File: 10_before-compromise.po

package info (click to toggle)
harden-doc 3.19%2Bnmu1
  • links: PTS, VCS
  • area: main
  • in suites: bookworm, bullseye, sid
  • size: 15,332 kB
  • sloc: xml: 11,790; sh: 52; makefile: 16
file content (468 lines) | stat: -rw-r--r-- 74,376 bytes parent folder | download | duplicates (2)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
msgid ""
msgstr ""
"Project-Id-Version: harden-doc 3.19\n"
"Report-Msgid-Bugs-To: <debian-i18n@lists.debian.org>\n"
"POT-Creation-Date: 2018-04-29 00:18+0200\n"
"PO-Revision-Date: 2018-04-29 08:23+0200\n"
"Last-Translator: Philipe Gaspar <philipegaspar@gmail.com>\n"
"Language-Team: Brazilian Portuguese <debian-l10n-portuguese@lists.debian.org>\n"
"Language: pt_BR\n"
"MIME-Version: 1.0\n"
"Content-Type: text/plain; charset=UTF-8\n"
"Content-Transfer-Encoding: 8bit\n"

msgid "Before the compromise"
msgstr "Antes do comprometimento do sistema"

msgid "Keep your system secure"
msgstr ""

msgid "You should strive to keep your system secure by monitoring its usage and also the vulnerabilities that might affect it, patching them as soon as patches are available. Even though you might have installed a really secure system initially you have to remember that security in a system degrades with time, security vulnerabilities might be found for exposed system services and users might expose the system security either because of lack of understanding (e.g. accessing a system remotely with a clear-text protocol or using easy to guess passwords) or because they are actively trying to subvert the system's security (e.g. install additional services locally on their accounts)."
msgstr ""

msgid "Tracking security vulnerabilities"
msgstr ""

msgid "Although most administrators are aware of security vulnerabilities affecting their systems when they see a patch that is made available you can strive to keep ahead of attacks and introduce temporary countermeasures for security vulnerabilities by detecting when your system is vulnerable. This is specially true when running an exposed system (i.e. connected to the Internet) and providing a service. In such case the system's administrators should take care to monitor known information sources to be the first to know when a vulnerability is detected that might affect a critical service."
msgstr ""

msgid "This typically includes subscribing to the announcement mailing lists, project websites or bug tracking systems provided by the software developers for a specific piece of code. For example, Apache users should regularly review Apache's <ulink name=\"lists of security vulnerabilities\" url=\"http://httpd.apache.org/security_report.html\" /> and subscribe to the <ulink name=\"Apache Server Announcements\" url=\"http://httpd.apache.org/lists.html#http-announce\" /> mailing list."
msgstr ""

msgid "In order to track known vulnerabilities affecting the Debian distribution, the Debian Testing Security Team provides a <ulink name=\"security tracker\" url=\"http://security-tracker.debian.net/\" /> that lists all the known vulnerabilities which have not been yet fixed in Debian packages. The information in that tracker is obtained through different public channels and includes known vulnerabilities which are available either through security vulnerability databases or <ulink name=\"Debian's Bug Tracking system\" url=\"http://www.debian.org/Bugs/\" />. Administrators can search for the known security issues being tracked for <ulink name=\"stable\" url=\"http://security-tracker.debian.net/tracker/status/release/stable\" />, <ulink name=\"oldstable\" url=\"http://security-tracker.debian.net/tracker/status/release/oldstable\" />, <ulink name=\"testing\" url=\"http://security-tracker.debian.net/tracker/status/release/testing\" />, or <ulink name=\"unstable\" url=\"http://security-tracker.debian.net/tracker/status/release/unstable\" />."
msgstr ""

msgid "The tracker has searchable interfaces (by <ulink name=\"CVE\" url=\"http://cve.mitre.org/\" /> name and package name) and some tools (such as <application>debsecan</application>, see <xref linkend=\"debsecan\" />) use that database to provide information of vulnerabilities affecting a given system which have not yet been addressed (i.e. those who are pending a fix)."
msgstr ""

msgid "Concious administrators can use that information to determine which security bugs might affect the system they are managing, determine the severity of the bug and apply (if available) temporary countermeasures before a patch is available fixing this issue."
msgstr ""

msgid "Security issues tracked for releases supported by the Debian Security Team should eventually be handled through Debian Security Advisories (DSA) and will be available for all users (see <xref linkend=\"keep-up-to-date\" />). Once security issues are fixed through an advisory they will not be available in the tracker, but you will be able to search security vulnerabilities (by CVE name) using the <ulink name=\"security cross references table\" url=\"http://www.debian.org/security/crossreferences\" /> available for published DSAs."
msgstr ""

msgid "Notice, however, that the information tracked by the Debian Testing Security Team only involves disclosed vulnerabilities (i.e. those already public). In some occasions the Debian Security Team might be handling and preparing DSAs for packages based on undisclosed information provided to them (for example, through closed vendor mailing lists or by upstream maintainers of software). So do not be surprised to find security issues that only show up as an advisory but never get to show up in the security tracker."
msgstr ""

msgid "Continuously update the system"
msgstr "Atualizando continuamente o sistema"

msgid "You should conduct security updates frequently. The vast majority of exploits result from known vulnerabilities that have not been patched in time, as this <ulink name=\"paper by Bill Arbaugh\" url=\"http://www.cs.umd.edu/~waa/vulnerability.html\" /> (presented at the 2001 IEEE Symposium on Security and Privacy) explains. Updates are described under <xref linkend=\"security-update\" />."
msgstr "Você deve fazer as atualizações de segurança frequentemente. A grande maioria de exploits existentes é resultado de vulnerabilidades conhecidas que não foram corrigidas a tempo, como este <ulink url=\"http://www.cs.umd.edu/~waa/vulnerability.html\" name=\"paper by Bill Arbaugh\" /> (apresentando no IEEE Symposium on Security and Privacy em 2001) explica. Atualizações estão descritas em <xref linkend=\"security-update\" />."

msgid "Manually checking which security updates are available"
msgstr "Verificando manualmente quais atualizações de segurança estão disponíveis"

msgid "Debian does have a specific tool to check if a system needs to be updated but many users will just want to manually check if any security updates are available for their system."
msgstr "O Debian oferece uma ferramenta específica para verificar se o sistema precisa de atualização (veja o programa Tiger abaixo), mas muitos usuários preferem verificar manualmente se as atualizações de segurança estão disponíveis."

msgid "If you have configured your system as described in <xref linkend=\"security-update\" /> you just need to do:"
msgstr "Se você configurou o seu sistema como descrito em <xref linkend=\"security-update\" /> você só precisa fazer:"

msgid ""
"\n"
"# apt-get update\n"
"# apt-get upgrade -s\n"
"[ ... review packages to be upgraded ... ]\n"
"# apt-get upgrade \n"
"# checkrestart\n"
"[ ... restart services that need to be restarted ... ]"
msgstr ""

msgid "And restart those services whose libraries have been updated if any. Note: Read <xref linkend=\"security-update\" /> for more information on library (and kernel) upgrades."
msgstr ""

msgid "The first line will download the list of packages available from your configured package sources. The <literal>-s</literal> will do a simulation run, that is, it will <emphasis>not</emphasis> download or install the packages but rather tell you which ones should be downloaded/installed. From the output you can derive which packages have been fixed by Debian and are available as a security update. Sample:"
msgstr "O primeiro comando baixa a lista de pacotes disponíveis nos sources de pacotes configurados. A opção <literal>-s</literal> faz somente uma simulação, isto é, <emphasis>não</emphasis> baixa ou instala os pacotes e sim diz quais devem ser baixados/instalados. Você poderá saber que pacotes foram consertados pelo Debian e estão disponíveis para atualização. Por exemplo:"

msgid ""
"\n"
"# apt-get upgrade -s\n"
"Reading Package Lists... Done\n"
"Building Dependency Tree... Done\n"
"2 packages upgraded, 0 newly installed, 0 to remove and 0  not upgraded.\n"
"Inst cvs (1.11.1p1debian-8.1 Debian-Security:3.0/stable)\n"
"Inst libcupsys2 (1.1.14-4.4 Debian-Security:3.0/stable)\n"
"Conf cvs (1.11.1p1debian-8.1 Debian-Security:3.0/stable)\n"
"Conf libcupsys2 (1.1.14-4.4 Debian-Security:3.0/stable)"
msgstr ""
"\n"
"# apt-get upgrade -s\n"
"Reading Package Lists... Done\n"
"Building Dependency Tree... Done\n"
"2 packages upgraded, 0 newly installed, 0 to remove and 0  not upgraded.\n"
"Inst cvs (1.11.1p1debian-8.1 Debian-Security:3.0/stable)\n"
"Inst libcupsys2 (1.1.14-4.4 Debian-Security:3.0/stable)\n"
"Conf cvs (1.11.1p1debian-8.1 Debian-Security:3.0/stable)\n"
"Conf libcupsys2 (1.1.14-4.4 Debian-Security:3.0/stable)"

msgid "In this example, you can see that the system needs to be updated with new <application>cvs</application> and <application>cupsys</application> packages which are being retrieved from <emphasis>woody's</emphasis> security update archive. If you want to understand why these packages are needed, you should go to <ulink url=\"http://security.debian.org\" /> and check which recent Debian Security Advisories have been published related to these packages. In this case, the related DSAs are <ulink name=\"DSA-233\" url=\"http://www.debian.org/security/2003/dsa-233\" /> (for <application>cvs</application>) and <ulink name=\"DSA-232\" url=\"http://www.debian.org/security/2003/dsa-232\" /> (for <application>cupsys</application>)."
msgstr "Neste exemplo, você pode observar que precisa atualizar os pacotes cvs e cupsys, os quais estão sendo retornados do arquivo de atualização de segurança do <emphasis>woody</emphasis>. Se quiser entender porque estes pacotes são necessários, vá em <ulink url=\"http://security.debian.org\" /> e verifique quais Alertas de Segurança do Debian foram publicados e estão relacionados com esses pacotes. Neste caso, os alertas relacionados são <ulink url=\"http://www.debian.org/security/2003/dsa-233\" name=\"DSA-233\" /> (para cvs) e <ulink name=\"DSA-232\" url=\"http://www.debian.org/security/2003/dsa-232\" /> (para cupsys)."

msgid "Notice that you will need to reboot your system if there has been a kernel upgrade."
msgstr ""

msgid "Checking for updates at the Desktop"
msgstr ""

msgid "Since Debian 4.0 <emphasis>lenny</emphasis> Debian provides and installs in a default installation <application>update-notifier</application>. This is a GNOME application that will startup when you enter your Desktop and can be used to keep track of updates available for your system and install them. It uses <application>update-manager</application> for this."
msgstr ""

msgid "In a stable system updates are only available when a security patch is available or at point releases. Consequently, if the system is properly configured to receive security updates as described in <xref linkend=\"security-update\" /> and you have a cron task running to update the package information you will be notified through an icon in the desktop notifcation area."
msgstr ""

msgid "The notification is not intrusive and users are not forced to install updates. From the notification icon a desktop user (with the administrator's password) can access a simple GUI to show available updates and install them."
msgstr ""

msgid "This application works by checking the package database and comparing the system with its contents. If the package database is updated periodically through a <command>cron</command> task then the contents of the database will be newer than the packages installed in the system and the application will notify you."
msgstr ""

msgid "<command>Apt</command> installs such a task (<filename>/etc/cron.d/apt</filename>) which will run based on Apt's configuration (more specifically <emphasis>APT::Periodic</emphasis>). In the GNOME environment this configuration value can be adjusted by going to System &gt; Admin &gt; Software origins &gt; Updates, or running <command>/usr/bin/software-properties</command>."
msgstr ""

msgid "If the system is set to download the packages list daily but not download the packages themselves your <filename>/etc/apt/apt.conf.d/10periodic</filename> should look like this:"
msgstr ""

msgid ""
"\n"
"APT::Periodic::Update-Package-Lists \"1\";\n"
"APT::Periodic::Download-Upgradeable-Packages \"0\";"
msgstr ""
"\n"
"APT::Periodic::Update-Package-Lists \"1\";\n"
"APT::Periodic::Download-Upgradeable-Packages \"0\";"

msgid "You can use a different cron task, such as the one installed by <application>cron-apt</application> (see <xref linkend=\"cron-apt\" />). You can also just manually check for upgrades using this application."
msgstr ""

msgid "Users of the KDE desktop environment will probably prefer to install <application>adept</application> and <application>adept-notifier</application> instead which offers a similar functionality but is not part of the standard installation."
msgstr ""

msgid "Automatically checking for updates with cron-apt"
msgstr "Verificando automaticamente por atualizações com o cron-apt"

msgid "Another method for automatic security updates is the use of <application>cron-apt</application>. This package provides a tool to update the system at regular intervals (using a cron job), and can also be configured to send mails to the system administrator using the local mail transport agent. It will just update the package list and download new packages by default but it can be configured to automatically install new updates."
msgstr ""

msgid "Notice that you might want to check the distribution release, as described in <xref linkend=\"check-releases\" />, if you intend to automatically updated your system (even if only downloading the packages). Otherwise, you cannot be sure that the downloaded packages really come from a trusted source."
msgstr "Note que você pode querer verificar a versão da distribuição, como descrito em <xref linkend=\"check-releases\" />, se você pretende atualizar automaticamente o seu sistema (mesmo somente baixando pacotes). Caso contrário você não terá certeza que os pacotes baixados realmente são de origem confiável."

msgid "More information is available at the <ulink name=\"Debian Administration site\" url=\"http://www.debian-administration.org/articles/162\" />."
msgstr ""

msgid "Automatically checking for security issues with debsecan"
msgstr ""

msgid "The <command>debsecan</command> program evaluates the security status of by reporting both missing security updates and security vulnerabilities. Unlike <application>cron-apt</application>, which only provides information related to security updates available, but this tool obtains information from the security vulnerability database maintained by the Debian Security Team which includes also information on vulnerabilities which are not yet fixed through a security update. Consequently, it is more efficient at helping administrators track security vulnerabilities (as described in <xref linkend=\"track-vulns\" />)."
msgstr ""

msgid "Upon installing the Debian package <application>debsecan</application>, and if the administrator consents to it, it will generate a cron task that will make it run and send the output to a specific user whenever it finds a vulnerable package. It will also download the information from the Internet. The location of the security database is also part of the questions ask on installation and are later defined <filename>/etc/default/debsecan</filename>, it can be easily adjusted for systems that do not have Internet access so that they all pull from a local mirror so that there is a single point that access the vulnerability database."
msgstr ""

msgid "Notice, however, that the Security Team tracks many vulnerabilities including low-risk issues which might not be fixed through a security update and some vulnerabilities initially reported as affecting Debian might, later on, upon investigation, be dismissed. <command>Debsecan</command> will report on all the vulnerabilities, which makes it a quite more verbose than the other tools described above."
msgstr ""

msgid "More information is available at the <ulink name=\"author's siste\" url=\"http://www.enyo.de/fw/software/debsecan/\" />."
msgstr ""

msgid "Other methods for security updates"
msgstr "Outros métodos para atualizações de segurança"

msgid "There is also the <application>apticron</application>, which, similarly to <application>cron-apt</application> will check for updates and send mails to the administrator. More information on apticron is available at the <ulink name=\"Debian Administration site\" url=\"http://www.debian-administration.org/articles/491\" />."
msgstr ""

msgid "You might also want to take a look at <ulink name=\"secpack\" url=\"http://clemens.endorphin.org/secpack/\" /> which is an unofficial program to do security updates from security.debian.org with signature checking written by Fruhwirth Clemens. Or to the Nagios Plugin <ulink name=\"check_debian_updates.sh\" url=\"http://www.unixdaemon.net/nagios_plugins.html#check_debian_packages\" /> written by Dean Wilson."
msgstr ""

msgid "Avoid using the unstable branch"
msgstr "Evite usar versões instáveis"

msgid "Unless you want to dedicate time to patch packages yourself when a vulnerability arises, you should <emphasis>not</emphasis> use Debian's unstable branch for production-level systems. The main reason for this is that there are no security updates for <emphasis>unstable</emphasis>."
msgstr "Ao menos que você tenha tempo para aplicar patches de segurança toda vez que uma vulnerabilidade é descoberta, você <emphasis>não</emphasis> deve usar a versão instável do Debian para sistemas em produção. A principal razão para isto é que não há atualizações de segurança para a versão <emphasis>unstable</emphasis>."

msgid "The fact is that some security issues might appear in unstable and <emphasis>not</emphasis> in the <emphasis>stable</emphasis> distribution. This is due to new functionality constantly being added to the applications provided there, as well as new applications being included which might not yet have been thoroughly tested."
msgstr "O fato é que algumas questões relacionadas à segurança podem surgir na distribuição instável e <emphasis>não</emphasis> na <emphasis>stable</emphasis>. Isto porque novas funcionalidades são constantemente adicionadas às aplicações, assim como novas aplicações são incluídas sem serem totalmente testadas."

msgid "In order to do security upgrades in the <emphasis>unstable</emphasis> branch, you might have to do full upgrades to new versions (which might update much more than just the affected package). Although there have been some exceptions, security patches are usually only back ported into the <emphasis>stable</emphasis> branch. The main idea being that between updates, <emphasis>no new code</emphasis> should be added, just fixes for important issues."
msgstr "Para se fazer atualizações de segurança na versão <emphasis>unstable</emphasis>, você pode fazer uma atualização completa para nova versão (que atualiza muito mais do que somente os pacotes afetados). Embora existam algumas exceções, patches de segurança geralmente só são portadas para a versão <emphasis>stable</emphasis>. A idéia principal é que entre as atualizações, <emphasis>nenhum código novo</emphasis> deve ser adicionado, somente consertos para questões importantes."

msgid "Notice, however, that you can use the security tracker (as described in <xref linkend=\"track-vulns\" />) to track known security vulnerabilities affecting this branch."
msgstr ""

msgid "Security support for the testing branch"
msgstr ""

msgid "If you are using the <emphasis>testing</emphasis> branch, there are some issues that you must take into account regarding the availability of security updates:"
msgstr "Se você estiver utilizando uma versão em <emphasis>testing</emphasis>, existem algumas questões relacionadas à disponibilidade das atualizações de segurança que devem ser levadas em conta:"

msgid "When a security fix is prepared, the Security Team backports the patch to <emphasis>stable</emphasis> (since stable is usually some minor or major versions behind). Package maintainers are responsible for preparing packages for the <emphasis>unstable</emphasis> branch, usually based on a new upstream release. Sometimes the changes happen at nearly the same time and sometimes one of the releases gets the security fix before. Packages for the <emphasis>stable</emphasis> distribution are more thoroughly tested than <emphasis>unstable</emphasis>, since the latter will in most cases provide the latest upstream release (which might include new, unknown bugs)."
msgstr "Quando um conserto de segurança é preparado, o Time de Segurança lança o patch para a versão <emphasis>stable</emphasis> (desde que a estável é geralmente algumas versões menor ou maior atrás). Os mantenedores de pacotes são responsáveis por preparar o patch para a versão <emphasis>unstable</emphasis>, geralmente baseado nos novos lançamentos. Algumas vezes as alterações acontecem quase ao mesmo tempo e em outras um dos lançamentos disponibiliza o conserto de segurança antes. Os pacotes para a distribuição <emphasis>stable</emphasis> são testados bem mais a fundo do que para a <emphasis>unstable</emphasis>, já que esta irá fornecer na maioria dos casos a última versão do lançamento (que pode incluir novos e desconhecidos bugs)"

msgid "Security updates are available for the <emphasis>unstable</emphasis> branch usually when the package maintainer makes a new package and for the <emphasis>stable</emphasis> branch when the Security Team make a new upload and publish a DSA. Notice that neither of these change the <emphasis>testing</emphasis> branch."
msgstr "Atualizações de segurança estão disponíveis para a versão <emphasis>unstable</emphasis> geralmente quando os mantenedores fazem um novo pacote e para a versão <emphasis>stable</emphasis> quando o Time de Segurança publica um DSA e faz um novo upload. Observe que nada disso altera a versão em <emphasis>testing</emphasis>."

msgid "If no (new) bugs are detected in the <emphasis>unstable</emphasis> version of the package, it moves to <emphasis>testing</emphasis> after several days. The time this takes is usually ten days, although that depends on the upload priority of the change and whether the package is blocked from entering <emphasis>testing</emphasis> by its dependency relationships. Note that if the package is blocked from entering testing the upload priority will not change the time it takes to enter."
msgstr "Se nenhum (novo) bug é detectado na versão <emphasis>unstable</emphasis> do pacote, ele passa para a versão em <emphasis>testing</emphasis> depois de algum tempo. Este tempo geralmente é de dez dias, embora dependa de algumas coisas como a prioridade de upload e se o pacote está ou não bloqueado para entrar em teste por causa de dependências. Note que se o pacote estiver bloqueado, a prioridade de upload não afetará o tempo que ele leva para entrar na versão em teste."

msgid "This behavior might change based on the release state of the distribution. When a release is almost imminent, the Security Team or package maintainers might provide updates directly to testing."
msgstr "Esse comportamento pode ser alterado conforme o estado de lançamento da distribuição. Quando uma distribuição está perto de ser lançada, o Time de Segurança ou os mantenedores dos pacotes devem fornecer atualizações de segurança diretamente para a versão em teste."

msgid "Additionally, the <ulink name=\"Debian Testing Security Team\" url=\"http://secure-testing-master.debian.net\" /> can issue Debian Testing Security Advisories (DTSAs) for packages in the <emphasis>testing</emphasis> branch if there is an immediate need to fix a security issue in that branch and cannot wait for the normal procedure (or the normal procedure is being blocked by some other packages)."
msgstr ""

msgid "Users willing to take advantage of this support should add the following lines to their <filename>/etc/apt/sources.list</filename> (instead of the lines described in <xref linkend=\"security-update\" />):"
msgstr ""

msgid ""
"\n"
"    deb http://security.debian.org testing/updates main contrib non-free\n"
"# This line makes it possible to donwload source packages too\n"
"    deb-src  http://security.debian.org testing/updates main contrib non-free"
msgstr ""

msgid "For additional information on this support please read the <ulink name=\"announcement\" url=\"http://lists.debian.org/debian-devel-announce/2006/05/msg00006.html\" />. This support officially started in <ulink name=\"September 2005\" url=\"http://lists.debian.org/debian-devel-announce/2005/09/msg00006.html\" /> in a separate repository and was later integrated into the main security archive."
msgstr ""

msgid "Automatic updates in a Debian GNU/Linux system"
msgstr "Atualizações automáticas no sistema Debian GNU/Linux"

msgid "First of all, automatic updates are not fully recommended, since administrators should review the DSAs and understand the impact of any given security update."
msgstr "Primeiro de tudo, atualizações automáticas não são recomendadas, já que o administrador deve revisar os DSAs (alertas de segurança do Debian) e entender o impacto causado pela atualização de segurança no sistema."

msgid "If you want to update your system automatically you should:"
msgstr "Para atualizar o seu sistema automaticamente você deve:"

msgid "Configure <command>apt</command> so that those packages that you do not want to update stay at their current version, either with <command>apt</command>'s <emphasis>pinning</emphasis> feature or marking them as <emphasis>hold</emphasis> with <command>aptitude</command> or <command>dpkg</command>."
msgstr ""

msgid "To pin the packages under a given release, you must edit <filename>/etc/apt/preferences</filename> (see <citerefentry><refentrytitle>apt_preferences</refentrytitle> <manvolnum>5</manvolnum></citerefentry>) and add:"
msgstr ""

msgid ""
"\n"
"  Package: *\n"
"  Pin: release a=stable\n"
"  Pin-Priority: 100"
msgstr ""
"\n"
"  Package: *\n"
"  Pin: release a=stable\n"
"  Pin-Priority: 100"

msgid "FIXME: verify if this configuration is OK."
msgstr "FIXME: verifcar se a configuração está OK."

msgid "Either use <application>cron-apt</application> as described in <xref linkend=\"cron-apt\" /> and enable it to install downloaded packages or add a <command>cron</command> entry yourself so that the update is run daily, for example:"
msgstr "Você também pode usar o cron-apt como descrito em <xref linkend=\"cron-apt\" />. Ative-o para instalar os pacotes baixados ou adicione uma entrada no <command>cron</command> para que a atualização seja feita diariamente, por exemplo:"

msgid "\n"
"  apt-get update &amp;&amp; apt-get -y upgrade"
msgstr "\n"
"  apt-get update &amp;&amp; apt-get -y upgrade"

msgid "The <literal>-y</literal> option will have <command>apt</command> assume 'yes' for all the prompts that might arise during the update. In some cases, you might want to use the <literal>--trivial-only</literal> option instead of the <literal>--assume-yes</literal> (equivalent to <literal>-y</literal>).<footnote><para>You may also want to use the <literal>--quiet</literal> (<literal>-q</literal>) option to reduce the output of <command>apt-get</command>, which will stop the generation of any output if no packages are installed.</para></footnote>"
msgstr "A opção <literal>-y</literal> faz com que o <command>apt</command> assuma 'sim' para todos os prompts que aparecerão durante a atualização. Em alguns casos, é melhor você usar a opção <literal>--trivial-only</literal> em vez de <literal>--assume-yes</literal> (equivalente a <literal>-y</literal>). <footnote><para>Você também pode optar por usar a opção <literal>--quiet</literal> (<literal>-q</literal>) para diminuir a quantidade de informações de saída do <command>apt-get</command>. Caso nenhum pacote esteja sendo instalado, nenhuma informação é mostrada na tela.</para></footnote>"

msgid "Configure <command>debconf</command> so no questions will be asked during upgrades, so that they can be done non-interactively. <footnote><para>Note that some packages might <emphasis>not</emphasis> use <command>debconf</command> and updates will stall due to packages asking for user input during configuration.</para></footnote>"
msgstr "Configure o <command>cron</command> para que o <command>debconf</command> não faça nenhuma pergunta durante as atualizações, funcionando de forma não-interativa. <footnote><para>Note que alguns pacotes podem <emphasis>não</emphasis> usar o <command>debconf</command> e a atualizações irão parar para que o usuário entre com alguma configuração.</para></footnote>"

msgid "Check the results of the <command>cron</command> execution, which will be mailed to the superuser (unless changed with <literal>MAILTO</literal> environment variable in the script)."
msgstr "Verifique os resultados da execução do <command>cron</command>, que enviará um mail para o superusuário (ao menos que a variável de ambiente <literal>MAILTO</literal> seja alterada no script)."

msgid "A safer alternative might be to use the <literal>-d</literal> (or <literal>--download-only</literal>) option, which will download but not install the necessary packages. Then if the <command>cron</command> execution shows that the system needs to be updated, it can be done manually."
msgstr "Uma alternativa mais segura seria usar a opção <literal>-d</literal> (ou <literal>--download-only</literal>), que irá fazer o download dos pacotes necessários mas não os instalará. Então se a execução do <command>cron</command> mostrar que o sistema precisa ser atualizado, esta atualização pode ser feita manualmente."

msgid "In order to accomplish any of these tasks, the system must be properly configured to download security updates as discussed in <xref linkend=\"security-update\" />."
msgstr "E para finalizar estas tarefas, o sistema deve ser configurado apropriadamente para fazer o download das atualizações de segurança como discutido no <xref linkend=\"security-update\" />."

msgid "However, this is not recommended for <emphasis>unstable</emphasis> without careful analysis, since you might bring your system into an unusable state if some serious bug creeps into an important package and gets installed in your system. <emphasis>Testing</emphasis> is slightly more <emphasis>secure</emphasis> with regard to this issue, since serious bugs have a better chance of being detected before the package is moved into the testing branch (although, you may have <emphasis>no</emphasis> security updates available whatsoever)."
msgstr "Entretanto, isto não é recomendado para a versão <emphasis>unstable</emphasis> sem que haja uma análise cuidadosa, uma vez que pode tornar o seu sistema inutilizável se algum pacote importante que estiver com um bug sério for instalado. A <emphasis>testing</emphasis> é um pouco mais <emphasis>segura</emphasis> com relação a isto, já que os bugs sérios podem ser detectados antes do pacote ser movido para a versão em teste (embora, você <emphasis>não</emphasis> tenha atualizações de segurança disponíveis para todos)."

msgid "If you have a mixed distribution, that is, a <emphasis>stable</emphasis> installation with some packages updated to <emphasis>testing</emphasis> or <emphasis>unstable</emphasis>, you can fiddle with the pinning preferences as well as the <literal>--target-release</literal> option in <command>apt-get</command> to update <emphasis>only</emphasis> those packages that you have updated.<footnote><para>This is a common issue since many users want to maintain a stable system while updating some packages to <emphasis>unstable</emphasis> to gain the latest functionality. This need arises due to some projects evolving faster than the time between Debian's <emphasis>stable</emphasis> releases.</para></footnote>"
msgstr "Se você tem uma distribuição mista, isto é, uma instalação <emphasis>stable</emphasis> com alguns pacotes atualizados para a versão em <emphasis>testing</emphasis> ou <emphasis>unstable</emphasis>, você pode utilizar o recurso de <emphasis>pinning</emphasis> assim como a opção <literal>--target-release</literal> do <command>apt</command> para atualizar <emphasis>somente</emphasis> aqueles pacotes que devem ser atualizados. <footnote><para>Isso é uma prática comum, já que muitos usuários preferem manter o sistema estável, podendo atualizar alguns pacotes para a versão <emphasis>unstable</emphasis> para obter novas funcionalidades. Esta necessidade surge devido ao desenvolvimento de alguns projetos ser mais rápido que o tempo gasto entre os lançamentos da versão <emphasis>stable</emphasis> do Debian.</para></footnote>"

msgid "Do periodic integrity checks"
msgstr "Faça verificações de integridade periódicas"

msgid "Based on the baseline information you generated after installation (i.e. the snapshot described in <xref linkend=\"snapshot\" />), you should be able to do an integrity check from time to time. An integrity check will be able to detect filesystem modifications made by an intruder or due to a system administrators mistake."
msgstr "A verificação de integridade é feita baseada na informação completa do sistema gerada depois da instalação (ex. o <emphasis>snapshot</emphasis> descrito em <xref linkend=\"snapshot\" />) e deve ser feita de tempos em tempos. Com a verificação de integridade é possível detectar modificações no sistema de arquivos feitas por um intruso ou por algum erro do administrador do sistema."

msgid "Integrity checks should be, if possible, done offline.<footnote><para> An easy way to do this is using a Live CD, such as <ulink name=\"Knoppix Std\" url=\"http://www.knoppix-std.org/\" /> which includes both the file integrity tools and the integrity database for your system. </para></footnote> That is, without using the operating system of the system to review, in order to avoid a false sense of security (i.e. false negatives) produced by, for example, installed rootkits. The integrity database that the system is checked against should also be used from read-only media."
msgstr "As verificações de integridade devem ser, se possível, feitas offline <footnote><para>Uma maneira fácil de fazer isso é utilizar um Live CD, tipo o <ulink url=\"http://www.knoppix-std.org/\" name=\"Knoppix Std\" /> que inclue ambas as ferramentas de verificação de arquivos e a base de dados de integridade do seu sistema.</para></footnote> . Isto é, utilizar outro sistema operacional para fazer a verificação, evitando assim um falso senso de segurança (ex. falsos negativos) produzido por, por exemplo, rootkits instalados. A base de dados de integridade verificada pelo sistema também deve ser usada em uma mídia somente leitura."

msgid "You can consider doing integrity checks online using any of the filesystem integrity tools available (described in <xref linkend=\"check-integ\" />) if taking offline the system is not an option. However, precaution should be taken to use a read-only integrity database and also assure that the integrity checking tool (and the operating system kernel) has not been tampered with."
msgstr "Você deve considerar fazer a verificação online utilizando qualquer ferramenta de verificação de integridade do sistema de arquivos disponíveis (descrito em <xref linkend=\"check-integ\" />), se você não puder deixar o sistema fora do ar. Entretanto, algumas precauções devem ser levadas em conta como a utilização de uma base de dados da integridade somente para leitura e assegurar que a ferramenta de verificação de integridade (e o kernel do sistema operacional) não esteja sendo usada."

msgid "Some of the tools mentioned in the integrity tools section, such as <command>aide</command>, <command>integrit</command> or <command>samhain</command> are already prepared to do periodic reviews (through the crontab in the first two cases and through a standalone daemon in <command>samhain</command>) and can warn the administrator through different channels (usually e-mail, but <command>samhain</command> can also send pages, SNMP traps or syslog alerts) when the filesystem changes."
msgstr "Algumas das ferramentas citadas nesta seção, como <command>aide</command>, <command>integrit</command> ou <command>samhain</command> já estão preparadas para fazer revisões periódicas (através do crontab nas duas primeiras e através de um daemon standalone na <command>samhain</command>) e pode avisar o administrador por diferentes canais (geralmente e-mail, mas <command>samhain</command> também pode enviar pages, traps SNMP ou alertas do syslog) quando ocorrem alterações no sistema de arquivos."

msgid "Of course, if you execute a security update of the system, the snapshot taken for the system should be re-taken to accommodate the changes done by the security update."
msgstr "Claro que se você for executar uma atualização do sistema, deve ser tirado novamente um snapshot para acomodar as alterações sofridas durante a atualização de segurança."

msgid "Set up Intrusion Detection"
msgstr "Configure um sistema de Detecção de Intrusão"

msgid "Debian GNU/Linux includes tools for intrusion detection, which is the practice of detecting inappropriate or malicious activity on your local system, or other systems in your private network. This kind of defense is important if the system is very critical or you are truly paranoid. The most common approaches to intrusion detection are statistical anomaly detection and pattern-matching detection."
msgstr "O Debian GNU/Linux inclue ferramentas para detecção de intrusão, que é nada mais do que a prática de detectar atividades impróprias ou maliciosas no seu sistema local, ou outros sistemas que estejam na sua rede privada. Este tipo de defesa é importante se o sistema for altamente crítico ou você for realmente paranóico. Os tipos mais comuns de detecção de intrusão são detecção estatística de anomalias e detecção baseada em algum padrão."

msgid "Always be aware that in order to really improve the system's security with the introduction of any of these tools, you need to have an alert+response mechanism in place. Intrusion detection is a waste of time if you are not going to alert anyone."
msgstr "Sempre tenha em mente que para melhorar a segurança do sistema com a instalação de uma dessas ferramentas, você deve ter um mecanismo de alertas e respostas elaborado. Detecção de intrusão é perda de tempo se você não for alertar ninguém."

msgid "When a particular attack has been detected, most intrusion detection tools will either log the event with <command>syslogd</command> or send e-mail to the root user (the mail recipient is usually configurable). An administrator has to properly configure the tools so that false positives do not trigger alerts. Alerts may also indicate an ongoing attack and might not be useful, say, one day later, since the attack might have already succeeded. So be sure that there is a proper policy on handling alerts and that the technical mechanisms to implement this policy are in place."
msgstr "Quando um ataque em particular for detectado, a maioria das ferramentas de detecção de intrusão irá tanto gerar um log do evento com o <command>syslogd</command> enviar um e-mail para o super-usuário (o destinatário geralmente é configurável). Um administrador precisa configurar propriamente as ferramentas para que falsos positivos não gerem alertas. Alertas também devem informar um ataque que pode estar acontecendo e ele não será útil, digamos, um dia depois que ocorrer. Então tenha certeza que existe uma política apropriada para tratar os alertas e que os mecanimos técnicos para implementar essa política sejam viáveis."

msgid "An interesting source of information is <ulink name=\"CERT's Intrusion Detection Checklist\" url=\"http://www.cert.org/tech_tips/intruder_detection_checklist.html\" />"
msgstr ""

msgid "Network based intrusion detection"
msgstr "Detecção de intrusão baseada em rede"

msgid "Network based intrusion detection tools monitor the traffic on a network segment and use this information as a data source. Specifically, the packets on the network are examined, and they are checked to see if they match a certain signature."
msgstr "As ferramentas de detecção de intrusão baseada em rede monitoram o tráfego em um segmento de rede e utilizam essas informações como fonte dos dados para serem analisados. Especificamente, os pacotes da rede são examinados, e eles são verificados para ver se existe uma certa assinatura de pacotes maliciosos."

msgid "<application>snort</application> is a flexible packet sniffer or logger that detects attacks using an attack signature dictionary. It detects a variety of attacks and probes, such as buffer overflows, stealth port scans, CGI attacks, SMB probes, and much more. <command>snort</command> also has real-time alerting capability. You can use <command>snort</command> for a range of hosts on your network as well as for your own host. This is a tool which should be installed on every router to keep an eye on your network. Just install it with <literal>apt-get install snort</literal>, follow the questions, and watch it log. For a little broader security framework, see <ulink name=\"Prelude\" url=\"http://www.prelude-ids.org\" />."
msgstr "O <application>Snort</application> é um sniffer de pacotes bastante flexível ou logger que detecta os ataques utilizando um dicionário de assinatura de ataques. Ele detecta uma variedade de ataques e probes, como estouro de buffer, varredores de portas stealth, ataques CGI, probes SMB e muito mais. O <command>Snort</command> também tem a capacidade de gerar alertas em tempo real. Você pode usar o <command>snort</command> tanto para uma série de máquinas na sua rede quanto para o seu próprio servidor. Ele é uma ferramenta que deve ser instalada em todos os roteadores para manter os olhos na rede. Para instalá-lo basta usar o <literal>apt-get install snort</literal>, seguir as perguntas, e verificar o log. Para um arcabouço de segurança um pouco mais amplo, veja <ulink url=\"http://www.prelude-ids.org\" name=\"Prelude\" />."

msgid "Debian's <application>snort</application> package has many security checks enabled by default. However, you should customize the setup to take into account the particular services you run on your system. You may also want to seek additional checks specific to these services."
msgstr "O pacote <application>snort</application> do Debian tem diversas configurações de segurança ativadas por padrão. Entretanto, você deve customizar o programa tendo em mente os serviços particulares que você roda no seu sistema. Também seria interessante procurar algumas verificações específicas para estes serviços."

msgid "There are other, simpler tools that can be used to detect network attacks. <application>portsentry</application> is an interesting package that can tip you off to port scans against your hosts. Other tools like <application>ippl</application> or <application>iplogger</application> will also detect some IP (TCP and ICMP) attacks, even if they do not provide the kind of advanced techniques <command>snort</command> does."
msgstr "Existem outras ferramentas mais simples que podem ser utilizadas para detectar ataques em rede. O <application>portsentry</application> é um pacote interessante que pode ajudar a descobrir varreduras contra seus hosts. Outras ferramentas como <application>ippl</application> ou <application>iplogger</application> também podem detectar alguns ataques IP (TCP e ICMP), mesmo que eles não forneçam os tipos de técnicas que o <command>snort</command> fornece."

msgid "You can test any of these tools with the Debian package <application>idswakeup</application>, a shell script which generates false alarms, and includes many common attack signatures."
msgstr "Você pode testar qualquer uma dessas ferramentas com o pacote do Debian <application>idswakeup</application>, um script em shell que gera alarmes falsos e inclue muitas assinaturas de ataques comuns."

msgid "Host based intrusion detection"
msgstr "Detecção de intrusão baseada em host"

msgid "Host based intrusion detection involves loading software on the system to be monitored which uses log files and/or the systems auditing programs as a data source. It looks for suspicious processes, monitors host access, and may even monitor changes to critical system files."
msgstr "A detecção de intrusão baseada em host envolve o carregamento de um software no sistema a ser monitorado e que utiliza arquivos de log e/ou os programas de auditoria de sistema como uma fonte de dados. Ele procura por processos suspeitos, monitora acesso ao host e pode até monitorar alterações em arquivos críticos do sistema."

msgid "<application>tiger</application> is an older intrusion detection tool which has been ported to Debian since the Woody branch. <command>tiger</command> provides checks of common issues related to security break-ins, like password strength, file system problems, communicating processes, and other ways root might be compromised. This package includes new Debian-specific security checks including: MD5sums checks of installed files, locations of files not belonging to packages, and analysis of local listening processes. The default installation sets up <command>tiger</command> to run each day, generating a report that is sent to the superuser about possible compromises of the system."
msgstr "O <application>tiger</application> é uma antiga ferramenta de detecção de intrusão que foi portado para o Debian desde a versão do Woddy. Ele fornece verificações de casos comuns relacionados a furo de segurança, como uso de força bruta nas senhas, problemas no sistema de arquivo, comunicação de processos e outras formas de comprometer o superusuário. Este pacote também inclue verificações de segurança específicas para o Debian como: verificações de MD5sums de arquivos instalados, localização de arquivos que não pertencem a nenhum pacote e análise de processos locais que estão em estado de escuta. A instalação padrão configura o <command>tiger</command> para rodar diariamente, gerando um relatório que é enviado para o superusuário sobre possíveis comprometimentos no sistema."

msgid "Log analysis tools, such as <application>logcheck</application> can also be used to detect intrusion attempts. See <xref linkend=\"custom-logcheck\" />."
msgstr "Ferramentas de análise de log, como <application>logcheck</application> também podem ser usadas para detectar tentativas de intrusão. Veja <xref linkend=\"custom-logcheck\" />."

msgid "In addition, packages which monitor file system integrity (see <xref linkend=\"check-integ\" />) can be quite useful in detecting anomalies in a secured environment. It is most likely that an effective intrusion will modify some files in the local file system in order to circumvent local security policy, install Trojans, or create users. Such events can be detected with file system integrity checkers."
msgstr "Em adição, pacotes que monitoram a integridade do sistema de arquivo (veja <xref linkend=\"check-integ\" />) podem ser perfeitamente úteis na detecção de anomalias em um ambiente seguro. É muito provável que uma intrusão efetiva irá modificar alguns arquivos no sistema de arquivo local para driblar a política de segurança local, instalar Trojans, ou criar usuários. Tais eventos podem ser detectados com os programas para verificação de integridade do arquivo."

msgid "Avoiding root-kits"
msgstr "Evitando os rootkits"

msgid "Loadable Kernel Modules (LKM)"
msgstr "Loadable Kernel Modules (LKM)"

msgid "Loadable kernel modules are files containing dynamically loadable kernel components used to expand the functionality of the kernel. The main benefit of using modules is the ability to add additional devices, like an Ethernet or sound card, without patching the kernel source and recompiling the entire kernel. However, crackers are now using LKMs for root-kits (knark and adore), opening up back doors in GNU/Linux systems."
msgstr "Loadable kernel modules são arquivos contendo componentes carregados dinamicamente no kernel e são usados para expandir a funcionalidade do mesmo. O benefício principal de se usar módulos é a habilidade de adicionar dispositivos adicionas, como uma placa de rede Ethernet ou uma placa de som, sem ter que aplicar um patch no código-fonte e recompilar todo o kernel. Entretanto, os crackers vêm usando os LKMs para criar rootkits (knark e adore), abrindo backdoors nos sistemas GNU/Linux."

msgid "LKM back doors are more sophisticated and less detectable than traditional root-kits. They can hide processes, files, directories and even connections without modifying the source code of binaries. For example, a malicious LKM can force the kernel into hiding specific processes from <filename>procfs</filename>, so that even a known good copy of the binary <command>ps</command> would not list accurate information about the current processes on the system."
msgstr "Os backdoors LKM estão cada vez mais sofisticados e mais difíceis de serem detectados que os rootkits tradicionais. Eles podem esconder processos, arquivos, diretórios e até mesmo conexões sem precisar modificar o código fonte dos binários. Por exemplo, um LKM malicioso pode forçar o kernel a esconder processos específicos do <filename>procfs</filename>, então mesmo uma cópia original do binário <command>ps</command> pode não listar informações precisas sobre os processos que estão rodando no sistema."

msgid "Detecting root-kits"
msgstr "Detectando rootkits"

msgid "There are two approaches to defending your system against LKM root-kits, a proactive defense and a reactive defense. The detection work can be simple and painless, or difficult and tiring, depending on the approach taken."
msgstr "Existem duas estratégias para defender seu sistema de rootkits LKM, a defesa pró-ativa e a reativa. O trabalho de detecção pode ser simples e fácil, ou difícil e cansativo, dependendo da estratégia escolhida."

msgid "Proactive defense"
msgstr "Defesa pró-ativa"

msgid "The advantage of this kind of defense is that it prevents damage to the system in the first place. One such strategy is <emphasis>getting there first</emphasis>, that is, loading an LKM designed to protect the system from other malicious LKMs. A second strategy is to remove capabilities from the kernel itself. For example, you can remove the capability of loadable kernel modules entirely. Note, however, that there are rootkits which might work even in this case, there are some that tamper with <filename>/dev/kmem</filename> (kernel memory) directly to make themselves undetectable."
msgstr "A vantagem para este tipo defesa é que ela previne qualquer dano ao sistema logo de início. Uma estratégia para esse tipo de defesa é conhecida como <emphasis>pegar eles primeiro</emphasis>, que é carregar na memória um módulo LKM designado para proteger o sistema de outros LKMs maliciosos. A segunda estratégia é remover algumas funcionalidades do próprio kernel. Por exemplo, você pode desabilitar a opção de carrergar módulos no kernel. Entretanto, note que existem rootkits que podem funcionar até mesmo neste caso. Alguns deles podem mexer com o <filename>/dev/kmem</filename> (memória do kernel) diretamente para torná-los indetectáveis."

msgid "Debian GNU/Linux has a few packages that can be used to mount a proactive defense:"
msgstr "O Debian GNU/Linux tem poucos pacotes que podem ser usados para montar uma defesa pró-ativa:"

msgid "<application>lcap</application> - A user friendly interface to remove <emphasis>capabilities</emphasis> (kernel-based access control) in the kernel, making the system more secure. For example, executing <literal>lcap CAP_SYS_MODULE</literal> <footnote><para> There are over 28 capabilities including: <literal>CAP_BSET</literal>, <literal>CAP_CHOWN</literal>, <literal>CAP_FOWNER</literal>, <literal>CAP_FSETID</literal>, <literal>CAP_FS_MASK</literal>, <literal>CAP_FULL_SET</literal>, <literal>CAP_INIT_EFF_SET</literal>, <literal>CAP_INIT_INH_SET</literal>, <literal>CAP_IPC_LOCK</literal>, <literal>CAP_IPC_OWNER</literal>, <literal>CAP_KILL</literal>, <literal>CAP_LEASE</literal>, <literal>CAP_LINUX_IMMUTABLE</literal>, <literal>CAP_MKNOD</literal>, <literal>CAP_NET_ADMIN</literal>, <literal>CAP_NET_BIND_SERVICE</literal>, <literal>CAP_NET_RAW</literal>, <literal>CAP_SETGID</literal>, <literal>CAP_SETPCAP</literal>, <literal>CAP_SETUID</literal>, <literal>CAP_SYS_ADMIN</literal>, <literal>CAP_SYS_BOOT</literal>, <literal>CAP_SYS_CHROOT</literal>, <literal>CAP_SYS_MODULE</literal>, <literal>CAP_SYS_NICE</literal>, <literal>CAP_SYS_PACCT</literal>, <literal>CAP_SYS_PTRACE</literal>, <literal>CAP_SYS_RAWIO</literal>, <literal>CAP_SYS_RESOURCE</literal>, <literal>CAP_SYS_TIME</literal>, and <literal>CAP_SYS_TTY_CONFIG</literal>. All of them can be de-activated to harden your kernel. </para></footnote> will remove module loading capabilities (even for the root user).<footnote><para> You don't need to install <application>lcap</application> to do this, but it's easier than setting <filename>/proc/sys/kernel/cap-bound</filename> by hand. </para></footnote> There is some (old) information on capabilities at Jon Corbet's <ulink name=\"Kernel development\" url=\"http://lwn.net/1999/1202/kernel.php3\" /> section on LWN (dated December 1999)."
msgstr "<application>lcap</application> - Uma interface amigável para remover as <emphasis>funcionalidades</emphasis> (controle de acesso) do kernel, fazendo o sistema mais seguro. Por exemplo, executando <literal>lcap CAP_SYS_MODULE</literal> <footnote><para>Existem mais de 28 funcionalidades incluídas: <literal>CAP_BSET</literal>, <literal>CAP_CHOWN</literal>, <literal>CAP_FOWNER</literal>, <literal>CAP_FSETID</literal>, <literal>CAP_FS_MASK</literal>, <literal>CAP_FULL_SET</literal>, <literal>CAP_INIT_EFF_SET</literal>, <literal>CAP_INIT_INH_SET</literal>, <literal>CAP_IPC_LOCK</literal>, <literal>CAP_IPC_OWNER</literal>, <literal>CAP_KILL</literal>, <literal>CAP_LEASE</literal>, <literal>CAP_LINUX_IMMUTABLE</literal>, <literal>CAP_MKNOD</literal>, <literal>CAP_NET_ADMIN</literal>, <literal>CAP_NET_BIND_SERVICE</literal>, <literal>CAP_NET_RAW</literal>, <literal>CAP_SETGID</literal>, <literal>CAP_SETPCAP</literal>, <literal>CAP_SETUID</literal>, <literal>CAP_SYS_ADMIN</literal>, <literal>CAP_SYS_BOOT</literal>, <literal>CAP_SYS_CHROOT</literal>, <literal>CAP_SYS_MODULE</literal>, <literal>CAP_SYS_NICE</literal>, <literal>CAP_SYS_PACCT</literal>, <literal>CAP_SYS_PTRACE</literal>, <literal>CAP_SYS_RAWIO</literal>, <literal>CAP_SYS_RESOURCE</literal>, <literal>CAP_SYS_TIME</literal>, and <literal>CAP_SYS_TTY_CONFIG</literal>. Todas elas podem ser desativadas para melhorar a segurança do seu kernel.</para></footnote> irá remove a funcionalidade de carregar módulos (mesmo para o super-usuário). <footnote><para>Você não precisa instalar o <application>lcap</application> para fazer isto, mas é melhor do que configurar o <filename>/proc/sys/kernel/cap-bound</filename> na mão.</para></footnote> Para mais informações sobre as funcionalidades do kernel você deve verificar a seção <ulink name=\"Kernel development\" url=\"http://lwn.net/1999/1202/kernel.php3\" /> de Jon Corbet na LWN (Dezembro 1999)"

msgid "If you don't really need many kernel features on your GNU/Linux system, you may want to disable loadable modules support during kernel configuration. To disable loadable module support, just set CONFIG_MODULES=n during the configuration stage of building your kernel, or in the <filename>.config</filename> file. This will prevent LKM root-kits, but you lose this powerful feature of the Linux kernel. Also, disabling loadable modules can sometimes overload the kernel, making loadable support necessary."
msgstr "Se você realmente não precisa de muitos recursos do kernel no seu sistema GNU/Linux, você pode desabilitar o suporte aos módulos carregáveis durante a configuração do kernel. Para desabilitar este suporte, somente altere o CONFIG_MODULES=n durante o estágio de configuração da construção do seu kernel, ou no arquivo <filename>.config</filename>. Isto irá prevenir os rootkits LKM, mas você irá perder esta funcionalidade poderosa no kernel do Linux. Desabilitar a opção para carregar módulos no kernel pode muitas vezes sobrecarregar o kernel. Neste caso, é melhor deixar o kernel com o suporte."

msgid "Reactive defense"
msgstr "Defesa reativa"

msgid "The advantage of a reactive defense is that it does not overload system resources. It works by comparing the system call table with a known clean copy in a disk file, <filename>System.map</filename>. Of course, a reactive defense will only notify the system administrator after the system has already been compromised."
msgstr "A vantagem da defesa reativa é que ela não consome os recursos do sistema. Ela trabalha comparando a tabela de chamadas ao sistema com uma cópia autêntica conhecida, o arquivo em disco <filename>System.map</filename>. Claro que a defesa reativa somente notificará ao administrador do sistema depois que o sistema já estiver sido comprometido."

msgid "Detection of some root-kits in Debian can be accomplished with the <application>chkrootkit</application> package. The <ulink name=\"Chkrootkit\" url=\"http://www.chkrootkit.org\" /> program checks for signs of several known root-kits on the target system, but is not a definitive test."
msgstr "A detecção de alguns root-kits no Debian pode ser efetuada com o pacote <application>chkrootkit</application>. O programa <ulink name=\"Chkrootkit\" url=\"http://www.chkrootkit.org\" /> verifica por sinais de diversos rootkits conhecidos no sistema alvo, mas isto não deve ser um teste final."

msgid "Genius/Paranoia Ideas - what you could do"
msgstr "Idéias Geniais/Paranóicas &mdash; o que você pode fazer"

msgid "This is probably the most unstable and funny section, since I hope that some of the \"duh, that sounds crazy\" ideas might be realized. The following are just some ideas for increasing security - maybe genius, paranoid, crazy or inspired depending on your point of view."
msgstr "Esta é provavelmente a mais instável e divertida seção, apenas espero que algumas das ideias \"duh, isso parece loucura\" possam ser realizadas. A seguir algumas idéias para melhorar a segurança &mdash; talvez geniais, paranóicas, loucas ou até inspiradas dependendo do seu ponto de vista."

msgid "Playing around with Pluggable Authentication Modules (PAM). As quoted in the Phrack 56 PAM article, the nice thing about PAM is that \"You are limited only by what you can think of.\" It is true. Imagine root login only being possible with fingerprint or eye scan or cryptocard (why did I use an OR conjunction instead of AND?)."
msgstr "Brincando com o PAM. Como citado no artigo Phrack 56 PAM, a coisa legal do PAM é que \"Você é limitado somente pelo o que pode imaginar\". É verdade. Imagine efetuar login de root somente através de impressão digital ou verificação de retina ou cartão de criptografia (por que usei a conjunção OU em vez de E?)."

msgid "Fascist Logging. I would refer to all the previous logging discussion above as \"soft logging\". If you want to perform real logging, get a printer with fanfold paper, and send all logs to it. Sounds funny, but it's reliable and it cannot be tampered with or removed."
msgstr "Gravação fascista de logs. Eu prefiro me referir à toda discussão anterior acima como um \"esquema leve de logs\". Se você quiser fazer um esquema real de logs, pegue uma impressora com papel de formulário contínuo, e envie todos os logs para ela. Parece engraçado, mas é realmente confiável e as informações não podem ser sobrescritas ou apagadas."

msgid "CD distribution. This idea is very easy to realize and offers pretty good security. Create a hardened Debian distribution, with proper firewall rules. Turn it into a boot-able ISO image, and burn it on a CDROM. Now you have a read-only distribution, with about 600 MB space for services. Just make sure all data that should get written is done over the network. It is impossible for intruders to get read/write access on this system, and any changes an intruder does make can be disabled with a reboot of the system."
msgstr "Distribuição de CD. Essa idéia é muito simples de se realizar e oferece uma boa segurança. Crie uma distribuição Debian segura, com as regras de firewall apropriadas. Coloque ela em uma imagem ISO inicializável e grave em um CDROM. Agora você tem uma distribuição somente leitura, com mais ou menos 600 MB de espaço para os serviços. Tenha certeza de que todos os dados que devem ser escritos sejam feitos pela rede. É impossível para um intruso ter acesso de leitura/escrita no sistema, e qualquer alteração feita pelo intruso pode ser desfeita em uma reinicilização do sistema."

msgid "Switch module capability off. As discussed earlier, when you disable the usage of kernel modules at kernel compile time, many kernel based back doors are impossible to implement because most are based on installing modified kernel modules."
msgstr "Desabilite a capacidade de carregar módulos. Como discutido anteriormente, quando você desabilita o uso de módulos em tempo de compilação do kernel, muitos backdoors baseados em kernel ficam impossíveis de serem implementados, pois a maioria deles é baseada na instalação de módulos do kernel modificados."

msgid "Logging through serial cable (contributed by Gaby Schilders). As long as servers still have serial ports, imagine having one dedicated logging system for a number of servers. The logging system is disconnected from the network, and connected to the servers via a serial-port multiplexer (Cyclades or the like). Now have all your servers log to their serial ports, write only. The log-machine only accepts plain text as input on its serial ports and only writes to a log file. Connect a CD/DVD-writer, and transfer the log file to it when the log file reaches the capacity of the media. Now if only they would make CD writers with auto-changers... Not as hard copy as direct logging to a printer, but this method can handle larger volumes and CD-ROMs use less storage space."
msgstr "Grave os logs por um cabo serial. (contribuido por Gaby Schilders) Já que os servidores ainda têm portas serial, imagine ter um sistema de gravação de logs para um série de servidores. O sistema de logs é desconectado da rede, e conectado aos servidores via um multiplexador de porta serial (Cyclades ou algo do tipo). Agora faça com que todos os seus servidores gravem o log através da porta serial. A máquina de log vai somente aceitar o texto plano como entrada nas portas serial e escrever em um arquivo de log. Conecte um gravador de CD/DVD e grave o arquivo de log quando atingir a capacidade máxima da mídia."

msgid "Change file attributes using <command>chattr</command> (taken from the Tips-HOWTO, written by Jim Dennis). After a clean install and initial configuration, use the <command>chattr</command> program with the <literal>+i</literal> attribute to make files unmodifiable (the file cannot be deleted, renamed, linked or written to). Consider setting this attribute on all the files in <filename>/bin</filename>, <filename>/sbin/</filename>, <filename>/usr/bin</filename>, <filename>/usr/sbin</filename>, <filename>/usr/lib</filename> and the kernel files in root. You can also make a copy of all files in <filename>/etc/</filename>, using <command>tar</command> or the like, and mark the archive as immutable."
msgstr "Altere as atribuições do arquivo usando <command>chattr</command>. (dica tirada do Tips-HOWTO, escrito por Jim Dennis). Depois de uma instalação limpa e configuração inicial, use o programa <command>chattr</command> com o atributo <literal>+i</literal> para que os arquivos não sejam modificados (o arquivo não pode ser apagado, renomeado, criado link ou escrito algo nele). Defina este atributo em todos os arquivos que estão em <filename>/bin</filename>, <filename>/sbin/</filename>, <filename>/usr/bin</filename>, <filename>/usr/sbin</filename>, <filename>/usr/lib</filename> e também nos arquivos do kernel no root. Você também pode fazer uma cópia de todos os arquivos do <filename>/etc/</filename>, usando o <command>tar</command> ou algo do tipo e marcar o arquivo comprimido como imutável."

msgid "This strategy will help limit the damage that you can do when logged in as root. You won't overwrite files with a stray redirection operator, and you won't make the system unusable with a stray space in a <command>rm -fr</command> command (you might still do plenty of damage to your data - but your libraries and binaries will be safer)."
msgstr "Esta estratégia irá ajudar a limitar o estrago que você poderá causar estando logado como root. Você não poderá sobrescrever arquivos por engano, nem deixar o sistema inoperante digitando por engano um espaço no comando <command>rm -fr</command> (você pode ainda fazer um monte de estragos no seus dados &mdash; mas suas bibliotecas e seus binários estarão seguros.)"

msgid "This strategy also makes a variety of security and denial of service (DoS) exploits either impossible or more difficult (since many of them rely on overwriting a file through the actions of some SETUID program that <emphasis>isn't providing an arbitrary shell command</emphasis>)."
msgstr "Esta estratégia também faz com que uma variedade de exploits de segurança e de negação de serviços (DoS) sejam difíceis ou impossíveis de serem realizados (já que a maioria deles conta com a permissão de sobrescrever um arquivo através de algum programa SETUID que a princípio <emphasis>não esteja fornecendo um comando shell arbitrário</emphasis>)."

msgid "One inconvenience of this strategy arises during building and installing various system binaries. On the other hand, it prevents the <command>make install</command> from over-writing the files. When you forget to read the Makefile and <command>chattr -i</command> the files that are to be overwritten, (and the directories to which you want to add files) - the make command fails, and you just use the <command>chattr</command> command and rerun it. You can also take that opportunity to move your old bin's and libs out of the way, into a .old/ directory or tar archive for example."
msgstr "Uma inconveniência desse tipo de estratégia aparece durante a compilação e instalação de alguns binários do sistema. Por outro lado, isso previne que um comando <command>make install</command> sobrescreva os arquivos. Quando você se esquece de ler o Makefile e executa um <command>chattr -i</command> nos arquivos a serem sobrescritos, (também nos diretórios nos quais serão adicionados os arquivos) &dash; o comando make falha. Então você deve usar o comando <command>chattr</command> para desativar a flag de imutável e rodar o make novamente. Você também pode optar por mover os binários e as bibliotecas antigas para dentro de um diretório .old/ ou para um arquivo tar por exemplo."

msgid "Note that this strategy also prevents you from upgrading your system's packages, since the files updated packages provide cannot be overwritten. You might want to have a script or other mechanism to disable the immutable flag on all binaries right before doing an <command>apt-get update</command>."
msgstr "Note que esta estratégia também impede que você atualize seu próprio sistema de pacotes, já que os arquivos que os pacotes a serem atualizados fornecem não podem ser sobrescritos. Você pode fazer um script ou usar outro mecanismo parecido para desativar a permissão de imutável em todos os binários antes de fazer um <command>apt-get update</command>."

msgid "Play with UTP cabling in a way that you cut 2 or 4 wires and make the cable one-way traffic only. Then use UDP packets to send information to the destination machine which can act as a secure log server or a credit card storage system."
msgstr "Você pode brincar um pouco com o cabeamento UTP cortando 2 ou 4 fios, tornando um cabo de tráfego unidirecional. Então use pacotes UDP para enviar informação para uma máquina de destino que atuaria como um servidor de log seguro ou até mesmo um sistema de armazenamento de cartões de crédito."

msgid "Building a honeypot"
msgstr "Construindo um honeypot"

msgid "A honeypot is a system designed to teach system administrators how crackers probe for and exploit a system. It is a system setup with the expectation and goal that the system will be probed, attacked and potentially exploited. By learning the tools and methods employed by the cracker, a system administrator can learn to better protect their own systems and network."
msgstr "Um honeypot é um sistema feito para auxiliar os administradores de sistemas a descobrir como os crackers sondam a máquina em busca de exploits. O sistema é configurado com a expectativa e objetivo de ser sondado, atacado e potencialmente invadido. Aprendendo as ferramentas e os métodos empregados pelo cracker, um administrador de sistema pode saber como melhor proteger seus sistemas e a rede."

msgid "Debian GNU/Linux systems can easily be used to setup a honeynet, if you dedicate the time to implement and monitor it. You can easily setup the fake honeypot server as well as the firewall<footnote><para>You will typically use a bridge firewall so that the firewall itself is not detectable, see <xref linkend=\"bridge-fw\" />.</para></footnote> that controls the honeynet and some sort of network intrusion detector, put it on the Internet, and wait. Do take care that if the system is exploited, you are alerted in time (see <xref linkend=\"log-alerts\" />) so that you can take appropriate measures and terminate the compromise when you've seen enough. Here are some of the packages and issues to consider when setting up your honeypot:"
msgstr "Um sistema Debian GNU/Linux pode ser facilmente configurado como um honeypot, se você dedicar tempo para implementar e monitorá-lo. Simplesmente configure o servidor falso com um firewall e algumas ferramentas de detecção de intrusão de rede, coloque ele na Internet, e espere. Tome o cuidado de que se o sistema for invadido você seja imediatamente alertado (veja <xref linkend=\"log-alerts\" />), desta forma você poderá tomar providências necessárias e paralizar a invasão quando tiver informações suficientes. Abaixo estão alguns dos pacotes e questões importantes quando estiver configurando seu honeypot:"

msgid "The firewall technology you will use (provided by the Linux kernel)."
msgstr "A tecnologia de firewall que irá usar (fornecidade pelo kernel do Linux)."

msgid "<application>syslog-ng</application>, useful for sending logs from the honeypot to a remote syslog server."
msgstr "<application>syslog-ng</application>, útil para enviar logs do honeypot para um servidor syslog remoto."

msgid "<application>snort</application>, to set up capture of all the incoming network traffic to the honeypot and detect the attacks."
msgstr "<application>snort</application>, para configurar a captura de todo o tráfego de rede de entrada para o honeypot e detectar os ataques."

msgid "<application>osh</application>, a SETUID root, security enhanced, restricted shell with logging (see Lance Spitzner's article below)."
msgstr "<application>osh</application>, um SETUID root, segurança aprimorada, shell restrita com sistema de log (veja o artigo de Lance Spitzner abaixo)."

msgid "Of course, all the daemons you will be using for your fake server honeypot. Depending on what type of attacker you want to analyse you will or will <emphasis>not</emphasis> harden the honeypot and keep it up to date with security patches."
msgstr ""

msgid "Integrity checkers (see <xref linkend=\"check-integ\" />) and The Coroner's Toolkit (<application>tct</application>) to do post-attack audits."
msgstr "Verificadores de integridade (veja <xref linkend=\"check-integ\" />) e o Toolkit do Coroner (<application>tct</application>) para fazer auditorias pós-ataque."

msgid "<application>honeyd</application> and <application>farpd</application> to setup a honeypot that will listen to connections to unused IP addresses and forward them to scripts simulating live services. Also check out <application>iisemulator</application>."
msgstr ""

msgid "<application>tinyhoneypot</application> to setup a simple honeypot server with fake services."
msgstr ""

msgid "If you cannot use spare systems to build up the honeypots and the network systems to protect and control it you can use the virtualisation technology available in <command>xen</command> or <command>uml</command> (User-Mode-Linux). If you take this route you will need to patch your kernel with either <application>kernel-patch-xen</application> or <application>kernel-patch-uml</application>."
msgstr ""

msgid "You can read more about building honeypots in Lanze Spitzner's excellent article <ulink name=\"To Build a Honeypot\" url=\"http://www.net-security.org/text/articles/spitzner/honeypot.shtml\" /> (from the Know your Enemy series). Also, the <ulink name=\"Honeynet Project\" url=\"http://project.honeynet.org/\" /> provides valuable information about building honeypots and auditing the attacks made on them."
msgstr ""