_Terminology.html"><strong>Volgende</strong>2.6.2. Kerberos terminologie</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-LUKS_Disk_Encryption-Links_of_Interest.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.7.5. Interessante verwijzingen</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-LUKS_Disk_Encryption.html" title="3.7. LUKS schijf versleuteling"/><link rel="prev" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-What_you_have_just_accomplished.html" title="3.7.4. Wat heb je zojuist bereikt"/><link rel="next" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html" title="3.8. 7-Zip Encrypted Archives"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><
 img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-What_you_have_just_accomplished.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-LUKS_Disk_Encryption-Links_of_Interest">3.7.5. Interessante verwijzingen</h3></div></div></div><div class="para">
			Voor extra informatie over LUKS of het versleutelen van harde schijven met Fedora bezoek je een van de volgende verwijzingen:
		</div><div class="itemizedlist"><ul><li><div class="para">
					<a href="http://clemens.endorphin.org/LUKS/">LUKS - Linux Unified Key Setup</a>
				</div></li><li><div class="para">
					<a href="https://bugzilla.redhat.com/attachment.cgi?id=161912">HOWTO: Creating an encrypted Physical Volume (PV) using a second hard drive, pvmove, and a Fedora LiveCD</a>
				</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-What_you_have_just_accomplished.html"><strong>Terug</strong>3.7.4. Wat heb je zojuist bereikt</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Encryption-7_Zip_Encrypted_Archives.html"><strong>Volgende</strong>3.8. 7-Zip Encrypted Archives</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-Step_by_Step_Instructions.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.7.3. Stap-voor-stap instructies</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-LUKS_Disk_Encryption.html" title="3.7. LUKS schijf versleuteling"/><link rel="prev" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories.html" title="3.7.2. Handmatig mappen versleutelen"/><link rel="next" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-What_you_have_just_accomplished.html" title="3.7.4. Wat heb je zojuist bereikt"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://
 docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-What_you_have_just_accomplished.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-Step_by_Step_Instructions">3.7.3. Stap-voor-stap instructies</h3></div></div></div><div class="orderedlist"><ol><li><div class="para">
					ga naar runlevel 1: <code class="code">telinit 1</code>
				</div></li><li><div class="para">
					koppel je bestaande /home af: <code class="code"> umount /home</code>
				</div></li><li><div class="para">
					als dat mislukt gebruik je <code class="code">fuser</code> om het proces dat /home gebruikt te vinden en af te schieten: <code class="code">fuser -mvk /home</code>
				</div></li><li><div class="para">
					contyroleer dat /home niet langer aangekoppeld is: <code class="code">cat /proc/mounts | grep home</code>
				</div></li><li><div class="para">
					vul je partitie met willekeurige data: <code class="code">dd if=/dev/urandom of=/dev/VG00/LV_home</code> Dit proces kan vele uren duren.
				</div><div class="important"><h2>Belangrijk</h2><div class="para">
						Het proces is echter belangrijk om een goede bescherming te hebben tegen inbraak pogingen. Laat het gewoon een nacht draaien.
					</div></div></li><li><div class="para">
					initialiseer je partitie: <code class="code">cryptsetup --verbose --verify-passphrase luksFormat /dev/VG00/LV_home</code>
				</div></li><li><div class="para">
					open het nieuw versleutelde apparaat: <code class="code">cryptsetup luksOpen /dev/VG00/LV_home home</code>
				</div></li><li><div class="para">
					controleer of het er is: <code class="code">ls -l /dev/mapper | grep home</code>
				</div></li><li><div class="para">
					maak een bestandssysteem: <code class="code">mkfs.ext3 /dev/mapper/home</code>
				</div></li><li><div class="para">
					koppel het aan: <code class="code">mount /dev/mapper/home /home</code>
				</div></li><li><div class="para">
					controleer of het zichtbaar is: <code class="code">df -h | grep home</code>
				</div></li><li><div class="para">
					voeg het volgende toe aan /etc/crypttab: <code class="code">home /dev/VG00/LV_home none</code>
				</div></li><li><div class="para">
					bewerk je /etc/fstab, verwijder de oude regel voor /home en voeg toe: <code class="code">/dev/mapper/home /home ext3 defaults 1 2</code>
				</div></li><li><div class="para">
					controleer je fstab regel: <code class="code">mount /home</code>
				</div></li><li><div class="para">
					herstel de standaard SELinux beveiligings context: <code class="code">/sbin/restorecon -v -R /home</code>
				</div></li><li><div class="para">
					start opnieuw op: <code class="code">shutdown -r now</code>
				</div></li><li><div class="para">
					de regel in /etc/crypttab laat je computer jouw vragen naar je <code class="code">luks</code> wachtzin tijdens het opstarten
				</div></li><li><div class="para">
					login als root en herstel je backup
				</div></li></ol></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories.html"><strong>Terug</strong>3.7.2. Handmatig mappen versleutelen</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-What_you_have_just_accomplished.html"><strong>Volgende</strong>3.7.4. Wat heb je zojuist bereikt</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-What_you_have_just_accomplished.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.7.4. Wat heb je zojuist bereikt</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-LUKS_Disk_Encryption.html" title="3.7. LUKS schijf versleuteling"/><link rel="prev" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-Step_by_Step_Instructions.html" title="3.7.3. Stap-voor-stap instructies"/><link rel="next" href="sect-Security_Guide-LUKS_Disk_Encryption-Links_of_Interest.html" title="3.7.5. Interessante verwijzingen"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org">
 <img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-Step_by_Step_Instructions.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-LUKS_Disk_Encryption-Links_of_Interest.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-What_you_have_just_accomplished">3.7.4. Wat heb je zojuist bereikt</h3></div></div></div><div class="para">
			Gefeliciteerd, je hebt nu een versleutelde partitie waar al je data veilig kan rusten als de computer uit is.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-Step_by_Step_Instructions.html"><strong>Terug</strong>3.7.3. Stap-voor-stap instructies</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-LUKS_Disk_Encryption-Links_of_Interest.html"><strong>Volgende</strong>3.7.5. Interessante verwijzingen</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.7.2. Handmatig mappen versleutelen</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-LUKS_Disk_Encryption.html" title="3.7. LUKS schijf versleuteling"/><link rel="prev" href="sect-Security_Guide-LUKS_Disk_Encryption.html" title="3.7. LUKS schijf versleuteling"/><link rel="next" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-Step_by_Step_Instructions.html" title="3.7.3. Stap-voor-stap instructies"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_
 Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-LUKS_Disk_Encryption.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-Step_by_Step_Instructions.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories">3.7.2. Handmatig mappen versleutelen</h3></div></div></div><div class="warning"><h2>Waarschuwing</h2><div class="para">
				Het opvolgen van deze procedure zal alle data verwijderen op de partitie die je gaat versleutelen. Je ZULT al je informatie verliezen! Wees er zeker van dat je een backup maakt van je data naar een externe opslag voordat je met deze procedure begint!
			</div></div><div class="para">
			Als je een eerdere versie van Fedora gebruikt dan Fedora 9 en je wilt een partitie versleutelen, of je wilt een partitie versleutelen na de installatie van de huidige versie van Fedora, moet je de volgende instructies gebruiken. Het voorbeeld hieronder laat het versleutelen van je /home partitie zien maar elke partitie kan gebruikt worden.
		</div><div class="para">
			De volgende procedure zal al je bestaande data wegpoetsen, wees er dus zeker van dat je een geteste backup hebt voordat je begint. Dit vereist ook dat je een aparte partitie hebt voor /home (in mijn geval is dat /dev/VG00/LV_home). De volgende stappen moeten gedaan worden als root. Als een van deze stappen mislukt betekent dat je niet verder moet gaan totdat de stap geslaagd is.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-LUKS_Disk_Encryption.html"><strong>Terug</strong>3.7. LUKS schijf versleuteling</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories-Step_by_Step_Instructions.html"><strong>Volgende</strong>3.7.3. Stap-voor-stap instructies</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-LUKS_Disk_Encryption.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>3.7. LUKS schijf versleuteling</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="chap-Security_Guide-Encryption.html" title="Hoofdstuk 3. Versleuteling"/><link rel="prev" href="Security_Guide-Encryption-Data_in_Motion-Secure_Shell.html" title="3.6. Beveiligde shell"/><link rel="next" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories.html" title="3.7.2. Handmatig mappen versleutelen"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Do
 cumentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="Security_Guide-Encryption-Data_in_Motion-Secure_Shell.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-LUKS_Disk_Encryption">3.7. LUKS schijf versleuteling</h2></div></div></div><div class="para">
		Linux Unified Key Setup-on-disk-format (of LUKS) staat je toe om partities op je Linux computer te versleutelen. Dit is in het bijzonder belangrijk voor draagbare computers en verwijderbare media. LUKS staat meerdere gebruikerssleutels toe om een meestersleutel te ontsleutelen die daarna gebruikt wordt voor de bulk ontsleuteling van de partitie.
	</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-LUKS_Disk_Encryption-LUKS_Implementation_in_Fedora">3.7.1. De LUKS implementatie in Fedora</h3></div></div></div><div class="para">
			Fedora 9, en later, gebruikt LUKS om bestandssysteem versleuteling uit te voeren. Standaard is de optie om het bestandssysteem te versleutelen tijdens de installatie niet aangevinkt. Als je deze optie selecteert om je harde schijf te versleutelen, zal je gevraagd worden naar een wachtzin waarnaar iedere keer als je de computer opstart naar gevraagd zal worden. De wachtzin "opent" de bulk sleutel die wordt gebruikt om je partitie te ontsleutelen. Als je ervoor kiest om de standaard partitietabel te veranderen kun je kiezen welke partities je wilt versleutelen. Dit wordt ingesteld in de instelling van partitietabel.
		</div><div class="para">
			De standaard inplementatie van LUKS in Fedora gebruikt AES 128 met een SHA256 hash. De beschikbare codes zijn:
		</div><div class="itemizedlist"><ul><li><div class="para">
					AES - Advanced Encryption Standard - <a href="http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf">FIPS PUB 197</a>
				</div></li><li><div class="para">
					Twofish (A 128-bit Block Cipher)
				</div></li><li><div class="para">
					Serpent
				</div></li><li><div class="para">
					cast5 - <a href="http://www.ietf.org/rfc/rfc2144.txt">RFC 2144</a>
				</div></li><li><div class="para">
					cast6 - <a href="http://www.ietf.org/rfc/rfc2612.txt">RFC 2612</a>
				</div></li></ul></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="Security_Guide-Encryption-Data_in_Motion-Secure_Shell.html"><strong>Terug</strong>3.6. Beveiligde shell</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-LUKS_Disk_Encryption-Manually_Encrypting_Directories.html"><strong>Volgende</strong>3.7.2. Handmatig mappen versleutelen</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Option_Fields-Access_Control.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.2.2.2. Toegangs controle</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-TCP_Wrappers_Configuration_Files-Option_Fields.html" title="2.5.2.2. Optie velden"/><link rel="prev" href="sect-Security_Guide-TCP_Wrappers_Configuration_Files-Option_Fields.html" title="2.5.2.2. Optie velden"/><link rel="next" href="sect-Security_Guide-Option_Fields-Shell_Commands.html" title="2.5.2.2.3. Shell commando's"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png
 " alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-TCP_Wrappers_Configuration_Files-Option_Fields.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Option_Fields-Shell_Commands.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Option_Fields-Access_Control">2.5.2.2.2. Toegangs controle</h5></div></div></div><div class="para">
					Optie velden staan beheerders ook toe om hosts expliciet toe te staan of te verbieden in een enkele regel door het toevoegen van de <code class="option">allow</code> of <code class="option">deny</code> instructie als de laatste optie.
				</div><div class="para">
					Bijvoorbeeld, de volgende twwe regels laten SSH verbindingen toe van <code class="systemitem">client-1.example.com</code>, maar verbieden verbindingen van <code class="systemitem">client-2.example.com</code>:
				</div><pre class="screen">sshd : client-1.example.com : allow
sshd : client-2.example.com : deny
</pre><div class="para">
					Door het toestaan van toegangs contole op per-regel basis, staat het optie veld beheerders toe om alle toegangs regels te verzamelen in een enkel bestand: of <code class="filename">hosts.allow</code> of <code class="filename">hosts.deny</code>. Sommige beheerders vinden dit een eenvoudiger manier voor het organiseren van toegangs regels.
				</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-TCP_Wrappers_Configuration_Files-Option_Fields.html"><strong>Terug</strong>2.5.2.2. Optie velden</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Option_Fields-Shell_Commands.html"><strong>Volgende</strong>2.5.2.2.3. Shell commando's</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Option_Fields-Expansions.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.2.2.4. Uitbreidingen</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-TCP_Wrappers_Configuration_Files-Option_Fields.html" title="2.5.2.2. Optie velden"/><link rel="prev" href="sect-Security_Guide-Option_Fields-Shell_Commands.html" title="2.5.2.2.3. Shell commando's"/><link rel="next" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd.html" title="2.5.3. xinetd"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/>
 </a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Option_Fields-Shell_Commands.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Option_Fields-Expansions">2.5.2.2.4. Uitbreidingen</h5></div></div></div><div class="para">
					Uitbreidingen die tesamen met de <code class="command">spawn</code> en <code class="command">twist</code> instructies gebruikt worden, bieden informatie over de client, server en de betrokken processen.
				</div><div class="para">
					De volgende lijst laat de ondersteunde uitbreidingen zien:
				</div><div class="itemizedlist"><ul><li><div class="para">
							<code class="option">%a</code> â€” Geet het IP adres van de client terug.
						</div></li><li><div class="para">
							<code class="option">%A</code> â€” Geeft het IP adres van de server terug.
						</div></li><li><div class="para">
							<code class="option">%c</code> â€” Geeft verschillende informatie over de client terug, zoals de gebruikersnaam en hostnaam, og de gebruikersnaam en het IP adres.
						</div></li><li><div class="para">
							<code class="option">%d</code> â€” Geeft de daemon proces naam terug.
						</div></li><li><div class="para">
							<code class="option">%h</code> â€” Geeft de hostnaam van de client terug (of IP adres, als de hostnaam niet beschikbaar is).
						</div></li><li><div class="para">
							<code class="option">%H</code> â€” Geeft de hostnaam van de server terug (of IP adres, als de hostnaam niet beschikbaar is).
						</div></li><li><div class="para">
							<code class="option">%n</code> â€” Geeft de kostnaam van de client terug. Als deze niet beschikbaar is, wordt <code class="computeroutput">unknown</code> afgedrukt. Als de hostnaam en het hostadres van de client niet overeenkomen, wordt <code class="computeroutput">paranoid</code> afgedrukt.
						</div></li><li><div class="para">
							<code class="option">%N</code> â€” Geeft de hostnaam van de server terug. Als deze niet beschikbaar is, wordt Als wordt <code class="computeroutput">unknown</code> afgedrukt. Als de hostnaam en het hostadres van de server niet overeenkomen, wordt <code class="computeroutput">paranoid</code> afgedrukt.
						</div></li><li><div class="para">
							<code class="option">%p</code> â€” Geeft het proces ID van de daemon terug.
						</div></li><li><div class="para">
							<code class="option">%s</code> â€” Geeft verscheidene soorten server informatie terug, zoals het daemon proces, en de host of IP adres van de server.
						</div></li><li><div class="para">
							<code class="option">%u</code> â€” Geeft de gebruikersnaam van de client terug. Als deze niet beschikbaar is, wordt <code class="computeroutput">unknown</code> afgedrukt.
						</div></li></ul></div><div class="para">
					De volgende voorbeeld regel gebruikt een uitbreiding tesamen met het <code class="command">spawn</code> commando om de client host te identificeren in een speciaal log bestand.
				</div><div class="para">
					Als verbindingen naar de SSH daemon (<code class="systemitem">sshd</code>) worden geprobeerd vanaf een host in het <code class="systemitem">example.com</code> domein, wordt het <code class="command">echo</code> commando uitgevoerd om de poging te loggen, inclusief de hostnaam van de client (door de <code class="option">%h</code> uitbreiding te gebruiken) naar een speciaal bestand:
				</div><pre class="screen">sshd : .example.com  \
        : spawn /bin/echo `/bin/date` access denied to %h>>/var/log/sshd.log \
        : deny
</pre><div class="para">
					Vergelijkbaar kunnen uitbreidingen gebruikt worden om boodschappen naar de client persoonlijk te maken. In het volgende voorbeeld, worden clienten die proberen toegang te krijgen tot FTP services vanaf het <code class="systemitem">example.com</code> domein verteld dat ze verbannen zijn van de server:
				</div><pre class="screen">vsftpd : .example.com \
: twist /bin/echo "421 %h has been banned from this server!"
</pre><div class="para">
					Voor een volledige uitleg over de beschikbare uitbreidingen, en extra toegangs controle opties, refereer je naar sectie 5 van de manual pagina's voor <code class="filename">hosts_access</code> (<code class="command">man 5 hosts_access</code>) en de manual pagina voor <code class="filename">hosts_options</code>.
				</div><div class="para">
					Refereer naar <a class="xref" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-Additional_Resources.html" title="2.5.5. Extra hulpbronnen">ParagraafÂ 2.5.5, â€œExtra hulpbronnenâ€</a> voor meer informatie over TCP wrappers.
				</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Option_Fields-Shell_Commands.html"><strong>Terug</strong>2.5.2.2.3. Shell commando's</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd.html"><strong>Volgende</strong>2.5.3. xinetd</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Option_Fields-Shell_Commands.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.2.2.3. Shell commando's</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-TCP_Wrappers_Configuration_Files-Option_Fields.html" title="2.5.2.2. Optie velden"/><link rel="prev" href="sect-Security_Guide-Option_Fields-Access_Control.html" title="2.5.2.2.2. Toegangs controle"/><link rel="next" href="sect-Security_Guide-Option_Fields-Expansions.html" title="2.5.2.2.4. Uitbreidingen"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentatio
 n Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Option_Fields-Access_Control.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Option_Fields-Expansions.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Option_Fields-Shell_Commands">2.5.2.2.3. Shell commando's</h5></div></div></div><div class="para">
					Optie velden staan toegangs regels toe om shell comaando's op te starten met behulp van de volgende twee instructies:
				</div><div class="itemizedlist"><ul><li><div class="para">
							<code class="command">spawn</code> â€” Start een shell commando op als een child proces. Deze instructie kan taken uitvoeren zoals het gebruiken van <code class="command">/usr/sbin/safe_finger</code> om meer informatie te krijgen over de client die een verbinding vraagt of het maken van speciale log bestanden met gebruik van het <code class="command">echo</code> commando.
						</div><div class="para">
							In het volgende voorbeeld worden clienten die proberen toegang te krijgen tot de Telnet services vanaf het <code class="systemitem">example.com</code> domein stilletjes gelogd naar een speciaal bestand:
						</div><pre class="screen">in.telnetd : .example.com \
        : spawn /bin/echo `/bin/date` from %h>>/var/log/telnet.log \
        : allow
</pre></li><li><div class="para">
							<code class="command">twist</code> â€” Vervangt de gevraagde service met het opgegeven commando. Deze instructie wordt vaak gebruikt om vallen op te zetten voor indringers (ook "honing pot" genoemd). Het kan ook gebruikt worden om boodschappen naar de verbindende client te sturen. De <code class="command">twist</code> instructie moet aan het einde van de regel lijn gebruikt worden.
						</div><div class="para">
							In het volgende voorbeeld, krijgen clienten die proberen toegang te krijgen naar FTP services vanaf het <code class="systemitem">example.com</code> domein een boodschap met gebruik van het <code class="command">echo</code> commando:
						</div><pre class="screen">vsftpd : .example.com \
        : twist /bin/echo "421 This domain has been black-listed. Access denied!"
</pre></li></ul></div><div class="para">
					Voor meer informatie over shell commando opties, refereer je naar de <code class="filename">hosts_options</code> manual pagina.
				</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Option_Fields-Access_Control.html"><strong>Terug</strong>2.5.2.2.2. Toegangs controle</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Option_Fields-Expansions.html"><strong>Volgende</strong>2.5.2.2.4. Uitbreidingen</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-PAM_Configuration_File_Format-Control_Flag.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.4.3.2. Controle vlag</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format.html" title="2.4.3. PAM configuratie bestand formaat"/><link rel="prev" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format.html" title="2.4.3. PAM configuratie bestand formaat"/><link rel="next" href="sect-Security_Guide-PAM_Configuration_File_Format-Module_Name.html" title="2.4.3.3. Module naam"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="ht
 tp://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-PAM_Configuration_File_Format-Module_Name.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-PAM_Configuration_File_Format-Control_Flag">2.4.3.2. Controle vlag</h4></div></div></div><div class="para">
				Alle PAM modules genereren een succes of een faal resultaat als ze aangeroepen worden. Controle vlaggen vertellen PAM wat met dit resultaat te doen. Modules kunnen op een bepaalde manier gestapeld worden, en de controle vlaggen bepalen hoe belangrijk het succes of falen van een bepaalde module is voor het totale doel voor de authenticatie van de gebruiker voor de service.
			</div><div class="para">
				Er zijn vier voorgedefinieerde controle vlaggen:
			</div><div class="itemizedlist"><ul><li><div class="para">
						<code class="command">required</code> â€” Het resultaat van de module moet succes zijn om de authenticatie te vervolgen. Als de test op dit punt faalt, wordt dit pas bericht aan de gebruiker totdat de rsultaten van alle module testen die naar die interface refereren compleet. zijn.
					</div></li><li><div class="para">
						<code class="command">requisite</code> â€” Het module resultaat moet succes zijn om de authenticatie te vervolgen. Als de test echter faalt op dit punt, wordt de gebruiker hiervan op de hoogte gebracht met een boodschap welke de eerste gefaalde <code class="command">required</code> <span class="emphasis"><em>of</em></span> <code class="command">requisite</code> module test aangeeft.
					</div></li><li><div class="para">
						<code class="command">sufficient</code> â€” Het module resultaat wordt genegeerd als het faalt. Als echter het resultaat van een module met de vlag <code class="command">sufficient</code> succes is <span class="emphasis"><em>en</em></span> er hebben geen voorgaande modules met de vlag <code class="command">required</code> gefaald, dan zijn er geen andere resultaten nodig en krijgt de gebruiker authenticatie voor de service.
					</div></li><li><div class="para">
						<code class="command">optional</code> â€” Het module resultaat wordt genegeerd. Een module met de vlag <code class="command">optional</code> wordt alleen nodig voor succescolle authenticatie als geen andere module naar de interface refereert.
					</div></li></ul></div><div class="important"><h2>Belangrijk</h2><div class="para">
					De volgorde waarin <code class="command">required</code> modules worden aangeroepen is niet kritisch. Alleen de <code class="command">sufficient</code> en <code class="command">requisite</code> controle vlaggen maken dat de volgorde belangrijk wordt.
				</div></div><div class="para">
				Een nieuwere controle vlag syntax die een meer nauwkeurige controle toestaat is nu beschikbaar voor PAM
			</div><div class="para">
				De <code class="command">pam.d</code> manual pagina en de PAM documentatie, welke zich bevindt in de <code class="filename">/usr/share/doc/pam-<em class="replaceable"><code><versie-nummer></code></em>/</code> map, waarin <em class="replaceable"><code><versie-nummer></code></em> het versie nummer van PAM op jouw systeem is, beschrijft deze nieuwere syntax in detail.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format.html"><strong>Terug</strong>2.4.3. PAM configuratie bestand formaat</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-PAM_Configuration_File_Format-Module_Name.html"><strong>Volgende</strong>2.4.3.3. Module naam</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-PAM_Configuration_File_Format-Module_Arguments.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.4.3.4. Module argementen</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format.html" title="2.4.3. PAM configuratie bestand formaat"/><link rel="prev" href="sect-Security_Guide-PAM_Configuration_File_Format-Module_Name.html" title="2.4.3.3. Module naam"/><link rel="next" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Sample_PAM_Configuration_Files.html" title="2.4.4. Voorbeeld PAM configuratie bestanden"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right"
  href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-PAM_Configuration_File_Format-Module_Name.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Sample_PAM_Configuration_Files.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-PAM_Configuration_File_Format-Module_Arguments">2.4.3.4. Module argementen</h4></div></div></div><div class="para">
				PAM gebruikt <em class="firstterm">argumenten</em> om voor sommige modules informatie door te geven aan een inplugbare module tijdens de authenticatie
			</div><div class="para">
				Bijvoorbeeld, de <code class="filename">pam_userdb.so</code> module gebruikt informatie die bewaard wordt in een Berkeley DB bestand voor authenticatie van de gebruiker. Berkeley DB is is een open bron database systeem ingebouwd in vele toepassingen. De module neemt een <code class="filename">db</code> argument zodat Berkeley DB weet welke database gebruikt moet worden voor de gevraagde service.
			</div><div class="para">
				Het volgende is een typische <code class="filename">pam_userdb.so</code> regel in een PAM configuratie. De <em class="replaceable"><code><pad-naar-bestand></code></em> is het volledige pad naar het Berkeley DB database bestand:
			</div><pre class="screen">auth        required        pam_userdb.so db=<em class="replaceable"><code><pad-naar-bestand></code></em>
</pre><div class="para">
				Ongeldige argumenten worden <span class="emphasis"><em>in het algemeen</em></span> genegeerd en beinvloeden het succes of falen van een PAM module niet. Sommige modules, echter, kunnen falen op ongeldige argumenten. De meeste modules rapporteren fouten in het <code class="filename">/var/log/secure</code> bestand.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-PAM_Configuration_File_Format-Module_Name.html"><strong>Terug</strong>2.4.3.3. Module naam</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Sample_PAM_Configuration_Files.html"><strong>Volgende</strong>2.4.4. Voorbeeld PAM configuratie bestanden</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-PAM_Configuration_File_Format-Module_Name.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.4.3.3. Module naam</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format.html" title="2.4.3. PAM configuratie bestand formaat"/><link rel="prev" href="sect-Security_Guide-PAM_Configuration_File_Format-Control_Flag.html" title="2.4.3.2. Controle vlag"/><link rel="next" href="sect-Security_Guide-PAM_Configuration_File_Format-Module_Arguments.html" title="2.4.3.4. Module argementen"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><im
 g src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-PAM_Configuration_File_Format-Control_Flag.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-PAM_Configuration_File_Format-Module_Arguments.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-PAM_Configuration_File_Format-Module_Name">2.4.3.3. Module naam</h4></div></div></div><div class="para">
				De module naam geeft PAM de naam van de inplugbare module die de opgegeven module interface bevat. In oudere versies van Fedora werd het volledige pad naar de module opgegeven in het PAM configuratie bestand. Echter sinds de komst van <em class="firstterm">multilib</em> systemen, die 64-bit PAM modules in de <code class="filename">/lib64/security/</code> map bewaren, wordt de map naam weggelaten omdat de toepassing gekoppeld is aan de juiste versie van <code class="filename">libpam</code>, welke de locatie van de juiste versie van de module kan bepalen.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-PAM_Configuration_File_Format-Control_Flag.html"><strong>Terug</strong>2.4.3.2. Controle vlag</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-PAM_Configuration_File_Format-Module_Arguments.html"><strong>Volgende</strong>2.4.3.4. Module argementen</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-PAM_and_Administrative_Credential_Caching-Common_pam_timestamp_Directives.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.4.6.2. Algemene pam_timestamp instructies</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Administrative_Credential_Caching.html" title="2.4.6. PAM en administratieve legitimatie opslag"/><link rel="prev" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Administrative_Credential_Caching.html" title="2.4.6. PAM en administratieve legitimatie opslag"/><link rel="next" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Device_Ownership.html" title="2.4.7. PAM en apparaat eigendom"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><im
 g src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Administrative_Credential_Caching.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Device_Ownership.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-PAM_and_Administrative_Credential_Caching-Common_pam_timestamp_Directives">2.4.6.2. Algemene pam_timestamp instructies</h4></div></div></div><div class="para">
				De <code class="filename">pam_timestamp.so</code> module accepteert verscheidene instructies. De volgende zijn de twee meest gebruikte optios:
			</div><div class="itemizedlist"><ul><li><div class="para">
						<code class="command">timestamp_timeout</code> â€” Specificeert de periode (in seconden) waarvoor het tijdsstempel geldig is. De standaard waarde is 300 (vijf minuten).
					</div></li><li><div class="para">
						<code class="command">timestampdir</code> â€” Specificeert de map waarin het tidsstempel bestand bewaard wordt. De standaard waarde is <code class="command">/var/run/sudo/</code>.
					</div></li></ul></div><div class="para">
				Refereer naar <a class="xref" href="sect-Security_Guide-Firewalls-Additional_Resources.html#sect-Security_Guide-Additional_Resources-Installed_Firewall_Documentation" title="2.8.9.1. Geinstalleerde firewall documentatie">ParagraafÂ 2.8.9.1, â€œGeinstalleerde firewall documentatieâ€</a> voor meer informatie over het controleren van de <code class="filename">pam_timestamp.so</code> module.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Administrative_Credential_Caching.html"><strong>Terug</strong>2.4.6. PAM en administratieve legitimatie opslag</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Device_Ownership.html"><strong>Volgende</strong>2.4.7. PAM en apparaat eigendom</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-PAM_and_Device_Ownership-Application_Access.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.4.7.2. Toepassing toegang</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Device_Ownership.html" title="2.4.7. PAM en apparaat eigendom"/><link rel="prev" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Device_Ownership.html" title="2.4.7. PAM en apparaat eigendom"/><link rel="next" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Additional_Resources.html" title="2.4.8. Extra hulpbronnen"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="htt
 p://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Device_Ownership.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Additional_Resources.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-PAM_and_Device_Ownership-Application_Access">2.4.7.2. Toepassing toegang</h4></div></div></div><div class="para">
				De console gebruiker heeft ook toegang tot bepaalde programma's ingesteld voor gebruik in de <code class="filename">/etc/security/console.apps/</code> map.
			</div><div class="para">
				Deze map bevat configuratie bestanden die de console gebruiker toestaan om bepaalde toepassingen in <code class="filename">/sbin</code> en <code class="filename">/usr/sbin</code> uit te voeren.
			</div><div class="para">
				Deze configuratie bestanden hebben dezelfde naam als de toepassingen die ze instellen.
			</div><div class="para">
				Een belangrijke groep van toepassingen waarnaar de console gebruiker toegang heeft zijn drie programma's die het systeem uitzetten of opnieuw opstarten.
			</div><div class="itemizedlist"><ul><li><div class="para">
						<code class="command">/sbin/halt</code>
					</div></li><li><div class="para">
						<code class="command">/sbin/reboot</code>
					</div></li><li><div class="para">
						<code class="command">/sbin/poweroff</code>
					</div></li></ul></div><div class="para">
				Omdat dit toepassingen zijn die bewust zijn van PAM, roepen zij de <code class="filename">pam_console.so</code> module aan als een vereiste voor gebruik.
			</div><div class="para">
				Refereer naar <a class="xref" href="sect-Security_Guide-Firewalls-Additional_Resources.html#sect-Security_Guide-Additional_Resources-Installed_Firewall_Documentation" title="2.8.9.1. Geinstalleerde firewall documentatie">ParagraafÂ 2.8.9.1, â€œGeinstalleerde firewall documentatieâ€</a> voor meer informatie
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Device_Ownership.html"><strong>Terug</strong>2.4.7. PAM en apparaat eigendom</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Additional_Resources.html"><strong>Volgende</strong>2.4.8. Extra hulpbronnen</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Additional_Resources.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.4.8. Extra hulpbronnen</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html" title="2.4. Pluggable Authentication Modules (PAM)"/><link rel="prev" href="sect-Security_Guide-PAM_and_Device_Ownership-Application_Access.html" title="2.4.7.2. Toepassing toegang"/><link rel="next" href="sect-Security_Guide-Additional_Resources-Useful_PAM_Websites.html" title="2.4.8.2. Nuttige PAM websites"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Conte
 nt/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-PAM_and_Device_Ownership-Application_Access.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Additional_Resources-Useful_PAM_Websites.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Additional_Resources">2.4.8. Extra hulpbronnen</h3></div></div></div><div class="para">
			De volgende hulpbronnen leggen meer methodes uit voor het gebruik en instellen van PAM. Naast deze hulpbronnen, lees je ook de PAM configuratie bestanden op het systeem om beter te begrijpen hoe ze opgebouwd zijn.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Additional_Resources-Installed_PAM_Documentation">2.4.8.1. Geinstalleerde PAM documentatie</h4></div></div></div><div class="itemizedlist"><ul><li><div class="para">
						Aan PAM gerelateerde manual pagina's â€” Verscheidene manual pagina's bestaan voor verschillende toepassingen en configuratie bestanden betrokken bij PAM. De volgende lijst laat een aantal van de meer belangrijke manual pagina's zien.
					</div><div class="variablelist"><dl><dt><span class="term">Configuratie bestanden</span></dt><dd><div class="itemizedlist"><ul><li><div class="para">
											<code class="command">pam</code> â€” Goede inleidings informatie over PAM, inclusief de structuur en doel van de PAM configuratie bestanden.
										</div><div class="para">
											Merk op dat deze manual pagina zowel <code class="filename">/etc/pam.conf</code> als individuele configuratie bestanden in de <code class="filename">/etc/pam.d/</code> map bespreekt. Standaard gebruikt Fedora de individuele configuratie bestanden in de <code class="filename">/etc/pam.d/</code> map en negeert <code class="filename">/etc/pam.conf</code> zelfs als deze bestaat.
										</div></li><li><div class="para">
											<code class="command">pam_console</code> â€” Beschrijft het doel van de <code class="filename">pam_console.so</code> module. Het beschrijft ook de juiste syntax voor een regel in een PAM configuratie bestand.
										</div></li><li><div class="para">
											<code class="command">console.apps</code> â€” Beschrijft het formaat en de opties beschikbaar in het <code class="filename">/etc/security/console.apps</code> configuratie bestand, welke definieert welke toepassingen toege kend door PAM toegankelijk zijn voor de console gebruiker.
										</div></li><li><div class="para">
											<code class="command">console.perms</code> â€” Beschrijft het formaat en de opties beschikbaar in het <code class="filename">/etc/security/console.perms</code> configuratie bestand, welke permissies toegekend door PAM aan de console gebruiker beschrijft.
										</div></li><li><div class="para">
											<code class="command">pam_timestamp</code> â€” Beschrijft de <code class="filename">pam_timestamp.so</code> module.
										</div></li></ul></div></dd></dl></div></li><li><div class="para">
						<code class="filename">/usr/share/doc/pam-<em class="replaceable"><code><versie-nummer></code></em></code> â€” Bevat een <em class="citetitle">System Administrators' Guide</em>, een <em class="citetitle">Module Writers' Manual</em>, en de <em class="citetitle">Application Developers' Manual</em>, en ook een kopie van de PAM standaard, DCE-RFC 86.0, waarin <em class="replaceable"><code><versie-nummer></code></em> het versie nummer van PAM is.
					</div></li><li><div class="para">
						<code class="filename">/usr/share/doc/pam-<em class="replaceable"><code><versie-nummer></code></em>/txts/README.pam_timestamp</code> â€” Bevat informatie over de <code class="filename">pam_timestamp.so</code> PAM module, waarin <em class="replaceable"><code><versie-nummer></code></em> het versie nummer van PAM is.
					</div></li></ul></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-PAM_and_Device_Ownership-Application_Access.html"><strong>Terug</strong>2.4.7.2. Toepassing toegang</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Additional_Resources-Useful_PAM_Websites.html"><strong>Volgende</strong>2.4.8.2. Nuttige PAM websites</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Creating_PAM_Modules.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.4.5. PAM modules aanmaken</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html" title="2.4. Pluggable Authentication Modules (PAM)"/><link rel="prev" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Sample_PAM_Configuration_Files.html" title="2.4.4. Voorbeeld PAM configuratie bestanden"/><link rel="next" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Administrative_Credential_Caching.html" title="2.4.6. PAM en administratieve legitimatie opslag"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" 
 alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Sample_PAM_Configuration_Files.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Administrative_Credential_Caching.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Creating_PAM_Modules">2.4.5. PAM modules aanmaken</h3></div></div></div><div class="para">
			Je kunt ten alle tijde nieuwe PAM modules aanmaken of toevoegen voor het gebruik door toepassingen die zich bewust zijn van PAM.
		</div><div class="para">
			Bijvoorbeeld, een ontwikkelaar kan een eenmalige-wachtwoord aanmaak methode maken en een PAM module schrijven om het te ondersteunen. Programma's die zich bewust zijn van PAM kunnen deze nieuwe module en wachtwoord methode onmiddelijk gebruiken zonder dat het opnieuw gecompileerd moet worden of anderszins veranderd.
		</div><div class="para">
			Dit staat ontwikkelaars en systeembeheerders toe om authenticatie methodes voor verschillende programma's te mix-and-matchen, en ook te testen, zonder opnieuw te compileren.
		</div><div class="para">
			Documentatie over het schrijven van modules is toegevoegd aan de <code class="filename">/usr/share/doc/pam-<em class="replaceable"><code><versie-numner></code></em>/</code> map, waarin <em class="replaceable"><code><versie-nummer></code></em> het versie nummer van PAM op je systeem is.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Sample_PAM_Configuration_Files.html"><strong>Terug</strong>2.4.4. Voorbeeld PAM configuratie bestanden</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Administrative_Credential_Caching.html"><strong>Volgende</strong>2.4.6. PAM en administratieve legitimatie opslag</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.4.3. PAM configuratie bestand formaat</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html" title="2.4. Pluggable Authentication Modules (PAM)"/><link rel="prev" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_Files.html" title="2.4.2. PAM configuratie bestanden"/><link rel="next" href="sect-Security_Guide-PAM_Configuration_File_Format-Control_Flag.html" title="2.4.3.2. Controle vlag"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedorapr
 oject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_Files.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-PAM_Configuration_File_Format-Control_Flag.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format">2.4.3. PAM configuratie bestand formaat</h3></div></div></div><div class="para">
			Elk PAM configuratie bestand bevat een groep van instructies die als volgt geformatteerd zijn:
		</div><pre class="screen"><em class="replaceable"><code><module interface></code></em>  <em class="replaceable"><code><controle vlag></code></em>   <em class="replaceable"><code><module naam></code></em>   <em class="replaceable"><code><module argumenten></code></em>
</pre><div class="para">
			Ieder van dezel onderdelen worden in de volgende paragrafen uitgelegd.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-PAM_Configuration_File_Format-Module_Interface">2.4.3.1. Module interface</h4></div></div></div><div class="para">
				Op dit moment zijn er vier types PAM module interfaces beschikbaar. Elke van deze komt overeen met een verschillend aspect van het authenticatie proces:
			</div><div class="itemizedlist"><ul><li><div class="para">
						<code class="command">auth</code> â€” Deze module geeft authenticatie voor gebruik. Bijvoorbeeld, het verzoekt en verifieert de geldigheid van een wachtwoord. Modules met deze interface kunnen ook legitimatie instellen, zoals lidmaatschap van een groep of Kerberos kaartjes.
					</div></li><li><div class="para">
						<code class="command">account</code> â€” Deze module interface verifieert of toegang is toegestaan. Bijvoorbeeld, het kan controleren of een gebruikersaccount verlopen is en of het een gebruiker toegestaan is op een bepaalde tijd van de dag in te loggen.
					</div></li><li><div class="para">
						<code class="command">password</code> â€” Deze module interface wordt gebruikt voor het veranderen van wachtwoorden van gebruikers.
					</div></li><li><div class="para">
						<code class="command">session</code> â€” Deze module interface configureert en beheert sessies. Modules met deze interface kunnen ook extra taken uitvoeren die nodig zijn om toegang toe te staan, zoals het aankoppelen van de persoonlijke map van de gebruiker en het beschikbaar maken van de mailbox van de gebruiker.
					</div></li></ul></div><div class="note"><h2>Opmerking</h2><div class="para">
					Een individuele module kan elke of alle module interfaces hebben. Bijvoorbeeld, <code class="filename">pam_unix.so</code> biedt alle vier module interfaces.
				</div></div><div class="para">
				In een PAM configuratie bestand, is de module interface gedefinieerd in het eerste veld. Bijvoorbeeld, een typische regel in een configuratie kan er als volgt uitzien:
			</div><pre class="screen">auth        required        pam_unix.so
</pre><div class="para">
				Dit instrueert PAM om de <code class="command">auth</code> interface van de <code class="filename">pam_unix.so</code> module te gebruiken.
			</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Module_Interface-Stacking_Module_Interfaces">2.4.3.1.1. Module interfaces stapelen</h5></div></div></div><div class="para">
					Module interface instructies kunnen <span class="emphasis"><em>gestapeld</em></span> worden, of op elkaar geplaatst, zodat meerdere modules tezamen gebruikt worden voor een doel. Als de controle vlag van een module de "sufficient" of "requisite" waarde gebruikt (refereer naar <a class="xref" href="sect-Security_Guide-PAM_Configuration_File_Format-Control_Flag.html" title="2.4.3.2. Controle vlag">ParagraafÂ 2.4.3.2, â€œControle vlagâ€</a> voor meer informatie over deze vlaggen), dan is de volgorde waarin de modules opgesomd worden belangrijk voor het autheticatie proces.
				</div><div class="para">
					Stapelen maakt het eenvoudig voor een beheerder om te vereisen dat specifieke condities bestaan voordat een gebruiker authenticatie wordt toegestaan. Bijvoorbeeld, het <code class="command">reboot</code> commando gebruikt normaal meerdere gestapelde modules, zoals te zien is in zijn PAM configuratie bestand:
				</div><pre class="screen">[root at MyServer ~]# cat /etc/pam.d/reboot
#%PAM-1.0
auth        sufficient        pam_rootok.so
auth        required        pam_console.so
#auth        include                system-auth
account        required        pam_permit.so
</pre><div class="itemizedlist"><ul><li><div class="para">
							De eerste regel is commentaar en wordt niet verwerkt.
						</div></li><li><div class="para">
							<code class="command">auth sufficient pam_rootok.so</code> â€” Deze regel gebruikt de <code class="filename">pam_rootok.so</code> module om te controleren of de huidige gebruiker root is, door het verifieren dat het UID 0 is. Als deze test succes heeft, worden geen andere modules geraadpleegd en het commando wordt uitgevoerd. Als de test faalt, dan wordt de volgende module geraadpleegd.
						</div></li><li><div class="para">
							<code class="command">auth required pam_console.so</code> â€” Deze regel gebruikt de <code class="filename">pam_console.so</code> module om te proberen de gebruiker te bekrachtigen. Als deze gebruiker al ingelogd is op de console, controleert <code class="filename">pam_console.so</code> of er een bestand is in de <code class="filename">/etc/security/console.apps/</code> map met dezelfde naam als de service naam (reboot). Als zo'n bestand bestaat, slaagt authenticatie en wordt de controle doorgegeven aan de volgende module.
						</div></li><li><div class="para">
							<code class="command">#auth include system-auth</code> â€” Deze regel is commentaar en wordt niet verwerkt.
						</div></li><li><div class="para">
							<code class="command">account required pam_permit.so</code> â€” Deze regel gebruikt de <code class="filename">pam_permit.so</code> module om de root gebruiker of iedereen die ingelogd is op de console toe te staan om het systeem te rebooten.
						</div></li></ul></div></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_Files.html"><strong>Terug</strong>2.4.2. PAM configuratie bestanden</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-PAM_Configuration_File_Format-Control_Flag.html"><strong>Volgende</strong>2.4.3.2. Controle vlag</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_Files.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.4.2. PAM configuratie bestanden</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html" title="2.4. Pluggable Authentication Modules (PAM)"/><link rel="prev" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html" title="2.4. Pluggable Authentication Modules (PAM)"/><link rel="next" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format.html" title="2.4.3. PAM configuratie bestand formaat"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href=
 "http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_Files">2.4.2. PAM configuratie bestanden</h3></div></div></div><div class="para">
			De <code class="filename">/etc/pam.d/</code> map bevat de PAM configuratie bestanden voor elke toepassing die zich bewust is van PAM. In eerdere versies van PAM werd het <code class="filename">/etc/pam.conf</code> bestand gebruikt, maar dit bestand is nu verouderd en wordt alleen gebruikt als de <code class="filename">/etc/pam.d/</code> map niet betaat.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-PAM_Configuration_Files-PAM_Service_Files">2.4.2.1. PAM service bestanden</h4></div></div></div><div class="para">
				Iedere toepassing of <em class="firstterm">service</em> die zich bewust is van PAM heeft een bestand in de <code class="filename">/etc/pam.d/</code> map. Ieder bestand in deze map heeft dezelfde naam als de service waarvoor het de toegang controleert.
			</div><div class="para">
				Het programma dat zich bewust is van PAM is verantwoordelijk voor het bepalen van de servicenaam en het installeren van zijn eigen PAM configuratie bestand in de <code class="filename">/etc/pam.d/</code> map. Bijvoorbeeld, het <code class="command">login</code> programma definieert zijn service naam als <code class="command">login</code> en installeert het <code class="filename">/etc/pam.d/login</code> PAM configuratie bestand.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html"><strong>Terug</strong>2.4. Pluggable Authentication Modules (PAM)</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format.html"><strong>Volgende</strong>2.4.3. PAM configuratie bestand formaat</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Administrative_Credential_Caching.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.4.6. PAM en administratieve legitimatie opslag</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html" title="2.4. Pluggable Authentication Modules (PAM)"/><link rel="prev" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Creating_PAM_Modules.html" title="2.4.5. PAM modules aanmaken"/><link rel="next" href="sect-Security_Guide-PAM_and_Administrative_Credential_Caching-Common_pam_timestamp_Directives.html" title="2.4.6.2. Algemene pam_timestamp instructies"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Si
 te"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Creating_PAM_Modules.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-PAM_and_Administrative_Credential_Caching-Common_pam_timestamp_Directives.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Administrative_Credential_Caching">2.4.6. PAM en administratieve legitimatie opslag</h3></div></div></div><div class="para">
			Een aantal grafische administratieve gereedschappen in Fedora bieden gebruikers voor vijf minuten verhoogde rechten aan met gebruik van de <code class="filename">pam_timestamp.so</code> module. Het is belangrijk om te begrijpen hoe dit mechanisme werkt, omdat een gebruiker die wegloopt van een terminal terwijl <code class="filename">pam_timestamp.so</code> effectief is de machine open laat voor manipulatie voor iedereen met fysieke toegang tot de console.
		</div><div class="para">
			In het PAM tijdsstempel schema, vraagt de grafische administratieve toepassing als het het opgestart wordt de gebruiker naar het root wachtwoord. Als de gebruiker gemachtigd is, maakt de <code class="filename">pam_timestamp.so</code> module een tijdsstempel bestand aan. Standaard wordt dit aangemaakt in de <code class="filename">/var/run/sudo/</code> map. Als het tijdsstempel bestand al bestaat, vragen grafische administratieve programma's niet naar een wachtwoord. In plaats daarvan ververst de <code class="filename">pam_timestamp.so</code> module het tijdsstempel bestand, en reserveert eenextra vijf minuten van ongehinderde administratieve toegang.
		</div><div class="para">
			Je kunt de actuele status van het tijdsstamp bestand verifieren door het <code class="filename">/var/run/sudo/<gebruiker></code> bestand te bekijken. Voor het bureaublad, is het relevante bestand <code class="filename">unknown:root</code>. Als het aanwezig is en zijn tijdstempel minder dan vijf minuten oud, zijn de legitimaties geldig.
		</div><div class="para">
			Het bestaan van het tijdstempel bestand wordt aangegeven door een authenticatie icoon, welke verschijnt in het mededelingengebied van het paneel.
		</div><div class="figure" id="figu-Security_Guide-PAM_and_Administrative_Credential_Caching-The_Authentication_Icon"><div class="figure-contents"><div class="mediaobject"><img src="images/authicon.png" alt="De authenticatie icoon"/><div class="longdesc"><div class="para">
						Afbeelding van de authenticatie icoon.
					</div></div></div></div><h6>Figuur 2.7. De authenticatie icoon</h6></div><br class="figure-break"/><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-PAM_and_Administrative_Credential_Caching-Removing_the_Timestamp_File">2.4.6.1. Het tijdstempel bestand verwijderen</h4></div></div></div><div class="para">
				Voordat je een console verlaat waar een PAM tijdstempel actief is, wordt het aanbevolen dat het tijdstempel bestand vernietigd wordt. Om dit te doen in een grafische omgeving, klik je op de authenticatie icoon op het paneel. Dit laat een dialoog scherm verschijnen. Klik op de <span class="guibutton"><strong>Authorisatie vergeten</strong></span> knop om de actieve tijdsstempel bestand te vernietigen.
			</div><div class="figure" id="figu-Security_Guide-Removing_the_Timestamp_File-Dismiss_Authentication_Dialog"><div class="figure-contents"><div class="mediaobject"><img src="images/auth-panel.png" alt="Authenticatie opzeggen dialoog"/><div class="longdesc"><div class="para">
							Afbeelding van de autenticatie opzeggen dialoog
						</div></div></div></div><h6>Figuur 2.8. Authenticatie opzeggen dialoog</h6></div><br class="figure-break"/><div class="para">
				Je moet op het volgende verdacht zijn met betrekking tit het tijdsstempel bestand:
			</div><div class="itemizedlist"><ul><li><div class="para">
						Als je op afstand ingelogd bent op het systeem met <code class="command">ssh</code>, gebruik je het <code class="command">/sbin/pam_timestamp_check -k root</code> commando om het tijdsstempel bestand te vernietigen.
					</div></li><li><div class="para">
						Je moet het <code class="command">/sbin/pam_timestamp_check -k root</code> commando van dezelfde terminal uitvoeren als waarvan de toepassing met extra rechten hebt opgestart.
					</div></li><li><div class="para">
						Je moet ingelogd zijn als de gebruiker de die <code class="filename">pam_timestamp.so</code> module origineel aanriep om het <code class="command">/sbin/pam_timestamp_check -k</code> commando te gebruiken. Log niet in als de root gebruiker om dit commando te gebruiken.
					</div></li><li><div class="para">
						Als je de legitimaties op het bureaublad wilt vernietigen (zonder de <span class="guibutton"><strong>Authorisatie vergeten</strong></span> actie op het icoon te gebruiken), gebruik je het volgende commando:
					</div><pre class="screen">/sbin/pam_timestamp_check -k root </dev/null >/dev/null 2>/dev/null
</pre><div class="para">
						Als je dit commando niet gebruikt zal alleen de legitimaties (als ze er zijn) verwijderen van de pty waarop de het commando uitvoert.
					</div></li></ul></div><div class="para">
				Refereer naar de <code class="filename">pam_timestamp_check</code> manual pagina voor meer informatie over het vernietigen van het tijdsstempel bestand met gebruik van <code class="command">pam_timestamp_check</code>.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Creating_PAM_Modules.html"><strong>Terug</strong>2.4.5. PAM modules aanmaken</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-PAM_and_Administrative_Credential_Caching-Common_pam_timestamp_Directives.html"><strong>Volgende</strong>2.4.6.2. Algemene pam_timestamp instructies</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Device_Ownership.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.4.7. PAM en apparaat eigendom</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html" title="2.4. Pluggable Authentication Modules (PAM)"/><link rel="prev" href="sect-Security_Guide-PAM_and_Administrative_Credential_Caching-Common_pam_timestamp_Directives.html" title="2.4.6.2. Algemene pam_timestamp instructies"/><link rel="next" href="sect-Security_Guide-PAM_and_Device_Ownership-Application_Access.html" title="2.4.7.2. Toepassing toegang"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href=
 "http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-PAM_and_Administrative_Credential_Caching-Common_pam_timestamp_Directives.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-PAM_and_Device_Ownership-Application_Access.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_and_Device_Ownership">2.4.7. PAM en apparaat eigendom</h3></div></div></div><div class="para">
			In Fedora kan de eerste gebruiker die inlogt op de fysieke console van de machine bepaalde apparaten manipuleren en bepaalde taken uitvoeren die normaal voorbehouden zijn aan de root gebruiker. Dit wordt gecontroleerd door een PAM module met de naam <code class="filename">pam_console.so</code>.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-PAM_and_Device_Ownership-Device_Ownership">2.4.7.1. Apparaat eigendom</h4></div></div></div><div class="para">
				Als een gebruiker inlogt op een Fedora systeem, wordt de <code class="filename">pam_console.so</code> module aangeroepen door <code class="command">login</code> of de grafische login programma's, <span class="application"><strong>gdm</strong></span>, <span class="application"><strong>kdm</strong></span>, en <span class="application"><strong>xdm</strong></span>. Als deze gebruiker de eerste gebruiker is die inlogt op de fysieke console â€” waarnaar gerefereerd wordt als de <em class="firstterm">console gebruiker</em> â€” geeft de module de gebruiker het eigendom van een aantal apparaten die normaal eigendom zijn van root. De console gebruiker heeft deze apparaten in eigendom totdat de laatste sessie van die gebruiker beeindigd wordt. Nadat deze gebruiker uitgelogd is, vervalt het eigendom van de apparaten terug aan de root gebruiker.
			</div><div class="para">
				De betroffen apparaten zijn, onder andere, geluidskaarten, schijfstations, en CD-ROM stations.
			</div><div class="para">
				Deze voorziening staat een locale gebruiker toe om deze apparaten te manipuleren zonder root toegang, wat normale taken eenvoudiger maakt voor de console gebruiker.
			</div><div class="para">
				Je kunt de lijst van apparaten die gecontroleerd worden door <code class="filename">pam_console.so</code> veranderen door de volgende bestanden te bewerken: 
				<div class="itemizedlist"><ul><li><div class="para">
							<code class="filename">/etc/security/console.perms</code>
						</div></li><li><div class="para">
							<code class="filename">/etc/security/console.perms.d/50-default.perms</code>
						</div></li></ul></div>
			</div><div class="para">
				Je kunt de permissies veranderen van andere apparaten dan die vermeld zijn in de bovengenoemde bestanden, of de opgegeven standaarden veranderen. In plaats van het veranderen van het <code class="filename">50-default.perms</code> bestand, moet je een nieuw bestand aanmaken (bijvoorbeeld, <code class="filename"><em class="replaceable"><code>xx</code></em>-name.perms</code>) en de vereiste veranderingen aanbrengen. De naam van het nieuwe standaard bestand moet beginnen met een nummer groter dan 50 (bijvoorbeeld, <code class="filename">51-default.perms</code>). Dit zal de standaarden in het <code class="filename">50-default.perms</code> bestand overschrijven.
			</div><div class="warning"><h2>Waarschuwing</h2><div class="para">
					Als het <span class="application"><strong>gdm</strong></span>, <span class="application"><strong>kdm</strong></span>, of <span class="application"><strong>xdm</strong></span>display beheerder configuratie bestand veranderd is om gebruikers op afstand toe te staan om en te loggen <span class="emphasis"><em>en</em></span> de host is ingesteld om te draaien in runlevel 5, wordt het aanbevolen om de <code class="command"><console></code> en <code class="command"><xconsole></code> instructies in <code class="filename">/etc/security/console.perms</code> te veranderen naar de volgende waarden:
				</div><pre class="screen"><console>=tty[0-9][0-9]* vc/[0-9][0-9]* :0\.[0-9] :0 
<xconsole>=:0\.[0-9] :0
</pre><div class="para">
					Dit voorkomt dat gebruikers op afstand toegang krijgen tot apparaten en beperkte toepassingen op de machine.
				</div><div class="para">
					Als het <span class="application"><strong>gdm</strong></span>, <span class="application"><strong>kdm</strong></span>, of <span class="application"><strong>xdm</strong></span> display beheerder configuratie bestand is veranderd om gebruikers op afstand toe te staan in te loggen <span class="emphasis"><em>en</em></span> de host is ingesteld op een runlevel voor meerdere gebruikers anders dan 5, wordt het aanbevolen om de <code class="command"><xconsole></code> instructie helemaal te verwijderen en de <code class="command"><console></code> instructie te veranderen naar de volgende waarde:
				</div><pre class="screen"><console>=tty[0-9][0-9]* vc/[0-9][0-9]*
</pre></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-PAM_and_Administrative_Credential_Caching-Common_pam_timestamp_Directives.html"><strong>Terug</strong>2.4.6.2. Algemene pam_timestamp instructies</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-PAM_and_Device_Ownership-Application_Access.html"><strong>Volgende</strong>2.4.7.2. Toepassing toegang</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Sample_PAM_Configuration_Files.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.4.4. Voorbeeld PAM configuratie bestanden</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html" title="2.4. Pluggable Authentication Modules (PAM)"/><link rel="prev" href="sect-Security_Guide-PAM_Configuration_File_Format-Module_Arguments.html" title="2.4.3.4. Module argementen"/><link rel="next" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Creating_PAM_Modules.html" title="2.4.5. PAM modules aanmaken"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedor
 aproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-PAM_Configuration_File_Format-Module_Arguments.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Creating_PAM_Modules.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Sample_PAM_Configuration_Files">2.4.4. Voorbeeld PAM configuratie bestanden</h3></div></div></div><div class="para">
			Het volgende is een voorbeeld PAM toepassings configuratie bestand:
		</div><pre class="screen">#%PAM-1.0
auth                required  pam_securetty.so
auth                required  pam_unix.so nullok
auth                required  pam_nologin.so
account                required  pam_unix.so
password        required  pam_cracklib.so retry=3
password        required  pam_unix.so shadow nullok use_authtok
session        required  pam_unix.so
</pre><div class="itemizedlist"><ul><li><div class="para">
					De eerste regel is commentaar, aangegeven door het hash teken (<code class="command">#</code>) op het begin van de regel.
				</div></li><li><div class="para">
					Regel twee tot en met vier stapelen drie modules voor login authenticatie.
				</div><div class="para">
					<code class="command">auth required pam_securetty.so</code> â€” Deze module verzekert dat <span class="emphasis"><em>als</em></span> de gebruiker probeert in te loggen als root, de tty waarop de gebruiker ingelogd is vermeld wordt in het <code class="filename">/etc/securetty</code> bestand, <span class="emphasis"><em>als</em></span> dat bestand bestaat.
				</div><div class="para">
					Als de tty niet in het bestand staat, zal elke poging om in te loggen als root falen met een <code class="computeroutput">Login incorrect</code> boodschap.
				</div><div class="para">
					<code class="command">auth required pam_unix.so nullok</code> â€” Deze module vraagt de gebruiker om een wachtwoord en controleert dan het wachtwoord met gebruik van informatie die bewaard wordt in <code class="filename">/etc/passwd</code> en, als deze bestaat, <code class="filename">/etc/shadow</code>.
				</div><div class="itemizedlist"><ul><li><div class="para">
							Het argument <code class="command">nullok</code> instrueert de <code class="filename">pam_unix.so</code> module om een leeg wachtwoord toe te staan.
						</div></li></ul></div></li><li><div class="para">
					<code class="command">auth required pam_nologin.so</code> â€” Dit is de laatse authenticatie stap. Het controleert of het <code class="filename">/etc/nologin</code> bestand bestaat. Als het bestaat en de gebruiker is geen root, dan faalt authenticatie.
				</div><div class="note"><h2>Opmerking</h2><div class="para">
						In dit voorbeeld worden alle drie <code class="command">auth</code> modules gecontroleerd, zelfs als de eerste <code class="command">auth</code> module faalt. Dit voorkomt dat de gebruiker weet in welke fase de authenticatie faalde. Deze kennis kan in handen van een aanvaller het gemakkelijker maken om te bepalen hoe het systeem gekraakt moet worden.
					</div></div></li><li><div class="para">
					<code class="command">account required pam_unix.so</code> â€” Deze module voert de nodige account verificatie uit. Bijvoorbeeld, als schaduw wachtwoorden worden gebruikt, controleert de account interface van de <code class="filename">pam_unix.so</code> module of het account verlopen is en of de gebruiker het wachtwoord niet veranderd heeft binnen de toegestane grace periode.
				</div></li><li><div class="para">
					<code class="command">password required pam_cracklib.so retry=3</code> â€” Als een wachtwoord verlopen is, vraagt de wachtwoord component van de <code class="filename">pam_cracklib.so</code> module om een nieuw wachtwoord. Het test daarna het nieuwe wachtwoord om te zien of het eenvoudig bepaald kan worden door een kraak programma gebaseerd op een woordenboek.
				</div><div class="itemizedlist"><ul><li><div class="para">
							Het argument <code class="command">retry=3</code> specificeert dat als de test de eerste keer faalt, de gebruiker nog twee kansen heeft om rrn sterk wachrwoord te maken.
						</div></li></ul></div></li><li><div class="para">
					<code class="command">password required pam_unix.so shadow nullok use_authtok</code> â€” Deze regel specificeert dat als het programma het wachtwoord van de gebruiker verandert, moet het de <code class="command">password</code> interface van de <code class="filename">pam_unix.so</code> module gebruiken om dit te doen.
				</div><div class="itemizedlist"><ul><li><div class="para">
							Het argument <code class="command">shadow</code> instrueert de module om schaduw wachtwoorden aan te maken als het wachtwoord van een gebruiker vernieuwd wordt.
						</div></li><li><div class="para">
							Het argument <code class="command">nullok</code> instrueert de module om de gebruiker toe te staan zijn wachtwoord te veranderen <span class="emphasis"><em>van</em></span> een leeg wachtwoord, anders wordt een leeg wachtwoord behandeld als een account afsluiting.
						</div></li><li><div class="para">
							Het laatste argument op deze regel, <code class="command">use_authtok</code>, geeft een goed voorbeeld van het belang van volgorde bij het stapelen van PAM modules. Dit argument instrueert de module om de gebruiker niet om een nieuw wachtwoord te vragen. In plaats daarvan accepteert het elk wachtwoord dat door een vorige wachtwoord module is opgenomen. Op deze manier, moeten alle nieuwe wachtwoorden de <code class="filename">pam_cracklib.so</code> test voor veilige wachtwoorden passeren voordat ze geaccepteerd worden.
						</div></li></ul></div></li><li><div class="para">
					<code class="command">session required pam_unix.so</code> â€” De laatste regel instrueert de sessie interface van de <code class="filename">pam_unix.so</code> module om de sessie te beheren. Deze module logt de gebruikersnaam en het service type naar <code class="filename">/var/log/secure</code> aan het begin en het einde van iedere sessie. Deze module kan uitgebreid worden door het te stapelen met andere sessie modules voor extra functionaliteit.
				</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-PAM_Configuration_File_Format-Module_Arguments.html"><strong>Terug</strong>2.4.3.4. Module argementen</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Creating_PAM_Modules.html"><strong>Volgende</strong>2.4.5. PAM modules aanmaken</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.4. Pluggable Authentication Modules (PAM)</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="chap-Security_Guide-Securing_Your_Network.html" title="Hoofdstuk 2. Je netwerk beveiligen"/><link rel="prev" href="sect-Security_Guide-Single_Sign_on_SSO-Configuring_Firefox_to_use_Kerberos_for_SSO.html" title="2.3.5. Het instellen van Firefox om Kerberos te gebruiken voor SSO"/><link rel="next" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_Files.html" title="2.4.2. PAM configuratie bestanden"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a
 ><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Single_Sign_on_SSO-Configuring_Firefox_to_use_Kerberos_for_SSO.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_Files.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Pluggable_Authentication_Modules_PAM">2.4. Pluggable Authentication Modules (PAM)</h2></div></div></div><div class="para">
		Programma's die gebruikers toegang geven tot een systeem gebruiken <em class="firstterm">authenticatie</em> om elkaars identiteit te controleren (dat betekent, vast te stellen dat een gebruiker is wie hij zegt te zijn).
	</div><div class="para">
		Vroeger had ieder programma zijn eigen manier voor de authenticatie van gebruikers. In Fedora zijn veel programma's ingesteld om een centraal authenticatie mechanisme te gebruiken, <em class="firstterm">Pluggable Authentication Modules</em> (<acronym class="acronym">PAM</acronym>) genaamd
	</div><div class="para">
		PAM gebruikt een inplugbare, modulaire architectuur, welke de systeemberheerder veel flexibiliteit toestaat in het instellen van authenticatie tactieken voor het systeem.
	</div><div class="para">
		In de meeste gevallen is het standaard PAM configuratie bestand voldoende voor een toepassing die zich bewust is van PAM. Soms is het echter nodig om een PAM configuratie bestand te bewerken. Omdat een verkeerde instelling van PAM de systeem beveiliging kan aantasten, is het belangrijk om de structuur van deze bestanden te begrijpen voordat je veranderingen maakt. Refereer naar <a class="xref" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_File_Format.html" title="2.4.3. PAM configuratie bestand formaat">ParagraafÂ 2.4.3, â€œPAM configuratie bestand formaatâ€</a> voor meer informatie.
	</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-Advantages_of_PAM">2.4.1. Voordelen van PAM</h3></div></div></div><div class="para">
			PAM biedt de volgende voordelen:
		</div><div class="itemizedlist"><ul><li><div class="para">
					een gemeenschappelijk authenticatie systeem dat door een groot aantal toepassingen gebruikt kan worden.
				</div></li><li><div class="para">
					belangrijke flexibiliteit en controle over authenticatie voor zowel systeembeheerders als toepassingsontwikkelaars.
				</div></li><li><div class="para">
					een enkele, volledig gedocumenteerde bibliotheek die ontwikkelaars toestaat om programma's te schrijven zonder dat ze hun eigen authenticatie schema hoeven te maken.
				</div></li></ul></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Single_Sign_on_SSO-Configuring_Firefox_to_use_Kerberos_for_SSO.html"><strong>Terug</strong>2.3.5. Het instellen van Firefox om Kerberos te g...</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM-PAM_Configuration_Files.html"><strong>Volgende</strong>2.4.2. PAM configuratie bestanden</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Secure_Installation-Utilize_LUKS_Partition_Encryption.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>5.2. LUKS partitie versleuteling gebruiken</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="chap-Security_Guide-Secure_Installation.html" title="Hoofdstuk 5. Veilige installatie"/><link rel="prev" href="chap-Security_Guide-Secure_Installation.html" title="Hoofdstuk 5. Veilige installatie"/><link rel="next" href="chap-Security_Guide-Software_Maintenance.html" title="Hoofdstuk 6. Software onderhoud"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation S
 ite"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="chap-Security_Guide-Secure_Installation.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="chap-Security_Guide-Software_Maintenance.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Secure_Installation-Utilize_LUKS_Partition_Encryption">5.2. LUKS partitie versleuteling gebruiken</h2></div></div></div><div class="para">
			Sinds Fedora 9 is de implementatie van <a href="http://fedoraproject.org/wiki/Security_Guide/9/LUKSDiskEncryption">Linux Unified Key Setup-on-disk-format</a>(LUKS) versleuteling veel eenvoudiger geworden. Tijdens het installatie proces wordt een optie om de partities te versleutelen aangeboden aan de gebuiker. De gebruiker moet de benodigde wachtzin opgeven wat de sleutel zal zijn om de bulk sleutel te openen die gebruikt zal worden om de data van de partitie te beveiligen.
		</div><div class="para">
			Fedora 8 heeft echter geen ingebouwde LUKS ondersteuning, het kan echter eenvoudig geimplementeerd worden. <a href="http://fedoraproject.org/wiki/Security_Guide/9/LUKSDiskEncryption#Step-by-Step_Instructions">Stap-voor-stap procedures</a> zijn beschikbaar die gebruikers partitie versleuteling laten implementeren op hun Fedora 8 installatie.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="chap-Security_Guide-Secure_Installation.html"><strong>Terug</strong>Hoofdstuk 5. Veilige installatie</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="chap-Security_Guide-Software_Maintenance.html"><strong>Volgende</strong>Hoofdstuk 6. Software onderhoud</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Securing_FTP-Anonymous_Access.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.6.2. Anonieme toegang</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Server_Security-Securing_FTP.html" title="2.2.6. FTP beveiligen"/><link rel="prev" href="sect-Security_Guide-Server_Security-Securing_FTP.html" title="2.2.6. FTP beveiligen"/><link rel="next" href="sect-Security_Guide-Securing_FTP-User_Accounts.html" title="2.2.6.3. Gebruikersaccounts"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul c
 lass="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security-Securing_FTP.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_FTP-User_Accounts.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_FTP-Anonymous_Access">2.2.6.2. Anonieme toegang</h4></div></div></div><div class="para">
				De aanwezigheid van de <code class="filename">/var/ftp/</code> map activeert het anonymous account.
			</div><div class="para">
				De eenvoudigste manier om deze map te maken is het installeren van het <code class="filename">vsftpd</code> pakket. Dit pakket zet een mapstructuur op voor anonieme gebruikers en stelt de rechten voor mappen in op alleen-lezen voor anonieme gebruikers.
			</div><div class="para">
				Standaard kan de anonieme gebruiker in geen enkele map schrijven.
			</div><div class="warning"><h2>Waarschuwing</h2><div class="para">
					Als anonieme toegang naar een FTP server ingesteld wordt, let er dan op waar gevoelige informatie wordt bewaard.
				</div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Anonymous_Access-Anonymous_Upload">2.2.6.2.1. Anonieme upload</h5></div></div></div><div class="para">
					Om anonieme gebruikers toe te staan om bestanden te uploaden, wordt het aanbevolen dat een alleen-schrijven map aangemaakt wordt binnen <code class="filename">/var/ftp/pub/</code>.
				</div><div class="para">
					Om dit te doen voer je het volgende commando uit:
				</div><pre class="screen">mkdir /var/ftp/pub/upload
</pre><div class="para">
					Vervolgens verander je de rechten zodat anonieme gebruikers de inhoud van de map niet kunnen bekijken:
				</div><pre class="screen">chmod 730 /var/ftp/pub/upload
</pre><div class="para">
					Een lang formaat inhoudslijst van de moet moet er zo uit zien:
				</div><pre class="screen">drwx-wx---    2 root     ftp          4096 Feb 13 20:05 upload
</pre><div class="warning"><h2>Waarschuwing</h2><div class="para">
						Beheerders die anonieme gebruikers toestaan om in mappen te lezen en te schrijven ontdekken vaak dat hun servers een repository van gestolen software worden.
					</div></div><div class="para">
					Bovendien voeg je voor <code class="command">vsftpd</code> de volgende regel toe aan het <code class="filename">/etc/vsftpd/vsftpd.conf</code> bestand:
				</div><pre class="screen">anon_upload_enable=YES
</pre></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security-Securing_FTP.html"><strong>Terug</strong>2.2.6. FTP beveiligen</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_FTP-User_Accounts.html"><strong>Volgende</strong>2.2.6.3. Gebruikersaccounts</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Securing_FTP-Use_TCP_Wrappers_To_Control_Access.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.6.4. Gebruik TCP wrappers om toegang te controleren</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Server_Security-Securing_FTP.html" title="2.2.6. FTP beveiligen"/><link rel="prev" href="sect-Security_Guide-Securing_FTP-User_Accounts.html" title="2.2.6.3. Gebruikersaccounts"/><link rel="next" href="sect-Security_Guide-Server_Security-Securing_Sendmail.html" title="2.2.7. Sendmail beveiligen"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png"
  alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_FTP-User_Accounts.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security-Securing_Sendmail.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_FTP-Use_TCP_Wrappers_To_Control_Access">2.2.6.4. Gebruik TCP wrappers om toegang te controleren</h4></div></div></div><div class="para">
				Gebruik TCP wrappers om toegang tot elke FTP daemon te controleren zoals beschreven in <a class="xref" href="sect-Security_Guide-Server_Security.html#sect-Security_Guide-Securing_Services_With_TCP_Wrappers_and_xinetd-Enhancing_Security_With_TCP_Wrappers" title="2.2.1.1. Het verbeteren van beveiliging met TCP wrappers">ParagraafÂ 2.2.1.1, â€œHet verbeteren van beveiliging met TCP wrappersâ€</a>.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_FTP-User_Accounts.html"><strong>Terug</strong>2.2.6.3. Gebruikersaccounts</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security-Securing_Sendmail.html"><strong>Volgende</strong>2.2.7. Sendmail beveiligen</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Securing_FTP-User_Accounts.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.6.3. Gebruikersaccounts</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Server_Security-Securing_FTP.html" title="2.2.6. FTP beveiligen"/><link rel="prev" href="sect-Security_Guide-Securing_FTP-Anonymous_Access.html" title="2.2.6.2. Anonieme toegang"/><link rel="next" href="sect-Security_Guide-Securing_FTP-Use_TCP_Wrappers_To_Control_Access.html" title="2.2.6.4. Gebruik TCP wrappers om toegang te controleren"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/
 image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_FTP-Anonymous_Access.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_FTP-Use_TCP_Wrappers_To_Control_Access.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_FTP-User_Accounts">2.2.6.3. Gebruikersaccounts</h4></div></div></div><div class="para">
				Omdat FTP voor authenticatie onversleutelde gebruikersnamen en wachtwoorden verstuurd over onveilige netwerken, is het een goed idee om systeem gebruikers toegang tot de server vanaf hun gebruikersaccount te verbieden.
			</div><div class="para">
				Om alle gebruikersaccount in <code class="command">vsftpd</code> uit te zetten, voeg je de volgende instructie toe aan <code class="filename">/etc/vsftpd/vsftpd.conf</code>:
			</div><pre class="screen">local_enable=NO
</pre><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-User_Accounts-Restricting_User_Accounts">2.2.6.3.1. Gebruikersaccounts beperken</h5></div></div></div><div class="para">
					Voor het uitzetten van FTP toegang voor specifieke accounts of specifieke groepen van accounts, zoals de root gebruiker en gebruikers met <code class="command">sudo</code> rechten, is dit het eenvoudigst te doen met een PAM lijst zoals beschreven in <a class="xref" href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Disallowing_Root_Access-Disabling_Root_Using_PAM" title="2.1.4.2.4. Root onmogelijk maken met PAM">ParagraafÂ 2.1.4.2.4, â€œRoot onmogelijk maken met PAMâ€</a>. Het PAM configuratie bestand voor <code class="command">vsftpd</code> is <code class="filename">/etc/pam.d/vsftpd</code>.
				</div><div class="para">
					Het is ook mogelijk om gebruikersaccounts direct binnen elke service uit te zetten.
				</div><div class="para">
					Om een specifiek gebruikersaccount in <code class="command">vsftpd</code> uit te zetten, voeg je de gebruikersnaam toe aan <code class="filename">/etc/vsftpd.ftpusers</code>
				</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_FTP-Anonymous_Access.html"><strong>Terug</strong>2.2.6.2. Anonieme toegang</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_FTP-Use_TCP_Wrappers_To_Control_Access.html"><strong>Volgende</strong>2.2.6.4. Gebruik TCP wrappers om toegang te contr...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Securing_NFS-Beware_of_Syntax_Errors.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.4.2. Let op syntax fouten</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Server_Security-Securing_NFS.html" title="2.2.4. NFS beveiligen"/><link rel="prev" href="sect-Security_Guide-Server_Security-Securing_NFS.html" title="2.2.4. NFS beveiligen"/><link rel="next" href="sect-Security_Guide-Securing_NFS-Do_Not_Use_the_no_root_squash_Option.html" title="2.2.4.3. Gebruik de no_root_squash optie niet"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right
 .png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security-Securing_NFS.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_NFS-Do_Not_Use_the_no_root_squash_Option.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_NFS-Beware_of_Syntax_Errors">2.2.4.2. Let op syntax fouten</h4></div></div></div><div class="para">
				De NFS server bepaalt welke bestandssystemen geÃ«xporteerd worden en welke hosts deze mappen moeten exporteren door het raadplegen van het <code class="filename">/etc/exports</code> bestand. Let er op om geen onnodige spaties toe te voegen bij het bewerken van dit bestand.
			</div><div class="para">
				Bijvoorbeeld, de volgende regel in het <code class="filename">/etc/exports</code> bestand deelt de map <code class="command">/tmp/nfs/</code> met de host <code class="command">bob.example.com</code> met lees/schrijf rechten.
			</div><pre class="screen">/tmp/nfs/     bob.example.com(rw)
</pre><div class="para">
				De volgende regel in het <code class="filename">/etc/exports</code> bestand, echter, deelt dezelfde map met de host <code class="computeroutput">bob.example.com</code> met alleen-lezen rechten en deelt het met de <span class="emphasis"><em>wereld</em></span> met lees/schrijf rechten dankzij de enkele spatie achter de hostnaam.
			</div><pre class="screen">/tmp/nfs/     bob.example.com (rw)
</pre><div class="para">
				Het is een goede praktijk om alle ingestelde NFS delingen te controleren met gebruik van het <code class="command">showmount</code> commando om te verifieren wat er gedeeld wordt:
			</div><pre class="screen">showmount -e <em class="replaceable"><code><hostnaam></code></em>
</pre></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security-Securing_NFS.html"><strong>Terug</strong>2.2.4. NFS beveiligen</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_NFS-Do_Not_Use_the_no_root_squash_Option.html"><strong>Volgende</strong>2.2.4.3. Gebruik de no_root_squash optie niet</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Securing_NFS-Do_Not_Use_the_no_root_squash_Option.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.4.3. Gebruik de no_root_squash optie niet</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Server_Security-Securing_NFS.html" title="2.2.4. NFS beveiligen"/><link rel="prev" href="sect-Security_Guide-Securing_NFS-Beware_of_Syntax_Errors.html" title="2.2.4.2. Let op syntax fouten"/><link rel="next" href="sect-Security_Guide-Securing_NFS-NFS_Firewall_Configuration.html" title="2.2.4.4. NFS firewall instelling"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/im
 age_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_NFS-Beware_of_Syntax_Errors.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_NFS-NFS_Firewall_Configuration.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_NFS-Do_Not_Use_the_no_root_squash_Option">2.2.4.3. Gebruik de <code class="command">no_root_squash</code> optie niet</h4></div></div></div><div class="para">
				Standaard veranderen NFS delingen de root gebruiker naar de <code class="command">nfsnobody</code> gebruiker, een gebruikersaccount zonder rechten. Dit verandert de eigenaar van alle door root aangemaakte bestanden naar <code class="command">nfsnobody</code>, wat verhindert dat programma's binnen gehaald worden waarbij de setuid bit gezet is.
			</div><div class="para">
				Als <code class="command">no_root_squash</code> wordt gebruikt, zijn root gebruikers op afstrand in staat om elk bestand in het gedeelde bestandssysteem te veranderen en toepassingen besmet met een trojaan achter te laten die andere gebruikers onopzettelijk uitvoeren.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_NFS-Beware_of_Syntax_Errors.html"><strong>Terug</strong>2.2.4.2. Let op syntax fouten</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_NFS-NFS_Firewall_Configuration.html"><strong>Volgende</strong>2.2.4.4. NFS firewall instelling</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Securing_NFS-NFS_Firewall_Configuration.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.4.4. NFS firewall instelling</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Server_Security-Securing_NFS.html" title="2.2.4. NFS beveiligen"/><link rel="prev" href="sect-Security_Guide-Securing_NFS-Do_Not_Use_the_no_root_squash_Option.html" title="2.2.4.3. Gebruik de no_root_squash optie niet"/><link rel="next" href="sect-Security_Guide-Server_Security-Securing_the_Apache_HTTP_Server.html" title="2.2.5. De Apache HTTP server beveiligen"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><im
 g src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_NFS-Do_Not_Use_the_no_root_squash_Option.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security-Securing_the_Apache_HTTP_Server.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_NFS-NFS_Firewall_Configuration">2.2.4.4. NFS firewall instelling</h4></div></div></div><div class="para">
				De voor NFS gebruikte poorten worden dynamisch toegekend door rpcbind, wat problemen kan veroorzaken bij het maken van firewall regels. Om dit proces te vereenvoudigen gebruik je het <span class="emphasis"><em>/etc/sysconfig/nfs</em></span> bestand om op te geven welke poorten gebruikt moeten worden:
			</div><div class="itemizedlist"><ul><li><div class="para">
						<code class="command">MOUNTD_PORT</code> â€” TCP en UDP poort voor mountd (rpc.mountd)
					</div></li><li><div class="para">
						<code class="command">STATD_PORT</code> â€” TCP en UDP poort voor status (rpc.statd)
					</div></li><li><div class="para">
						<code class="command">LOCKD_TCPPORT</code> â€” TCP poort voor nlockmgr (rpc.lockd)
					</div></li><li><div class="para">
						<code class="command">LOCKD_UDPPORT</code> â€” UDP poort nlockmgr (rpc.lockd)
					</div></li></ul></div><div class="para">
				De opgegeven poortnummers moeten niet door een andere service gebruikt worden. Stel je firewall in om de opgegeven poortnummers toe te laten, en ook TCP en UDP poort 2049 (NFS).
			</div><div class="para">
				Voer het <code class="command">rpcinfo -p</code> commando uit op de NFS server om te zien welke poorten en RPC progragramma's gebruikt worden.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_NFS-Do_Not_Use_the_no_root_squash_Option.html"><strong>Terug</strong>2.2.4.3. Gebruik de no_root_squash optie niet</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security-Securing_the_Apache_HTTP_Server.html"><strong>Volgende</strong>2.2.5. De Apache HTTP server beveiligen</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Securing_NIS-Assign_Static_Ports_and_Use_iptables_Rules.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.3.4. Ken statische poorten toe en gebruik iptables regels</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Server_Security-Securing_NIS.html" title="2.2.3. Het beveiligen van NIS"/><link rel="prev" href="sect-Security_Guide-Securing_NIS-Edit_the_varypsecurenets_File.html" title="2.2.3.3. Bewerk het /var/yp/securenets bestand"/><link rel="next" href="sect-Security_Guide-Securing_NIS-Use_Kerberos_Authentication.html" title="2.2.3.5. Gebruik Kerberos authenticatie"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://doc
 s.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_NIS-Edit_the_varypsecurenets_File.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_NIS-Use_Kerberos_Authentication.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_NIS-Assign_Static_Ports_and_Use_iptables_Rules">2.2.3.4. Ken statische poorten toe en gebruik iptables regels</h4></div></div></div><div class="para">
				Alle servers gerelateerd aan NIS kunnen specifieke poorten toegewezen krijgen behalve voor <code class="command">rpc.yppasswdd</code> â€” de daemon die gebruikers toestaat hun login wachtwoord te veranderen. Poorten toekennen aan de andere twee NIS server daemons, <code class="command">rpc.ypxfrd</code> en <code class="command">ypserv</code>, staat toe om firewall regels te maken om de NIS server daemons verder te beschermen tegen indringers.
			</div><div class="para">
				Om dit te doen, voeg je de volgende rgels toe aan <code class="filename">/etc/sysconfig/network</code>:
			</div><pre class="screen">YPSERV_ARGS="-p 834" YPXFRD_ARGS="-p 835"
</pre><div class="para">
				De volgende iptables regels kunnen dan gebruikt worden om te forceren naar welk netwerk de server luistert op deze poorten:
			</div><pre class="screen">iptables -A INPUT -p ALL -s! 192.168.0.0/24  --dport 834 -j DROP
iptables -A INPUT -p ALL -s! 192.168.0.0/24  --dport 835 -j DROP
</pre><div class="para">
				Dit betekent dat de server alleen verbindingen naar poort 834 en 835 toestaat als het verzoek van het 192.168.0.0/24 netwerk komt, ongeacht het protocol.
			</div><div class="note"><h2>Opmerking</h2><div class="para">
					Refereer naar <a class="xref" href="sect-Security_Guide-Firewalls.html" title="2.8. Firewalls">ParagraafÂ 2.8, â€œFirewallsâ€</a> voor meer informatie over het maken van firewalls met iptables commando's.
				</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_NIS-Edit_the_varypsecurenets_File.html"><strong>Terug</strong>2.2.3.3. Bewerk het /var/yp/securenets bestand</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_NIS-Use_Kerberos_Authentication.html"><strong>Volgende</strong>2.2.3.5. Gebruik Kerberos authenticatie</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Securing_NIS-Edit_the_varypsecurenets_File.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.3.3. Bewerk het /var/yp/securenets bestand</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Server_Security-Securing_NIS.html" title="2.2.3. Het beveiligen van NIS"/><link rel="prev" href="sect-Security_Guide-Securing_NIS-Use_a_Password_like_NIS_Domain_Name_and_Hostname.html" title="2.2.3.2. Gebruik een NIS domeinnaan en hostnaam die lijkt op een wachtwoord"/><link rel="next" href="sect-Security_Guide-Securing_NIS-Assign_Static_Ports_and_Use_iptables_Rules.html" title="2.2.3.4. Ken statische poorten toe en gebruik iptables regels"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/ima
 ge_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_NIS-Use_a_Password_like_NIS_Domain_Name_and_Hostname.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_NIS-Assign_Static_Ports_and_Use_iptables_Rules.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_NIS-Edit_the_varypsecurenets_File">2.2.3.3. Bewerk het <code class="filename">/var/yp/securenets</code> bestand</h4></div></div></div><div class="para">
				Als het <code class="filename">/var/yp/securenets</code> bestand leeg is of niet bestaat (zoals het geval is na een standaard installatie), luistert NIS naar alle netwerken. Een van de eerste dingen om te doen is om netmasker/netwerk paren in het bestand te plaatsen zodat <code class="command">ypserv</code> alleen verzoeken van het juiste netwerk beantwoordt.
			</div><div class="para">
				Hieronder staat een voorbeeld regel in een <code class="filename">/var/yp/securenets</code> bestand:
			</div><pre class="screen">255.255.255.0     192.168.0.0
</pre><div class="warning"><h2>Waarschuwing</h2><div class="para">
					Start een NIS server nooit op voordat het <code class="filename">/var/yp/securenets</code> bestand aangemaakt is.
				</div></div><div class="para">
				Deze techniek geeft geen bescherming tegen een IP adres vervalsings aanval, maar beperkt ten minste de netwerken die bediend worden door de NIS server.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_NIS-Use_a_Password_like_NIS_Domain_Name_and_Hostname.html"><strong>Terug</strong>2.2.3.2. Gebruik een NIS domeinnaan en hostnaam d...</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_NIS-Assign_Static_Ports_and_Use_iptables_Rules.html"><strong>Volgende</strong>2.2.3.4. Ken statische poorten toe en gebruik ipt...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Securing_NIS-Use_Kerberos_Authentication.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.3.5. Gebruik Kerberos authenticatie</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Server_Security-Securing_NIS.html" title="2.2.3. Het beveiligen van NIS"/><link rel="prev" href="sect-Security_Guide-Securing_NIS-Assign_Static_Ports_and_Use_iptables_Rules.html" title="2.2.3.4. Ken statische poorten toe en gebruik iptables regels"/><link rel="next" href="sect-Security_Guide-Server_Security-Securing_NFS.html" title="2.2.4. NFS beveiligen"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><im
 g src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_NIS-Assign_Static_Ports_and_Use_iptables_Rules.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security-Securing_NFS.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_NIS-Use_Kerberos_Authentication">2.2.3.5. Gebruik Kerberos authenticatie</h4></div></div></div><div class="para">
				Een van de problemen te overwegen als NIS gebruikt wordt voor authenticatie is dat telkens als een gebruiker inlogt op een machine, een wachtwoord hash van de <code class="filename">/etc/shadow</code> map verstuurd wordt over het netwerk. Als een indringer toegang krijgt tot een NIS domein en het netwerkverkeer besnuffelt, kan deze gebruikersnamen en wachtwoord hashes verzamelen. Met genoeg tijd, kan een wachtwoord kraakprogramma zwakke wachtwoorden raden, en een aanvaller kan toegang krijgen tot een geldig account op het netwerk.
			</div><div class="para">
				Omdat Kerberos geheime-sleutel versleuteling gebruikt, worden nooit wachtwoord hashes over het netwerk verstuurd, wat het systeem veel veiliger maakt. Refereer naar <a class="xref" href="sect-Security_Guide-Kerberos.html" title="2.6. Kerberos">ParagraafÂ 2.6, â€œKerberosâ€</a> voor meer informatie over Kerberos.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_NIS-Assign_Static_Ports_and_Use_iptables_Rules.html"><strong>Terug</strong>2.2.3.4. Ken statische poorten toe en gebruik ipt...</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security-Securing_NFS.html"><strong>Volgende</strong>2.2.4. NFS beveiligen</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Securing_NIS-Use_a_Password_like_NIS_Domain_Name_and_Hostname.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.3.2. Gebruik een NIS domeinnaan en hostnaam die lijkt op een wachtwoord</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Server_Security-Securing_NIS.html" title="2.2.3. Het beveiligen van NIS"/><link rel="prev" href="sect-Security_Guide-Server_Security-Securing_NIS.html" title="2.2.3. Het beveiligen van NIS"/><link rel="next" href="sect-Security_Guide-Securing_NIS-Edit_the_varypsecurenets_File.html" title="2.2.3.3. Bewerk het /var/yp/securenets bestand"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedora
 project.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security-Securing_NIS.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_NIS-Edit_the_varypsecurenets_File.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_NIS-Use_a_Password_like_NIS_Domain_Name_and_Hostname">2.2.3.2. Gebruik een NIS domeinnaan en hostnaam die lijkt op een wachtwoord</h4></div></div></div><div class="para">
				Elke machine binnen een NIS domein kan commando's gebruiken om informatie te achterhalen van de server zonder autheticatie, mits de gebruiker de DNS hostnaam van de server en de NIS domeinnaam weet.
			</div><div class="para">
				Bijvoorbeeld, als iemand of een laptop computer met het netwerk verbindt of van buiten in het netwerk inbreekt (en er inslaagt om een intern IP adres te vervalsen), laat het volgende commando de <code class="command">/etc/passwd</code> map zien:
			</div><pre class="screen">ypcat -d <em class="replaceable"><code><NIS_domein></code></em> -h <em class="replaceable"><code><DNS_hostnaam></code></em> passwd
</pre><div class="para">
				Als deze aanvaller de root gebruiker is, kan deze het <code class="command">/etc/shadow</code> bestand verkrijgen met het volgende commando:
			</div><pre class="screen">ypcat -d <em class="replaceable"><code><NIS_domein></code></em> -h <em class="replaceable"><code><DNS_hostnaam></code></em> shadow
</pre><div class="note"><h2>Opmerking</h2><div class="para">
					Als Kerberos wordt gebruikt, wordt het <code class="command">/etc/shadow</code> bestand niet bewaard in een NIS map.
				</div></div><div class="para">
				Om toegang tot NIS mappen moeilijker te maken voor een aanvaller, maak je een DNS hostnaam bestaande uit willekeurige karakters, zoals <code class="filename">o7hfawtgmhwg.domain.com</code>. Maak op dezelfde manier een <span class="emphasis"><em>andere</em></span> willekeurige NIS domeinnaam. Dit maakt het veel moeilijker voor een aanvaller om toegang te krijgen tot de NIS server.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security-Securing_NIS.html"><strong>Terug</strong>2.2.3. Het beveiligen van NIS</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_NIS-Edit_the_varypsecurenets_File.html"><strong>Volgende</strong>2.2.3.3. Bewerk het /var/yp/securenets bestand</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Securing_Portmap-Protect_portmap_With_iptables.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.2.2. Bescherm portmap met iptables</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Server_Security-Securing_Portmap.html" title="2.2.2. Portmap beveiligen"/><link rel="prev" href="sect-Security_Guide-Server_Security-Securing_Portmap.html" title="2.2.2. Portmap beveiligen"/><link rel="next" href="sect-Security_Guide-Server_Security-Securing_NIS.html" title="2.2.3. Het beveiligen van NIS"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="D
 ocumentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security-Securing_Portmap.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security-Securing_NIS.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_Portmap-Protect_portmap_With_iptables">2.2.2.2. Bescherm portmap met iptables</h4></div></div></div><div class="para">
				Om verdere toegang tot de <code class="command">portmap</code> service te beperken, is het een goed idee om iptables regels toe te voegen aan de server en de toegang te beperken tot specifieke netwerken.
			</div><div class="para">
				Hieronder zijn twee voorbeeld iptables commando's. De eerste staat TCP verbindingen toe naar poort 111 (gebruikt door de <code class="command">portmap</code> service) vanaf het 192.168.0.0/24 netwerk. De tweede staat TCP verbindingen toe naar dezelfde poort vanaf de localhost. Dit is nodig voor de <code class="command">sgi_fam</code> service gebruikt door <span class="application"><strong>Nautilus</strong></span>. Alle andere pakketten worden genegeerd.
			</div><pre class="screen">iptables -A INPUT -p tcp -s! 192.168.0.0/24 --dport 111 -j DROP
iptables -A INPUT -p tcp -s 127.0.0.1  --dport 111 -j ACCEPT
</pre><div class="para">
				Om op dezelfde manier UDP verkeer te beperken, gebruik je het volgende commando.
			</div><pre class="screen">iptables -A INPUT -p udp -s! 192.168.0.0/24  --dport 111 -j DROP
</pre><div class="note"><h2>Opmerking</h2><div class="para">
					Refereer naar <a class="xref" href="sect-Security_Guide-Firewalls.html" title="2.8. Firewalls">ParagraafÂ 2.8, â€œFirewallsâ€</a> voor meer informatie over het maken van firewalls met iptables commando's.
				</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security-Securing_Portmap.html"><strong>Terug</strong>2.2.2. Portmap beveiligen</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security-Securing_NIS.html"><strong>Volgende</strong>2.2.3. Het beveiligen van NIS</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Securing_Sendmail-Mail_only_Users.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.7.3. Alleen-mail gebruikers</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Server_Security-Securing_Sendmail.html" title="2.2.7. Sendmail beveiligen"/><link rel="prev" href="sect-Security_Guide-Securing_Sendmail-NFS_and_Sendmail.html" title="2.2.7.2. NFS en Sendmail"/><link rel="next" href="sect-Security_Guide-Server_Security-Verifying_Which_Ports_Are_Listening.html" title="2.2.8. Het verifieren van welke poorten luisteren"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common
 _Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_Sendmail-NFS_and_Sendmail.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security-Verifying_Which_Ports_Are_Listening.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_Sendmail-Mail_only_Users">2.2.7.3. Alleen-mail gebruikers</h4></div></div></div><div class="para">
				Om uitbuitingen door locale gebruikers van de Sendmail server te helpen voorkomen, is het het beste dat mail gebruikers alleen toegang hebben tot de Sendmail server door het gebruik van een email programma. Shell account moeten op de mail server niet toegelaten worden en alle gebruikers in het <code class="filename">/etc/passwd</code> bestand moeten ingesteld worden met <code class="command">/sbin/nologin</code> (met de root gebruiker als mogelijke uitzondering).
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_Sendmail-NFS_and_Sendmail.html"><strong>Terug</strong>2.2.7.2. NFS en Sendmail</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security-Verifying_Which_Ports_Are_Listening.html"><strong>Volgende</strong>2.2.8. Het verifieren van welke poorten luisteren</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Securing_Sendmail-NFS_and_Sendmail.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.7.2. NFS en Sendmail</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Server_Security-Securing_Sendmail.html" title="2.2.7. Sendmail beveiligen"/><link rel="prev" href="sect-Security_Guide-Server_Security-Securing_Sendmail.html" title="2.2.7. Sendmail beveiligen"/><link rel="next" href="sect-Security_Guide-Securing_Sendmail-Mail_only_Users.html" title="2.2.7.3. Alleen-mail gebruikers"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Docu
 mentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security-Securing_Sendmail.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_Sendmail-Mail_only_Users.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_Sendmail-NFS_and_Sendmail">2.2.7.2. NFS en Sendmail</h4></div></div></div><div class="para">
				Plaats de mail spool map, <code class="filename">/var/spool/mail/</code>, nooit in een NFS gedeelde volume.
			</div><div class="para">
				Omdat NFSv2 and NFSv3 geen controle onderhouden van gebruikers en groeps ID's, kunnen twee of meer gebruikers dezelfde UID hebben en kunnen elkaars mail ontvangen en lezen.
			</div><div class="note"><h2>Opmerking</h2><div class="para">
					Met het gebruik van Kerberos door NFSv4 is dit hier niet het geval, omdat de <code class="filename">SECRPC_GSS</code> kernel module geen op UID gebaseerde authenticatie gebruikt. Het wordt echter nog steeds als een goede praktijk beschouwd on de mail spool map <span class="emphasis"><em>niet</em></span> op een NFS gedeelde volume te plaatsen.
				</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security-Securing_Sendmail.html"><strong>Terug</strong>2.2.7. Sendmail beveiligen</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_Sendmail-Mail_only_Users.html"><strong>Volgende</strong>2.2.7.3. Alleen-mail gebruikers</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Security_Updates.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.5. Beveiligings vernieuwingen</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="chap-Security_Guide-Security_Overview.html" title="Hoofdstuk 1. Beveiligings overzicht"/><link rel="prev" href="sect-Security_Guide-Common_Exploits_and_Attacks.html" title="1.4. Veel voorkomende uitbuitingen en aanvallen"/><link rel="next" href="sect-Security_Guide-Updating_Packages-Verifying_Signed_Packages.html" title="1.5.2. Ondertekende pakketten verifiÃ«ren"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Conten
 t/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Common_Exploits_and_Attacks.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Updating_Packages-Verifying_Signed_Packages.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Security_Updates">1.5. Beveiligings vernieuwingen</h2></div></div></div><div class="para">
		Als beveiligings kwetsbaarheden ontdekt worden, moet de betreffende software vernieuwd worden om elk potentieel beveiligings risico te beperken. Als de software onderdeel is van een pakket in de Fedora distributie die op dat moment ondersteund wordt, heeft Fedora zich verplicht om zo spoedig mogelijk vernieuwde pakketten vrij te geven die de kwetsbaarheid repareren. Vaak gaan aankondigingen van een bepaalde beveiligings uitbuiting gepaard met een correctie (of bron code die het probleen repareert). Deze correctie wordt dan toegepast in het Fedora pakket, getest, en vrijgegeven als een errata vernieuwing. Als de aankondiging echter geen correctie bevat, werkt een ontwikkelaar eerst samen met de onderhouder van de software om het probleem op te lossen. Zodra het probleem opgelost is, wordt het pakket getest en vrijgegeven als een errata vernieuwing.
	</div><div class="para">
		Als een errata vernieuwing wordt vrijgegeven voor software die op je systeem gebruikt wordt, wordt het ten sterkste aanbevolen dat je de betreffende pakketten zo spoeding mogelijk vernieuwt om de tijdsduur dat je systeem potentieel kwetsbaar is te minimaliseren.
	</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Security_Updates-Updating_Packages">1.5.1. Pakketten vernieuwen</h3></div></div></div><div class="para">
			Als je pakketten op een systeem vernieuwt, is het belangrijk om de vernieuwing te dowloaden van een vertrouwde bron. Een aanvaller kan een pakket eenvoudig opnieuw bouwen met hetzelfde versie nummer als het pakket dat verondersteld wordt om het probleem op te lossen, maar met een andere beveiligings uitbuiting en dit vrijgeven op het Internet. Als dit gebeurt, wordt de uitbuiting niet ontdekt met veiligheids maatregelen zoals het vergelijken van bestanden met de originele RPM. Het is dus erg belangrijk om RPM's alleen te downloaden van vertrouwde bronnen, zoals van Fedora, en de ondertekening van het pakket te controleren op zijn integriteit.
		</div><div class="note"><h2>Opmerking</h2><div class="para">
				Fedora bevat een handig paneel icoon dat zichtbare waarschuwingen laat zien als er een vernieuwing is voor een Fedora systeem.
			</div></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Common_Exploits_and_Attacks.html"><strong>Terug</strong>1.4. Veel voorkomende uitbuitingen en aanvallen</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Updating_Packages-Verifying_Signed_Packages.html"><strong>Volgende</strong>1.5.2. Ondertekende pakketten verifiÃ«ren</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Server_Security-Securing_FTP.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.6. FTP beveiligen</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Server_Security.html" title="2.2. Server beveiliging"/><link rel="prev" href="sect-Security_Guide-Server_Security-Securing_the_Apache_HTTP_Server.html" title="2.2.5. De Apache HTTP server beveiligen"/><link rel="next" href="sect-Security_Guide-Securing_FTP-Anonymous_Access.html" title="2.2.6.2. Anonieme toegang"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentati
 on Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security-Securing_the_Apache_HTTP_Server.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_FTP-Anonymous_Access.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Server_Security-Securing_FTP">2.2.6. FTP beveiligen</h3></div></div></div><div class="para">
			Het <em class="firstterm">File Transfer Protocol</em> (<abbr class="abbrev">FTP</abbr>) is een ouder TCP protocol ontworpen voor het overbrengen van bestanden over een netwerk. Omdat alle transacties met de server, inclusief gebruikers authenticatie, onversleuteld zijn, wordt het beschouwd als een onveilig protocol en moet het zorgvuldig ingesteld worden.
		</div><div class="para">
			Fedora levert drie FTP servers.
		</div><div class="itemizedlist"><ul><li><div class="para">
					<code class="command">gssftpd</code> â€” Een ftp daemon gebaseerd op <code class="command">xinetd</code> en bewust van Kerberos, die geen authenticatie informatie over het netwerk verstuurt.
				</div></li><li><div class="para">
					<span class="application"><strong>Red Hat Content Accelerator</strong></span> (<code class="command">tux</code>) â€” Een kernel-ruimte Web server met FTP mogelijkheden.
				</div></li><li><div class="para">
					<code class="command">vsftpd</code> â€” Een op zich staande, op veiligheid georienteerde uitvoering van de FTP service.
				</div></li></ul></div><div class="para">
			De volgende beveiligingsrichtlijnen gelden voor het instellen van de <code class="command">vsftpd</code> FTP service.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_FTP-FTP_Greeting_Banner">2.2.6.1. FTP begroetings koptekst</h4></div></div></div><div class="para">
				Voordat een gebruikersnaam en wachtwoord verstuurd worden, krijgen alle gebruikers een begroetings koptekst. Standaard bevat deze koptekst versie informatie die nuttig is voor crackers om te proberen zwaktes in een systeem te identificeren.
			</div><div class="para">
				Om de begroetings koptekst voor <code class="command">vsftpd</code> te veranderen, voeg je de volgende instructie toe aan het <code class="filename">/etc/vsftpd/vsftpd.conf</code> bestand:
			</div><pre class="screen">ftpd_banner=<em class="replaceable"><code><vul_hier_begroeting_in></code></em>
</pre><div class="para">
				Vervang <em class="replaceable"><code><vul_hier_begroeting_in></code></em> in bovenstaande instructie met de tekst van de begroetingsboodschap.
			</div><div class="para">
				Voor kopteksten met meerdere regels, is het het beste om een kopstekst bestand te gebruiken. Om het beheer van meerdere kopteksten te vereenvoudigen, plaats je alle kopteksten in een nieuwe map met de naam <code class="filename">/etc/banners/</code>. Het koptekst bestand voor FTP verbindingen is in dit voorbeeld <code class="filename">/etc/banners/ftp.msg</code>. Hieronder is een voorbeeld hoe zo'n bestand er uit kan zien:
			</div><pre class="screen">######### # Hallo, alle activiteit op ftp.example.com wordt gelogged. #########
</pre><div class="note"><h2>Opmerking</h2><div class="para">
					Het is niet nodig om elke regel van het bestand te beginnen met <code class="command">220</code> zoals opgegeven is in <a class="xref" href="sect-Security_Guide-Server_Security.html#sect-Security_Guide-Enhancing_Security_With_TCP_Wrappers-TCP_Wrappers_and_Connection_Banners" title="2.2.1.1.1. TCP wrappers en verbindings banners">ParagraafÂ 2.2.1.1.1, â€œTCP wrappers en verbindings bannersâ€</a>.
				</div></div><div class="para">
				Om deze begroetings koptekst te koppelen aan <code class="command">vsftpd</code>, voeg je de volgende instructie toe aan het <code class="filename">/etc/vsftpd/vsftpd.conf</code> bestand:
			</div><pre class="screen">banner_file=/etc/banners/ftp.msg
</pre><div class="para">
				Het is ook mogelijk om extra kopteksten te sturen naar binnenkomende verbindingen die TCP wrappers gebruiken zoals beschreve in <a class="xref" href="sect-Security_Guide-Server_Security.html#sect-Security_Guide-Enhancing_Security_With_TCP_Wrappers-TCP_Wrappers_and_Connection_Banners" title="2.2.1.1.1. TCP wrappers en verbindings banners">ParagraafÂ 2.2.1.1.1, â€œTCP wrappers en verbindings bannersâ€</a>.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security-Securing_the_Apache_HTTP_Server.html"><strong>Terug</strong>2.2.5. De Apache HTTP server beveiligen</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_FTP-Anonymous_Access.html"><strong>Volgende</strong>2.2.6.2. Anonieme toegang</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Server_Security-Securing_NFS.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.4. NFS beveiligen</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Server_Security.html" title="2.2. Server beveiliging"/><link rel="prev" href="sect-Security_Guide-Securing_NIS-Use_Kerberos_Authentication.html" title="2.2.3.5. Gebruik Kerberos authenticatie"/><link rel="next" href="sect-Security_Guide-Securing_NFS-Beware_of_Syntax_Errors.html" title="2.2.4.2. Let op syntax fouten"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documen
 tation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_NIS-Use_Kerberos_Authentication.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_NFS-Beware_of_Syntax_Errors.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Server_Security-Securing_NFS">2.2.4. NFS beveiligen</h3></div></div></div><div class="important"><h2>Belangrijk</h2><div class="para">
				De versie van NFS in Fedora, NFSv4, heeft de <code class="command">portmap</code> service niet langer nodig zoals aangegeven is in <a class="xref" href="sect-Security_Guide-Server_Security-Securing_Portmap.html" title="2.2.2. Portmap beveiligen">ParagraafÂ 2.2.2, â€œPortmap beveiligenâ€</a>. NFS verkeer gebruikt nu TCP in alle versies, in plaats van UDP, en vereist dit als NFSv4 gebruikt wordt. NFSv4 bevat nu Kerberos gebruiker en groep authenticatie, als onderdeel van de <code class="filename">RPCSEC_GSS</code> kernel module. Informatie over <code class="command">portmap</code> wordt nog steeds gegeven, omdat Fedora NFSv2 en NFSv3 ondersteunt, welke beide <code class="command">portmap</code> nog gebruiken.
			</div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_NFS-Carefully_Plan_the_Network">2.2.4.1. Plan het netwerk zorgvuldig</h4></div></div></div><div class="para">
				Nu NFSv4 de mogelijkheid heeft om alle informatie met gebruik van Kerberos versleuteld over een netwerk te versturen, is het belangrijk dat de service correct ingesteld wordt als het achter een firewall of in een verdeeld netwerk is. NFSv2 en NFSv3 geven data nog steeds onveilig door, en dit moet in gedachte worden gehouden. Zorgvuldig netwerk ontwerp in al deze opzichten kunnen beveiligings inbreuken helpen voorkomen.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_NIS-Use_Kerberos_Authentication.html"><strong>Terug</strong>2.2.3.5. Gebruik Kerberos authenticatie</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_NFS-Beware_of_Syntax_Errors.html"><strong>Volgende</strong>2.2.4.2. Let op syntax fouten</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Server_Security-Securing_NIS.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.3. Het beveiligen van NIS</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Server_Security.html" title="2.2. Server beveiliging"/><link rel="prev" href="sect-Security_Guide-Securing_Portmap-Protect_portmap_With_iptables.html" title="2.2.2.2. Bescherm portmap met iptables"/><link rel="next" href="sect-Security_Guide-Securing_NIS-Use_a_Password_like_NIS_Domain_Name_and_Hostname.html" title="2.2.3.2. Gebruik een NIS domeinnaan en hostnaam die lijkt op een wachtwoord"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://d
 ocs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_Portmap-Protect_portmap_With_iptables.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_NIS-Use_a_Password_like_NIS_Domain_Name_and_Hostname.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Server_Security-Securing_NIS">2.2.3. Het beveiligen van NIS</h3></div></div></div><div class="para">
			Het <em class="firstterm">Network Information Service</em> (<acronym class="acronym">NIS</acronym>) is een RPC service, <code class="command">ypserv</code> genaamd, welke wordt gebruikt in combinatie met <code class="command">portmap</code> en andere gerelateerde services om overzichten van gebruikersnamen, wachtwoorden en andere gevoelige informatie te verspreiden naar elke computer die beweert zich binnen het domein te bevinden.
		</div><div class="para">
			Een NIS server wordt opgebouwd met verscheidene toepassingen. Ze omvatten de volgende:
		</div><div class="itemizedlist"><ul><li><div class="para">
					<code class="command">/usr/sbin/rpc.yppasswdd</code> â€” Ook de <code class="command">yppasswdd</code> service genoemd, deze daemon staat gebruikers toe om hun NIS wachtwoorden te veranderen.
				</div></li><li><div class="para">
					<code class="command">/usr/sbin/rpc.ypxfrd</code> â€” Ook de <code class="command">ypxfrd</code> service genoemd, deze daemon is verantwoordelijk voor NIS map verplaatsingen over het netwerk.
				</div></li><li><div class="para">
					<code class="command">/usr/sbin/yppush</code> â€” Deze toepassing geeft veranderde NIS databases door aan meerdere NIS servers.
				</div></li><li><div class="para">
					<code class="command">/usr/sbin/ypserv</code> â€” Dit is de NIS server daemon.
				</div></li></ul></div><div class="para">
			NIS is een beetje onveilig naar de hedendaagse standaarden. Het heeft geen host authenticatie mechanisme en verstuurt alle informatie onversleuteld over het netwerk, inclusief wachtwoord hashes. Daarom moet bijzondere zorg in acht genomen worden bij het opzetten van een netwerk dat NIS gebruikt. Dit wordt verder ingewikkeld gemaakt door het feit dat de standaard instelling van NIS inherent onveilig is.
		</div><div class="para">
			Het wordt aanbevolden om iedereen die van plan is een NIS server te maken, eerst de <code class="command">portmap</code> service beveiligt zoals aangegeven in <a class="xref" href="sect-Security_Guide-Server_Security-Securing_Portmap.html" title="2.2.2. Portmap beveiligen">ParagraafÂ 2.2.2, â€œPortmap beveiligenâ€</a>, en daarna de volgende zaken beschouwt, zoals netwerk planning.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_NIS-Carefully_Plan_the_Network">2.2.3.1. Plan het netwerk zorgvuldig</h4></div></div></div><div class="para">
				Omdat NIS gevoelige informatie onversleuteld over het netwerk verstuurt, is het belangrijk dat de service achter een firewall en op een opgedeeld en veilig netwerk draait. Telkens wanneer NIS informatie over een onveilig netwerk wordt verstuurd, loopt het een risico om onderschept te worden. Zorgvuldig netwerk ontwerp kan ernstige beveiligings schendingen helpen voorkomen
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_Portmap-Protect_portmap_With_iptables.html"><strong>Terug</strong>2.2.2.2. Bescherm portmap met iptables</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_NIS-Use_a_Password_like_NIS_Domain_Name_and_Hostname.html"><strong>Volgende</strong>2.2.3.2. Gebruik een NIS domeinnaan en hostnaam d...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Server_Security-Securing_Portmap.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.2. Portmap beveiligen</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Server_Security.html" title="2.2. Server beveiliging"/><link rel="prev" href="sect-Security_Guide-Server_Security.html" title="2.2. Server beveiliging"/><link rel="next" href="sect-Security_Guide-Securing_Portmap-Protect_portmap_With_iptables.html" title="2.2.2.2. Bescherm portmap met iptables"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a>
 </p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_Portmap-Protect_portmap_With_iptables.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Server_Security-Securing_Portmap">2.2.2. Portmap beveiligen</h3></div></div></div><div class="para">
			De <code class="command">portmap</code> service is een dynamische poort toekennings daemon voor RPC services zoals NIS en NFS. Het heeft zwakke authenticatie mechanismes en heeft de mogelijkheid om een brede reeks poorten toe te kennen aan de services die het controleert. Om deze redenen is het moeilijk te beveiligen.
		</div><div class="note"><h2>Opmerking</h2><div class="para">
				<code class="command">Portmap</code> beveiligen heeft alleen effect voor NFSv2 en NFSv3 implementaties, omdat NFSv4 het niet langer nodig heeft. Als je van plan bent om een NFSv2 of NFSv3 server te maken, is <code class="command">portmap</code> vereist, en is de volgende paragraaf van toepassing.
			</div></div><div class="para">
			Als je RPC services draait, volg dan deze basis regels.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_Portmap-Protect_portmap_With_TCP_Wrappers">2.2.2.1. Bescherm portmap met TCP wrappers</h4></div></div></div><div class="para">
				Het is belangrijk om TCP wrappers te gebruiken om te beperken welke netwerken of hosts toegang hebben tot de <code class="command">portmap</code> service omdat het geen ingebouwde vorm van authenticatie bevat.
			</div><div class="para">
				Gebruik verder <span class="emphasis"><em>alleen</em></span> IP adressen om toegang tot de server te beperken. Vermijd het gebruik van hostnamen, omdat ze vervalst kunnen worden door DNS vergiftiging en andere methodes.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security.html"><strong>Terug</strong>2.2. Server beveiliging</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_Portmap-Protect_portmap_With_iptables.html"><strong>Volgende</strong>2.2.2.2. Bescherm portmap met iptables</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Server_Security-Securing_Sendmail.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.7. Sendmail beveiligen</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Server_Security.html" title="2.2. Server beveiliging"/><link rel="prev" href="sect-Security_Guide-Securing_FTP-Use_TCP_Wrappers_To_Control_Access.html" title="2.2.6.4. Gebruik TCP wrappers om toegang te controleren"/><link rel="next" href="sect-Security_Guide-Securing_Sendmail-NFS_and_Sendmail.html" title="2.2.7.2. NFS en Sendmail"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_ri
 ght.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_FTP-Use_TCP_Wrappers_To_Control_Access.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_Sendmail-NFS_and_Sendmail.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Server_Security-Securing_Sendmail">2.2.7. Sendmail beveiligen</h3></div></div></div><div class="para">
			Sendmail is een Mail Transfer Agent (MTA) die het Simple Mail Transfer Protocol (SMTP) gebruikt om electronische boodschappen te bezorgen naar andere MTA's en naar email clienten of afleveringsagenten. Hoewel vele MTA's hun verkeer kunnen versleutelen, doen de meeste dit niet, dus het versturen van email over alle publieke netwerken wordt als een inherent onveilige manier van communicatie beschouwd.
		</div><div class="para">
			Het wordt aanbevolen dat iedereen die van plan is een Sendmail server te maken aandacht geeft aan de volgende punten.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_Sendmail-Limiting_a_Denial_of_Service_Attack">2.2.7.1. Het beperken van een service weigerings aanval</h4></div></div></div><div class="para">
				Door de aard van email, kan een vastbesloten aanvaller de server gemakkelijk met mail overspoelen en zo een service weigering veroorzaken. Door limieten in te stellen voor de volgende instructies in <code class="filename">/etc/mail/sendmail.mc</code>, wordt de effectiviteit van zulke aanvallen beperkt.
			</div><div class="itemizedlist"><ul><li><div class="para">
						<code class="command">confCONNECTION_RATE_THROTTLE</code> â€” Het aantal verbindingen die de server per seconde kan ontvangen. Standaard heeft Sendmail geen limiet op het aantal verbindingen. Als een limiet ingesteld is en bereikt wordt, worden verdere verbindingen vertraagd.
					</div></li><li><div class="para">
						<code class="command">confMAX_DAEMON_CHILDREN</code> â€” Het maximale aantal child processen die de server kan opstarten. Standaard kent Sendmail geen limiet toe aan het aantal child processen. Als een limiet ingesteld is en bereikt wordt, worden verdere verbindingen vertraagd.
					</div></li><li><div class="para">
						<code class="command">confMIN_FREE_BLOCKS</code> â€” Het minimale aantal vrije blokken die beschikbaar moet zijn voor de server om mail te accepteren. De standaard is 100 blokken.
					</div></li><li><div class="para">
						<code class="command">confMAX_HEADERS_LENGTH</code> â€” De maximaal aanvaardbare grootte (in bytes) van een bericht koptekst.
					</div></li><li><div class="para">
						<code class="command">confMAX_MESSAGE_SIZE</code> â€” De maximaal aanvaardbare grootte (in bytes) voor een enkel bericht.
					</div></li></ul></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_FTP-Use_TCP_Wrappers_To_Control_Access.html"><strong>Terug</strong>2.2.6.4. Gebruik TCP wrappers om toegang te contr...</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Securing_Sendmail-NFS_and_Sendmail.html"><strong>Volgende</strong>2.2.7.2. NFS en Sendmail</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Server_Security-Securing_the_Apache_HTTP_Server.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.5. De Apache HTTP server beveiligen</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Server_Security.html" title="2.2. Server beveiliging"/><link rel="prev" href="sect-Security_Guide-Securing_NFS-NFS_Firewall_Configuration.html" title="2.2.4.4. NFS firewall instelling"/><link rel="next" href="sect-Security_Guide-Server_Security-Securing_FTP.html" title="2.2.6. FTP beveiligen"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation
  Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_NFS-NFS_Firewall_Configuration.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security-Securing_FTP.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Server_Security-Securing_the_Apache_HTTP_Server">2.2.5. De Apache HTTP server beveiligen</h3></div></div></div><div class="para">
			De Apache HTTP server is een van de meest stabiele en veilige services die meegeleverd worden met Fedora. Een groot aantal opties en technieken zijn beschikbaar om de Apache HTTP server te beveiligen â€” te veel om ze hier diepgaand te behandelen. De volgende paragraaf legt in het kort goede praktijken uit voor het draaien van de Apache HTTP server.
		</div><div class="para">
			Controleer altijd dat alle scripts die op het systeem draaien werken zoals bedoeld is <span class="emphasis"><em>voordat</em></span> je ze in gebruik neemt. Verzeker je er ook van dat alleen de root gebruiker schrijf rechten heeft in alle mappen die scripts of CGI's bevatten. Om dit te doen, voer je de volgende commando's uit als de root gebruiker:
		</div><div class="orderedlist"><ol><li><pre class="screen">chown root <em class="replaceable"><code><map_naam></code></em>
</pre></li><li><pre class="screen">chmod 755 <em class="replaceable"><code><map_naam></code></em>
</pre></li></ol></div><div class="para">
			Systeembeheerders moeten opletten als de volgende configuratie opties gebruikt worden (ingesteld in <code class="filename">/etc/httpd/conf/httpd.conf</code>):
		</div><div class="variablelist"><dl><dt><span class="term"><code class="option">FollowSymLinks</code></span></dt><dd><div class="para">
						Deze instructie is standaard aangezet, dus wees voorzichtig met het maken van symbolische links naar de document root van de Web server. Bijvoorbeeld, het is een slecht idee om een symbolische link naar <code class="filename">/</code> te maken.
					</div></dd><dt><span class="term"><code class="option">Indexes</code></span></dt><dd><div class="para">
						Deze instructie is standaard aangezet, maar kan dit kan ongewenst zijn. Om te voorkomen dat bezoekers door bestanden op de server bladeren, verwijder je deze instructie.
					</div></dd><dt><span class="term"><code class="option">UserDir</code></span></dt><dd><div class="para">
						De <code class="option">UserDir</code> instructie is standaard uitgezet omdat dit de aanwezigheid van een gebruikersaccount op het systeem kan bevestigen. Om het bladeren door gebruikersmappen op de server toe te staan, gebruik je de volgende instructies:
					</div><div class="para">

<pre class="screen">UserDir enabled
UserDir disabled root
</pre>
					</div><div class="para">
						Deze instructies activeren het bladeren door gebruikersmappen voor alle gebruikersmappen anders dan <code class="filename">/root/</code>. Om gebruikers toe te voegen aan de lijst uitgezette account, voeg je een door spaties gescheiden lijst van gebruikers toe aan de <code class="option">UserDir disabled</code> regel.
					</div></dd></dl></div><div class="important"><h2>Belangrijk</h2><div class="para">
				Verwijder de <code class="option">IncludesNoExec</code> instructie niet. Standaard kan de <em class="firstterm">Server-Side Includes</em> (<abbr class="abbrev">SSI</abbr>) module geen commando's uitvoeren. Het wordt aanbevolen dat je deze instelling niet verandert behalve als het obsoluut noodzakelijk is, om dat het in potentie een aanvaller in staat stelt om commando's op het systeem uit te voeren.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_NFS-NFS_Firewall_Configuration.html"><strong>Terug</strong>2.2.4.4. NFS firewall instelling</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security-Securing_FTP.html"><strong>Volgende</strong>2.2.6. FTP beveiligen</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Server_Security-Verifying_Which_Ports_Are_Listening.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2.8. Het verifieren van welke poorten luisteren</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Server_Security.html" title="2.2. Server beveiliging"/><link rel="prev" href="sect-Security_Guide-Securing_Sendmail-Mail_only_Users.html" title="2.2.7.3. Alleen-mail gebruikers"/><link rel="next" href="sect-Security_Guide-Single_Sign_on_SSO.html" title="2.3. Eenmalig inschrijven (Single sign-on - SSO)"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png
 " alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_Sendmail-Mail_only_Users.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Single_Sign_on_SSO.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Server_Security-Verifying_Which_Ports_Are_Listening">2.2.8. Het verifieren van welke poorten luisteren</h3></div></div></div><div class="para">
			Na het instellen van de netwerk services, is het belangrijk om aandacht te geven naar welke poorten van de interfaces van het netwerk van het systeem feitelijk geluisterd wordt.
		</div><div class="para">
			Er zijn twee basis benaderingen voor het opsommen van de poorten die luisteren op het netwerk. De minst betrouwbare benadering is het bevragen van de netwerk status stack met gebruik van commando's zoals <code class="command">netstat -an</code> of <code class="command">lsof -i</code>. Deze methode is minder betrouwbaar omdat deze programma's niet met de machine verbinden vanaf het netwerk, maar in plaats daarvan controleren wat er op de server draait. Om deze reden zijn deze toepassingen vaak doelen voor aanvallers. Crackers proberen hun sporen te verbergen als ze ongeoorloofde poorten openen door het vervangen van <code class="command">netstat</code> en <code class="command">lsof</code> met hun eigen, veranderde versies.
		</div><div class="para">
			Een meer betrouwbare manier om te controleren welke poorten op het netwerk luisteren is om een poort scanner te gebruiken zoals <code class="command">nmap</code>.
		</div><div class="para">
			Het volgende comando uitgevoerd vanaf de console bepaalt welke poorten luisteren naar TCP verbindingen op het netwerk:
		</div><pre class="screen">nmap -sT -O localhost
</pre><div class="para">
			De output van dit commando is als volgt:
		</div><pre class="screen">Starting Nmap 4.68 ( http://nmap.org ) at 2009-03-06 12:08 EST
Interesting ports on localhost.localdomain (127.0.0.1):
Not shown: 1711 closed ports
PORT      STATE SERVICE
22/tcp    open  ssh 
25/tcp    open  smtp
111/tcp   open  rpcbind
113/tcp   open  auth
631/tcp   open  ipp
834/tcp   open  unknown
2601/tcp  open  zebra
32774/tcp open  sometimes-rpc11
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.17 - 2.6.24
Uptime: 4.122 days (since Mon Mar  2 09:12:31 2009)
Network Distance: 0 hops
OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 1.420 seconds
</pre><div class="para">
			Deze output laat zien dat het systeem <code class="command">portmap</code> draait door de aanwezigheid van de <code class="computeroutput">sunrpc</code> service. Er is echter ook een geheimzinnige service op poort 834. Om te controleren of de poort verbonden is met de officiele lijst van bekende services, type je:
		</div><pre class="screen">cat /etc/services | grep 834
</pre><div class="para">
			Dit commando geeft geen output terug. Dit geeft aan dat hoewel de poort zich in een gereserveerde reeks bevindt (0 tot en met 1024) en root toegang nodig heeft om geopend te worden, het niet verbonden is met een bekende service.
		</div><div class="para">
			Vervolgens zoeken we naar informatie met het gebruik van <code class="command">netstat</code> of <code class="command">lsof</code> Om poort 834 te controleren met <code class="command">netstat</code>, gebruik je het volgende commando:
		</div><pre class="screen">netstat -anp | grep 834
</pre><div class="para">
			Het commando geeft de volgende output terug:
		</div><pre class="screen">tcp   0    0 0.0.0.0:834    0.0.0.0:*   LISTEN   653/ypbind
</pre><div class="para">
			De aanwezigheid van de open poort in <code class="command">netstat</code> is geruststellend omdat een cacker die een poort op een gekraakt systeem stiekem opent het niet zal toestaan dat dit ontdekt wordt met dit commando. De <code class="option">[p]</code> optie laat ook het proces ID (PID) zien van de service die de poort opende. In dit geval behoort de open poort toe aan <code class="command">ypbind</code> (<abbr class="abbrev">NIS</abbr>), wat een <abbr class="abbrev">RPC</abbr> service is die in combinatie met de <code class="command">portmap</code> service afgehandeld wordt.
		</div><div class="para">
			Het <code class="command">lsof</code> commando laat soortgelijke informatie zien als <code class="command">netstat</code> omdat het ook in staat is om open poorten te verbinden met services:
		</div><pre class="screen">lsof -i | grep 834
</pre><div class="para">
			Het relevante gedeelte van de output van dit commando is:
		</div><pre class="screen">ypbind      653        0    7u  IPv4       1319                 TCP *:834 (LISTEN)
ypbind      655        0    7u  IPv4       1319                 TCP *:834 (LISTEN)
ypbind      656        0    7u  IPv4       1319                 TCP *:834 (LISTEN)
ypbind      657        0    7u  IPv4       1319                 TCP *:834 (LISTEN)
</pre><div class="para">
			Deze gereedschappen laten veel zien over de status van services die op een machine draaien. Deze gereedschappen zijn flexibel en bieden een schat van informatie over netwerk services en instellingen. Refereer naar de manual pagina's voor <code class="command">lsof</code>, <code class="command">netstat</code>, <code class="command">nmap</code>, en <code class="filename">services</code> voor meer informatie.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Securing_Sendmail-Mail_only_Users.html"><strong>Terug</strong>2.2.7.3. Alleen-mail gebruikers</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Single_Sign_on_SSO.html"><strong>Volgende</strong>2.3. Eenmalig inschrijven (Single sign-on - SSO)</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Server_Security.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.2. Server beveiliging</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="chap-Security_Guide-Securing_Your_Network.html" title="Hoofdstuk 2. Je netwerk beveiligen"/><link rel="prev" href="chap-Security_Guide-Securing_Your_Network.html" title="Hoofdstuk 2. Je netwerk beveiligen"/><link rel="next" href="sect-Security_Guide-Server_Security-Securing_Portmap.html" title="2.2.2. Portmap beveiligen"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/
 ></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="chap-Security_Guide-Securing_Your_Network.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security-Securing_Portmap.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Server_Security">2.2. Server beveiliging</h2></div></div></div><div class="para">
		Als een systeem wordt gebruikt als een server op een publiek netwerk, wordt het een doel voor aanvallen. Het versterken van het systeem en afsluiten van services is daarom van groot belang voor de systeembeheerder.
	</div><div class="para">
		Voordat we ingaan op specifieke zaken, bekijken we eerste de volgende algemene aanwijzingen voor het verbeteren van de beveiliging van een server:
	</div><div class="itemizedlist"><ul><li><div class="para">
				Houd alle services bij de tijd om ze te beschermen tegen de nieuwste bedreigingen.
			</div></li><li><div class="para">
				Gebruik waar mogelijk veilige protocollen.
			</div></li><li><div class="para">
				Lever slechts een type netwerk service per machine waar mogelijk.
			</div></li><li><div class="para">
				Bewaak alle servers zorgvuldig voor verdachte activiteit.
			</div></li></ul></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Server_Security-Securing_Services_With_TCP_Wrappers_and_xinetd">2.2.1. Het beveiligen van services met TCP wrappers en xinetd</h3></div></div></div><div class="para">
			<em class="firstterm">TCP wrappers</em> bieden toegangscontrole voor een groot aantal services. De meeste moderne netwerk services, zoals SSH, Telnet, en FTP, gebruiken TCP wrappers, die de wacht houden tussen een binnenkomend verzoek en de gevraagde service.
		</div><div class="para">
			De voordelen geboden door TCP wrappers worden versterkt als ze samengaan met <code class="command">xinetd</code>, een super service die extra toegangs, logging, verbindings, omleidings, en hulpbron gebruiks controle biedt.
		</div><div class="note"><h2>Opmerking</h2><div class="para">
				Het is een goed idee om iptables firewall regels te gebruiken samen met TCP wrappers en <code class="command">xinetd</code> om redundantie te maken voor service toegangscontrole. Refereer naar <a class="xref" href="sect-Security_Guide-Firewalls.html" title="2.8. Firewalls">ParagraafÂ 2.8, â€œFirewallsâ€</a> meer informatie over het maken van firewalls met iptables commando's.
			</div></div><div class="para">
			De volgende paragrafen veronderstellen een basis kennis van ieder onderwerp en richten zich op specifieke beveiligings opties.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_Services_With_TCP_Wrappers_and_xinetd-Enhancing_Security_With_TCP_Wrappers">2.2.1.1. Het verbeteren van beveiliging met TCP wrappers</h4></div></div></div><div class="para">
				TCP wrappers kunnen veel meer dan het weigeren van toegang tot services. Deze paragraaf laat zien hoe ze gebruikt kunnen worden om verbindings banners te sturen, te waarschuwen voor aanvallen van bepaalde hosts, en de logging functionaliteit te verbeteren. Refereer naar de <code class="filename">hosts_options</code> manula pagina voor informatie over de TCP wrapper functionaliteit en controle taal.
			</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Enhancing_Security_With_TCP_Wrappers-TCP_Wrappers_and_Connection_Banners">2.2.1.1.1. TCP wrappers en verbindings banners</h5></div></div></div><div class="para">
					Het laten zien van een geschikte banner als gebruikers verbinden met een service is een goede manier om potentiele aanvallers te laten weten dat de systeembeheerder waakzaam is. Je kunt ook bepalen welke informatie over het systeem aan gebruikers gepresenteerd wordt. Om een TCP wrapper banner te maken voor een service, gebruik je de <code class="option">banner</code> optie.
				</div><div class="para">
					Dit voorbeeld maakt een banner voor <code class="command">vsftpd</code>. Om te beginnen maak je een banner bestand. Het kan zich overal op het systeem bevinden, maar het moet dezelfde naam hebben als de daemon. Voor dit voorbeeld, wordt het bestand <code class="filename">/etc/banners/vsftpd</code> genoemd en bevat de volgende regel:
				</div><pre class="screen">220-Hello, %c 
220-All activity on ftp.example.com is logged.
220-Inappropriate use will result in your access privileges being removed.
</pre><div class="para">
					Het <code class="command">%c</code> symbool levert client informatie, zoals de gebruikersnaam en hostnaam, of de gebruikersnaam en IP adres om de verbinding nog intimiderender te maken.
				</div><div class="para">
					Om deze banner te laten zien voor binnenkomende verbindingen, voeg je de volgende regel toe aan het <code class="filename">/etc/hosts.allow</code> bestand:
				</div><pre class="screen"><code class="command"> vsftpd : ALL : banners /etc/banners/ </code>
</pre></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Enhancing_Security_With_TCP_Wrappers-TCP_Wrappers_and_Attack_Warnings">2.2.1.1.2. TCP wrappers en aanval waarschuwingen</h5></div></div></div><div class="para">
					Als een bepaalde host of netwerk is ontdekt die de server aanvalt, kunnen TCP wrappers worden gebruikt om de beheerder te waarschuwen voor volgende aanvallen van die host of dat netwerk met het gebruik van de <code class="command">spawn</code> instructie.
				</div><div class="para">
					In dit voorbeeld nemen we aan dat een cracker van het 206.182.68.0/24 netwerk is ondekt die probeerde de server aan te vallen. Plaats de volgende regel in het <code class="filename">/etc/hosts.deny</code> bestand om alle verbindingspogingen van dat netwerk te verbieden, en log de pogingen in een speciaal bestand:
				</div><pre class="screen"><code class="command"> ALL : 206.182.68.0 : spawn /bin/ 'date' %c %d >> /var/log/intruder_alert </code>
</pre><div class="para">
					Het <code class="command">%d</code> symbool levert de naam van de service waarnaar de aanvaller toegang probeert te krijgen.
				</div><div class="para">
					Om de verbinding toe te staan en het te loggen, plaats je de <code class="command">spawn</code> instructie in het <code class="filename">/etc/hosts.allow</code> bestand.
				</div><div class="note"><h2>Opmerking</h2><div class="para">
						Omdat de <code class="command">spawn</code> instructie elk shell commando uitvoert, is het een goed idee om een speciaal script te maken om de beheerder te waarschuwen of een aantal commando's uit te voeren in het geval dat een bepaalde client probeert met de server te verbinden.
					</div></div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Enhancing_Security_With_TCP_Wrappers-TCP_Wrappers_and_Enhanced_Logging">2.2.1.1.3. TCP wrappers en verbeterde logging</h5></div></div></div><div class="para">
					Als bepaalde types verbindingen van meer belang zijn dan andere, kan het log niveau verhoogd worden voor die service door de <code class="command">severity</code> optie te gebruiken.
				</div><div class="para">
					Voor dit voorbeeld nemen we aan dat iedereen die probeert met poort 23 (Telnet) te verbinden op een FTP server een cracker is. Om dit aan te geven, plaats je een <code class="command">emerg</code> vlag in de log bestanden in plaats van de standaard vlag, <code class="command">info</code>, en je verbiedt de verbinding.
				</div><div class="para">
					Om dit te doen plaats je de volgende regel in <code class="filename">/etc/hosts.deny</code>:
				</div><pre class="screen"><code class="command"> in.telnetd : ALL : severity emerg </code>
</pre><div class="para">
					Dit gebruikt de standaard <code class="command">authpriv</code> logging faciliteit, maar verhoogt de prioriteit van de standaard waarde <code class="command">info</code> naar <code class="command">emerg</code>, welke de log boodschappen rechtstreeks naar de console stuurt.
				</div></div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Securing_Services_With_TCP_Wrappers_and_xinetd-Enhancing_Security_With_xinetd">2.2.1.2. Beveiliging verbeteren met xinetd</h4></div></div></div><div class="para">
				Deze paragraaf richt zich op het gebruik van <code class="command">xinetd</code> om een valluik service in te stellen en het te gebruiken om hulpbron niveau's te controleren die beschikbaar zijn voor een gegeven <code class="command">xinetd</code> service. Het instellen van hulpbron limieten kan helpen <em class="firstterm">Weigering van service</em> (<acronym class="acronym">DoS</acronym>) aanvallen af te slaan. Refereer naar de manual pagina's voor <code class="command">xinetd</code> en <code class="filename">xinetd.conf</code> voor een lijst van beschikbare opties.
			</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Enhancing_Security_With_xinetd-Setting_a_Trap">2.2.1.2.1. Het instellen van een valluik</h5></div></div></div><div class="para">
					Een belangrijke eigenschap van <code class="command">xinetd</code> is de mogelijkheid om hosts toe te voegen aan een globale <code class="filename">no_access</code> lijst. Hosts op die lijst wordt het verboden om latere verbindingen te maken naar services die beheerd worden door <code class="command">xinetd</code> voor een specifieke periode of totdat <code class="command">xinetd</code> opnieuw is gestart. Je kunt dit doen door de <code class="command">SENSOR</code> atribuut te gebruiken. Dit is een eenvoudige manier om hosts te blokkeren die proberen om de poorten van de server te scannen.
				</div><div class="para">
					De eerste stap in het instellen van een <code class="command">SENSOR</code> is een service te kiezen die je niet van plan bent te gebruiken. Voor dit voorbeeld wordt Telnet gebruikt.
				</div><div class="para">
					Bewerk het bestand <code class="filename">/etc/xinetd.d/telnet</code> en verander de <code class="option">flags</code> regel in:
				</div><pre class="screen">flags           = SENSOR
</pre><div class="para">
					Voeg de volgende regel toe:
				</div><pre class="screen">deny_time       = 30
</pre><div class="para">
					Dit verbiedt verdere vebindings pogingen naar die poort voor die host gedurende 30 minuten. Andere mogelijke waarden voor de <code class="command">deny_time</code> attribuut zijn FOREVER, welke het verbod laat duren totdat <code class="command">xinetd</code> opnieuw is opgestart, en NEVER, die de verbinding toestaat en het logt.
				</div><div class="para">
					De laatste regel moet tenslotte zijn:
				</div><pre class="screen">disable         = no
</pre><div class="para">
					Dit zet de valluik zelf aan.
				</div><div class="para">
					Terwijl het gebruik van <code class="option">SENSOR</code> een goede manier is om verbindingen van ongewenste hosts te detecteren en te stoppen, heeft het twee nadelen:
				</div><div class="itemizedlist"><ul><li><div class="para">
							Het werkt niet tegen heimelijke scans.
						</div></li><li><div class="para">
							Een aanvaller die weet dat een <code class="option">SENSOR</code> draait kan een Weigering van service aanval opzetten tegen bepaalde hosts door hun IP adressen te vervalsen en te verbinden met de verboden poort.
						</div></li></ul></div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Enhancing_Security_With_xinetd-Controlling_Server_Resources">2.2.1.2.2. De hulpbronnen van de server controleren</h5></div></div></div><div class="para">
					Een andere belangrijke eigenschap van <code class="command">xinetd</code> is de mogelijkheid om hulpbron limieten in te stellen voor de services die het controleert.
				</div><div class="para">
					Dit gebeurt met de volgende instructies:
				</div><div class="itemizedlist"><ul><li><div class="para">
							<code class="option">cps = <number_of_connections> <wait_period></code> â€” Beperkt de snelheid van binnenkomende verbindingen. Deze instructie heeft twee argumenten:
						</div><div class="itemizedlist"><ul><li><div class="para">
									<code class="option"><number_of_connections></code> â€” Het aantal verbindingen per seconde die behandeld worden. Als de snelheid van de binnenkomende verbindingen hoger wordt, wordt de service tijdelijk uitgezet. De standaard waarde is vijftig (50).
								</div></li><li><div class="para">
									<code class="option"><wait_period></code> â€” Het aantal seconden die gewacht wordt totdat de service weer aangezet wordt nadat het is uitgezet. Het standaard interval is tien (10) seconden.
								</div></li></ul></div></li><li><div class="para">
							<code class="option">instances = <number_of_connections></code> â€” Specificeert het totale aantal verbindingen die toegstaan zijn voor een service. Deze instructie acceptert een geheel getal of <code class="command">UNLIMITED</code>.
						</div></li><li><div class="para">
							<code class="option">per_source = <number_of_connections></code> â€” Specificeert het aantal verbindingen toegestaan naar een service voor iedere host. Deze instructie accepteert een geheel getal of <code class="command">UNLIMITED</code>.
						</div></li><li><div class="para">
							<code class="option">rlimit_as = <number[K|M]></code> â€” Specificeert de hoeveelheid geheugen adres ruimte die de service kan bezetten in kilobytes of megabytes. Deze instructie accepteert een geheel getal of <code class="command">UNLIMITED</code>.
						</div></li><li><div class="para">
							<code class="option">rlimit_cpu = <number_of_seconds></code> â€” Specificeert de tijd in seconden die een service magen vragen van de CPU. Deze instructie accepteert een geheel getal of <code class="command">UNLIMITED</code>.
						</div></li></ul></div><div class="para">
					Het gebruiken van deze instructies kan helpen voorkomen dat een enkel <code class="command">xinetd</code> service het systeem overspoelt, resulterende in een weigering van service.
				</div></div></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="chap-Security_Guide-Securing_Your_Network.html"><strong>Terug</strong>Hoofdstuk 2. Je netwerk beveiligen</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Server_Security-Securing_Portmap.html"><strong>Volgende</strong>2.2.2. Portmap beveiligen</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Single_Sign_on_SSO-Configuring_Firefox_to_use_Kerberos_for_SSO.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.3.5. Het instellen van Firefox om Kerberos te gebruiken voor SSO</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Single_Sign_on_SSO.html" title="2.3. Eenmalig inschrijven (Single sign-on - SSO)"/><link rel="prev" href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Login_Works.html" title="2.3.4. Hoe werkt inloggen met een Smart Card"/><link rel="next" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html" title="2.4. Pluggable Authentication Modules (PAM)"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" h
 ref="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Login_Works.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Single_Sign_on_SSO-Configuring_Firefox_to_use_Kerberos_for_SSO">2.3.5. Het instellen van Firefox om Kerberos te gebruiken voor SSO</h3></div></div></div><div class="para">
			Je kunt Firefox instellen om Kerberos te gebruiken voor eenmalig inschrijven. Om dit correct te laten werken, moet je jouw web browser instellen om jouw Kerberos legitimatie naar de juiste <abbr class="abbrev">KDC</abbr> te sturen. De volgende paragraaf beschrijft de configuratie veranderingen en andere vereisten om dit te bereiken.
		</div><div class="orderedlist"><ol><li><div class="para">
					In de adresbalk van Firefox type je <strong class="userinput"><code>about:config</code></strong> om de lijst van de huidige configuratie opties te laten zien.
				</div></li><li><div class="para">
					In het <span class="guilabel"><strong>Filter</strong></span> veld type je <strong class="userinput"><code>negotiate</code></strong> om de lijst van opties te beperken.
				</div></li><li><div class="para">
					Dubbel-klik op de <span class="emphasis"><em>network.negotiate-auth.trusted-uris</em></span> regel om de <span class="emphasis"><em>Voer stringwaarde in</em></span> dialoog op te roepen.
				</div></li><li><div class="para">
					Vul de naam van het domein in voor welke je wilt authenticeren, bijvoorbeeld, <em class="replaceable"><code>.example.com</code></em>.
				</div></li><li><div class="para">
					Herhaal het bovenstaande voor de <span class="emphasis"><em>network.negotiate-auth.delegation-uris</em></span> regel en gebruik hetzelfde domein.
				</div><div class="para">
					<div class="note"><h2>Opmerking</h2><div class="para">
							Je kunt deze waarde leeg laten omdat het Kerberos kaartjes doorgeven toestaat, wat niet vereist is.
						</div><div class="para">
							Als je deze twee configuratie opties niet ziet, is je Firefox versie misschien te oud om Negotiate authenticatie te ondersteunen, en moet je een upgrade overwegen.
						</div></div>
				</div></li></ol></div><div class="figure" id="figu-Security_Guide-Configuring_Firefox_to_use_Kerberos_for_SSO-Configuring_Firefox_for_SSO_with_Kerberos"><div class="figure-contents"><div class="mediaobject"><img src="images/fed-firefox_kerberos_SSO.png" alt="Het instellen van Firefox voor SSO met Kerberos"/><div class="longdesc"><div class="para">
						Het instellen van Firefox om Kerberos te gebruiken voor SSO
					</div></div></div></div><h6>Figuur 2.6. Het instellen van Firefox voor SSO met Kerberos</h6></div><br class="figure-break"/><div class="para">
			Je moet er nu zeker van zijn dat je Kerberos kaartjes hebt. Op de commando regel type je <code class="command">kinit</code> om Kerberos kaartjes op te halen. Om de lijst van beschikbare kaartjes te laten zien, type je <code class="command">klist</code>. Het volgende geeft een voorbeeld output van deze commando's:
		</div><pre class="screen">[user at host ~] $ kinit
Password for user at EXAMPLE.COM:

[user at host ~] $ klist
Ticket cache: FILE:/tmp/krb5cc_10920
Default principal: user at EXAMPLE.COM

Valid starting     Expires            Service principal
10/26/06 23:47:54  10/27/06 09:47:54  krbtgt/USER.COM at USER.COM
        renew until 10/26/06 23:47:54

Kerberos 4 ticket cache: /tmp/tkt10920
klist: You have no tickets cached
</pre><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Configuring_Firefox_to_use_Kerberos_for_SSO-Troubleshooting">2.3.5.1. Foutzoeken</h4></div></div></div><div class="para">
				Als je de configuratie stappen hierboven hebt opgevolgd en Negotiate authenticatie werkt niet, kun je uitgebreide logging van het authenticatie proces aanzetten. Dit kan je helpen om de oorzaak van het probleem te vinden. Om uitgebreide logging aan te zetten, gebruik je de volgende procedure:
			</div><div class="orderedlist"><ol><li><div class="para">
						Sluit alle instantiaties van Firefox.
					</div></li><li><div class="para">
						Open een commando shell, en type de volgende commando's:
					</div><pre class="screen">export NSPR_LOG_MODULES=negotiateauth:5
export NSPR_LOG_FILE=/tmp/moz.log
</pre></li><li><div class="para">
						Start Firefox opnieuw op <span class="emphasis"><em>in die shell</em></span>, en bezoek de website waar authenticatie eerder niet lukte. Informatie zal opgeslagen worden in <code class="filename">/tmp/moz.log</code>, en kan je misschien een idee geven over het probleem. Bijvoorbeeld:
					</div><pre class="screen">-1208550944[90039d0]: entering nsNegotiateAuth::GetNextToken()
-1208550944[90039d0]: gss_init_sec_context() failed: Miscellaneous failure
No credentials cache found
</pre><div class="para">
						Dit geeft aan de je geen Kerberos kaartjes hebt, en je moet <code class="command">kinit</code> uitvoeren.
					</div></li></ol></div><div class="para">
				Als je <code class="command">kinit</code> succesvol op je machine kunt uitvoeren maar je kunt geen authenticatie uitvoeren, zul je misschien zoiets als het volgende in het log bestand zien:
			</div><pre class="screen">-1208994096[8d683d8]: entering nsAuthGSSAPI::GetNextToken()
-1208994096[8d683d8]: gss_init_sec_context() failed: Miscellaneous failure
Server not found in Kerberos database
</pre><div class="para">
				Dit geeft in het algemeen een Kerberos configuratie probleem aan. Wees er zeker van dat je de correcte regels in het [domain_realm] gedeelte van het <code class="filename">/etc/krb5.conf</code> bestand hebt. Bijvoorbeeld:
			</div><pre class="screen">.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM
</pre><div class="para">
				Als er niets in de log verschijnt dan is het mogelijk dat je achter een proxy zit, en dat de proxy de HTTP kopteksten verwijdert die nodig zijn voor Negotiate authenticatie. Als noodoplossing, kun je proberen om met de server te verbinden met gebruik van HTTPS, welke het verzoek om onveranderd door te geven zal toestaan. Ga dan verder met het foutzoeken met het logbestand, zoals hierboven aangegeven.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Login_Works.html"><strong>Terug</strong>2.3.4. Hoe werkt inloggen met een Smart Card</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html"><strong>Volgende</strong>2.4. Pluggable Authentication Modules (PAM)</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Single_Sign_on_SSO-Getting_Started_with_your_new_Smart_Card.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.3.2. Beginnen met je nieuwe Smart Card</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Single_Sign_on_SSO.html" title="2.3. Eenmalig inschrijven (Single sign-on - SSO)"/><link rel="prev" href="sect-Security_Guide-Single_Sign_on_SSO.html" title="2.3. Eenmalig inschrijven (Single sign-on - SSO)"/><link rel="next" href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Enrollment_Works.html" title="2.3.3. Hoe werkt het in gebruik nemen van een Smart Card"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedor
 aproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Single_Sign_on_SSO.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Enrollment_Works.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Single_Sign_on_SSO-Getting_Started_with_your_new_Smart_Card">2.3.2. Beginnen met je nieuwe Smart Card</h3></div></div></div><div class="para">
			Voordat je jouw smart card kunt gebruiken om in te loggen op je systeem en voordeel te hebben van de verbeterde beveiligings opties die deze technologie biedt, moet je eerst een paar basis installatie en configuratie stappen uitvoeren. Deze zijn hieronder beschreven.
		</div><div class="note"><h2>Opmerking</h2><div class="para">
				Deze paragraaf biedt een hoog-niveau overzicht om te beginnen met je smart card. Meer gedetaileerde informatie is beschikbaar in de Red Hat Certificate System Enterprise Security Client Guide.
			</div></div><div class="procedure"><ol class="1"><li><div class="para">
					Log in met je Kerberos naam en wachtwoord
				</div></li><li><div class="para">
					Wees er zeker van dat je het <code class="filename">nss-tools</code> pakket geladen hebt
				</div></li><li><div class="para">
					Download en installeer de root certificaten voor jouw onderneming. Gebruik het volgende commando in de root CA certificaat te installeren:
				</div><pre class="screen">certutil -A -d /etc/pki/nssdb -n "root ca cert" -t "CT,C,C" -i ./ca_cert_in_base64_format.crt
</pre></li><li><div class="para">
					Controleer dat de volgende RPM's op je systeem geinstalleerd zijn: esc, pam_pkcs11, coolkey, ifd-egate, ccid, gdm, authconfig, en authconfig-gtk.
				</div></li><li><div class="para">
					Zet Smart Card login ondersteuning aan
				</div><ol class="a"><li><div class="para">
							In de GNOME menu balk selecteer je Systeem->Beheer->Authenticatie
						</div></li><li><div class="para">
							Type het root wachtwoord van de machine in, indien nodig.
						</div></li><li><div class="para">
							In de Authenticatie configureren dialoog, klik je op de <span class="guilabel"><strong>Authenticatie</strong></span> tab.
						</div></li><li><div class="para">
							Selecteer het <span class="guilabel"><strong>SmartCar-ondersteuning aanzetten</strong></span> vakje.
						</div></li><li><div class="para">
							Klik op de <span class="guibutton"><strong>SmartCard configureren...</strong></span> knop om de SmartCard-instellingen dialoog te laten zien, specificeer de gewenste instellingen:
						</div><div class="para">
							<div class="itemizedlist"><ul><li><div class="para">
										<span class="guilabel"><strong>SmartCard vereist voor inloggen</strong></span> â€” Deselecteer dit vakje. Nadat je succesvol ingelogd hebt met je smart card kun je deze optie selecteren om te voorkomen dat andere gebruikers inloggen zonder smart card.
									</div></li><li><div class="para">
										<span class="guilabel"><strong>Card verwijderen actie</strong></span> â€” Dit bepaalt wat er gebeurt als je de smart card verwijdert nadat je ingelogd hebt. De beschikbare opties zijn:
									</div><div class="para">
										<div class="itemizedlist"><ul><li><div class="para">
													<span class="guilabel"><strong>Vergrendelen</strong></span> â€” Het verwijderen de smart card blokkeert het X scherm
												</div></li><li><div class="para">
													<span class="guilabel"><strong>Negeren</strong></span> â€” Het verwijderen
												</div></li></ul></div>
									</div></li></ul></div>
						</div></li></ol></li><li><div class="para">
					Als je het Online Certificate Status Protocol (<abbr class="abbrev">OCSP</abbr>) moet aanzetten, open je het <code class="filename">/etc/pam_pkcs11/pam_pkcs11.conf</code> bestand, en je zoekt de volgende regel:
				</div><div class="para">
					<code class="command">enable_ocsp = false;</code>
				</div><div class="para">
					Verander deze waarde naar true, als volgt:
				</div><div class="para">
					<code class="command">enable_ocsp = true;</code>
				</div></li><li><div class="para">
					Neem je smart card in dienst
				</div></li><li><div class="para">
					Als je een CAC card gebruikt, moet je ook de volgende stappen uitvoeren:
				</div><ol class="a"><li><div class="para">
							Verander naar de root account en maak een bestand aan met de naam <code class="filename">/etc/pam_pkcs11/cn_map</code>.
						</div></li><li><div class="para">
							Voeg de volgende regel toe aan het <code class="filename">cn_map</code> bestand:
						</div><div class="para">
							<em class="replaceable"><code>MY.CAC_CN.123454</code></em> -> <em class="replaceable"><code>mijnloginid</code></em>
						</div><div class="para">
							waarin <em class="replaceable"><code>MY.CAC_CN.123454</code></em>de Common Name op jouw CAC is en <em class="replaceable"><code>mijnloginid</code></em> je UNIX login ID is.
						</div></li></ol></li><li><div class="para">
					Log uit
				</div></li></ol></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Getting_Started_with_your_new_Smart_Card-Troubleshooting">2.3.2.1. Foutzoeken</h4></div></div></div><div class="para">
				Als je problemen hebt om je smart card werkend te krijgen, probeer je het volgende commando om de bron van het probleen te localiseren:
			</div><pre class="screen">pklogin_finder debug
</pre><div class="para">
				Als je het <code class="command">pklogin_finder</code> gereedschap in de debug mode draait terwijl een in dienst genomen smart card ingebracht is, probeert het informatie te geven over de geldigheid van de certificaten, en als dat lukt probeert het een login ID te koppelen aan de certificaten op de card.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Single_Sign_on_SSO.html"><strong>Terug</strong>2.3. Eenmalig inschrijven (Single sign-on - SSO)</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Enrollment_Works.html"><strong>Volgende</strong>2.3.3. Hoe werkt het in gebruik nemen van een Sma...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Enrollment_Works.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.3.3. Hoe werkt het in gebruik nemen van een Smart Card</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Single_Sign_on_SSO.html" title="2.3. Eenmalig inschrijven (Single sign-on - SSO)"/><link rel="prev" href="sect-Security_Guide-Single_Sign_on_SSO-Getting_Started_with_your_new_Smart_Card.html" title="2.3.2. Beginnen met je nieuwe Smart Card"/><link rel="next" href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Login_Works.html" title="2.3.4. Hoe werkt inloggen met een Smart Card"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class
 ="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Single_Sign_on_SSO-Getting_Started_with_your_new_Smart_Card.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Login_Works.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Enrollment_Works">2.3.3. Hoe werkt het in gebruik nemen van een Smart Card</h3></div></div></div><div class="para">
			Smart cards zijn <em class="firstterm">in gebruik genomen</em> als ze een juist certificaat hebben ontvangen die is ondertekend door een geldige Certificaat Authoriteit (<abbr class="abbrev">CA</abbr>). Dit houdt verschillende stappen in, hieronder beschreven:
		</div><div class="orderedlist"><ol><li><div class="para">
					De gebruiker stopt zijn smart card in de smart card lezer van zijn werkstation. Deze actie wordt herkend door de Enterprise Security Client (<abbr class="abbrev">ESC</abbr>).
				</div></li><li><div class="para">
					De in gebruik name pagina wordt getoond op het bureaublad van de gebruiker. De gebruiker vult de vereiste details in en het systeem van de gebruiker verbindt daarna met het Token Processing System (<abbr class="abbrev">TPS</abbr>) en de <abbr class="abbrev">CA</abbr>.
				</div></li><li><div class="para">
					De <abbr class="abbrev">TPS</abbr> neemt de smart card in gebruik met een certificaat getekend door de <abbr class="abbrev">CA</abbr>.
				</div></li></ol></div><div class="figure" id="figu-Security_Guide-How_Smart_Card_Enrollment_Works-How_Smart_Card_Enrollment_Works"><div class="figure-contents"><div class="mediaobject"><img src="images/SCLoginEnrollment.png" alt="Hoe werkt het in gebruik nemen van een Smart Card"/><div class="longdesc"><div class="para">
						Hoe werkt Smart Card ingebruikname
					</div></div></div></div><h6>Figuur 2.4. Hoe werkt het in gebruik nemen van een Smart Card</h6></div><br class="figure-break"/></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Single_Sign_on_SSO-Getting_Started_with_your_new_Smart_Card.html"><strong>Terug</strong>2.3.2. Beginnen met je nieuwe Smart Card</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Login_Works.html"><strong>Volgende</strong>2.3.4. Hoe werkt inloggen met een Smart Card</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Login_Works.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.3.4. Hoe werkt inloggen met een Smart Card</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Single_Sign_on_SSO.html" title="2.3. Eenmalig inschrijven (Single sign-on - SSO)"/><link rel="prev" href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Enrollment_Works.html" title="2.3.3. Hoe werkt het in gebruik nemen van een Smart Card"/><link rel="next" href="sect-Security_Guide-Single_Sign_on_SSO-Configuring_Firefox_to_use_Kerberos_for_SSO.html" title="2.3.5. Het instellen van Firefox om Kerberos te gebruiken voor SSO"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png
 " alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Enrollment_Works.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Single_Sign_on_SSO-Configuring_Firefox_to_use_Kerberos_for_SSO.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Login_Works">2.3.4. Hoe werkt inloggen met een Smart Card</h3></div></div></div><div class="para">
			Deze paragraaf geeft een kort overzicht van het inloggen met gebruik van een smart card.
		</div><div class="orderedlist"><ol><li><div class="para">
					als de gebruiker zijn smart card in de smart card lezer stopt, dan wordt deze actie herkend door de PAM faciliteit, die de gebruiker naar zijn PIN vraagt.
				</div></li><li><div class="para">
					Het systeem zoekt dan de huidige certificaten van de gebruiker op en verifieert de geldigheid hiervan. Het certificaat wordt daarna afgebeeld op de UID van de gebruiker.
				</div></li><li><div class="para">
					Dit wordt bekrachtigd door de KDC en inloggen wordt toegestaan.
				</div></li></ol></div><div class="figure" id="figu-Security_Guide-How_Smart_Card_Login_Works-How_Smart_Card_Login_Works"><div class="figure-contents"><div class="mediaobject"><img src="images/SCLogin.png" alt="Hoe werkt inloggen met een Smart Card"/><div class="longdesc"><div class="para">
						Hoe werkt inloggen met een Smart Card
					</div></div></div></div><h6>Figuur 2.5. Hoe werkt inloggen met een Smart Card</h6></div><br class="figure-break"/><div class="note"><h2>Opmerking</h2><div class="para">
				Je kunt niet inloggen met een smart card die niet in gebruik genomen is, zelfs als deze al geformatteerd is. Je moet inloggen met een geformatteerde, in gebruik genomen card, of geen smart card gebruiken, voordat je een nieuwe card in gebruik kunt nemen.
			</div></div><div class="para">
			Refereer naar <a class="xref" href="sect-Security_Guide-Kerberos.html" title="2.6. Kerberos">ParagraafÂ 2.6, â€œKerberosâ€</a> en <a class="xref" href="sect-Security_Guide-Pluggable_Authentication_Modules_PAM.html" title="2.4. Pluggable Authentication Modules (PAM)">ParagraafÂ 2.4, â€œPluggable Authentication Modules (PAM)â€</a> voor meer informatie over Kerberos en <acronym class="acronym">PAM</acronym>.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Single_Sign_on_SSO-How_Smart_Card_Enrollment_Works.html"><strong>Terug</strong>2.3.3. Hoe werkt het in gebruik nemen van een Sma...</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Single_Sign_on_SSO-Configuring_Firefox_to_use_Kerberos_for_SSO.html"><strong>Volgende</strong>2.3.5. Het instellen van Firefox om Kerberos te g...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Single_Sign_on_SSO.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.3. Eenmalig inschrijven (Single sign-on - SSO)</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="chap-Security_Guide-Securing_Your_Network.html" title="Hoofdstuk 2. Je netwerk beveiligen"/><link rel="prev" href="sect-Security_Guide-Server_Security-Verifying_Which_Ports_Are_Listening.html" title="2.2.8. Het verifieren van welke poorten luisteren"/><link rel="next" href="sect-Security_Guide-Single_Sign_on_SSO-Getting_Started_with_your_new_Smart_Card.html" title="2.3.2. Beginnen met je nieuwe Smart Card"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right"
  href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security-Verifying_Which_Ports_Are_Listening.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Single_Sign_on_SSO-Getting_Started_with_your_new_Smart_Card.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Single_Sign_on_SSO">2.3. Eenmalig inschrijven (Single sign-on - SSO)</h2></div></div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Single_Sign_on_SSO-Introduction">2.3.1. Inleiding</h3></div></div></div><div class="para">
			De Fedora SSO functionaliteit reduceert het aantal keren dat Fedora bureaublad gebruikers hun wachtwoord moeten opgeven. Verscheidene belangrijke toepassingen gebruiken hetzelfde onderliggende authenticatie en autorisatie mechanisme zodat gebruikers op Fedora in kunnen loggen met het log-in scherm, en daarna hun wachtwoord niet opnieuw hoeven op te geven. Deze toepassingen worden hieronder beschreven.
		</div><div class="para">
			Bovendien kunnen gebruikers inloggen op hun machine zelfs als er geen netwerk is (<em class="firstterm">offline mode</em>) of als de netwerkverbinding onbetrouwbaar is, bijvoorbeeld draadloze toegang. In het laatste geval zullen services elegant afnemen.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Introduction-Supported_Applications">2.3.1.1. Ondersteunde toepassingen</h4></div></div></div><div class="para">
				De volgende toepassingen worden op dit moment ondersteund door het verenigde log-in systeem in Fedora:
			</div><div class="itemizedlist"><ul><li><div class="para">
						Login
					</div></li><li><div class="para">
						Screensaver
					</div></li><li><div class="para">
						Firefox en Thunderbird
					</div></li></ul></div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Introduction-Supported_Authentication_Mechanisms">2.3.1.2. Ondersteunde authenticatie mechanismes</h4></div></div></div><div class="para">
				Fedora ondersteunt op dit moment de volgende authenticatie mechanismes:
			</div><div class="itemizedlist"><ul><li><div class="para">
						Kerberos naam/wachtwoord login
					</div></li><li><div class="para">
						Smart card/PIN login
					</div></li></ul></div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Introduction-Supported_Smart_Cards">2.3.1.3. Ondersteunde Smart Cards</h4></div></div></div><div class="para">
				Fedora is getest met de Cyberflex e-gate card en lezer, maar elke kaart die voldoet aan zowel Java card 2.1.1 als Global Platform 2.0.1 specificaties moet correct werken, evenals elke lezer die ondersteund wordt door PCSC-lite.
			</div><div class="para">
				Fedora is ook getest met Common Access Cards (CAC). De ondersteunde lezer voor CAC is de SCM SCR 331 USB Reader.
			</div><div class="para">
				Sinds Fedora 5.2 worden Gemalto smart cards (Cyberflex Access 64k v2, standaard met DER SHA1 waarde ingesteld als in PKCSI v2.1) ondersteund. Deze smart cards zijn nu lezer compatibel met Chip/Smart Card Interface Devices (CCID).
			</div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Introduction-Advantages_of_PROD_Single_Sign_on">2.3.1.4. Voordelen van Fedora eenmalig inschrijven</h4></div></div></div><div class="para">
				Op dit moment bestaan er vele beveiligings mechanismes die een groot aantal protocollen en bewaarplaatsen voor legitimatie gebruiken. Voorbeelden zijn SSL, SSH, IPsec, en Kerberos. Fedora SSO heeft als doel om deze systemen te verenigen om de hierboven getoonde vereisten te ondersteunen. Dit betekent niet dat Kerberos vervangen wordt door X.509v3 certificaten, maar meer ze te fuseren om de last te verlichten van zowel systeem gebruikers als de beheerders die deze beheren.
			</div><div class="para">
				Om dit doel te bereiken heeft Fedora:
			</div><div class="itemizedlist"><ul><li><div class="para">
						Een enkele, gedeelde instantiatie van de NSS crypto bibliotheken voor ieder operating systeem.
					</div></li><li><div class="para">
						Het Certificate System's Enterprise Security Client (ESC) met het basis operating systeem. De ESC toepassing bewaakt smart card transacties. Als het ontdekt dat een gebruiker een smart card heeft gebruikt die ontworpen was om gebruikt te worden met het Fedora Certificate System server product, laat het een gebruikers interface zien met instructies om die smart card in dienst te nemen.
					</div></li><li><div class="para">
						Kerberos en NSS verenigd zodat gebruikers die inloggen op het operating systeem met gebruik van een smart card ook een Kerberos legitimatie krijgen (die hen toestaat om in te loggen op de bestand server, enz.)
					</div></li></ul></div></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Server_Security-Verifying_Which_Ports_Are_Listening.html"><strong>Terug</strong>2.2.8. Het verifieren van welke poorten luisteren</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Single_Sign_on_SSO-Getting_Started_with_your_new_Smart_Card.html"><strong>Volgende</strong>2.3.2. Beginnen met je nieuwe Smart Card</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Software_Maintenance-Install_Signed_Packages_from_Well_Known_Repositories.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>6.4. Installeer ondertekende pakketten van goed bekende repositories</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="chap-Security_Guide-Software_Maintenance.html" title="Hoofdstuk 6. Software onderhoud"/><link rel="prev" href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates-Adjusting_Automatic_Updates.html" title="6.3. Het aanpassen van automatische vernieuwingen"/><link rel="next" href="chap-Security_Guide-References.html" title="Hoofdstuk 7. Referenties"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://do
 cs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates-Adjusting_Automatic_Updates.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="chap-Security_Guide-References.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Software_Maintenance-Install_Signed_Packages_from_Well_Known_Repositories">6.4. Installeer ondertekende pakketten van goed bekende repositories</h2></div></div></div><div class="para">
			Software pakketten worden verspreid met behulp van repositories. Alle bekende repositories ondersteunen pakket ondertekening. Pakket ondertekening gebruikt publieke sleutel technologie om te bewijzen dat het pakket dat verspreid wordt door de repositorie niet veranderd is nadat de ondertekening was aangebracht. Dit biedt enige becherming tegen het installeren van software die kwaadwillig veranderd kan zijn nadat het pakket is gemaakt maar voordat jij het downloadt.
		</div><div class="para">
			Het gebruiken van te veel repositories, onvertrouwde repositories, of repositories met niet ondertekende pakketten heeft een hoger risico voor het introduceren van kwaadwillige of kwetsbare code op je systeem. Wees voorzichtig als je repositories toevoegt aan yum/software vernieuwing.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates-Adjusting_Automatic_Updates.html"><strong>Terug</strong>6.3. Het aanpassen van automatische vernieuwingen</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="chap-Security_Guide-References.html"><strong>Volgende</strong>Hoofdstuk 7. Referenties</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates-Adjusting_Automatic_Updates.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>6.3. Het aanpassen van automatische vernieuwingen</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="chap-Security_Guide-Software_Maintenance.html" title="Hoofdstuk 6. Software onderhoud"/><link rel="prev" href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates.html" title="6.2. Het plannen en configureren van beveiligingsvernieuwingen"/><link rel="next" href="sect-Security_Guide-Software_Maintenance-Install_Signed_Packages_from_Well_Known_Repositories.html" title="6.4. Installeer ondertekende pakketten van goed bekende repositories"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images
 /image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Software_Maintenance-Install_Signed_Packages_from_Well_Known_Repositories.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates-Adjusting_Automatic_Updates">6.3. Het aanpassen van automatische vernieuwingen</h2></div></div></div><div class="para">
			Fedora is ingesteld om alle vernieuwingen op een dagelijkse basis toe te passen. Als je wilt veranderen hoe je systeem vernieuwingen installeert moet je dit doen met de '''Software-bijwerkvoorkeuren'''. Je kunt onder andere instellen, het schema, het type vernieuwingen toe te passen of je bericht geven van beschikbare vernieuwingen.
		</div><div class="para">
			In Gnome kunt je jouw vernieuwingen controleren met <code class="code">Systeem -> Voorkeuren -> Software Updates</code>. In KDE met: <code class="code">Toepassingen -> Instellingen -> Software Updates</code>.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates.html"><strong>Terug</strong>6.2. Het plannen en configureren van beveiligings...</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Software_Maintenance-Install_Signed_Packages_from_Well_Known_Repositories.html"><strong>Volgende</strong>6.4. Installeer ondertekende pakketten van goed b...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>6.2. Het plannen en configureren van beveiligingsvernieuwingen</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="chap-Security_Guide-Software_Maintenance.html" title="Hoofdstuk 6. Software onderhoud"/><link rel="prev" href="chap-Security_Guide-Software_Maintenance.html" title="Hoofdstuk 6. Software onderhoud"/><link rel="next" href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates-Adjusting_Automatic_Updates.html" title="6.3. Het aanpassen van automatische vernieuwingen"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href
 ="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="chap-Security_Guide-Software_Maintenance.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates-Adjusting_Automatic_Updates.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates">6.2. Het plannen en configureren van beveiligingsvernieuwingen</h2></div></div></div><div class="para">
			Alle software bevat fouten. Vaak kunnen deze fouten resulteren in een kwetsbaarheid die je machine blootstelt aan kwaadwillige gebruikers. Niet gecorrigeerde systemen zijn een veel voorkomende oorzaak van computer indringingen. Je moet een plan hebben om beveiligings correcties tijdig aan te brengen om deze kwetsbaarheden te verwijderen zodat ze niet uitgebuit kunnen worden.
		</div><div class="para">
			Voor thuis gebruikers, moeten beveiligings correcties zo spoedig mogelijk geinstalleerd worden. Het instellen van automatische installatie van beveiligings vernieuwingen is een manier om er niet over na te hoeven denken, maar het heeft een klein risico dat iets een conflict met je instelling veroorzaakt of met andere software op je systeem.
		</div><div class="para">
			Voor zakelijke of gevorderde thuis gebruikers, moeten beveiligings vernieuwingen getest worden en ingepland voor installatie. Extra controles zullen gebruikt moeten worden om het systeem te beschermen gedurende de tijd tussen de vrijgave van de correctie en zijn installatie op het systeem. Deze controles zullen afhangen van de exacte kwetsbaarheid, maar kunnen onder andere extra firewall regels, het gebruik van externe firewalls, of veranderingen in de software instellingen inhouden.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="chap-Security_Guide-Software_Maintenance.html"><strong>Terug</strong>Hoofdstuk 6. Software onderhoud</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Software_Maintenance-Plan_and_Configure_Security_Updates-Adjusting_Automatic_Updates.html"><strong>Volgende</strong>6.3. Het aanpassen van automatische vernieuwingen</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-TCP_Wrappers_Configuration_Files-Option_Fields.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.2.2. Optie velden</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html" title="2.5.2. Configuratie bestanden voor TCP wrappers"/><link rel="prev" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html" title="2.5.2. Configuratie bestanden voor TCP wrappers"/><link rel="next" href="sect-Security_Guide-Option_Fields-Access_Control.html" title="2.5.2.2.2. Toegangs controle"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.
 fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Option_Fields-Access_Control.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-TCP_Wrappers_Configuration_Files-Option_Fields">2.5.2.2. Optie velden</h4></div></div></div><div class="para">
				Naast de basis regels die toegang toestaan en verbieden ondersteunt de Fedora implementatie van TCO wrappersw ook uitbreidingen in toe toegangs controle taal met behulp van <em class="firstterm">optie velden</em>. Door optie velden in host toegangs regels te gebruiken, kunnen systeembeheerders een groot aantal taken uitvoeren, zolas het veranderen van het log gedrag, de toegangscontrole versterken, en shell commando's opstarten.
			</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Option_Fields-Logging">2.5.2.2.1. Logging</h5></div></div></div><div class="para">
					Optie velden laten beheerders op eenvoudige manier de log mogelijkheden en het prioriteits niveau van een regel veranderen door de <code class="option">severity</code> instructie te gebruiken.
				</div><div class="para">
					In het volgende voorbeeld worden verbindingen naar de SSH daemon van elke host in het <code class="systemitem">example.com</code> domein gelogd naar de standaard <code class="option">authpriv</code> <code class="option">syslog</code> voorziening (omdat er geen voorzienings waarde is opgegeven) met een prioriteit van <code class="option">emerg</code>:
				</div><pre class="screen">sshd : .example.com : severity emerg
</pre><div class="para">
					Het is ook mogelijk om een voorziening op te geven met gebruik van de <code class="option">severity</code> optie. Het volgende voorbeeld logt elke SSH verbindings poging van het <code class="systemitem">example.com</code> domein naar de <code class="option">local0</code> voorziening met een prioriteit van <code class="option">alert</code>:
				</div><pre class="screen">sshd : .example.com : severity local0.alert
</pre><div class="note"><h2>Opmerking</h2><div class="para">
						In de praktijk werkt dit voorbeeld niet totdat de syslog daemon (<code class="systemitem">syslogd</code>) is ingesteld om te loggen naar de <code class="command">local0</code> voorziening. Refereer naar de <code class="filename">syslog.conf</code> manual pagina voor informatie over het instellen van aangepaste log voorzieningen.
					</div></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html"><strong>Terug</strong>2.5.2. Configuratie bestanden voor TCP wrappers</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Option_Fields-Access_Control.html"><strong>Volgende</strong>2.5.2.2.2. Toegangs controle</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-TCP_Wrappers_and_xinetd-Additional_Resources.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.5. Extra hulpbronnen</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html" title="2.5. TCP wrappers en xinetd"/><link rel="prev" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Resource_Management_Options.html" title="2.5.4.3.4. Hulpbronnen beheer opties"/><link rel="next" href="sect-Security_Guide-Additional_Resources-Useful_TCP_Wrappers_Websites.html" title="2.5.5.2. Nuttige TCP wrapper websites"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img 
 src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Resource_Management_Options.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Additional_Resources-Useful_TCP_Wrappers_Websites.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-TCP_Wrappers_and_xinetd-Additional_Resources">2.5.5. Extra hulpbronnen</h3></div></div></div><div class="para">
			Meer informatie over TCP wrappers en <code class="systemitem">xinetd</code> is beschikbaar in de systeem documentatie en op het Internet.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Additional_Resources-Installed_TCP_Wrappers_Documentation">2.5.5.1. Geinstalleerde TCP wrapper documentatie</h4></div></div></div><div class="para">
				De documentatie op je systeem is een goede plek om te beginnen voor het zoeken naar extra configuratie opties voor TCP wrappers, <code class="systemitem">xinetd</code>, en toegangs controle.
			</div><div class="itemizedlist"><ul><li><div class="para">
						<code class="filename">/usr/share/doc/tcp_wrappers-<em class="replaceable"><code><versie></code></em>/</code> â€” Deze map bevat een <code class="filename">README</code> bestand dat uitlegt hoe TCP wrappers werken en bespreekt de verschillende hostnaam en hostadres voor de gek houden risico's.
					</div></li><li><div class="para">
						<code class="filename">/usr/share/doc/xinetd-<em class="replaceable"><code><versie></code></em>/</code> â€” Deze map bevat een <code class="filename">README</code> bestand dat de verschillende aspecten van toegangs controle bespreekt en een <code class="filename">sample.conf</code> bestand met verschillende ideetjes voor het veranderen van service specifieke configuratie bestanden in de <code class="filename">/etc/xinetd.d/</code> map.
					</div></li><li><div class="para">
						TCP Wrappers en <code class="systemitem">xinetd</code> gerelateerde manual pagina's â€” Er bestaan een aantal manual pagina's voor de verschillende toepassingen en configuratie bestonden betrokken bij TCP wrappers en <code class="systemitem">xinetd</code>. De volgende zijn de belangrijkste:
					</div><div class="variablelist"><dl><dt><span class="term">Server toepassingen</span></dt><dd><div class="itemizedlist"><ul><li><div class="para">
											<code class="command">man xinetd</code> â€” De manual pagina voor <code class="systemitem">xinetd</code>.
										</div></li></ul></div></dd><dt><span class="term">Configuratie bestanden</span></dt><dd><div class="itemizedlist"><ul><li><div class="para">
											<code class="command">man 5 hosts_access</code> â€” De manual pagina voor de TCP wrapper hosts toegangscontrole bestanden.
										</div></li><li><div class="para">
											<code class="command">man hosts_options</code> â€” De manual pagina voor de optie velden van TCP wrappers.
										</div></li><li><div class="para">
											<code class="command">man xinetd.conf</code> â€” De manual pagina die de configuratie opties van <code class="systemitem">xinetd</code> laat zien.
										</div></li></ul></div></dd></dl></div></li></ul></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Resource_Management_Options.html"><strong>Terug</strong>2.5.4.3.4. Hulpbronnen beheer opties</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Additional_Resources-Useful_TCP_Wrappers_Websites.html"><strong>Volgende</strong>2.5.5.2. Nuttige TCP wrapper websites</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.2. Configuratie bestanden voor TCP wrappers</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html" title="2.5. TCP wrappers en xinetd"/><link rel="prev" href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html" title="2.5. TCP wrappers en xinetd"/><link rel="next" href="sect-Security_Guide-TCP_Wrappers_Configuration_Files-Option_Fields.html" title="2.5.2.2. Optie velden"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" a
 lt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-TCP_Wrappers_Configuration_Files-Option_Fields.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files">2.5.2. Configuratie bestanden voor TCP wrappers</h3></div></div></div><div class="para">
			Om te bepalen of het een client toegestaan is met een service te verbinden, refereren TCP wrappers naar de volgende twee bestanden, gewoonlijk aangegeven als <em class="firstterm">hosts toegangs</em> bestanden:
		</div><div class="itemizedlist"><ul><li><div class="para">
					<code class="filename">/etc/hosts.allow</code>
				</div></li><li><div class="para">
					<code class="filename">/etc/hosts.deny</code>
				</div></li></ul></div><div class="para">
			Als een service die gewrapt is met TCP een verzoek van een client ontvangt, voert het de volgende twee stappen uit:
		</div><div class="orderedlist"><ol><li><div class="para">
					<span class="emphasis"><em>Het refereert naar <code class="filename">/etc/hosts.allow</code>.</em></span> â€” De service die gewrapt is met TCP gaat regel voor regel door het <code class="filename">/etc/hosts.allow</code> bestand en past de eerste regel toe die voor die service opgegeven is. Als het een overeenkomende regel vindt, dan wordt de verbinding toegestaan. Indien niet, dan gaat het verder met de volgende.
				</div></li><li><div class="para">
					<span class="emphasis"><em>Het refereert naar <code class="filename">/etc/hosts.deny</code>.</em></span> â€” De service die gewrapt is met TCP gaat regel voor regel door het <code class="filename">/etc/hosts.deny</code> bestand. Als het een overeenkomende regel vindt, dan wordt de verbinding verboden. Indien niet, dan wordt de toegang naar de service toegestaan.
				</div></li></ol></div><div class="para">
			Het volgende zijn belangrijke punten om te overwegen wanneer TCP wrappers gebruikt moeten worden om netwerk service te beschermen:
		</div><div class="itemizedlist"><ul><li><div class="para">
					Omdat de toegangs regels in <code class="filename">hosts.allow</code> eerst toegepast worden, hebben ze voorrang boven regels opgegeven in <code class="filename">hosts.deny</code>. Als daarom toegang tot een service toegestaan wordt in <code class="filename">hosts.allow</code>, zal een regel die toegang weigert naar dezelfde service in <code class="filename">hosts.deny</code> genegeerd worden.
				</div></li><li><div class="para">
					De regels in ieder bestand worden van boven naar beneden gelezen en de eerste overeenkomende regel voor een gegeven service is de enigste die toegepast wordt. De volgorde van de regels is uiterst belangrijk.
				</div></li><li><div class="para">
					Als in beide bestanden geen regels voor de service gevonden worden, of een of beide bestanden bestaan niet, dan wordt toegang tot de service verleend.
				</div></li><li><div class="para">
					Services met TCP wrappers slaan de regels van de hosts toegangs bestanden niet op, dus elke verandering in <code class="filename">hosts.allow</code> of <code class="filename">hosts.deny</code> heeft onmiddelijk effect, zonder het opnieuw moeten starten van de netwerk services.
				</div></li></ul></div><div class="warning"><h2>Waarschuwing</h2><div class="para">
				Als de laatste regel van een hosts toegangs bestand niet een nieuwe regel karakter is (gemaakt door te duwen op de <span class="keycap"><strong>Enter</strong></span> toets), zal de laatste regel van dat bestand falen en er wordt een fout gelogd in <code class="filename">/var/log/messages</code> of <code class="filename">/var/log/secure</code>. Dit is ook het geval voor een regel die meerdere lijnen bevat zonder gebruik te maken van de backslash karakter. Het volgende voorbeeld is het relevante deel van een log boodschap voor het falen van een regel voor een van deze fouten.
			</div><pre class="screen">warning: /etc/hosts.allow, line 20: missing newline or line too long
</pre></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-TCP_Wrappers_Configuration_Files-Formatting_Access_Rules">2.5.2.1. Tpegangs regels formatteren</h4></div></div></div><div class="para">
				Het formaat voor zowel <code class="filename">/etc/hosts.allow</code> als <code class="filename">/etc/hosts.deny</code> is identiek. Elke regel moet op zijn eigen lijn zijn. Lege lijnen of lijnen die beginnen met een hash (#) worden genegeerd.
			</div><div class="para">
				Elke regel gebruikt het volgende basis formaat om toegang tot netwerk service te controleren:
			</div><pre class="screen"><em class="replaceable"><code><daemon lijst></code></em>: <em class="replaceable"><code><client lijst></code></em> [: <em class="replaceable"><code><optie></code></em>: <em class="replaceable"><code><optie></code></em>: ...]
</pre><div class="itemizedlist"><ul><li><div class="para">
						<em class="replaceable"><code><daemon lijst></code></em> â€” Een door komma's gescheiden lijst van proces namen (<span class="emphasis"><em>niet</em></span> service namen) of de <code class="option">ALL</code> wildcard. De daemon lijst accepteert ook operatoren (refereer naar <a class="xref" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html#sect-Security_Guide-Formatting_Access_Rules-Operators" title="2.5.2.1.4. Operatoren">ParagraafÂ 2.5.2.1.4, â€œOperatorenâ€</a>) om grotere flexibiliteit toe te staan.
					</div></li><li><div class="para">
						<em class="replaceable"><code><client lijst></code></em> â€” Een door komma's gescheiden lijst van hostnamen, host IP adressen, speciale patronen, of wildcards welke de hosts identificeren voor wie de regel geldt. De client lijst accepteert ook operatoren getoond in <a class="xref" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html#sect-Security_Guide-Formatting_Access_Rules-Operators" title="2.5.2.1.4. Operatoren">ParagraafÂ 2.5.2.1.4, â€œOperatorenâ€</a> om grotere flexibiltiet toe te staan.
					</div></li><li><div class="para">
						<em class="replaceable"><code><optie></code></em> â€” Een optionele actie of een door dubbelepunten gescheiden lijst van acties die uitgevoerd worden als de regel op gang komt.
					</div></li></ul></div><div class="note"><h2>Opmerking</h2><div class="para">
					Meer informatie over de speciale termologie hierboven kan elders in deze gids gevonden worden:
				</div><div class="itemizedlist"><ul><li><div class="para">
							<a class="xref" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html#sect-Security_Guide-Formatting_Access_Rules-Wildcards" title="2.5.2.1.1. Wildcards">ParagraafÂ 2.5.2.1.1, â€œWildcardsâ€</a>
						</div></li><li><div class="para">
							<a class="xref" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html#sect-Security_Guide-Formatting_Access_Rules-Patterns" title="2.5.2.1.2. Patronen">ParagraafÂ 2.5.2.1.2, â€œPatronenâ€</a>
						</div></li><li><div class="para">
							<a class="xref" href="sect-Security_Guide-Option_Fields-Expansions.html" title="2.5.2.2.4. Uitbreidingen">ParagraafÂ 2.5.2.2.4, â€œUitbreidingenâ€</a>
						</div></li><li><div class="para">
							<a class="xref" href="sect-Security_Guide-TCP_Wrappers_Configuration_Files-Option_Fields.html" title="2.5.2.2. Optie velden">ParagraafÂ 2.5.2.2, â€œOptie veldenâ€</a>
						</div></li></ul></div></div><div class="para">
				Het volgende is een basis voorbeeld hosts toegangs regel:
			</div><pre class="screen">vsftpd : .example.com
</pre><div class="para">
				Deze regel instrueert de TCP wrapper om te kijken naar verbindingen naar de ftp daemon (<code class="systemitem">vsftpd</code>) vanaf elke host in het <code class="systemitem">example.com</code> domein. Als deze regel verschijnt in <code class="filename">hosts.allow</code> wordt de verbinding toegestaan. Als deze regel verschijnt in <code class="filename">hosts.deny</code> wordt de verbinding verboden.
			</div><div class="para">
				De volgende voorbeeld hosts toegangs regel is complexer en gebruikt twee optie velden:
			</div><pre class="screen">sshd : .example.com  \ : spawn /bin/echo `/bin/date` access denied>>/var/log/sshd.log \ : deny
</pre><div class="para">
				Merk op dat ieder optie veld voorafgegaan wordt door de backslash (\). Het gebruik van de backslash voorkomt het falen van de regel door zijn lengte.
			</div><div class="para">
				Deze voorbeeld regel zegt dat als er een verbinding naar de SSH daemon (<code class="systemitem">sshd</code>) wordt geprobeert vanaf een host in het <code class="systemitem">example.com</code> domein, het <code class="command">echo</code> commando wordt uitgevoerd om de poging toe te voegen aan een speciaal logbestand, en daarna de verbinding te verbieden. Omdat de optionele <code class="command">deny</code> instructie wordt gebruikt, zal deze regel toegang verbieden zelfs als het verschijnt in het <code class="filename">hosts.allow</code> bestand. Refereer naar <a class="xref" href="sect-Security_Guide-TCP_Wrappers_Configuration_Files-Option_Fields.html" title="2.5.2.2. Optie velden">ParagraafÂ 2.5.2.2, â€œOptie veldenâ€</a> voor een meer uitgebreide beschrijving van de beschikbare opties.
			</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Formatting_Access_Rules-Wildcards">2.5.2.1.1. Wildcards</h5></div></div></div><div class="para">
					Wildcards staan TCP wrappers toe om groepen van daemons of hosts eenvoudiger te kunnen vergelijken. Ze worden meestal gebruikt in het client lijst veld van toegangs regels.
				</div><div class="para">
					De volgende wildcards zijn beschikbaar:
				</div><div class="itemizedlist"><ul><li><div class="para">
							<code class="option">ALL</code> â€” Komt overeen met alles. Kan gebruikt worden voor zowel de daemon lijst als de client lijst.
						</div></li><li><div class="para">
							<code class="option">LOCAL</code> â€” Komt overeen met elke host die geen punt (.) bevat, zoals localhost.
						</div></li><li><div class="para">
							<code class="option">KNOWN</code> â€” Komt overeen met elke host waarvan de hostnaam en hostadres bekend zijn of waar de gebruiker bekend is.
						</div></li><li><div class="para">
							<code class="option">UNKNOWN</code> â€” Komt overeen met elke host waarvan de hostnaam of hostadres onbekend zijn of waar de gebruiker onbekend is.
						</div></li><li><div class="para">
							<code class="option">PARANOID</code> â€” Komt overeen met elke host waarvan de hostnaam niet overeenkomt met het host adres.
						</div></li></ul></div><div class="important"><h2>Belangrijk</h2><div class="para">
						De <code class="option">KNOWN</code>, <code class="option">UNKNOWN</code>, en <code class="option">PARANOID</code> wildcards moeten zorgvuldig gebruikt worden, omdat ze bouwen op een werkende DNS server voor hun juiste werking. Elke onderbreking van naam resolutie kan legitieme gebruikers verhinderen om toegang te krijgen tot een service.
					</div></div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Formatting_Access_Rules-Patterns">2.5.2.1.2. Patronen</h5></div></div></div><div class="para">
					Patronen kunnen gebruikt worden in het client veld van teogangs regels om nauwkeurige groepen van client hosts op te geven.
				</div><div class="para">
					Het volgende is een lijst van algemene patronen voor het client veld:
				</div><div class="itemizedlist"><ul><li><div class="para">
							<span class="emphasis"><em>Hostnaam beginnend met een punt (.)</em></span> â€” Het plaatsen van een punt aan het begin van een hostnaam komt overeen met alle hosts die de getoonde onderdelen van de naam gemeen hebben. Het volgende voorbeeld is van toepassing voor iedere host binnen het <code class="systemitem">example.com</code> domein:
						</div><pre class="screen">ALL : .example.com
</pre></li><li><div class="para">
							<span class="emphasis"><em>IP adres dat eindigt met een punt (.)</em></span> â€” Het plaatsen van een punt aan het einde van een IP adres komt overeen met alle hosts die de eerste numerike groepen van een IP aders gemeen hebben. Het volgende voorbeeld is van toepassing voor elek host binnen het <code class="systemitem">192.168.x.x</code> netwerk:
						</div><pre class="screen">ALL : 192.168.
</pre></li><li><div class="para">
							<span class="emphasis"><em>IP adres/netmasker paar</em></span> â€” Netmasker uitdrukkingen kunnen ook gebruikt worden als een patroon om toegang naar een specifieke groep IP adressen te controleren. Het volgende voorbeeld is van toepassing voor iedere host met een adres reeks van <code class="systemitem">192.168.0.0</code> tot en met <code class="systemitem">192.168.1.255</code>:
						</div><pre class="screen">ALL : 192.168.0.0/255.255.254.0
</pre><div class="important"><h2>Belangrijk</h2><div class="para">
								Als je werkt in de IP4v adres ruimte dan wordt de adres/prefix lengte (<em class="firstterm">prefixlen</em>) paar declaraties (<abbr class="abbrev">CIDR</abbr> notation) niet ondersteund. Alleen IPv6 regels gebruiken dit formaat.
							</div></div></li><li><div class="para">
							<span class="emphasis"><em>[IPv6 adres]/prefixlen paar</em></span> â€” [net]/prefixlen paren kunnen ook gebruikt worden om toegang tot een bepaalde groeps van IPv6 adressen te controleren. Het volgende voorbeeld zal van toepassing zijn voor elke host met een adres reeks van <code class="systemitem">3ffe:505:2:1::</code> tot en met <code class="systemitem">3ffe:505:2:1:ffff:ffff:ffff:ffff</code>:
						</div><pre class="screen">ALL : [3ffe:505:2:1::]/64
</pre></li><li><div class="para">
							<span class="emphasis"><em>De asterisk (*)</em></span> â€” Asteriks kunnen gebruikt worden om overeen te komen met hele groepen van hostnamen of IP adressen, zolang ze niet worden vermengd in een cleint lijst met andere patroontypes. Het volgende voorbeeld is van toepassing op elek host binnen het <code class="systemitem">example.com</code> domein:
						</div><pre class="screen">ALL : *.example.com
</pre></li><li><div class="para">
							<span class="emphasis"><em>De slash (/)</em></span> â€” Als een client lijst begint met een slash, dan wordt het behandeld als een bestandsnaam. Dit is nuttig als het nodig is dat regels grote aantallen hosts opgeven. Het volgende voorbeeld refereert TCP wrappers naar het <code class="filename">/etc/telnet.hosts</code> bestand voor aale Telnet verbindingen:
						</div><pre class="screen">in.telnetd : /etc/telnet.hosts
</pre></li></ul></div><div class="para">
					Andere, minder vaak gebruikte, patronen worden ook geaccepteerd door TCP wrappers. Refereer naar de <code class="filename">hosts_access</code> man 5 pagina voor meer informatie.
				</div><div class="warning"><h2>Waarschuwing</h2><div class="para">
						Wees erg voorzichtig met het gebruik van hostnamen en domeinnamen. Aanvallers kunnen een groot aantal trucjes gebruiken om nauwkeurige naam resolutie te omzeilen. Bovendien zal een onderbreking van de DNS sevice gemachtigde gebruikers beletten om netwerk services te gebruiken. Het is daarom het beste om, waar mogelijk, IP adressen te gebruiken.
					</div></div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Formatting_Access_Rules-Portmap_and_TCP_Wrappers">2.5.2.1.3. Portmap en TCP wrappers</h5></div></div></div><div class="para">
					De implementatie van TCP wrappers in <code class="command">portmap</code> ondersteunt geen host opzoeken, wat betekent dat <code class="command">portmap</code> geen hostnamen kan gebruiken om hosts te identificeren. Als gevolg hiervan moeten toegangs controle regels voor portmap in <code class="filename">hosts.allow</code> of <code class="filename">hosts.deny</code> IP adressen gebruiken, of het sleutelwoord <code class="option">ALL</code> voor het specificeren van hosts.
				</div><div class="para">
					Veranderingen in <code class="command">portmap</code> toegangs controle regels hebben misschien niet meteen effect. Het kan nodig zijn om de <code class="command">portmap</code> service opnieuw op te moeten starten.
				</div><div class="para">
					Veel gebruikt services, zoals NIS en NFS, hangen af van <code class="command">portmap</code>, dus wees bedacht op deze beperkingen.
				</div></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Formatting_Access_Rules-Operators">2.5.2.1.4. Operatoren</h5></div></div></div><div class="para">
					Op dit moment accepteren toegangs controle regels een operator, <code class="option">EXCEPT</code>. Het kan gebruikt worden in zowel de daemon lijst als de client lijst van een regel.
				</div><div class="para">
					De <code class="option">EXCEPT</code> operator staat specifieke uitzonderingen toe voor brede overeenkomsten binnen dezelfde regel.
				</div><div class="para">
					In het volgende voorbeeld uit een <code class="filename">hosts.allow</code> bestand, wordt het aan alle <code class="systemitem">example.com</code> hosts toegestaan om naar alle services te verbinden behalve <code class="systemitem">cracker.example.com</code>:
				</div><pre class="screen">ALL: .example.com EXCEPT cracker.example.com
</pre><div class="para">
					In een ander voorbeeld uit een <code class="filename">hosts.allow</code> bestand, kunnen clienten uit het <code class="systemitem">192.168.0.<em class="replaceable"><code>x</code></em></code> netwerk alle services gebruiken behalve FTP:
				</div><pre class="screen">ALL EXCEPT vsftpd: 192.168.0.
</pre><div class="note"><h2>Opmerking</h2><div class="para">
						Organisatorisch is het vaak eenvoudiger om het gebruik van <code class="option">EXCEPT</code> operatoren te vermijden. Dat staat beheerders toe om snel de betreffende bestanden door te nemen om te zien welke host wel of geen toegang hebben tot services, zonder rekening hoeven te houden met de <code class="option">EXCEPT</code> operatoren.
					</div></div></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html"><strong>Terug</strong>2.5. TCP wrappers en xinetd</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-TCP_Wrappers_Configuration_Files-Option_Fields.html"><strong>Volgende</strong>2.5.2.2. Optie velden</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.3. xinetd</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html" title="2.5. TCP wrappers en xinetd"/><link rel="prev" href="sect-Security_Guide-Option_Fields-Expansions.html" title="2.5.2.2.4. Uitbreidingen"/><link rel="next" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd_Configuration_Files.html" title="2.5.4. xinetd configuratie bestanden"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation
  Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Option_Fields-Expansions.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd_Configuration_Files.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd">2.5.3. xinetd</h3></div></div></div><div class="para">
			Het <code class="systemitem">xinetd</code> daemon is een met TCP gewrapte <em class="firstterm">super service</em> welek toegang controleert naar een subset van populaire netwerk services, inclusief FTP, IMAP, en Telnet. Het biedt ook service specifieke configuratie opties voor toegangs controle, verbeterde logging, verbinding, omleiding, en hulpbron gebruiks controle.
		</div><div class="para">
			Als een client probeert te verbinden met een netwerk service die gecontroleerd wordt door <code class="systemitem">xinetd</code>, ontvangt de super service het verzoek en controleert of er TCP wrapper toegangs regels zijn.
		</div><div class="para">
			als toegang toegestaan wordt, verifieert <code class="systemitem">xinetd</code> dat de verbinding toegestaan is onder de de eigen toegangs regels van die service. Het controleert ook of de service meer hulpbronnen toegewezen kan krijgen en of dit niet verboden wordt door een van de aangemaakte regels.
		</div><div class="para">
			Als aan al deze voorwaarden voldaan wordt (dat betekent, toegang naar de service is toegestaan; de service heeft zijn hulpbronnen limiet niet bereikt; en de service verbreekt geen van de opgegeven regels), dan start <code class="systemitem">xinetd</code> een instantiering van de gevraagde service en geeft de controle over de verbinding hieraan over. Nadat de verbinding gelegd is, neemt <code class="systemitem">xinetd</code> verder geen deel aan de communicatie tussen de client en de server.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Option_Fields-Expansions.html"><strong>Terug</strong>2.5.2.2.4. Uitbreidingen</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd_Configuration_Files.html"><strong>Volgende</strong>2.5.4. xinetd configuratie bestanden</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd_Configuration_Files.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.4. xinetd configuratie bestanden</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html" title="2.5. TCP wrappers en xinetd"/><link rel="prev" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd.html" title="2.5.3. xinetd"/><link rel="next" href="sect-Security_Guide-xinetd_Configuration_Files-The_etcxinetd.d_Directory.html" title="2.5.4.2. De /etc/xinetd.d/ map"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt=
 "Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-xinetd_Configuration_Files-The_etcxinetd.d_Directory.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd_Configuration_Files">2.5.4. xinetd configuratie bestanden</h3></div></div></div><div class="para">
			De cofiguratie bestanden voor <code class="systemitem">xinetd</code> zijn de volgende:
		</div><div class="itemizedlist"><ul><li><div class="para">
					<code class="filename">/etc/xinetd.conf</code> â€” Het globale <code class="systemitem">xinetd</code> configuratie bestand.
				</div></li><li><div class="para">
					<code class="filename">/etc/xinetd.d/</code> â€” De map die alle service specifieke bestanden bevat.
				</div></li></ul></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-xinetd_Configuration_Files-The_etcxinetd.conf_File">2.5.4.1. Het /etc/xinetd.conf bestand</h4></div></div></div><div class="para">
				Het <code class="filename">/etc/xinetd.conf</code> bestand bevat algemene configuratie instellingen die effect hebben voor iedere service onder de controle van <code class="systemitem">xinetd</code>. Het wordt gelezen als de <code class="systemitem">xinetd</code> service wordt opgestart, dus om veranderingen in de configuratie effect te laten krijgen, moet je de <code class="systemitem">xinetd</code> service opnieuw opstarten. Het volgende is een voorbeeld <code class="filename">/etc/xinetd.conf</code> bestand:
			</div><pre class="screen">defaults
{
         instances               = 60        
         log_type                = SYSLOG        authpriv
         log_on_success          = HOST PID
         log_on_failure          = HOST
         cps                     = 25 30
}
includedir /etc/xinetd.d
</pre><div class="para">
				Deze regels controleren de volgende aspecten van <code class="systemitem">xinetd</code>:
			</div><div class="itemizedlist"><ul><li><div class="para">
						<code class="option">instances</code> â€” Specificeert het maximum aantal gelijktijdige verzoeken dat <code class="systemitem">xinetd</code> kan verwerken.
					</div></li><li><div class="para">
						<code class="option">log_type</code> â€” Stelt <code class="systemitem">xinetd</code> in om de <code class="command">authpriv</code> log voorziening te gebruiken, welke log ingangen naar het <code class="filename">/var/log/secure</code> bestand schrijft. Toevoegen van een instructie zoals <code class="option">FILE /var/log/xinetdlog</code> zal een aangepast log bestand met de naam <code class="filename">xinetdlog</code> aan maken in de <code class="filename">/var/log/</code> map.
					</div></li><li><div class="para">
						<code class="option">log_on_success</code> â€” Stelt <code class="systemitem">xinetd</code> in om succesvolle verbindingspogingen te loggen. Standaard worden het IP adres van de host op afstand en het proces ID van de server die het verzoek verwerkt opgeschreven.
					</div></li><li><div class="para">
						<code class="option">log_on_failure</code> â€” Stelt <code class="systemitem">xinetd</code> in om gefaalde verbindingspogingen of verboden verbindingen te loggen
					</div></li><li><div class="para">
						<code class="option">cps</code> â€” Stelt <code class="systemitem">xinetd</code> in om niet meer dan 25 verbindingen per seconde toe te staan aan elke service. Als deze limiet wordt overschreden, wacht de service gedurende 30 seconden.
					</div></li><li><div class="para">
						<code class="option">includedir</code> <code class="filename">/etc/xinetd.d/</code> â€” voegt options toe die zijn opgegeven in service specifieke configuratie bestanden in de <code class="filename">/etc/xinetd.d/</code> map. Refereer naar <a class="xref" href="sect-Security_Guide-xinetd_Configuration_Files-The_etcxinetd.d_Directory.html" title="2.5.4.2. De /etc/xinetd.d/ map">ParagraafÂ 2.5.4.2, â€œDe /etc/xinetd.d/ mapâ€</a> vor meer informatie.
					</div></li></ul></div><div class="note"><h2>Opmerking</h2><div class="para">
					Vaak worden zowel de <code class="option">log_on_success</code> als de <code class="option">log_on_failure</code> instellingen in <code class="filename">/etc/xinetd.conf</code> verder aangepast in de service specifieke configuratie bestanden. Daarom kan er meer informatie verschijnen in het log bestand van een gegeven service dan wordt aangegeven in het <code class="filename">/etc/xinetd.conf</code> bestand. Refereer naar <a class="xref" href="sect-Security_Guide-xinetd_Configuration_Files-Altering_xinetd_Configuration_Files.html#sect-Security_Guide-Altering_xinetd_Configuration_Files-Logging_Options" title="2.5.4.3.1. Logging opties">ParagraafÂ 2.5.4.3.1, â€œLogging optiesâ€</a> voor meer informatie.
				</div></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd.html"><strong>Terug</strong>2.5.3. xinetd</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-xinetd_Configuration_Files-The_etcxinetd.d_Directory.html"><strong>Volgende</strong>2.5.4.2. De /etc/xinetd.d/ map</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-TCP_Wrappers_and_xinetd.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5. TCP wrappers en xinetd</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="chap-Security_Guide-Securing_Your_Network.html" title="Hoofdstuk 2. Je netwerk beveiligen"/><link rel="prev" href="sect-Security_Guide-Additional_Resources-Useful_PAM_Websites.html" title="2.4.8.2. Nuttige PAM websites"/><link rel="next" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html" title="2.5.2. Configuratie bestanden voor TCP wrappers"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="
 Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Additional_Resources-Useful_PAM_Websites.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-TCP_Wrappers_and_xinetd">2.5. TCP wrappers en xinetd</h2></div></div></div><div class="para">
		Het controleren van toegang tot netwerk services is een van de belangrijkste beveiligings taken voor de beheerder van een server. Fedora biedt verscheidene gereedschappen voor dit doel. Bijvoorbeeld, een op <code class="command">iptables</code> gebaseerde firewall filtert netwerkpakketten uit die niet welkom zijn in de netwerk stack van de kernel. Voor netwerk services die het gebruiken, voegen <em class="firstterm">TCP Wrappers</em> een extra beschermingslaag toe door het definieren van welke hosts wel of geen verbinding kunnen maken met "<span class="emphasis"><em>wrapped</em></span>" netwerk services. Een van deze wrapped netwerk services is de <code class="systemitem">xinetd</code> <span class="emphasis"><em>super server</em></span>. Deze server wordt een super server genoemd omdat het de verbindingen controleert van een subset van netwerk services en toegangs controle verder verbetert.
	</div><div class="para">
		<a class="xref" href="sect-Security_Guide-TCP_Wrappers_and_xinetd.html#figu-Security_Guide-TCP_Wrappers_and_xinetd-Access_Control_to_Network_Services" title="Figuur 2.9. Toegangs controle voor netwerk services">FiguurÂ 2.9, â€œToegangs controle voor netwerk servicesâ€</a> is een basis afbeelding die laat zien hoe deze gereedschappen samenwerken om netwerk services te beschermen.
	</div><div class="figure" id="figu-Security_Guide-TCP_Wrappers_and_xinetd-Access_Control_to_Network_Services"><div class="figure-contents"><div class="mediaobject"><img src="images/tcp_wrap_diagram.png" alt="Toegangs controle voor netwerk services"/><div class="longdesc"><div class="para">
					Expositie A: Sroomschema voor toegangs controle voor netwerk services
				</div></div></div></div><h6>Figuur 2.9. Toegangs controle voor netwerk services</h6></div><br class="figure-break"/><div class="para">
		Dit hoofdstuk richt zich op de rol van TCP wrappers en <code class="systemitem">xinetd</code> bij het controleren van toegang tot netwerk services en bespreekt hoe deze gereedschappen gebruikt kunnen worden om zowel logging als gebruiks beheer te verbeteren. Refereer naar <a class="xref" href="sect-Security_Guide-IPTables.html" title="2.9. IPTables">ParagraafÂ 2.9, â€œIPTablesâ€</a> voor informatie over het gebruik van firewalls met <code class="command">iptables</code>.
	</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers">2.5.1. TCP wrappers</h3></div></div></div><div class="para">
			Het TCP wrappers pakket (<code class="filename">tcp_wrappers</code>) wordt standaard geinstalleerd en biedt op host gebaseerde toegangscontrole voor netwerk services. Het belangrijkste onderdeel van het pakket is de <code class="filename">/usr/lib/libwrap.a</code> bibliotheek. In het algemeen is een service gewrapt met TCP een service die gecompileerd is met de <code class="filename">libwrap.a</code> bibliotheek.
		</div><div class="para">
			Als er geprobeerd wordt een verbinding te maken met een service die gewrapt is met TCP, refereert de service eerst naar de toegangsbestanden van de host (<code class="filename">/etc/hosts.allow</code> en <code class="filename">/etc/hosts.deny</code>) om te bepalen of het de client wel of niet toegestaan is om verbinding te maken. In de meeste gevallen gebruikt het daarna de syslog daemon (<code class="systemitem">syslogd</code>) om de naam van de aanvragende client en de gewenste service naar <code class="filename">/var/log/secure</code> of <code class="filename">/var/log/messages</code> te schrijven.
		</div><div class="para">
			Als het een client toegestaan is om te verbinden, geeft TCP wrappers de controle van de verbinding over aan de gevraagde service en neemt verder geen deel aan de communicatie tussen de client en de server.
		</div><div class="para">
			Naast toegangscontrole en logging, kan TCP wrappers commando's uitvoeren interactief met de client voor het verbieden of het overgeven van de controle over de verbinding aan de gevraagde service.
		</div><div class="para">
			Omdat TCP wrappers een waardevolle bijdrage geeft aan het arsenaal van gereedschappen voor elke server beheerder, zijn de meeste services van Fedora gekoppeld aan de <code class="filename">libwrap.a</code> bibliotheek. Sommige van die toepassingen zijn <code class="systemitem">/usr/sbin/sshd</code>, <code class="command">/usr/sbin/sendmail</code>, en <code class="systemitem">/usr/sbin/xinetd</code>.
		</div><div class="note"><h2>Opmerking</h2><div class="para">
				Om te bepalen of een netwerk service binair gekoppeld is aan <code class="filename">libwrap.a</code>, type je het volgende commando in als de root gebruiker:
			</div><pre class="screen">ldd <binaire-naam> | grep libwrap
</pre><div class="para">
				Vervang <em class="replaceable"><code><binaire-naam></code></em> met de naam van het netwerk service binaire bestand.
			</div><div class="para">
				Als het commando direct naar de prompt terug komt zonder output, dan is de netwerk service <span class="emphasis"><em>niet</em></span> gekoppeld aan <code class="filename">libwrap.a</code>.
			</div><div class="para">
				Het volgende voorbeeld geeft aan dat <code class="systemitem">/usr/sbin/sshd</code> gekoppled is met <code class="filename">libwrap.a</code>:
			</div><pre class="screen">[root at myServer ~]# ldd /usr/sbin/sshd | grep libwrap
        libwrap.so.0 => /lib/libwrap.so.0 (0x00655000)
[root at myServer ~]#
</pre></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-TCP_Wrappers-Advantages_of_TCP_Wrappers">2.5.1.1. Voordelen van TCP wrappers</h4></div></div></div><div class="para">
				TCP wrappers bieden de volgende voordelen boven andere netwerk service controle technieken:
			</div><div class="itemizedlist"><ul><li><div class="para">
						<span class="emphasis"><em>Transparant voor zowel de client als de gewrapte netwerk service</em></span> â€” Zowel de verbindende client als de gewrapte netwerk service hebben niet in de gaten dat TCP wrappers gebruikt wordt. Geldige gebruikers worden gelogd en verbonden met de gevraagde service terwijl verbindingen van verbannen clienten falen.
					</div></li><li><div class="para">
						<span class="emphasis"><em>Centraal beheer van meerdere protocollen</em></span> â€” TCP wrappers werkt onafhankelijk van de netwerk service die ze beschermen, wat toestaat dat veel server toepassingen gezamelijk een aantal toegangs controle configuratie bestanden delen, wat het beheer eenvoudiger maakt.
					</div></li></ul></div></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Additional_Resources-Useful_PAM_Websites.html"><strong>Terug</strong>2.4.8.2. Nuttige PAM websites</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-TCP_Wrappers_Configuration_Files.html"><strong>Volgende</strong>2.5.2. Configuratie bestanden voor TCP wrappers</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Threats_to_Server_Security-Inattentive_Administration.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.3.3.3. Onoplettend beheer</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Server_Security.html" title="1.3.3. Bedreigingen voor server beveiliging"/><link rel="prev" href="sect-Security_Guide-Threats_to_Server_Security-Unpatched_Services.html" title="1.3.3.2. Niet gecorrigeerde services"/><link rel="next" href="sect-Security_Guide-Threats_to_Server_Security-Inherently_Insecure_Services.html" title="1.3.3.4. Inherent onveilige services"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" hre
 f="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Threats_to_Server_Security-Unpatched_Services.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Threats_to_Server_Security-Inherently_Insecure_Services.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Threats_to_Server_Security-Inattentive_Administration">1.3.3.3. Onoplettend beheer</h4></div></div></div><div class="para">
				Beheerders die nalaten hun systemen te corrigeren zijn een van de grootste bedreigingen van server beveiliging. Volgens het <em class="firstterm">SysAdmin, Audit, Network, Security Institute</em> (<em class="firstterm">SANS</em>), is de belangrijkste oorzaak van computer beveiligings kwetsbaarheid "het aanstellen van niet getrainde mensen voor het onderhouden van beveiliging en het niet aanbieden van training noch de tijd om het mogelijk te maken de taak uit te voeren."<sup>[<a id="d0e942" href="#ftn.d0e942" class="footnote">10</a>]</sup> Dit is zowel van toepassing op onervaren beheerders als voor overmoeige of niet gemotiveerde beheerders.
			</div><div class="para">
				Sommige beheerders laten na hun servers en werkstations te corrigeren, terwijl anderen nalaten om de log boodschappen van de systeem kernel of het netwerk verkeer te bekijken. Een andere veel voorkomende fout is het onveranderd laten van standaard wachtwoorden of sleutels voor services. Bijvoorbeeld, sommige databases hebben standaard beheerswachtwoorden omdat de database ontwikkelaars aannemen dat de systeembeheerder deze wachtwoorden onmiddelijk na de installatie zal veranderen. Als een database beheerder nalaat om dit wachtwoord te veranderen, kan zelfs een onervaren cracker het algemeen bekende standaard wachtwoord gebruiken om beheersrechten te krijgen voor de database. Dit zijn slechts een paar voorbeelden van het veroorzaken van in gevaar gebrachte servers door onoplettend beheer.
			</div><div class="footnotes"><br/><hr/><div class="footnote"><p><sup>[<a id="ftn.d0e942" href="#d0e942" class="para">10</a>] </sup>
					http://www.sans.org/resources/errors.php
				</p></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Threats_to_Server_Security-Unpatched_Services.html"><strong>Terug</strong>1.3.3.2. Niet gecorrigeerde services</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Threats_to_Server_Security-Inherently_Insecure_Services.html"><strong>Volgende</strong>1.3.3.4. Inherent onveilige services</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Threats_to_Server_Security-Inherently_Insecure_Services.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.3.3.4. Inherent onveilige services</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Server_Security.html" title="1.3.3. Bedreigingen voor server beveiliging"/><link rel="prev" href="sect-Security_Guide-Threats_to_Server_Security-Inattentive_Administration.html" title="1.3.3.3. Onoplettend beheer"/><link rel="next" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Workstation_and_Home_PC_Security.html" title="1.3.4. Bedreigingen voor werkstations en beveiliging van thuis PC's"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/ima
 ge_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Threats_to_Server_Security-Inattentive_Administration.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Workstation_and_Home_PC_Security.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Threats_to_Server_Security-Inherently_Insecure_Services">1.3.3.4. Inherent onveilige services</h4></div></div></div><div class="para">
				Zelfs de meest waakzame organisatie kan het slachtoffer worden van kwestbaarheden als de netwerk services die ze kiezen inherent onveilig zijn. Bijvoorbeeld, er zijn veel services ontwikkeld met de aanname dat ze gebruikt worden in betrouwbare netwerken; deze aanname vervalt echter zodra de service beschikbaar komt via het Internet â€” welke zelf inherent onbetrouwbaar is.
			</div><div class="para">
				Een categorie van onveilige netwerk sevices zijn degene die niet-versleutelde gebruikersnamen en wachtwoorden vereisen voor authenticatie. Telnet en FTP zijn zulke services. Als pakketsnuffel software het verkeer tussen de gebruiker op afstand en zo'n service volgt, kunnen gebruikersnamen en wachtwoorden eenvoudig onderschept worden.
			</div><div class="para">
				Zulke services kunnen inherent ook gemakkelijker prooi worden voor wat de beveiligings industrie een <em class="firstterm">de-man-in-het-midden</em> aanval noemt. In dit type aanval leidt een cracker het netwerkverkeer om door het misleiden van een gekraakte naamserver op het netwerk om naar zijn machine te wijzen in plaats van de bedoelde server. Zodra iemand een sessie op afstand opent naar de server, gedraagt de machine van de aanvaller zich als een onzichtbaar kanaal en zit rustig tussen de service op afstand en de argeloze gebruiker informatie te verzamelen. Op deze manier kan een cracker beheerswachtwoorden en ruwe data verzamelen zonder dat de server of de gebruiker dit realiseert.
			</div><div class="para">
				Een andere categorie van niet veilige services zijn netwerk bestandssystemen en informatie services zoals NFS of NIS, die expliciet ontwikkeld zijn voor LAN gebruik, maar helaas zijn uitgebreid om WAN's te omvatten (voor gebruikers op afstand). NFS heeft standaard geen authenticatie of beveiligings mechanismes ingesteld om te voorkomen dat een cracker het NFS deel aankoppelt en alles kan bereiken wat zich daar bevindt. NIS heeft ook vitale informatie die aan iedere computer op het netwerk bekend moet zijn, zoals wachtwoorden en bestandsrechten, dit in een leesbare tekst ASCII of DBM (van ASCII afgeleid) database. Een cracker die toegang krijgt tot deze database heeft dan toegang tot elk gebruikersaccount op een netwerk, inclusief het account van de beheerder.
			</div><div class="para">
				Standaard wordt Fedora vrijgegeven met al deze services uitgezet. Echter, omdat beheerders vaak gedwongen worden om deze services te gebruiken, is een voorzichtige instelling kritisch. Refereer naar <a class="xref" href="sect-Security_Guide-Server_Security.html" title="2.2. Server beveiliging">ParagraafÂ 2.2, â€œServer beveiligingâ€</a> voor meer informatie over het instellen van services op een veilige manier.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Threats_to_Server_Security-Inattentive_Administration.html"><strong>Terug</strong>1.3.3.3. Onoplettend beheer</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Workstation_and_Home_PC_Security.html"><strong>Volgende</strong>1.3.4. Bedreigingen voor werkstations en beveilig...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Threats_to_Server_Security-Unpatched_Services.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.3.3.2. Niet gecorrigeerde services</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Server_Security.html" title="1.3.3. Bedreigingen voor server beveiliging"/><link rel="prev" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Server_Security.html" title="1.3.3. Bedreigingen voor server beveiliging"/><link rel="next" href="sect-Security_Guide-Threats_to_Server_Security-Inattentive_Administration.html" title="1.3.3.3. Onoplettend beheer"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a c
 lass="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Server_Security.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Threats_to_Server_Security-Inattentive_Administration.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Threats_to_Server_Security-Unpatched_Services">1.3.3.2. Niet gecorrigeerde services</h4></div></div></div><div class="para">
				De meeste server toepassingen die onderdeel zijn van een standaard installatie zijn solide, goed geteste stukken software. Omdat ze al vele jaren in productie omgevingen gebruikt worden, is hun code grondig verbeterd en veel van de fouten zijn gevonden en gerepareerd.
			</div><div class="para">
				Er is echter niet zo iets als perfecte software en er is altijd ruimte voor verdere verbeteringen. Bovendien is nieuwere software meestal niet zo grondig getest als je zou verwachten, om dat het pas kort in productie omgevingen aanwezig is of omdat het misschien niet zo populair is als andere server software.
			</div><div class="para">
				Ontwikkelaars en systeembeheerders vinden vaak fouten in server toepassingen die uit te buiten zijn en publiceren de informatie op bug volgen en beveiligings gerelateerde websites zoals de Bugtraq mailing lijst (<a href="http://www.securityfocus.com">http://www.securityfocus.com</a>) of de Computer Emergency Response Team (CERT) website (<a href="http://www.cert.org">http://www.cert.org</a>). Hoewel deze mechanismes een effectieve manier zijn om de gemeenschap te waarschuwen voor beveiligings kwetsbaarheden, is het de taak van de systeembeheerders om hun systeem snel te corrigeren. Dit is in het bijzonder van belang omdat crackers toegang hebben tot dezelfde kwetsbaarheids volg systemen en zij zullen de informatie gebruiken om niet gecorrigeerde systemen te kraken wanneer ze dat kunnen. Goed systeembeheer vereist oplettendheid, constant bugs volgen, en juiste systeem onderhoud om een veiliger computer omgeving te waarborgen.
			</div><div class="para">
				Refereer naar <a class="xref" href="sect-Security_Guide-Security_Updates.html" title="1.5. Beveiligings vernieuwingen">ParagraafÂ 1.5, â€œBeveiligings vernieuwingenâ€</a> voor meer informatie over het bij de tijd houden van een systeem.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Server_Security.html"><strong>Terug</strong>1.3.3. Bedreigingen voor server beveiliging</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Threats_to_Server_Security-Inattentive_Administration.html"><strong>Volgende</strong>1.3.3.3. Onoplettend beheer</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Threats_to_Workstation_and_Home_PC_Security-Vulnerable_Client_Applications.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.3.4.2. Kwetsbare client toepassingen</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Workstation_and_Home_PC_Security.html" title="1.3.4. Bedreigingen voor werkstations en beveiliging van thuis PC's"/><link rel="prev" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Workstation_and_Home_PC_Security.html" title="1.3.4. Bedreigingen voor werkstations en beveiliging van thuis PC's"/><link rel="next" href="sect-Security_Guide-Common_Exploits_and_Attacks.html" title="1.4. Veel voorkomende uitbuitingen en aanvallen"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org
 "><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Workstation_and_Home_PC_Security.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Common_Exploits_and_Attacks.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Threats_to_Workstation_and_Home_PC_Security-Vulnerable_Client_Applications">1.3.4.2. Kwetsbare client toepassingen</h4></div></div></div><div class="para">
				Als een beheerder een volledig veilige en gecorrigeerde server heeft, betekent dat niet dat gebruikers op afstand veilig zijn wanneer ze er toegang naar krijgen. Bijvoorbeeld, als de server Telnet of FTP services aanbiedt over een publiek netwerk, kan een aanvaller de leesbare tekst gebruikersnamen en wachtwoorden bemachtigen als ze passeren over het netwerk, en daarna de account informatie gebruiken voor toegang naar het werkstation van de gebruiker op afstand.
			</div><div class="para">
				Zelfs als veilige protocols gebruikt worden, zoals SSH, kan een gebruiker op afstand kwetsbaar zijn voor bepaalde aanvallen als ze hun client toepassingen niet vernieuwen. Bijvoorbeeld, v.1 SSH clienten zijn kwetsbaar voor een X-doorsturen aanval van kwaadwillige SSH servers. Zodra er verbonden is met de server, kan de aanvaller op zijn gemak alle toetsaanslagen en muisklikken die de gebruiker maakt onderscheppen over het netwerk. Dit probleen is gerepareerd in het v.2 SSH protocol, maar het is de taak van de gebruiker om bij te houden welke toepassingen zulke kwetsbaarheden hebben en ze te vernieuwen zoals vereist.
			</div><div class="para">
				<a class="xref" href="chap-Security_Guide-Securing_Your_Network.html#sect-Security_Guide-Workstation_Security" title="2.1. Werkstation beveiliging">ParagraafÂ 2.1, â€œWerkstation beveiligingâ€</a> bespreekt in meer detail welke stappen beheerders en thuisgebruikers moeten nemen om de kwetsbaarheid van hun computer werkstations te beperken.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Attackers_and_Vulnerabilities-Threats_to_Workstation_and_Home_PC_Security.html"><strong>Terug</strong>1.3.4. Bedreigingen voor werkstations en beveilig...</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Common_Exploits_and_Attacks.html"><strong>Volgende</strong>1.4. Veel voorkomende uitbuitingen en aanvallen</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Updating_Packages-Applying_the_Changes.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.5.4. De veranderingen toepassen</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Security_Updates.html" title="1.5. Beveiligings vernieuwingen"/><link rel="prev" href="sect-Security_Guide-Updating_Packages-Installing_Signed_Packages.html" title="1.5.3. Ondertekende pakketten installeren"/><link rel="next" href="chap-Security_Guide-Securing_Your_Network.html" title="Hoofdstuk 2. Je netwerk beveiligen"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.
 png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Updating_Packages-Installing_Signed_Packages.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="chap-Security_Guide-Securing_Your_Network.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Updating_Packages-Applying_the_Changes">1.5.4. De veranderingen toepassen</h3></div></div></div><div class="para">
			Na het downloaden en installeren van beveiligings errata en vernieuwingen, is het belangrijk om het gebruik van de oudere software te stoppen en te beginnen met het gebruiken van de nieuwe software. Hoe dit gedaan wordt hangt af van het type software dat vernieuwd is. De volgende lijst somt de algemene categoriÃ«n van software op en geeft instructies voor het gebruik van de vernieuwde versies na een pakket vernieuwing.
		</div><div class="note"><h2>Opmerking</h2><div class="para">
				In het algemeen is het systeem opnieuw opstarten de veiligste manier om te verzekeren dat de laatste versie van een software pakket wordt gebruikt; deze optie is echter niet altijd vereist, of beschikbaar voor de systeembeheerder.
			</div></div><div class="variablelist"><dl><dt><span class="term">Toepassingen</span></dt><dd><div class="para">
						Gebruikers-ruimte toepassingen zijn alle programma's die opgestart worden door een systeem gebruiker. Gewoonlijk worden deze toepassingen alleen gebruikt als een gebruiker, een script, of een automatische taak programma ze opstart en ze blijven niet voortduren voor lange tijdsperiodes.
					</div><div class="para">
						Zodra zo'n gebruikers-ruimte toepassing vernieuwd is, stop je alle instances van de toepassing op het systeem en je start het programma opnieuw op om de vernieuwde versie te gebruiken.
					</div></dd><dt><span class="term">Kernel</span></dt><dd><div class="para">
						De kernel is het kern software onderdeel van het Fedora operating systeem. Het beheert toegang tot het geheugen, de processor, en randapparaten en het plant alle taken.
					</div><div class="para">
						Door zijn centrale rol, kan de kernel niet opnieuw gestart worden zonder ook de computer te stoppen. Daarom kan een vernieuwde versie van de kernel pas gebruikt worden als het systeem opnieuw opgestart wordt.
					</div></dd><dt><span class="term">Gedeelde bibliotheken</span></dt><dd><div class="para">
						Gedeelde bibliotheken zijn stukken code, zoals <code class="filename">glibc</code>, welke gebruikt worden door een aantal toepassingen en services. Toepassingen die een gedeelde bibliotheek gebruiken laden de gedeelde code als de toepassing opgestart wordt, dus alle toepassingen die de vernieuwde bibliotheek gebruiken moeten gestopt en opnieuw opgestart worden.
					</div><div class="para">
						Om te bepalen welke draaiende toepassingen verbonden zijn met een bepaalde bibliotheek, gebruik je het <code class="command">lsof</code> commando zoals in het volgende voorbeeld:
					</div><pre class="screen"><code class="command">lsof /lib/libwrap.so*</code>
</pre><div class="para">
						Dit commando geeft een lijst terug van alle draaiende programma's die TCP wrappers gebruiken voor host toegangscontrole. Daarom moet elk programma in de lijst gestopt en opnieuw opgestart worden als het <code class="filename">tcp_wrappers</code> pakket vernieuwd wordt.
					</div></dd><dt><span class="term">SysV services</span></dt><dd><div class="para">
						SysV services zijn blijvende server programma's die opgestart worden tijdens het boot proces. Voorbeelden van SysV services zijn <code class="command">sshd</code>, <code class="command">vsftpd</code>, en <code class="command">xinetd</code>.
					</div><div class="para">
						Omdat deze programma's gewoonlijk blijvend in het geheugen zijn zolang de computer aanstaat, moet iedere vernieuwde SysV service gestopt en opnieuw opgestart worden nadat het pakket is vernieuwd. Dit kan gedaan worden met het <span class="application"><strong>Service Configuratie</strong></span> gereedschap of door in te loggen in een root shell prompt en het <code class="command">/sbin/service</code> commando uit te voeren zoals in het volgende voorbeeld:
					</div><pre class="screen"><code class="command">/sbin/service <em class="replaceable"><code><service-naam></code></em> restart</code>
</pre><div class="para">
						In het vorige voorbeeld vervang je <em class="replaceable"><code><service-naam></code></em> met de naam van de service, zoals <code class="command">sshd</code>.
					</div></dd><dt><span class="term"><code class="command">xinetd</code> services</span></dt><dd><div class="para">
						Services die gecontroleerd worden door de <code class="command">xinetd</code> super service draaien alleen als er een actieve verbinding is. Voorbeelden van services die gecontroleerd worden door <code class="command">xinetd</code> zijn Telnet, IMAP, en POP3.
					</div><div class="para">
						Omdat nieuwe instances van deze services opgestart worden door <code class="command">xinetd</code> iedere keer als een nieuw verzoek wordt ontvangen, worden verbindingen die optreden na de vernieuwing afgehandeld door de vernieuwde software. Als er echter active verbindingen zijn op het moment dat de door <code class="command">xinetd</code> gecontroleerde service vernieuwd wordt, blijven die werken met de oude versie van de software.
					</div><div class="para">
						Om oudere instances van een bepaalde service die door <code class="command">xinetd</code> gecontroleerd wordt te stoppen, vernieuw je het pakket voor de service en daarna stop je alle processen die op dat moment draaien. Om te bepalen of het proces draait gebruik je het <code class="command">ps</code> commando en je gebruikt daarna het <code class="command">kill</code> of <code class="command">killall</code> commando om de huidige instances van de service te stoppen.
					</div><div class="para">
						Bijvoorbeeld, als een beveiligings errata voor de <code class="filename">imap</code> pakketten wordt vrijgegeven, vernieuw je de pakketten, en daarna type je het volgende commando in als root in een shell prompt:
					</div><pre class="screen"><code class="command">ps -aux | grep imap</code>
</pre><div class="para">
						Dit commando geeft alle actieve IMAP sessies terug. Individuele sessies kunnen dan gestopt worden met het volgende commando:
					</div><pre class="screen"><code class="command">kill <em class="replaceable"><code><PID></code></em></code>
</pre><div class="para">
						Als hiermee het stoppen mislukt, gebruik je het volgende commando:
					</div><pre class="screen"><code class="command">kill -9 <em class="replaceable"><code><PID></code></em></code>
</pre><div class="para">
						In de vorige voorbeelden vervang je <em class="replaceable"><code><PID></code></em> met het proces identificatie nummer (dat je vindt in de tweede kolom van de output van het <code class="command">ps</code> commando) voor een IMAP sessie.
					</div><div class="para">
						Om alle actieve IMAP sessies te stoppen, voer je het volgende commando uit:
					</div><pre class="screen"><code class="command">killall imapd</code>
</pre></dd></dl></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Updating_Packages-Installing_Signed_Packages.html"><strong>Terug</strong>1.5.3. Ondertekende pakketten installeren</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="chap-Security_Guide-Securing_Your_Network.html"><strong>Volgende</strong>Hoofdstuk 2. Je netwerk beveiligen</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Updating_Packages-Installing_Signed_Packages.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.5.3. Ondertekende pakketten installeren</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Security_Updates.html" title="1.5. Beveiligings vernieuwingen"/><link rel="prev" href="sect-Security_Guide-Updating_Packages-Verifying_Signed_Packages.html" title="1.5.2. Ondertekende pakketten verifiÃ«ren"/><link rel="next" href="sect-Security_Guide-Updating_Packages-Applying_the_Changes.html" title="1.5.4. De veranderingen toepassen"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Cont
 ent/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Updating_Packages-Verifying_Signed_Packages.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Updating_Packages-Applying_the_Changes.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Updating_Packages-Installing_Signed_Packages">1.5.3. Ondertekende pakketten installeren</h3></div></div></div><div class="para">
			Het installeren van de meeste pakketten kan veilig gedaan worden (behalve voor kernel pakketten) met het volgende commando:
		</div><pre class="screen"><code class="command">rpm -Uvh /tmp/updates/*.rpm</code>
</pre><div class="para">
			Voor kernel pakketten gebruik je het volgende commando:
		</div><pre class="screen"><code class="command">rpm -ivh /tmp/updates/<em class="replaceable"><code><kernel-pakket></code></em></code>
</pre><div class="para">
			Vervang <em class="replaceable"><code><kernel-pakket></code></em> in het vorige voorbeeld met de naam van de kernel RPM.
		</div><div class="para">
			Zodra de machine veilig opnieuw opgestart is met de nieuwe kernel, kan de oude kernel verwijderd worden met het volgende commando:
		</div><pre class="screen"><code class="command">rpm -e <em class="replaceable"><code><oude-kernel-pakket></code></em></code>
</pre><div class="para">
			Vervang <em class="replaceable"><code><oude-kernel-pakket></code></em> in het vorige voorbeeld met de naam van de oude kernel RPM.
		</div><div class="note"><h2>Opmerking</h2><div class="para">
				Het is niet vereist dat de oude kernel verwijderd wordt. De standaard boot loader, GRUB, staat toe dat meerdere kernels geinstalleerd worden, waarna een gekozen kan worden in een menu tijdens het opstarten.
			</div></div><div class="important"><h2>Belangrijk</h2><div class="para">
				Voordat je een beveiligings errata installeert, wees er dan zeker van om de speciale instructies te lezen die zich bevinden in het errata rapport en voer deze dan uit. Refereer naar <a class="xref" href="sect-Security_Guide-Updating_Packages-Applying_the_Changes.html" title="1.5.4. De veranderingen toepassen">ParagraafÂ 1.5.4, â€œDe veranderingen toepassenâ€</a> voor algemene instructies over het toepassen van de veranderingen gemaakt door een errata vernieuwing.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Updating_Packages-Verifying_Signed_Packages.html"><strong>Terug</strong>1.5.2. Ondertekende pakketten verifiÃ«ren</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Updating_Packages-Applying_the_Changes.html"><strong>Volgende</strong>1.5.4. De veranderingen toepassen</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Updating_Packages-Verifying_Signed_Packages.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.5.2. Ondertekende pakketten verifiÃ«ren</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Security_Updates.html" title="1.5. Beveiligings vernieuwingen"/><link rel="prev" href="sect-Security_Guide-Security_Updates.html" title="1.5. Beveiligings vernieuwingen"/><link rel="next" href="sect-Security_Guide-Updating_Packages-Installing_Signed_Packages.html" title="1.5.3. Ondertekende pakketten installeren"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.
 png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Security_Updates.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Updating_Packages-Installing_Signed_Packages.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Updating_Packages-Verifying_Signed_Packages">1.5.2. Ondertekende pakketten verifiÃ«ren</h3></div></div></div><div class="para">
			Alle Fedora pakketten zijn ondertekend met de Fedora <em class="firstterm">GPG</em> sleutel. GPG staat voor GNU Privacy Guard, of GnuPG, een vrij software pakket voor het verzekeren van authenticiteit van verspreide bestanden. Bijvoorbeeld, een privÃ© sleutel (geheime sleutel) sluit het pakket af terwijl een publieke sleutel het pakket opent en verifieert. Als de publieke sleutel die door Fedora geleverd wordt tijdends de RPM verificatie niet past met de geheime sleutel, kan het pakket veranderd zijn en kan daarom niet vertrouwd worden.
		</div><div class="para">
			Het RPM programma in Fedora probeert automatisch de GPG ondertekening van een RPM pakket te verifiÃ«ren voordat het geinstalleerd wordt. Als de Fedora GPG sleutel niet geinstalleerd is, doe dat dan van een veilige, statische locatie, zoals een Fedora installatie CD-ROM of DVD.
		</div><div class="para">
			Aannemende dat de schijf zich bevindt in <code class="filename">/mnt/cdrom</code>, gebruik je het volgende commando om het te importeren in de <em class="firstterm">sleutelring</em> (een databse van vertrouwde sleutels op het systeem):
		</div><pre class="screen"><code class="command">rpm --import /mnt/cdrom/RPM-GPG-KEY</code>
</pre><div class="para">
			Om een lijst te laten zien van alle sleutels die geinstalleerd zijn voor RPM verificatie, voer je het volgende commando uit:
		</div><pre class="screen"><code class="command">rpm -qa gpg-pubkey*</code>
</pre><div class="para">
			De output zal op het volgende lijken:
		</div><pre class="screen"><code class="computeroutput">gpg-pubkey-db42a60e-37ea5438</code>
</pre><div class="para">
			Om details van een specifieke sluetel te laten zien, voer je het <code class="command">rpm -qi</code> commando uit gevolgd door de output van het vorige commando, zoals in dit voorbeeld:
		</div><pre class="screen"><code class="command">rpm -qi gpg-pubkey-db42a60e-37ea5438</code>
</pre><div class="para">
			Het is uiterst belangrijk dat je de ondertekening van de RPM bestanden verifieert voor het installeren om er zeker van te zijn dat ze niet veranderd zijn ten opzichte van de originele bron van de pakketten. Om alle gedownloade pakketten tegelijk te verifiÃ«ren voer je het volgende commando uit:
		</div><pre class="screen"><code class="command">rpm -K /tmp/updates/*.rpm</code>
</pre><div class="para">
			Het commando geeft voor ieder pakket <code class="computeroutput">gpg OK</code> terug als de GPG sleutel met succes geverifieerd is. Als dat niet het geval is, wees er dan zeker van dat je de juiste Fedora publieke sleutel gebruikt en controleer ook de bron van de inhoud. Pakketten die niet voldoen aan de GPG verificatie moeten niet geinstalleerd worden, omdat ze door derden veranderd kunnen zijn.
		</div><div class="para">
			Na het verifiÃ«ren van de GPG sleutel en het downloaden van alle pakketten die behoren bij het errata rapport, installeer je de pakketten als root op een shell prompt.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Security_Updates.html"><strong>Terug</strong>1.5. Beveiligings vernieuwingen</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Updating_Packages-Installing_Signed_Packages.html"><strong>Volgende</strong>1.5.3. Ondertekende pakketten installeren</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Using_IPTables-Basic_Firewall_Policies.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.3.2. Basis firewall tactieken</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Firewalls-Using_IPTables.html" title="2.8.3. IPTables gebruiken"/><link rel="prev" href="sect-Security_Guide-Firewalls-Using_IPTables.html" title="2.8.3. IPTables gebruiken"/><link rel="next" href="sect-Security_Guide-Using_IPTables-Saving_and_Restoring_IPTables_Rules.html" title="2.8.3.3. Opslaan en terugzetten van IPTables regels"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/
 image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-Using_IPTables.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Using_IPTables-Saving_and_Restoring_IPTables_Rules.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Using_IPTables-Basic_Firewall_Policies">2.8.3.2. Basis firewall tactieken</h4></div></div></div><div class="para">
				Het vaststellen van basis firewall tactieken maakt een ondergrond voor het bouwen van meer gedetaileerde, door de gebruiker gedefinieerde regels.
			</div><div class="para">
				Elke <code class="command">iptables</code> keten bestaat uit een standaard tactiek, en geen of een aantal regels die samenwerken met de standaard tactiek om het gehele regelstelsel voor de firewall te definieren.
			</div><div class="para">
				De standaard tactiek voor een regel kan DROP of ACCEPT zijn. Beheerders met beveiliging in gedachten implementeren gewoonlijk een standaard tactiek van DROP, en staan alleen specifieke pakketten toe op een van-geval-tot-geval basis. Bijvoorbeeld, de volgende tactiek blokkeert alle ingaande en uitgaande pakketten op een netwerk gateway:
			</div><pre class="screen">[root at myServer ~ ] # iptables -P INPUT DROP
[root at myServer ~ ] # iptables -P OUTPUT DROP
</pre><div class="para">
				Het wordt ook aanbevolen om alle <em class="firstterm">forwarded packets</em> â€” netwerk verkeer dat geleid moet worden van de firewall naar zijn bestemmings node â€” ook te verbieden, om interne clienten te beperken voor onbedoelde blootstelling aan het Internet. Om dit te doen gebruik je de volgende regel:
			</div><pre class="screen">[root at myServer ~ ] # iptables -P FORWARD DROP
</pre><div class="para">
				Als je de standaard tactiek voor iedere keten hebt vastgesteld, kun je andere regels maken en opslaan voor je specifieke netwerk en beveiligings vereisten.
			</div><div class="para">
				De volgende paragrafen beschrijven hoe je iptables regels opslaat en geven een aantal regels aan die je misschien wilt gebruiken voor het bouwen van jouw iptables firewall.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Firewalls-Using_IPTables.html"><strong>Terug</strong>2.8.3. IPTables gebruiken</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Using_IPTables-Saving_and_Restoring_IPTables_Rules.html"><strong>Volgende</strong>2.8.3.3. Opslaan en terugzetten van IPTables rege...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Using_IPTables-Saving_and_Restoring_IPTables_Rules.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.8.3.3. Opslaan en terugzetten van IPTables regels</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Firewalls-Using_IPTables.html" title="2.8.3. IPTables gebruiken"/><link rel="prev" href="sect-Security_Guide-Using_IPTables-Basic_Firewall_Policies.html" title="2.8.3.2. Basis firewall tactieken"/><link rel="next" href="sect-Security_Guide-Firewalls-Common_IPTables_Filtering.html" title="2.8.4. Algemene IPTables filtering"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content
 /images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Using_IPTables-Basic_Firewall_Policies.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-Common_IPTables_Filtering.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Using_IPTables-Saving_and_Restoring_IPTables_Rules">2.8.3.3. Opslaan en terugzetten van IPTables regels</h4></div></div></div><div class="para">
				Veranderingen in <code class="command">iptables</code> zijn tijdelijk, als het systeem opnieuw opgestart wordt of als de <code class="command">iptables</code> service opnieuw opgestart wordt, worden de regels automatisch verwijderd en de standaarden worden terug gezet. Om de regels te bewaren zodat ze geladen worden als de <code class="command">iptables</code> service gestart wordt, gebruik je het volgende commando:
			</div><pre class="screen">[root at myServer ~ ] # service iptables save
</pre><div class="para">
				De regels worden opgeslagen in het bestand <code class="filename">/etc/sysconfig/iptables</code> en worden iedere keer toegepast als de service gestart wordt of als de machine opnieuw opgestart wordt.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Using_IPTables-Basic_Firewall_Policies.html"><strong>Terug</strong>2.8.3.2. Basis firewall tactieken</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls-Common_IPTables_Filtering.html"><strong>Volgende</strong>2.8.4. Algemene IPTables filtering</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Virtual_Private_Networks_VPNs-Creating_an_IPsec_Connection.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.7.4. Een IPsec verbinding maken</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html" title="2.7. Virtuele privÃ© netwerken (VPN's)"/><link rel="prev" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec.html" title="2.7.3. IPsec"/><link rel="next" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Installation.html" title="2.7.5. IPsec installatie"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.p
 ng" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Installation.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Virtual_Private_Networks_VPNs-Creating_an_IPsec_Connection">2.7.4. Een <abbr class="abbrev">IPsec</abbr> verbinding maken</h3></div></div></div><div class="para">
			Een <abbr class="abbrev">IPsec</abbr> verbinding is opgedeeld in twee logische fases. In fase 1 initialiseert een <abbr class="abbrev">IPsec</abbr> node de verbinding met de node of het netwerk op afstand. De node of het netwerk op afstand controleert de legitimaties van de aanvragende node en beide partijen onderhandelen over de authenticatie methode voor de verbinding.
		</div><div class="para">
			Op Fedora systemen gebruikt een <abbr class="abbrev">IPsec</abbr> verbinding de <em class="firstterm">pre-shared key</em> methode van <abbr class="abbrev">IPsec</abbr> node authenticatie. In een pre-shared key <abbr class="abbrev">IPsec</abbr> verbinding, moeten beide hosts dezelfde sleutel gebruiken om verder te gaan naar fase 2 van de <abbr class="abbrev">IPsec</abbr> verbinding.
		</div><div class="para">
			In fase 2 van de <abbr class="abbrev">IPsec</abbr> verbinding wordt de <em class="firstterm">Security Association</em> (<acronym class="acronym">SA</acronym>) aangemaakt tussen de <abbr class="abbrev">IPsec</abbr> nodes. Deze fase maakt een <abbr class="abbrev">SA</abbr> database aan met configuratie informatie, zoals de versleutelings methode, geheime sessie sleutel uitwisselings parameters, en zo voort. Deze fase beheert de actuele <abbr class="abbrev">IPsec</abbr> verbinding tussen de nodes op afstand en netwerken.
		</div><div class="para">
			De Fedora implementatie van <abbr class="abbrev">IPsec</abbr> gebruikt IKE voor het delen van sleutels tussen de hosts over het Internet. De <code class="command">racoon</code> keying daemon handelt de IKE sleutel distributie en uitwisseling af. Refereer naar de <code class="command">racoon</code> manual pagina voor meer informatie over deze daemon.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec.html"><strong>Terug</strong>2.7.3. IPsec</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Installation.html"><strong>Volgende</strong>2.7.5. IPsec installatie</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.7.3. IPsec</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html" title="2.7. Virtuele privÃ© netwerken (VPN's)"/><link rel="prev" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-VPNs_and_PROD.html" title="2.7.2. VPN's and Fedora"/><link rel="next" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Creating_an_IPsec_Connection.html" title="2.7.4. Een IPsec verbinding maken"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/ima
 ges/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-VPNs_and_PROD.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Creating_an_IPsec_Connection.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec">2.7.3. IPsec</h3></div></div></div><div class="para">
			Fedora ondersteunt <abbr class="abbrev">IPsec</abbr> voor het verbinden van hosts op afstand naar netwerken met gebruik van een beveiligde tunnel op een gemeenschappelijk dragers netwerk zoals het Internet. <abbr class="abbrev">IPsec</abbr> kan geimplementeerd worden door gebruik van een host-naar-host (een computer werkstation naar een ander) of netwerk-naar-netwerk (een <acronym class="acronym">LAN</acronym>/<acronym class="acronym">WAN</acronym> naar een ander) configuratie
		</div><div class="para">
			De <abbr class="abbrev">IPsec</abbr> implementatie in Fedora gebruikt <em class="firstterm">Internet Key Exchange</em> (<em class="firstterm">IKE</em>), een protocol geimplementeerd door de Internet Engineering Task Force (<acronym class="acronym">IETF</acronym>), gebruikt voor wederzijdse authenticatie en beveiligde samenwerking tussen verbindende systemen.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-VPNs_and_PROD.html"><strong>Terug</strong>2.7.2. VPN's and Fedora</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Creating_an_IPsec_Connection.html"><strong>Volgende</strong>2.7.4. Een IPsec verbinding maken</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.7.6. IPsec host-naar-host configuratie</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html" title="2.7. Virtuele privÃ© netwerken (VPN's)"/><link rel="prev" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Installation.html" title="2.7.5. IPsec installatie"/><link rel="next" href="sect-Security_Guide-IPsec_Host_to_Host_Configuration-Manual_IPsec_Host_to_Host_Configuration.html" title="2.7.6.2. Handmatige IPsec host-naar-host configuratie"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="righ
 t" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Installation.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPsec_Host_to_Host_Configuration-Manual_IPsec_Host_to_Host_Configuration.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration">2.7.6. IPsec host-naar-host configuratie</h3></div></div></div><div class="para">
			IPsec kan ingesteld worden om een bureaubald of werkstation (host) te verbinden met een andere door het gebruiken van een host-naar-host verbinding. Dit type verbinding gebruikt het netwerk waarmee iedere host verbonden is om een beveiligde tunnel tussen beide hosts te maken. De vereisten voor een host-naar-host verbinding zijn minimaal, evenals de instelling van <abbr class="abbrev">IPsec</abbr> op iedere host. De hosts hebben alleen een specifieke verbinding naar een draag netwerk nodig (zoals het Internet) en Fedora om de <abbr class="abbrev">IPsec</abbr> verbinding te maken.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-IPsec_Host_to_Host_Configuration-Host_to_Host_Connection">2.7.6.1. Host-naar-host verbinding</h4></div></div></div><div class="para">
				Een host-naar-host <abbr class="abbrev">IPsec</abbr> verbinding is een versleutelde verbinding tussen twee systemen, welke beide <abbr class="abbrev">IPsec</abbr> draaien met dezelfde authenticatie sleutel. Als de <abbr class="abbrev">IPsec</abbr> verbinding actief is, wordt alle netwerkverkeer tussen de twee hosts versleuteld.
			</div><div class="para">
				Om een host-naar-host <abbr class="abbrev">IPsec</abbr> verbinding in te stellen, gebruik je de volgende stappen op iedere host:
			</div><div class="note"><h2>Opmerking</h2><div class="para">
					Je moet de volgende procedures uitvoeren op de actuele machine die je gaat instellen. Vermijd om te proberen <abbr class="abbrev">IPsec</abbr> verbindingen op afstand in te stellen en aan te maken.
				</div></div><div class="orderedlist"><ol><li><div class="para">
						In een commando shell, type je <code class="command">system-config-network</code> om het <span class="application"><strong>Netwerkconfiguratie</strong></span> gereedschap op te starten.
					</div></li><li><div class="para">
						In de <span class="guilabel"><strong>IPsec</strong></span> tab klik je op <span class="guibutton"><strong>Nieuw</strong></span> om de <abbr class="abbrev">IPsec - instellingen</abbr> helper op te starten.
					</div></li><li><div class="para">
						Klik op <span class="guibutton"><strong>Vooruit</strong></span> om de instelling van een host-naar-host <abbr class="abbrev">IPsec</abbr> verbinding te starten.
					</div></li><li><div class="para">
						Vul een unieke alias naam in voor de verbinding, bijvoorbeeld <strong class="userinput"><code>ipsec0</code></strong>. Indien vereist, selecteer je het aanvinkhokje om de verbinding automatisch te activeren bij het opstarten van de computer. Klik op <span class="guibutton"><strong>Vooruit</strong></span> om verder te gaan.
					</div></li><li><div class="para">
						Selecteert <span class="guilabel"><strong>Host -naar-host encryptie</strong></span> als het verbindingstype, en klik op <span class="guibutton"><strong>Vooruit</strong></span>.
					</div></li><li><div class="para">
						Selecteer het type versleuteling om te gebruiken: handmatig of automatisch.
					</div><div class="para">
						Als je handmatige encryptie kiest, moet later in het proces een encryptie sleutel opgegeven worden. Als je automatische encryptie kiest, beheert de <code class="command">racoon</code> daemon de encryptie sleutel. Het <code class="filename">ipsec-tools</code> pakket moet geinstalleerd zijn als je automatische encryptie wilt gebruiken.
					</div><div class="para">
						Klik op <span class="guibutton"><strong>Vooruit</strong></span> om verder te gaan.
					</div></li><li><div class="para">
						Vul het IP adres van de host op afstand in.
					</div><div class="para">
						Om het IP adres van de host op afstan te bepalen, gebruik je het volgende commando <span class="emphasis"><em>op de host op afstand</em></span>
					</div><pre class="screen">[root at myServer ~] # /sbin/ifconfig <em class="replaceable"><code><device></code></em>
</pre><div class="para">
						waarin <em class="replaceable"><code><device></code></em> het Ethernet apparaat is dat je wilt gebruiken voor de <abbr class="abbrev">VPN</abbr> verbinding.
					</div><div class="para">
						Als je slechts een Ethernet kaart in het systeem hebt, is de apparaatnaam gewoonlijk eth0. Het volgende voorbeeld laat de relevante informatie van dit commando zien (merk op dat dit slechts een voorbeeld output is):
					</div><pre class="screen">eth0      Link encap:Ethernet  HWaddr 00:0C:6E:E8:98:1D
          inet addr:172.16.44.192  Bcast:172.16.45.255  Mask:255.255.254.0
</pre><div class="para">
						Het IP adres is het nummer dat volgt op de <code class="computeroutput">inet addr:</code> label.
					</div><div class="note"><h2>Opmerking</h2><div class="para">
							Voor host-naat-host verbindingen, moeten beide hosts een publieke, routable adres hebben. Aleternatief kunne beide hosts een privÃ©, niet-routable adres hebben (bijvoorbeeld, uit de 10.x.x.x of 192.168.x.x reeksen) als ze maar ophetzelfde LAN zijn.
						</div><div class="para">
							Als de hosts op verschillende LAN's zijn, of een heeft een publiek adres terwijl de ander een privÃ© adres heeft, refereer je naar <a class="xref" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html" title="2.7.7. IPsec netwerk-naar-netwerk configuratie">ParagraafÂ 2.7.7, â€œIPsec netwerk-naar-netwerk configuratieâ€</a>.
						</div></div><div class="para">
						Klik op <span class="guibutton"><strong>Vooruit</strong></span> om verder te gaan.
					</div></li><li><div class="para">
						Als handmatige encryptie was geselecteerd in stap <a class="xref" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html#list-Security_Guide-list-Security_Guide-list-Security_Guide-st-host-encrypt-type">6</a>, geeft je de te gebruiken encryptie sleutel op, of klik op <span class="guibutton"><strong>Genereren</strong></span> om er een te maken
					</div><div class="orderedlist"><ol><li><div class="para">
								Geef een authenticatiesleutel op of klik op <span class="guibutton"><strong>Genereren</strong></span> om er een te maken. Het kan elke combinatie van cijfers en letters zijn.
							</div></li><li><div class="para">
								Klik op <span class="guibutton"><strong>Vooruit</strong></span> om verder te gaan.
							</div></li></ol></div></li><li><div class="para">
						Verifieer de informatie in de <span class="guilabel"><strong>IPsec â€” Samenvatting</strong></span> pagina en klik dan op <span class="guibutton"><strong>Toepassen</strong></span>.
					</div></li><li><div class="para">
						Klik op <span class="guimenu"><strong>Bestand</strong></span> => <span class="guimenuitem"><strong>Opslaan</strong></span> om de configuratie op te slaan.
					</div><div class="para">
						Je moet misschien het netwerk opnieuw opstarten om de veranderingen effect te laten hebben. Om het netwerk opnieuw op te starten, gebruik je het volgende commando:
					</div><pre class="screen">[root at myServer ~]# service network restart
</pre></li><li><div class="para">
						Selecteer de <abbr class="abbrev">IPsec</abbr> verbinding in de lijst en klik op de <span class="guibutton"><strong>Activeren</strong></span> knop.
					</div></li><li><div class="para">
						Herhaal de gehele procedure voor de andere host. Het is essentieel dat dezelfde sleutel van step <a class="xref" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html#list-Security_Guide-list-Security_Guide-list-Security_Guide-st-host-to-host-keys">8</a> wordt gebruikt io de andere hosts. Anders zal <abbr class="abbrev">IPsec</abbr> niet werken.
					</div></li></ol></div><div class="para">
				Na het instellen van de <abbr class="abbrev">IPsec</abbr> verbinding, verschijnt het in de <abbr class="abbrev">IPsec</abbr> lijst zoals getoon in <a class="xref" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html#figu-Security_Guide-Host_to_Host_Connection-IPsec_Connection" title="Figuur 2.10. IPsec verbinding">FiguurÂ 2.10, â€œIPsec verbindingâ€</a>.
			</div><div class="figure" id="figu-Security_Guide-Host_to_Host_Connection-IPsec_Connection"><div class="figure-contents"><div class="mediaobject"><img src="images/fed-ipsec_host2host.png" alt="IPsec verbinding"/><div class="longdesc"><div class="para">
							IPsec verbinding
						</div></div></div></div><h6>Figuur 2.10. IPsec verbinding</h6></div><br class="figure-break"/><div class="para">
				De volgende bestanden worden aangemaakt als de <abbr class="abbrev">IPsec</abbr> verbinding is ingesteld:
			</div><div class="itemizedlist"><ul><li><div class="para">
						<code class="filename">/etc/sysconfig/network-scripts/ifcfg-<em class="replaceable"><code><nickname></code></em></code>
					</div></li><li><div class="para">
						<code class="filename">/etc/sysconfig/network-scripts/keys-<em class="replaceable"><code><nickname></code></em></code>
					</div></li><li><div class="para">
						<code class="filename">/etc/racoon/<em class="replaceable"><code><remote-ip></code></em>.conf</code>
					</div></li><li><div class="para">
						<code class="filename">/etc/racoon/psk.txt</code>
					</div></li></ul></div><div class="para">
				Als automatische encryptie is geselecteerd, wordt <code class="filename">/etc/racoon/racoon.conf</code> ook aangemaakt
			</div><div class="para">
				Als de interface actief is, wordt <code class="filename">/etc/racoon/racoon.conf</code> veranderd om <code class="filename"><em class="replaceable"><code><remote-ip></code></em>.conf</code> te bevatten.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Installation.html"><strong>Terug</strong>2.7.5. IPsec installatie</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPsec_Host_to_Host_Configuration-Manual_IPsec_Host_to_Host_Configuration.html"><strong>Volgende</strong>2.7.6.2. Handmatige IPsec host-naar-host configur...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Installation.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.7.5. IPsec installatie</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html" title="2.7. Virtuele privÃ© netwerken (VPN's)"/><link rel="prev" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Creating_an_IPsec_Connection.html" title="2.7.4. Een IPsec verbinding maken"/><link rel="next" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html" title="2.7.6. IPsec host-naar-host configuratie"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs
 .fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Creating_an_IPsec_Connection.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Installation">2.7.5. IPsec installatie</h3></div></div></div><div class="para">
			Het implementeren van <abbr class="abbrev">IPsec</abbr> vereist dat het <code class="filename">ipsec-tools</code> RPM pakket geinstalleerd wordt op alle <abbr class="abbrev">IPsec</abbr> hosts (als een host-naar-host configuratie gebruikt wordt) of routers (als een netwerk-naar-netwerk configuratie gebruikt wordt). Het RPM pakket bevat essentiele bibliotheken, daemons, en configuratie bestanden voor het instellen van de <abbr class="abbrev">IPsec</abbr> verbinding, inclusief:
		</div><div class="itemizedlist"><ul><li><div class="para">
					<code class="command">/sbin/setkey</code> â€” manipuleert het sleutel beheer en beveiligings attributen van <abbr class="abbrev">IPsec</abbr> in de kernel. Dit programma wordt gecontroleerd door de <code class="command">racoon</code> sleutel beheers daemon. Refereer naar de <code class="command">setkey</code>(8) manual pagina voor meer informatie.
				</div></li><li><div class="para">
					<code class="command">/usr/sbin/racoon</code> â€” de IKU sleutelbeheers daemon, gebruikt om voor het beheren en controleren van beveiligings samenwerking en sleuteldeling tussen systemen verbonden met IPsec.
				</div></li><li><div class="para">
					<code class="filename">/etc/racoon/racoon.conf</code> â€” het <code class="command">racoon</code> daemon configuratie bestand gebruikt om verschillende aspecten van de <abbr class="abbrev">IPsec</abbr> verbinding in te stellen, inclusief authenticatie methodes en versleutelings algorithmes gebruikt in de verbinding. Refereer naar de <code class="filename">racoon.conf</code>(5) manual pagina voor een complete opsomming van de beschikbare instructies.
				</div></li></ul></div><div class="para">
			Om <abbr class="abbrev">IPsec</abbr> in te stellen op Fedora, kun je het <span class="application"><strong>Netwerkconfiguratie</strong></span> gereedschap gebruiken, of de netwerk en <abbr class="abbrev">IPsec</abbr> configuratie bestanden handmatig bewerken.
		</div><div class="itemizedlist"><ul><li><div class="para">
					Om twee netwerk-verbonden hosts met IPsec te verbinden, refereer je naar <a class="xref" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html" title="2.7.6. IPsec host-naar-host configuratie">ParagraafÂ 2.7.6, â€œIPsec host-naar-host configuratieâ€</a>.
				</div></li><li><div class="para">
					Om een <acronym class="acronym">LAN</acronym>/<acronym class="acronym">WAN</acronym> naar een ander te verbinden met IPsec, refereer je naar <a class="xref" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html" title="2.7.7. IPsec netwerk-naar-netwerk configuratie">ParagraafÂ 2.7.7, â€œIPsec netwerk-naar-netwerk configuratieâ€</a>.
				</div></li></ul></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-Creating_an_IPsec_Connection.html"><strong>Terug</strong>2.7.4. Een IPsec verbinding maken</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Host_to_Host_Configuration.html"><strong>Volgende</strong>2.7.6. IPsec host-naar-host configuratie</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.7.7. IPsec netwerk-naar-netwerk configuratie</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html" title="2.7. Virtuele privÃ© netwerken (VPN's)"/><link rel="prev" href="sect-Security_Guide-IPsec_Host_to_Host_Configuration-Manual_IPsec_Host_to_Host_Configuration.html" title="2.7.6.2. Handmatige IPsec host-naar-host configuratie"/><link rel="next" href="sect-Security_Guide-IPsec_Network_to_Network_Configuration-Manual_IPsec_Network_to_Network_Configuration.html" title="2.7.7.2. Handmatige IPsec netwerk-naar-netwerk configurtie"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="
 Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPsec_Host_to_Host_Configuration-Manual_IPsec_Host_to_Host_Configuration.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPsec_Network_to_Network_Configuration-Manual_IPsec_Network_to_Network_Configuration.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration">2.7.7. IPsec netwerk-naar-netwerk configuratie</h3></div></div></div><div class="para">
			IPsec kan ook ingesteld worden om een geheel netwerk (zoals een <acronym class="acronym">LAN</acronym> of <acronym class="acronym">WAN</acronym>) te verbinden met een netwerk op afstand met gebruik van een netwerk-naar-netwerk verbinding. Een netwerk-naar-netwerk verbinding vereist het instellen van <abbr class="abbrev">IPsec</abbr> routers aan iedere kant van de verbindende netwerken voor het transparant bewerken en doorgeven van informatie van een node op een <acronym class="acronym">LAN</acronym> naar een node op een <acronym class="acronym">LAN</acronym> op afstand. <a class="xref" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html#figu-Security_Guide-IPsec_Network_to_Network_Configuration-A_network_to_network_IPsec_tunneled_connection" title="Figuur 2.11. Een netwerk-naar-netwerk IPsec verbinding met tunnel">FiguurÂ 2.11, â€œEen netwerk-naar-netwerk IPsec verbinding met tunnelâ€</a> laat een netwerk-naar-netwerk <abbr 
 class="abbrev">IPsec</abbr> verbinding met tunnel zien.
		</div><div class="figure" id="figu-Security_Guide-IPsec_Network_to_Network_Configuration-A_network_to_network_IPsec_tunneled_connection"><div class="figure-contents"><div class="mediaobject"><img src="images/n-t-n-ipsec-diagram.png" alt="Een netwerk-naar-netwerk IPsec verbinding met tunnel"/><div class="longdesc"><div class="para">
						Een netwerk-naar-netwerk <abbr class="abbrev">IPsec</abbr> verbinding met tunnel
					</div></div></div></div><h6>Figuur 2.11. Een netwerk-naar-netwerk <abbr class="abbrev">IPsec</abbr> verbinding met tunnel</h6></div><br class="figure-break"/><div class="para">
			Deze illustratie laat twee aparte <acronym class="acronym">LAN</acronym>'s zien gescheiden door het Internet. Deze <acronym class="acronym">LAN</acronym>'s gebruiken <abbr class="abbrev">IPsec</abbr> routers voor authenticatie en initiatie van een verbinding met gebruik van een beveiligde tunnel door het Internet. Pakketten die in de overdracht onderschept worden zullen brute-kracht ontsleuteling vereisen om de code te kraken die de pakketten tussen deze <acronym class="acronym">LAN</acronym>'s beschermd. Het proces van communicatie van een node in de 192.168.1.0/24 IP reeks naar een andere in de 92.168.2.0/24 reeks is geheel transparant voor de nodes omdat het verwerken, versleutelen/ontsleutelen, en omleiden van de <abbr class="abbrev">IPsec</abbr> pakketten geheel afgehandeld wordt door de <abbr class="abbrev">IPsec</abbr> router.
		</div><div class="para">
			De informatie nodig voor een netwerk-naar-netwerk verbinding omvat:
		</div><div class="itemizedlist"><ul><li><div class="para">
					De extern toegankelijke IP adressen van de specifieke <abbr class="abbrev">IPsec</abbr> routers
				</div></li><li><div class="para">
					De netwerk adres reeksen van de <acronym class="acronym">LAN</acronym>/<acronym class="acronym">WAN</acronym> bedient door de <abbr class="abbrev">IPsec</abbr> routers (zoals 192.168.1.0/24 of 10.0.1.0/24)
				</div></li><li><div class="para">
					Het IP adres van de gateway apparaten die de data van de netwerk nodes omleiden naar het Internat
				</div></li><li><div class="para">
					Een unieke naam, bijvoorbeeld, <code class="computeroutput">ipsec1</code>. Deze wordt gebruikt om de <abbr class="abbrev">IPsec</abbr> verbinding te identificeren en te onderscheiden van andere apparaten of verbindingen.
				</div></li><li><div class="para">
					Een vaste enctyptie sleutel of een automatisch aangemaakte door <code class="command">racoon</code>
				</div></li><li><div class="para">
					Een pre-gedeelde authenticatie sleutel die gebruikt wordt tijdens de initiele fase van de verbinding en om encryptiesleutels uit te wisselen tijdens de sessie.
				</div></li></ul></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-IPsec_Network_to_Network_Configuration-Network_to_Network_VPN_Connection">2.7.7.1. Netwerk-naar-netwerk (<abbr class="abbrev">VPN</abbr>) verbinding</h4></div></div></div><div class="para">
				Een netwerk-naar-netwerk <abbr class="abbrev">IPsec</abbr> verbinding gebruikt twee <abbr class="abbrev">IPsec</abbr> routers, een voor ieder netwerk, waarmee het netwerkverkeer voor de privÃ© subnetten omgeleid wordt.
			</div><div class="para">
				Bijvoorbeeld, zoals getoond in <a class="xref" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html#figu-Security_Guide-Network_to_Network_VPN_Connection-Network_to_Network_IPsec" title="Figuur 2.12. Netwerk-naar-netwerk IPsec">FiguurÂ 2.12, â€œNetwerk-naar-netwerk IPsecâ€</a>, als het 192.168.1.0/24 privÃ© netwerk netwerkverkeer verstuurt naar het 192.168.2.0/24 privÃ© netwerk, gaan de pakketten door gateway0, naar ipsec0, door het Internet, naar ipsec1, naar gateway1, en naar het 192.168.2.0/24 subnet.
			</div><div class="para">
				<abbr class="abbrev">IPsec</abbr> routers vereisen publiek adresseerbare IP adressen en een tweede Ethernet apparaat verbonden met hun respectievelijke privÃ© netwerken. Verkeer gaat alleen door een <abbr class="abbrev">IPsec</abbr> router als het bedoeld is voor een andere <abbr class="abbrev">IPsec</abbr> router waarme het een versleutelde verbinding heeft.
			</div><div class="figure" id="figu-Security_Guide-Network_to_Network_VPN_Connection-Network_to_Network_IPsec"><div class="figure-contents"><div class="mediaobject"><img src="images/n-t-n-ipsec-diagram.png" alt="Netwerk-naar-netwerk IPsec"/><div class="longdesc"><div class="para">
							Netwerk-naar-netwerk IPsec
						</div></div></div></div><h6>Figuur 2.12. Netwerk-naar-netwerk IPsec</h6></div><br class="figure-break"/><div class="para">
				Alternatieve netwerk configuratie opties zijn een firewall tussen elke IP router en het Internet, en een intranet firewall tussen elke <abbr class="abbrev">IPsec</abbr> router en subnet gateway. De <abbr class="abbrev">IPsec</abbr> router en de gateway voor het subnet kunnen een systeem zijn met twee Ethernet apparaten: een met een publiek IP adres dat werkt als de <abbr class="abbrev">IPsec</abbr> router; en een met een privÃ© IP adres dat werkt als de gateway voor het privÃ© subnet. Iedere <abbr class="abbrev">IPsec</abbr> router kan de gateway gebruiken voor zijn privÃ© netwerk of een publieke gateway om de pakketten naar de andere <abbr class="abbrev">IPsec</abbr> router te sturen.
			</div><div class="para">
				Gebruik de volgende procedure om een netwerk-naar-netwerk <abbr class="abbrev">IPsec</abbr> verbinding in te stellen:
			</div><div class="orderedlist"><ol><li><div class="para">
						In een commando shell, type je <code class="command">system-config-network</code> om het <span class="application"><strong>Netwerkconfiguratie</strong></span> gereedschap op te starten.
					</div></li><li><div class="para">
						In de <span class="guilabel"><strong>IPsec</strong></span> tab klik je op <span class="guibutton"><strong>Nieuw</strong></span> om de <abbr class="abbrev">IPsec - instellingen</abbr> helper op te starten.
					</div></li><li><div class="para">
						Klik op <span class="guibutton"><strong>Vooruit</strong></span> om de netwerk-naar-netwerk <abbr class="abbrev">IPsec</abbr> verbinding in te stellen.
					</div></li><li><div class="para">
						Vul een unieke naam in voor de verbinding, bijvoorbeeld, <strong class="userinput"><code>ipsec0</code></strong>. Indien nodig selecteer je het aanvinkhokje om de verbinding outomatisch op te starten als de computer opgestart wordt. Klik op <span class="guibutton"><strong>Vooruit</strong></span> om verder te gaan.
					</div></li><li><div class="para">
						Selecteer <span class="guilabel"><strong>Netwerk-naar-netwerk encryptie (VPN)</strong></span> als het connectie type, en klik dan op <span class="guibutton"><strong>Vooruit</strong></span>.
					</div></li><li><div class="para">
						Selecteer het type versleuteling om te gebruiken: handmatig of automatisch.
					</div><div class="para">
						Als je handmatige encryptie kiest, moet later in het proces een encryptie sleutel opgegeven worden. Als je automatische encryptie kiest, beheert de <code class="command">racoon</code> daemon de encryptie sleutel. Het <code class="filename">ipsec-tools</code> pakket moet geinstalleerd zijn als je automatische encryptie wilt gebruiken.
					</div><div class="para">
						Klik op <span class="guibutton"><strong>Vooruit</strong></span> om verder te gaan.
					</div></li><li><div class="para">
						Op de <span class="guilabel"><strong>Lokaal netwerk</strong></span> pagina vul je de volgende informatie in:
					</div><div class="itemizedlist"><ul><li><div class="para">
								<span class="guilabel"><strong>Lokaal netwerkadres</strong></span> â€” Het IP adres van het apparaat op de <abbr class="abbrev">IPsec</abbr> router verbonden met het privÃ© netwerk.
							</div></li><li><div class="para">
								<span class="guilabel"><strong>Lokaal subnetmasker</strong></span> â€” Het subnetmasker van het lokale netwerk IP adres.
							</div></li><li><div class="para">
								<span class="guilabel"><strong>Lokaal netwerk gateway</strong></span> â€” De gateway voor het privÃ© subnet.
							</div></li></ul></div><div class="para">
						Klik op <span class="guibutton"><strong>Vooruit</strong></span> om verder te gaan.
					</div><div class="figure" id="figu-Security_Guide-Network_to_Network_VPN_Connection-Local_Network_Information"><div class="figure-contents"><div class="mediaobject"><img src="images/fed-ipsec_n_to_n_local.png" alt="Lokaal netwerk information"/><div class="longdesc"><div class="para">
									Lokaal netwerk information
								</div></div></div></div><h6>Figuur 2.13. Lokaal netwerk information</h6></div><br class="figure-break"/></li><li><div class="para">
						Op de <span class="guilabel"><strong>Netwerk op afstand</strong></span> pagina vul je de volgende informatie in:
					</div><div class="itemizedlist"><ul><li><div class="para">
								<span class="guilabel"><strong>IP-adres op afstand</strong></span> â€” Het publiek adresseerbare IP adres van de <abbr class="abbrev">IPsec</abbr> router voor het <span class="emphasis"><em>andere</em></span> privÃ© netwerk. In ons voorbeeld, voor ipsec0, vul je het publiek adresseerbare IP adres van ipsec1 in, en omgekeerd.
							</div></li><li><div class="para">
								<span class="guilabel"><strong>Netwerkadres op afstand</strong></span> â€” Het netwerk adres van het privÃ© subnet achter de <span class="emphasis"><em>andere</em></span> <abbr class="abbrev">IPsec</abbr> router. In ons voorbeeld, vul je <strong class="userinput"><code>192.168.1.0</code></strong> in voor het instellen van ipsec1, en vul je <strong class="userinput"><code>192.168.2.0</code></strong> in voor het instellen van ipsec0.
							</div></li><li><div class="para">
								<span class="guilabel"><strong>Subnetmasker op afstand</strong></span> â€” Het subnet maker van het IP adres op afstand.
							</div></li><li><div class="para">
								<span class="guilabel"><strong>Netwerk gateway op afstand</strong></span> â€” Het IP adres van de gateway voor het netwerk adres op afstand.
							</div></li><li><div class="para">
								Als handmatige encryptie was geselecteerd in stap <a class="xref" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec_Network_to_Network_Configuration.html#list-Security_Guide-list-Security_Guide-list-Security_Guide-st-host-encrypt-type-n">6</a>, specificeer je de te gebruiken encryptie sleutel of je klikt op <span class="guibutton"><strong>Genereren</strong></span> om een aan te maken.
							</div><div class="para">
								Specificeer een authenticatie sleutel of klik op <span class="guibutton"><strong>Genereren</strong></span> om een aan te maken. Deze sleutel kan een willekeurige combinatie kan cijfers en letters zijn.
							</div></li></ul></div><div class="para">
						Klik op <span class="guibutton"><strong>Vooruit</strong></span> om verder te gaan.
					</div><div class="figure" id="figu-Security_Guide-Network_to_Network_VPN_Connection-Remote_Network_Information"><div class="figure-contents"><div class="mediaobject"><img src="images/fed-ipsec_n_to_n_remote.png" alt="Netwerk op afstand information"/><div class="longdesc"><div class="para">
									Netwerk op afstand information
								</div></div></div></div><h6>Figuur 2.14. Netwerk op afstand information</h6></div><br class="figure-break"/></li><li><div class="para">
						Verifieer de informatie in de <span class="guilabel"><strong>IPsec â€” Samenvatting</strong></span> pagina en klik dan op <span class="guibutton"><strong>Toepassen</strong></span>.
					</div></li><li><div class="para">
						Selecteer <span class="guimenu"><strong>Bestand</strong></span> => <span class="guimenuitem"><strong>Opslaan</strong></span> om de instelling op te slaan.
					</div></li><li><div class="para">
						Selecteer de <abbr class="abbrev">IPsec</abbr> verbinding in de lijst en klik dan op <span class="guibutton"><strong>Activeren</strong></span> om de verbinding te activeren.
					</div></li><li><div class="para">
						Zet IP forwarding aan:
					</div><div class="orderedlist"><ol><li><div class="para">
								Bewerk <code class="filename">/etc/sysctl.conf</code> en zet <code class="computeroutput">net.ipv4.ip_forward</code> op <strong class="userinput"><code>1</code></strong>.
							</div></li><li><div class="para">
								Gebruik het volgende commando om de verandering aan te zetten:
							</div><pre class="screen">[root at myServer ~]# /sbin/sysctl -p /etc/sysctl.conf
</pre></li></ol></div></li></ol></div><div class="para">
				Het netwerk script om de <abbr class="abbrev">IPsec</abbr> verbinding te activeren maakt automatisch netwerkroutes om pakketten te versturen door de <abbr class="abbrev">IPsec</abbr> router indien nodig.
			</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPsec_Host_to_Host_Configuration-Manual_IPsec_Host_to_Host_Configuration.html"><strong>Terug</strong>2.7.6.2. Handmatige IPsec host-naar-host configur...</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-IPsec_Network_to_Network_Configuration-Manual_IPsec_Network_to_Network_Configuration.html"><strong>Volgende</strong>2.7.7.2. Handmatige IPsec netwerk-naar-netwerk co...</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Virtual_Private_Networks_VPNs-Starting_and_Stopping_an_IPsec_Connection.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.7.8. Het starten en stoppen van een IPsec verbinding</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html" title="2.7. Virtuele privÃ© netwerken (VPN's)"/><link rel="prev" href="sect-Security_Guide-IPsec_Network_to_Network_Configuration-Manual_IPsec_Network_to_Network_Configuration.html" title="2.7.7.2. Handmatige IPsec netwerk-naar-netwerk configurtie"/><link rel="next" href="sect-Security_Guide-Firewalls.html" title="2.8. Firewalls"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://do
 cs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPsec_Network_to_Network_Configuration-Manual_IPsec_Network_to_Network_Configuration.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Virtual_Private_Networks_VPNs-Starting_and_Stopping_an_IPsec_Connection">2.7.8. Het starten en stoppen van een <abbr class="abbrev">IPsec</abbr> verbinding</h3></div></div></div><div class="para">
			Als de <abbr class="abbrev">IPsec</abbr> verbinding niet ingesteld is om op te starten tijdens het opstarten van de computer, kun je het besturen vanaf de commandoregel.
		</div><div class="para">
			Om de verbinding te starten, gebruik je het volgende commando voor elke host voor host-naar-host IPsec, of iedere <abbr class="abbrev">IPsec</abbr> router voor netwerk-naar-netwerk IPsec:
		</div><pre class="screen">[root at myServer ~] # /sbin/ifup <em class="replaceable"><code><nickname></code></em>
</pre><div class="para">
			waarin <em class="replaceable"><code><nickname></code></em> de naam is die je eerder hebt ingestled, zoals <code class="computeroutput">ipsec0</code>.
		</div><div class="para">
			Om de verbinding te stoppen, bebruik je het volgende commando:
		</div><pre class="screen">[root at myServer ~] # /sbin/ifdown <em class="replaceable"><code><nickname></code></em>
</pre></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-IPsec_Network_to_Network_Configuration-Manual_IPsec_Network_to_Network_Configuration.html"><strong>Terug</strong>2.7.7.2. Handmatige IPsec netwerk-naar-netwerk co...</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Firewalls.html"><strong>Volgende</strong>2.8. Firewalls</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Virtual_Private_Networks_VPNs-VPNs_and_PROD.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.7.2. VPN's and Fedora</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html" title="2.7. Virtuele privÃ© netwerken (VPN's)"/><link rel="prev" href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html" title="2.7. Virtuele privÃ© netwerken (VPN's)"/><link rel="next" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec.html" title="2.7.3. IPsec"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Docume
 ntation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Virtual_Private_Networks_VPNs-VPNs_and_PROD">2.7.2. VPN's and Fedora</h3></div></div></div><div class="para">
			Fedora biedt verschillende opties wat betreft de implementatie van software oplossingen voor een beveiligde verbinding naar een <acronym class="acronym">WAN</acronym>. <em class="firstterm">Internet Protocol Security</em> (<acronym class="acronym">IPsec</acronym>) is de ondersteunde <abbr class="abbrev">VPN</abbr> implementatie voor Fedora, en voldoet in voldoende mate aan de gebruikersbehoeften van bedrijven met buitenkantoren of gebruikers op afstand.
		</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Virtual_Private_Networks_VPNs.html"><strong>Terug</strong>2.7. Virtuele privÃ© netwerken (VPN's)</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-IPsec.html"><strong>Volgende</strong>2.7.3. IPsec</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Virtual_Private_Networks_VPNs.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.7. Virtuele privÃ© netwerken (VPN's)</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="chap-Security_Guide-Securing_Your_Network.html" title="Hoofdstuk 2. Je netwerk beveiligen"/><link rel="prev" href="sect-Security_Guide-Additional_Resources-Useful_Kerberos_Websites.html" title="2.6.10.2. Nuttige Kerberos websites"/><link rel="next" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-VPNs_and_PROD.html" title="2.7.2. VPN's and Fedora"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/
 images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Additional_Resources-Useful_Kerberos_Websites.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-VPNs_and_PROD.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Virtual_Private_Networks_VPNs">2.7. Virtuele privÃ© netwerken (VPN's)</h2></div></div></div><div class="para">
		Bedrijven met verscheidene satelliet kantoren verbinden vaak met elkaar met specifieke lijnen voor effectiviteit en bescherming van gevoelige data tijdens de overdracht. Bijvoorbeeld, veel bedrijven gebruiken frame relay of <em class="firstterm">Asynchronous Transfer Mode</em> (<acronym class="acronym">ATM</acronym>) lijnen voor een eindpunt-naar-eindpunt oplossing om een kantoor met andere te verbinden. Dit kan een duur voorstel zijn, in het bijzonder voor bedrijven van gemiddelde grootte (<acronym class="acronym">SMB</acronym>'s) die uit willen breiden zonder de hoge kosten te betalen die behoren bij specifieke digitale circuits voor grote ondernemingen.
	</div><div class="para">
		Om aan deze behoeft te voldoen, werden <em class="firstterm">Virtuele privÃ© netwerken</em> (<abbr class="abbrev">VPN</abbr>'s) ontwikkeld. Door het opvolgen van dezelfde functionele principes als specifieke circuits, staan <abbr class="abbrev">VPN</abbr>'s beveiligde digitale communica toe tussen twee partijen (of netwerken), waarmee een <em class="firstterm">Wide Area Network</em> (<acronym class="acronym">WAN</acronym>) gemaakt wordt van bestaande <em class="firstterm">Local Area Networks</em> (<acronym class="acronym">LAN</acronym>'s). Waarin het verschilt van frame relay of ATM is het transport medium. <abbr class="abbrev">VPN</abbr>'s verzenden over IP met gebruik van datagrams als de transport laag, wat het een veilig kanaal door het Internet maakt naar een bedoelde bestemming. De meeste vrije <abbr class="abbrev">VPN</abbr> implementaties bevatten open standaard versleutelings methoden om de data tijdens de overdracht verder te maskeren.
	</div><div class="para">
		Sommige bedrijven gebruiken hardware <abbr class="abbrev">VPN</abbr> oplossingen om de beveiliging te verbeteren, terwijl andere software gebruiken of op protocollen gebaseerde implementaties. Verschillende leveranciers bieden hardware <abbr class="abbrev">VPN</abbr> oplossingen, zoals Cisco, Nortel, IBM, en Checkpoint. Er is een vrije op software gebaseerde <abbr class="abbrev">VPN</abbr> oplossing voor Fedora met de naam FreeS/Wan die een standaard <em class="firstterm">Internet Protocol Security</em> (<abbr class="abbrev">IPsec</abbr>) implementatie gebruikt. Deze <abbr class="abbrev">VPN</abbr> oplossingen , onafhankelijk of ze op hardware of software gebaseerd zijn, werken als speciale routers die bestaan tussen de IP verbinding van een kantoor naar een ander.
	</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Virtual_Private_Networks_VPNs-How_Does_a_VPN_Work">2.7.1. Hoe werk een VPN?</h3></div></div></div><div class="para">
			Als een pakket wordt verzonden van een client, stuurt deze het door de <abbr class="abbrev">VPN</abbr> router of gateway, welke een <em class="firstterm">Authenticatie header</em> (<abbr class="abbrev">AH</abbr>) toevoegt voor de route en authenticatie. De data wordt dan versleuteld en, tenslotte, ingesloten binnen een <em class="firstterm">Encapsulating Security Payload</em> (<abbr class="abbrev">ESP</abbr>). Deze laatste vertegenwoordigt de versleuteling en afhandelings instructies.
		</div><div class="para">
			De ontvangende <abbr class="abbrev">VPN</abbr> router stript de kop informatie, ontsleutelt de data, en verstuurt het naar de bedoelde bestemming (een werkstation of een andere node op een netwerk). Door gebruik van een netwerk-naar-netwerk verbinding ontvangt de ontvangende node op het locale netwerk de pakketten al ontsleuteld en klaar om verwerkt te worden. Het versleuteling/ontsleuteling proces in een netwerk-naar-netwerk <abbr class="abbrev">VPN</abbr> verbinding is transparant voor een locale node.
		</div><div class="para">
			Met zo'n verbeterd niveau van beveiliging, moet een aanvaller niet alleen een pakket onderscheppen, maar het pakket ook ontsleutelen. Indringers die een man-in-het-midden aanval uitvoeren tussen een server en de client moeten ook toegang hebben tot tenminste een van de privÃ© sleutels voor authenticatie van de sessies. Omdat zij verscheidene lagen van authenticatie en versleuteling gebruiken, zijn <abbr class="abbrev">VPN</abbr>'s een veilig en effectief middel om te verbinden tussen meerdere node op afstand om te werken als een vereningd intranet.
		</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Additional_Resources-Useful_Kerberos_Websites.html"><strong>Terug</strong>2.6.10.2. Nuttige Kerberos websites</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Virtual_Private_Networks_VPNs-VPNs_and_PROD.html"><strong>Volgende</strong>2.7.2. VPN's and Fedora</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Vulnerability_Assessment-Defining_Assessment_and_Testing.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.2.2. Het definieren van onderzoeken en testen</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Vulnerability_Assessment.html" title="1.2. Kwetsbaarheid beoordeling"/><link rel="prev" href="sect-Security_Guide-Vulnerability_Assessment.html" title="1.2. Kwetsbaarheid beoordeling"/><link rel="next" href="sect-Security_Guide-Vulnerability_Assessment-Evaluating_the_Tools.html" title="1.2.3. Het evalueren van de gereedschappen"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Conte
 nt/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Vulnerability_Assessment.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Vulnerability_Assessment-Evaluating_the_Tools.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Vulnerability_Assessment-Defining_Assessment_and_Testing">1.2.2. Het definieren van onderzoeken en testen</h3></div></div></div><div class="para">
			Kwetbaarheidsonderzoeken kunnen verdeeld worden in twee types:<em class="firstterm">van buiten naar binnen kijken</em> en <em class="firstterm">van binnen rondkijken</em>.
		</div><div class="para">
			Als je een van buiten naar binnen kijken kwetsbaarheidsonderzoek uitvoert, probeer je om je systeem van buiten af in gevaar te brengen. Als je buiten je bedrijf bent geeft je dat het gezichtspunt van de cracker. Je ziet wat een cracker ziet â€” openlijke IP adressen, systemen op je <em class="firstterm">DMZ</em>, externe interfaces van je firewall, enzovoort. DMZ staat voor "demilitarized zone", wat overeenkomt met een computer of een klein subnetwerk dat zich bevindt tussen een vertrouwd intern netwerk, zoals een prive LAN van een bedrijf, en een onvertrouwd extern netwerk, zoals het publieke Internet. Gewoonlijk bevat de DMZ apparaten met toegang tot Internet verkeer, zoals Web (HTTP) servers, FTP servers, SMTP (email) servers, en DNS servers.
		</div><div class="para">
			Als je een van binnen rondkijken kwetsbaarheidsonderzoek uitvoert, heb je het voordeel dat je intern bent en je status is verhoogd naar vertrouwd. Dit is het gezichtspunt dat jij en je collega's hebben zodra je ingelogd bent op je systeem. Je ziet printservers, bestandsservers, databases en andere hulpbronnen.
		</div><div class="para">
			Er is een opvallend verschil tussen de twee types van kwetsbaarheidsonderzoeken. Als je intern bij je bedrijf bent heb je meer rechten dan een buitenstaander. Vandaag de dag wordt beveiliging in de meeste organisaties nog steeds ingesteld om indringers buiten te houden. Erg weinig wordt gedaan om het binnenste van de organisatie te beveiligen (zoals afdelingsfirewalls, toegangscontrole op gebruikers niveau, authenticatie procedures voor interne hulpbronnen, enzovoort). Gewoonlijk zijn er veel meer hulpbronnen als je binnen rondkijkt omdat de meeste systemen intern het bedrijf zijn. Zodra je jezelf buiten het bedrijf plaatst, krijg je onmiddelijk een onvertrouwde status. De systemen en hulpbronnen die voor je beschikbaar zijn als je extern bent is gewoonlijk erg beperkt.
		</div><div class="para">
			Overweeg het verschil tussen kwetsbaarheidsonderzoek en <em class="firstterm">indringings testen</em>. Beschouw een kwetsbaarheidsonderzoek als de eerste stap van een indringingstest. De informatie verkregen van het onderzoek wordt gebruikt voor het testen. Terwijl het onderzoek wordt uitgevoerd om gaten en potentiele kwestbaarheden te onderzoeken, probeert de indringingstest de resultaten echt te gebruiken.
		</div><div class="para">
			Het onderzoeken van de netwerk infrastructuur is een dynamisch proces. Beveiliging, zowel informatie als fysiek, is dynamisch. Het uitvoeren van een onderzoek geeft een overzicht die verkeerde plussen en verkeerde minnen kan opleveren.
		</div><div class="para">
			Beveiligingsbeheerders zijn niet beter dan de gereedschappen die ze gebruiken en de kennis die ze hebben. Neem een van de op dit moment beschikbare beveiligingsgereedschappen, en het is zo goed als zeker dat er een paar verkeerde plussen zijn. Of dit komt door een programma fout of een gebruikers fout, het resultaat is hetzelfde. Het gereedschap kan kwestbaarheden vinden die in werkelijkheid niet bestaan (verkeerde plussen); of, nog erger, het gereedschap kan kwetsbaarheden niet vinden die werkelijk bestaan (verkeerde minnen).
		</div><div class="para">
			Nu het verschil tussen een kwetsbaarheidsonderzoek en een indringingstest is gedefinieerd, nemen we de resultaten van het onderzoek en bekijken we deze zorgvuldig voordat we een indringingstest uitvoeren als onderdeel van je nieuwe beste praktijken aanpak.
		</div><div class="warning"><h2>Waarschuwing</h2><div class="para">
				Het proberen van het uitbuiten van kwetsbaarheden op productie hulpbronnen kan een averechts effect hebben op de productiviteit en efficientie van je systemen en netwerk.
			</div></div><div class="para">
			De volgende lijst bekijkt een aantal voordelen van het uitvoeren van kwetsbaarheidsonderzoeken.
		</div><div class="itemizedlist"><ul><li><div class="para">
					Veroorzaakt een pro-active focus op informatie beveiliging
				</div></li><li><div class="para">
					Vindt potentiele uitbuitingen voordat crackers deze vinden
				</div></li><li><div class="para">
					Resulteert in systemen die bij de tijd gehouden worden en gecorrigeerd worden.
				</div></li><li><div class="para">
					Bevordert groei en helpt in het ontwikkelen van vaardigheden van het personeel
				</div></li><li><div class="para">
					Vermindert financiele verliesen en negatieve publiciteit
				</div></li></ul></div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Defining_Assessment_and_Testing-Establishing_a_Methodology">1.2.2.1. Het vaststellen van een methodologie</h4></div></div></div><div class="para">
				Om te helpen bij het kiezen van gereedschappen voor een kwetsbaarheidsonderzoek, is het nuttig om een kwetsbaarheidsonderzoek methodologie vast te stellen. Helaas is er op dit moment geen voor-gedefinieerde of door de industrie goedgekeurde methodologie; echter gezond verstand en beste praktijken kunnen als voldoende gids dienen.
			</div><div class="para">
				<span class="emphasis"><em>Wat is het doel? Kijken we naar een server, of kijken we naar ons gehele netwerk en alles binnen het netwerk? Zijn we extern of intern van het bedrijf?</em></span> De antwoorden op deze vragen zijn belangrijk omdat ze niet alleen helpen te bepalen welke gereerdschappen we moeten kiezen, maar ook de manier waarop ze gebruikt moeten worden.
			</div><div class="para">
				Om meer te weten te komen over het vaststellen van een methodologie, refereer je naar de volgende websites:
			</div><div class="itemizedlist"><ul><li><div class="para">
						<a href="http://www.isecom.org/osstmm/">http://www.isecom.org/osstmm/</a> <em class="citetitle">The Open Source Security Testing Methodology Manual</em> (OSSTMM)
					</div></li><li><div class="para">
						<a href="http://www.owasp.org/">http://www.owasp.org/</a> <em class="citetitle">The Open Web Application Security Project</em>
					</div></li></ul></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Vulnerability_Assessment.html"><strong>Terug</strong>1.2. Kwetsbaarheid beoordeling</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Vulnerability_Assessment-Evaluating_the_Tools.html"><strong>Volgende</strong>1.2.3. Het evalueren van de gereedschappen</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Vulnerability_Assessment-Evaluating_the_Tools.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.2.3. Het evalueren van de gereedschappen</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-Vulnerability_Assessment.html" title="1.2. Kwetsbaarheid beoordeling"/><link rel="prev" href="sect-Security_Guide-Vulnerability_Assessment-Defining_Assessment_and_Testing.html" title="1.2.2. Het definieren van onderzoeken en testen"/><link rel="next" href="sect-Security_Guide-Evaluating_the_Tools-Nessus.html" title="1.2.3.2. Nessus"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Conten
 t/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Vulnerability_Assessment-Defining_Assessment_and_Testing.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Evaluating_the_Tools-Nessus.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Vulnerability_Assessment-Evaluating_the_Tools">1.2.3. Het evalueren van de gereedschappen</h3></div></div></div><div class="para">
			Een onderzoek kan beginnen met het gebruik van een informatie verzamel gereedschap. Als het gehele netwerk onderzocht wordt, maak dan eerst een plattegrond om de host te vinden die er in draaien. Zodra die gevonden zijn, bekijk dan iedere host individueel. Concentreren op deze hosts vereist een andere set gereedschappen. Te weten welke gereedschappen gebruikt moeten worden kan de beslissende stap zijn in het vinden van kwetsbaarheden.
		</div><div class="para">
			Net als in elk onderdeel van het dagelijkse leven, zijn er veel verschillende gereedschappen die dezelfde taak uitvoeren. Dit concept is ook van toepassing op het uitvoeren van kwetbaarheidsonderzoeken. Er zijn gereedschappen specifiek voor operating systemen, toepassingen, en zelfs netwerken (afhankelijk van het gebruikte protocol). Sommige gereedschappen zijn gratis, andere niet. Sommige gereedschappen zijn intuitief en gemakkelijk te gebruiken, terwijl andere cryptisch en slecht gedocumenteerd zijn maar met eigenschappen die andere niet hebben.
		</div><div class="para">
			Het vinden van de juiste gereedschappen kan een intimiderende taak zijn en op het eind telt ervaring. Indien mogelijk maak je een test omgeving en probeer je zoveel gereedschappen als je kunt, en je noteert van elk de sterktes en zwaktes. Bekijk het README bestand of de manual pagina voor het gereedschap. Kijk bovendien op het Internet voor meer informatie, zoals artikelen, stap-voor-stap gidsen, en zelfs mailing lijsten specifiek voor een gereedschap.
		</div><div class="para">
			De hier beneden besproken gereedschappen is slechts een klein aantal van de beschikbare gereedschappen.
		</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-Evaluating_the_Tools-Scanning_Hosts_with_Nmap">1.2.3.1. Hosts scannen met Nmap</h4></div></div></div><div class="para">
				Nmap is een populair gereedschap dat onderdeel is van Fedora en gebruikt kan worden voor het bepalen van de opbouw van een netwerk. Nmap is al vele jaren beschikbaar en is waarschijnlijk het meest gebruikte gereedschap voor het verzamelen van informatie. Een uitstekende manual pagina is toegevoegd die een gedetaileerde beschrijving van zijn opties en gebruik geeft. Beheerders kunnen Nmap in een netwerk gebruiken om de host systemen te vinden en open poorten op die systemen.
			</div><div class="para">
				Nmap is een goede eerste stap in een kwetsbaarheidsonderzoek. Je kunt alle hosts in je netwerk in kaart brengen en zelfs een optie meegeven dat Nmap de mogelijkheid geeft om het operatings systeem te bepalen wat op een bepaalde host draait. Nmap is een goede ondergrond voor het vaststellen van een tactiek voor het gebruiken van beveiligde services en het stoppen van ongebruikte services.
			</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Scanning_Hosts_with_Nmap-Using_Nmap">1.2.3.1.1. Nmap gebruiken</h5></div></div></div><div class="para">
					Nmap kan uitgevoerd worden vanaf een shell prompt door het intypen van het <code class="command">nmap</code> commando gevolgd door de hostnaam of IP adres van de machine die bekeken moet worden.
				</div><pre class="screen"><code class="command">nmap foo.example.com</code>
</pre><div class="para">
					Het resultaat van de scan (die enkele minuten kan duren, afhankelijk van de locatie van de host) moet op het volgende lijken:
				</div><pre class="screen">Starting Nmap 4.68 ( http://nmap.org )
Interesting ports on foo.example.com:
Not shown: 1710 filtered ports
PORT    STATE  SERVICE
22/tcp  open   ssh
53/tcp  open   domain
70/tcp  closed gopher
80/tcp  open   http
113/tcp closed auth
</pre><div class="para">
					Nmap test de meest gebruikte netwerk communicatie poorten voor het luisteren naar of wachten op services. Deze kennis kan nuttig zijn voor een beheerder die onnodige of ongebruikte services wil afsluiten.
				</div><div class="para">
					Voor meer informatie over het gebruik van Nmap rerefereer je naar de officiele Nmap pagina op:
				</div><div class="para">
					<a href="http://www.insecure.org/">http://www.insecure.org/</a>
				</div></div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-Vulnerability_Assessment-Defining_Assessment_and_Testing.html"><strong>Terug</strong>1.2.2. Het definieren van onderzoeken en testen</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Evaluating_the_Tools-Nessus.html"><strong>Volgende</strong>1.2.3.2. Nessus</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-Vulnerability_Assessment.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>1.2. Kwetsbaarheid beoordeling</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="chap-Security_Guide-Security_Overview.html" title="Hoofdstuk 1. Beveiligings overzicht"/><link rel="prev" href="chap-Security_Guide-Security_Overview.html" title="Hoofdstuk 1. Beveiligings overzicht"/><link rel="next" href="sect-Security_Guide-Vulnerability_Assessment-Defining_Assessment_and_Testing.html" title="1.2.2. Het definieren van onderzoeken en testen"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class="right" href="http://docs.fedoraproject.org"><img src="Common_Content/im
 ages/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="chap-Security_Guide-Security_Overview.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Vulnerability_Assessment-Defining_Assessment_and_Testing.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h2 class="title" id="sect-Security_Guide-Vulnerability_Assessment">1.2. Kwetsbaarheid beoordeling</h2></div></div></div><div class="para">
		Met voldoende tijd, hulpbronnen, en motivatie, kan een cracker in bijna elk systeem inbreken. Uiteindelijk kunnen alle beveiligings procedures en technologien die nu beschikbaar zijn, niet garanderen dat elk systeem volledig beveiligd is tegen indringing. Routers helpen de gateways naar het Internet te beveiligen. Firewalls helpen om de randen van het netwerk te beveiligen. Virtual Private Networks geven data veilig door met een versleutelde stroom. Indringings detectie systemen waarschuwen je voor kwaadwillige activiteiten. Het succes van al deze technologien hangt echter af van een aantal variabelen, zoals:
	</div><div class="itemizedlist"><ul><li><div class="para">
				De deskundigheid van de werknemers die verantwoordlijk zijn voor het instellen, bewaken, en onderhouden van de technologien.
			</div></li><li><div class="para">
				De mogelijkheid om services en kernels snel en efficient te corrigeren en te vernieuwen.
			</div></li><li><div class="para">
				De mogelijkheid van de verantwoordelijken om constant waakzaam te zijn over het netwerk.
			</div></li></ul></div><div class="para">
		Door de dynamische toestand van data systemen en technologien, kan het beveiligen van zakelijke hulpbronnen behoorlijk ingewikkeld zijn. Door deze complexiteit is het vaak moeilijk om deskundigen te vinden voor al je systemen. Terwijl het mogelijk is om personeel te hebben die kennis heeft van vele gebieden van informatie beveiliging, is het moeilijk personeel vast te houden die deskundig is in meer dan een paar onderwerpsgebieden. Dit komt voornamelijk door de vereiste van constante aandacht en scherpte voor ieder onderwerpsgebied van informatie beveiliging. Informatie beveiliging staat niet stil.
	</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h3 class="title" id="sect-Security_Guide-Vulnerability_Assessment-Thinking_Like_the_Enemy">1.2.1. Denk als de vijand</h3></div></div></div><div class="para">
			Veronderstel dat je een zakelijk netwerk beheert. Zo'n netwerk bestaat gewoonlijk uit operating systemen, toepassingen, servers, netwerk bewaking, firewalls, indringings detectie systemen, en meer. Stel je nu voor om te proberen voor ieder van deze actueel te blijven. Gegeven de complexiteit van de huidige software en netwerk omgevingen, zijn uitbuitingen en bugs een zekerheid. Actueel te blijven met correcties en vernieuwingen voor een geheel netwerk zal een intimiderende taak blijken te zijn in een grote organisatie met heterogene systemen.
		</div><div class="para">
			Combineer de kennis vereisten met de taak om actueel te blijven, en het is duidelijk dat vijandige incidenten zullen optreden, dat systemen verstoord worden, data corrupt raakt, en service onderbroken wordt.
		</div><div class="para">
			Om de beveiligings technologien te ondersteunen en te helpen met het beschermen van systemen, netwerken, en data, moet je denken als een cracker en de beveiliging van je systemen meten door het zoeken naar zwaktes. Preventief kwestbaarheids onderzoek van je eigen systemen en netwerk hulpbronnen kan potentiele problemen laten zien voordat een cracker deze uit kan buiten.
		</div><div class="para">
			Een kwetsbaarheidsonderzoek is een intern onderzoek van je netwerk en systeem beveiliging; waarvan de resultaten de vertrouwelijkheid, integriteit, en beschikbaarheid van je systeem aangeven (zoals uitgelegd in <a class="xref" href="chap-Security_Guide-Security_Overview.html#sect-Security_Guide-What_is_Computer_Security-Standardizing_Security" title="1.1.1.3. Het standaardiseren van beveiliging">ParagraafÂ 1.1.1.3, â€œHet standaardiseren van beveiligingâ€</a>). Gewoonlijk begint een kwetsbaarheidsonderzoek met een verkennings fase, waarin belangrijke gegevens over de doel systemen en hulpbronnen worden verzameld. Deze fase leidt naar de systeem gereedheids fase, waarin het doel voornamelijk bekeken wordt voor alle bekende kwetsbaarheden. De gereedheids fase bereikt zijn hoogtepunt in de rapporteer fase, waarin de bevindingen ingedeeld worden in categorien van hoge, gemiddelde, en lage risico's; en methodes voor het verbeteren van de beveiliging (of het verlichten van het 
 risico van kwetsbaarheid) van het doel worden besproken.
		</div><div class="para">
			Als je een kwetsbaarheidsonderzoek van je huis zou uitvoeren, zal je waarschijnlijk willen controleren of elke deur naar je huis dicht en afgesloten is. Je zult ook elk venster controleren om er zeker van te zijn dat deze geheel dicht zijn en correct afgesloten. Dit zelfde concept is van toepassing op systemen, netwerken, en electronische data. Kwaadwillige gebruikers zijn de dieven en vandalen van je data. Richt je op hun gereedschappen, mentaliteit, en motivatie, en je kunt dan snel reageren op hun acties.
		</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="chap-Security_Guide-Security_Overview.html"><strong>Terug</strong>Hoofdstuk 1. Beveiligings overzicht</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Vulnerability_Assessment-Defining_Assessment_and_Testing.html"><strong>Volgende</strong>1.2.2. Het definieren van onderzoeken en testen</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-xinetd_Configuration_Files-Altering_xinetd_Configuration_Files.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.4.3. xinetd configuratie bestanden veranderen</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd_Configuration_Files.html" title="2.5.4. xinetd configuratie bestanden"/><link rel="prev" href="sect-Security_Guide-xinetd_Configuration_Files-The_etcxinetd.d_Directory.html" title="2.5.4.2. De /etc/xinetd.d/ map"/><link rel="next" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Access_Control_Options.html" title="2.5.4.3.2. Toegangs controle opties"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a class
 ="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-xinetd_Configuration_Files-The_etcxinetd.d_Directory.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Access_Control_Options.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-xinetd_Configuration_Files-Altering_xinetd_Configuration_Files">2.5.4.3. xinetd configuratie bestanden veranderen</h4></div></div></div><div class="para">
				Een aantal instructies is beschikbaar voor service de beschermd worden door <code class="systemitem">xinetd</code>. Deze paragraaf laat een aantal veel gebruikte opties zien.
			</div><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h5 class="title" id="sect-Security_Guide-Altering_xinetd_Configuration_Files-Logging_Options">2.5.4.3.1. Logging opties</h5></div></div></div><div class="para">
					De volgende opties zijn beschikbaar voor zowel <code class="filename">/etc/xinetd.conf</code> als de service specifieke bestanden in de <code class="filename">/etc/xinetd.d/</code> map.
				</div><div class="para">
					De volgende lijst laat een aantal vaak gebruikte logging opties zien:
				</div><div class="itemizedlist"><ul><li><div class="para">
							<code class="option">ATTEMPT</code> â€” Logt het feit dat een gefaalde poging is gedaan (<code class="option">log_on_failure</code>).
						</div></li><li><div class="para">
							<code class="option">DURATION</code> â€” Logt de tijdsduur dat de service is gebruikt door een systeem op afstand (<code class="option">log_on_success</code>).
						</div></li><li><div class="para">
							<code class="option">EXIT</code> â€” Logt de exit status of terminal signaal van de service (<code class="option">log_on_success</code>).
						</div></li><li><div class="para">
							<code class="option">HOST</code> â€” Logt het IP adres van de host op afstand (<code class="option">log_on_failure</code> en <code class="option">log_on_success</code>).
						</div></li><li><div class="para">
							<code class="option">PID</code> â€” Logt het proces ID van de server die het verzoek ontvangt (<code class="option">log_on_success</code>).
						</div></li><li><div class="para">
							<code class="option">USERID</code> â€” Logt de gebruiker op afstand met de methode gedefinieerd in RFC 1413 voor alle multi-threaded services (<code class="option">log_on_failure</code> en <code class="option">log_on_success</code>).
						</div></li></ul></div><div class="para">
					Voor een complete lijst van alle loggings opties, refereer je naar de <code class="filename">xinetd.conf</code> manual pagina.
				</div></div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-xinetd_Configuration_Files-The_etcxinetd.d_Directory.html"><strong>Terug</strong>2.5.4.2. De /etc/xinetd.d/ map</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-Altering_xinetd_Configuration_Files-Access_Control_Options.html"><strong>Volgende</strong>2.5.4.3.2. Toegangs controle opties</a></li></ul></body></html>

--- NEW FILE sect-Security_Guide-xinetd_Configuration_Files-The_etcxinetd.d_Directory.html ---
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE html
  PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>2.5.4.2. De /etc/xinetd.d/ map</title><link rel="stylesheet" href="./Common_Content/css/default.css" type="text/css"/><meta name="generator" content="publican"/><meta name="package" content="fedora-security-guide-11-nl-NL-1.0-Security_Guide_11"/><link rel="home" href="index.html" title="Beveiligings gids"/><link rel="up" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd_Configuration_Files.html" title="2.5.4. xinetd configuratie bestanden"/><link rel="prev" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd_Configuration_Files.html" title="2.5.4. xinetd configuratie bestanden"/><link rel="next" href="sect-Security_Guide-xinetd_Configuration_Files-Altering_xinetd_Configuration_Files.html" title="2.5.4.3. xinetd configuratie bestanden veranderen"/></head><body class=""><p id="title"><a class="left" href="http://www.fedoraproject.org"><img src="Common_Content/images/image_left.png" alt="Product Site"/></a><a cl
 ass="right" href="http://docs.fedoraproject.org"><img src="Common_Content/images/image_right.png" alt="Documentation Site"/></a></p><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd_Configuration_Files.html"><strong>Terug</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-xinetd_Configuration_Files-Altering_xinetd_Configuration_Files.html"><strong>Volgende</strong></a></li></ul><div class="section" lang="nl-NL"><div class="titlepage"><div><div><h4 class="title" id="sect-Security_Guide-xinetd_Configuration_Files-The_etcxinetd.d_Directory">2.5.4.2. De /etc/xinetd.d/ map</h4></div></div></div><div class="para">
				De <code class="filename">/etc/xinetd.d/</code> map bevat de configuratie bestanden voor elke service die beheerd wordt door <code class="systemitem">xinetd</code> en de namen van de bestanden komen overeen met die van de service. Zoals met <code class="filename">xinetd.conf</code>, wordt deze map gelezen als de <code class="systemitem">xinetd</code> service wordt opgestart. Om veranderingen effect te laten hebben, moet de beheerder de <code class="systemitem">xinetd</code> service opnieuw opstarten.
			</div><div class="para">
				Het formaat van de bestanden in de <code class="filename">/etc/xinetd.d/</code> map gebruikt dezelfde conventie als <code class="filename">/etc/xinetd.conf</code>. De belangrijkste reden dat de instelling voor elke service in een apart bestand wordt bewaard is om aanpassingen eenvoudiger te maken zonder effect te hebben op andere services.
			</div><div class="para">
				Om te begrijpen hoe de structuur van deze bestanden is, beschouw je het <code class="filename">/etc/xinetd.d/krb5-telnet</code> bestand:
			</div><pre class="screen">service telnet
{
         flags           = REUSE
         socket_type     = stream
         wait            = no
         user            = root
         server          = /usr/kerberos/sbin/telnetd
         log_on_failure  += USERID
         disable         = yes
}
</pre><div class="para">
				Deze regels controleren verschillende aspecten van de <code class="command">telnet</code> service:
			</div><div class="itemizedlist"><ul><li><div class="para">
						<code class="option">service</code> â€” Specificeert de service naam, gewoonlijk een van degene opgegeven in het <code class="filename">/etc/services</code> bestand.
					</div></li><li><div class="para">
						<code class="option">flags</code> â€” Stelt een aantal attributen in voor de verbinding. <code class="option">REUSE</code> instrueert <code class="systemitem">xinetd</code> om de socket voor een Telnet verbinding te hergebruiken.
					</div><div class="note"><h2>Opmerking</h2><div class="para">
							De <code class="option">REUSE</code> vlag is verouderd. Alle service gebruiken nu de <code class="option">REUSE</code> vlag impliciet.
						</div></div></li><li><div class="para">
						<code class="option">socket_type</code> â€” Stel de netwerk socket type in naar <code class="option">stream</code>.
					</div></li><li><div class="para">
						<code class="option">wait</code> â€” Specificeert of de service enkel-threaded (<code class="option">yes</code>) of multi-threaded (<code class="option">no</code>) is.
					</div></li><li><div class="para">
						<code class="option">user</code> â€” Specificeert onder welk gebruikers ID het proces draait.
					</div></li><li><div class="para">
						<code class="option">server</code> â€” Specificeert welk binaire programma uitgevoerd moet worden.
					</div></li><li><div class="para">
						<code class="option">log_on_failure</code> â€” Specificeert logging parameters voor <code class="option">log_on_failure</code> bovenop die als ingesteld zijn in <code class="filename">xinetd.conf</code>.
					</div></li><li><div class="para">
						<code class="option">disable</code> â€” Specificeert of de service uitgezet (<code class="option">yes</code>) of aangezet (<code class="option">no</code>) is.
					</div></li></ul></div><div class="para">
				Refereer naar de <code class="filename">xinetd.conf</code> manual pagina voor meer informatie over deze opties en hun gebruik.
			</div></div><ul class="docnav"><li class="previous"><a accesskey="p" href="sect-Security_Guide-TCP_Wrappers_and_xinetd-xinetd_Configuration_Files.html"><strong>Terug</strong>2.5.4. xinetd configuratie bestanden</a></li><li class="up"><a accesskey="u" href="#"><strong>Omhoog</strong></a></li><li class="home"><a accesskey="h" href="index.html"><strong>Begin</strong></a></li><li class="next"><a accesskey="n" href="sect-Security_Guide-xinetd_Configuration_Files-Altering_xinetd_Configuration_Files.html"><strong>Volgende</strong>2.5.4.3. xinetd configuratie bestanden veranderen</a></li></ul></body></html>