From owner-p4-projects@FreeBSD.ORG Thu Mar 6 18:28:47 2008 Return-Path: Delivered-To: p4-projects@freebsd.org Received: by hub.freebsd.org (Postfix, from userid 32767) id E3905106566C; Thu, 6 Mar 2008 18:28:46 +0000 (UTC) Delivered-To: perforce@FreeBSD.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id 9DD67106567A for ; Thu, 6 Mar 2008 18:28:46 +0000 (UTC) (envelope-from pgj@FreeBSD.org) Received: from repoman.freebsd.org (repoman.freebsd.org [IPv6:2001:4f8:fff6::29]) by mx1.freebsd.org (Postfix) with ESMTP id 8B54C8FC1C for ; Thu, 6 Mar 2008 18:28:46 +0000 (UTC) (envelope-from pgj@FreeBSD.org) Received: from repoman.freebsd.org (localhost [127.0.0.1]) by repoman.freebsd.org (8.14.1/8.14.1) with ESMTP id m26ISk5A030834 for ; Thu, 6 Mar 2008 18:28:46 GMT (envelope-from pgj@FreeBSD.org) Received: (from perforce@localhost) by repoman.freebsd.org (8.14.1/8.14.1/Submit) id m26ISjTv030832 for perforce@freebsd.org; Thu, 6 Mar 2008 18:28:45 GMT (envelope-from pgj@FreeBSD.org) Date: Thu, 6 Mar 2008 18:28:45 GMT Message-Id: <200803061828.m26ISjTv030832@repoman.freebsd.org> X-Authentication-Warning: repoman.freebsd.org: perforce set sender to pgj@FreeBSD.org using -f From: Gabor Pali To: Perforce Change Reviews Cc: Subject: PERFORCE change 137014 for review X-BeenThere: p4-projects@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: p4 projects tree changes List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 06 Mar 2008 18:28:47 -0000 http://perforce.freebsd.org/chv.cgi?CH=137014 Change 137014 by pgj@disznohal on 2008/03/06 18:28:24 (audit) MFen: 1.31 --> 1.33, including some minor language and format fixes. Affected files ... .. //depot/projects/docproj_hu/books/handbook/audit/chapter.sgml#5 edit Differences ... ==== //depot/projects/docproj_hu/books/handbook/audit/chapter.sgml#5 (text+ko) ==== @@ -1,11 +1,11 @@ + Original Revision: r1.33 --> @@ -33,55 +33,62 @@ MAC - A &os; 6.2-RELEASE és az azóta megjelent verziók - támogatják a biztonsági események - aprólékos vizsgálatát. Ezzel egy - megbízható, részletes és jól - konfigurálható naplózási rendszert - társítanak a rendszerben található - biztonságot igénylõ események széles - köréhez, beleértve a bejelentkezéseket, a - konfigurációs állományokban - bekövetkezõ változásokat, állomány- - és hálózati hozzáféréseket. Az - így létrehozott naplóbejegyzések - felbecsülhetetlen értékûnek bizonyulhatnak egy - élõ rendszer felügyelete során, vagy egy - hálózati támadás - észleléséhez, esetleg egy összeomlás - okainak kielemezéséhez. A &os; ehhez a &sun; által - kifejlesztett BSM technológia API-ját - és állományformátumát + A &os; 6.2-RELEASE és az azóta megjelent + verziók támogatják a biztonsági + események aprólékos + vizsgálatát. Ezzel egy megbízható, + részletes és jól konfigurálható + naplózási rendszert társítanak a + rendszerben található biztonságot + igénylõ események széles + köréhez, beleértve a bejelentkezéseket, + a konfigurációs állományokban + bekövetkezõ változásokat, + állomány- és hálózati + hozzáféréseket. Az így + létrehozott naplóbejegyzések + felbecsülhetetlen értékûnek bizonyulhatnak + egy élõ rendszer felügyelete során, vagy + egy hálózati támadás + észleléséhez, esetleg egy + összeomlás okainak kielemezéséhez. A + &os; ehhez a &sun; által kifejlesztett + BSM technológia API-ját és + állományformátumát valósítja meg, és így képes együttmûködni a &sun; &solaris; valamint az &apple; &macos; X bizonsági rendszereivel egyaránt. Ebben a fejezetben a biztonsági események - vizsgálatának telepítéséhez és - beállításához szükséges ismeretek - tekintjük át. Ennek keretében szó esik a - vizsgálati házirendekrõl, valamint mutatunk egy + vizsgálatának telepítéséhez + és beállításához + szükséges ismeretek tekintjük át. Ennek + keretében szó esik a vizsgálati + házirendekrõl, valamint mutatunk egy példát a vizsgálatok beállítására. - A fejezet elolvasása során megismerjük: + A fejezet elolvasása során + megismerjük: - mit jelent az események vizsgálata és hogyan - mûködik. + mit jelent az események vizsgálata és + hogyan mûködik hogyan kell beállítani az események - vizsgálatát &os;-n a különbözõ - felhasználók és programok esetén. + vizsgálatát &os;-n a + különbözõ felhasználók + és programok esetén - hogyan értelmezzük egy vizsgálati nyomokat a - vizsgálatot szûkítõ és -elemzõ - segédprogramok segítségével. + hogyan értelmezzük egy vizsgálati + nyomokat a vizsgálatot szûkítõ és + -elemzõ segédprogramok + segítségével @@ -89,56 +96,61 @@ - alapvetõ &unix;-os és &os;-s ismeretek - (). + alapvetõ &unix;-os és &os;-s ismeretek () - a rendszermag konfigurálásával és - fordításával kapcsolatos tudnivalók - alapszintû ismerete (). + a rendszermag konfigurálásával + és fordításával kapcsolatos + tudnivalók alapszintû ismerete () - az informatikai biztonság alapfogalmainak és annak - a &os;-re vonatkozó részleteinek minimális - ismerete (). + az informatikai biztonság alapfogalmainak és + annak a &os;-re vonatkozó részleteinek + minimális ismerete () - A &os; 6.2-es verziójában jelenlevõ - biztonsági vizsgálat még csak - kísérleti jelleggel szerepel, éles + A &os; 6.X verziójaiban + jelenlevõ biztonsági vizsgálat még + csak kísérleti jelleggel szerepel, éles környezetben kizárólag csak az ilyen fajta - szoftverekkel kapcsolatos kockázatok tudatában és - elfogadásával javasolt használni. Ismert - korlátozások: nem mindegyik biztonságot - érintõ esemény vizsgálható, mint - mondjuk az egyes bejelentkezési típusok, mivel azok nem + szoftverekkel kapcsolatos kockázatok tudatában + és elfogadásával javasolt használni. + Ismert korlátozások: nem mindegyik + biztonságot érintõ esemény + vizsgálható, mint mondjuk az egyes + bejelentkezési típusok, mivel azok nem megfelelõen hitelesítik a belépõ felhasználókat. Ilyenek például az - X11-alapú felületek és az egyéb, erre a - célra alkalmas, más által fejlesztett daemonok. + X11-alapú felületek és az egyéb, erre + a célra alkalmas, más által fejlesztett + démonok. - A biztonsági események vizsgálata során - a rendszer képes nagyon részletes naplókat - készíteni az érintett - tevékenységekrõl. Így egy kellõen - forgalmas rendszeren az állománymozgások alapos - nyomonkövetése bizonyos konfigurációkon - akár gigabyte-okat is kitehet hetente. A - rendszergazdáknak ezért mindig javasolt számolniuk - a nagy forgalmú események biztonsági - vizsgálatának tárigényével. - Például, emiatt érdemes lehet egy egész + A biztonsági események vizsgálata + során a rendszer képes nagyon részletes + naplókat készíteni az érintett + tevékenységekrõl. Így egy + kellõen forgalmas rendszeren az + állománymozgások alapos + nyomonkövetése bizonyos + konfigurációkon akár gigabájtokat is + kitehet hetente. A rendszergazdáknak ezért mindig + javasolt számolniuk a nagy forgalmú + események biztonsági vizsgálatának + tárigényével. Például, + emiatt érdemes lehet egy egész állományrendszert szánni erre a feladatra a - /var/audit könyvtárban, és - így a többi állományrendszer nem látja - kárát, ha véletlenül betelne ez a - terület. + /var/audit könyvtárban, + és így a többi állományrendszer + nem látja kárát, ha véletlenül + betelne ez a terület. @@ -150,21 +162,24 @@ - esemény: Vizsgálható - eseménynek azt az eseményt nevezzük, amely egy - vizsgálati alrendszerben naplózható. - Biztonsági események lehetnek például: - egy állomány létrehozása, egy - hálózati kapcsolat felépítése, - vagy egy felhasználó bejelentkezése. Egy + esemény: + Vizsgálható eseménynek azt az + eseményt nevezzük, amely egy vizsgálati + alrendszerben naplózható. Biztonsági + események lehetnek például: egy + állomány létrehozása, egy + hálózati kapcsolat + felépítése, vagy egy + felhasználó bejelentkezése. Egy esemény jellegzetes, ha visszakövethetõ valamelyik hitelesített - felhasználóhoz, vagy nem jellegzetes, - ha ez nem lehetséges. Nem jellegzetes események lehet - például minden olyan esemény, amely egy - bejelentkezési folyamat hitelesítési - lépése elõtt történik, ilyenek a - hibás jelszóval történõ + felhasználóhoz, vagy nem + jellegzetes, ha ez nem lehetséges. Nem + jellegzetes események lehet például + minden olyan esemény, amely egy bejelentkezési + folyamat hitelesítési lépése + elõtt történik, ilyenek a hibás + jelszóval történõ belépési kísérletek. @@ -172,24 +187,26 @@ osztály: Eseményosztálynak az összefüggõ események névvel ellátott halmazát - tekintjük, és szûrési feltételekben - használjuk õket. Általában alkalmazott - osztályok: file creation (fc, - állománylétrehozás), exec - (ex, programindítás), és - login_logout (lo, ki- és + tekintjük, és szûrési + feltételekben használjuk õket. + Általában alkalmazott osztályok: + file creation (fc, + állománylétrehozás), + exec (ex, programindítás), + és login_logout (lo, ki- és bejelentkezés). rekord: Rekordnak nevezzük a biztonsági eseményeket leíró - biztonsági naplóbejegyzéseket. A rekordok - tartalmazhatják a feljegyzett esemény - típusát, az eseményt kiváltó - tevékenységet (felhasználót), a - dátumot és az idõt, tetszõleges objektum - vagy paraméter értékét, feltételek + biztonsági naplóbejegyzéseket. A + rekordok tartalmazhatják a feljegyzett esemény + típusát, az eseményt + kiváltó tevékenységet + (felhasználót), a dátumot és az + idõt, tetszõleges objektum vagy paraméter + értékét, feltételek teljesülését vagy meghiúsulását. @@ -197,57 +214,63 @@ nyom: Vizsgálati nyomnak vagy naplóállománynak nevezzük a - különféle biztonsági eseményeket - leíró vizsgálati rekordok sorozatát. A - nyomok többnyire nagyjából az események - bekövetkezése szerinti idõrendben következnek. - Csak és kizárólag az erre felhatalmazott - programok hozhatnak létre rekordokat a vizsgálati - nyomban. + különféle biztonsági + eseményeket leíró vizsgálati + rekordok sorozatát. A nyomok többnyire + nagyjából az események + bekövetkezése szerinti idõrendben + következnek. Csak és kizárólag az + erre felhatalmazott programok hozhatnak létre + rekordokat a vizsgálati nyomban. szûrési feltétel: Szûrési feltételnek nevezünk egy olyan - sztringet, amelyet események szûrésére - használunk, és módosítókat - valamint eseményosztályok neveit tartalmazza. + sztringet, amelyet események + szûrésére használunk, és + módosítókat valamint + eseményosztályok neveit tartalmazza. elõválogatás: Elõválogatásnak nevezzük a folyamatot, amelynek során a rendszer beazonosítja azokat az - eseményeket, amelyek a rendszergazda számára - fontosak. Ezáltal elkerülhetjük olyan - vizsgálati rekordok generálását, amelyek - számunkra érdektelen eseményekrõl - számolnak be. Az elõválogatás - szûrési feltételek sorát használja - az adott felhasználókhoz tartozó adott + eseményeket, amelyek a rendszergazda + számára fontosak. Ezáltal + elkerülhetjük olyan vizsgálati rekordok + generálását, amelyek számunkra + érdektelen eseményekrõl számolnak + be. Az elõválogatás szûrési + feltételek sorát használja az adott + felhasználókhoz tartozó adott biztonsági események vizsgálatának beállításához, akárcsak a - hitelesített és a nem hitelesített programokat - értintõ globális beállítások - meghatározásához. + hitelesített és a nem hitelesített + programokat értintõ globális + beállítások + meghatározásához. leszûkítés: - Leszûkítésnek nevezzük a folyamatot, amelynek - során a már meglevõ biztonsági - rekordokból válogatunk le tárolásra, - nyomtatásra vagy elemzésre. Hasonlóan ez a - folyamat, ahol a szükségtelen rekordokat - eltávolítjuk a vizsgálatai nyomból. A - leszûkítés segítségével a - rendszergazdák a vizsgálati adatok - eltárolására alakíthatnak ki - házirendet. Például a részletesebb - vizsgálati nyomokat érdemes egy hónapig - megtartani, ennek lejártával viszont már - inkább ajánlott leszûkíteni õket - és archiválásra csak a bejelentkezési + Leszûkítésnek nevezzük a folyamatot, + amelynek során a már meglevõ + biztonsági rekordokból válogatunk le + tárolásra, nyomtatásra vagy + elemzésre. Hasonlóan ez a folyamat, ahol a + szükségtelen rekordokat eltávolítjuk + a vizsgálatai nyomból. A + leszûkítés + segítségével a rendszergazdák a + vizsgálati adatok eltárolására + alakíthatnak ki házirendet. + Például a részletesebb vizsgálati + nyomokat érdemes egy hónapig megtartani, ennek + lejártával viszont már inkább + ajánlott leszûkíteni õket és + archiválásra csak a bejelentkezési információkat megtartani. @@ -259,33 +282,36 @@ A eseményvizsgálathoz szükséges felhasználói programok a &os; alaprendszer - részét képezik. A &os; 6.3 és - késõbbi verzióiban az eseményvizsgálat - támogatása alapértelmezés szerint - megtalálható a rendszermagban, azonban a - &os; 6.2-ben be kell kapcsolnunk a megfelelõ + részét képezik. A &os; 7.0 és + késõbbi verzióiban az + eseményvizsgálat támogatása + alapértelmezés szerint megtalálható a + rendszermagban, azonban a &os; 6.X + változataiban be kell kapcsolnunk a megfelelõ támogatást, mégpedig a rendszermag konfigurációs állományában az alábbi sor hozzáadásával: options AUDIT - Fordítsuk és telepítsük újra a - rendszermagot az ben ismertetett + Fordítsuk és telepítsük újra + a rendszermagot az ben ismertetett folyamat szerint. - Ahogy a rendszermagot a bekapcsolt eseményvizsgálati - támogatással sikerült lefordítanunk és + Ahogy a rendszermagot a bekapcsolt + eseményvizsgálati támogatással + sikerült lefordítanunk és telepítenünk, valamint a rendszerünk is - újraindult, indítsuk el a vizsgáló daemont - a következõ sor hozzáadásával a - &man.rc.conf.5;-ban: + újraindult, indítsuk el a vizsgáló + démont a következõ sor + hozzáadásával az &man.rc.conf.5; + állományban: auditd_enable="YES" A vizsgálatot innentõl ténylegesen egy ismételt újraindítással vagy pedig az - elõbb említett daemon manuális + elõbb említett démon manuális elindításával aktiválhatjuk: /etc/rc.d/auditd start @@ -297,9 +323,10 @@ A vizsgálatok beállításához szükséges összes konfigurációs állomány a /etc/security könyvtárban - található. A következõ állományok - vannak itt a daemon indítása elõtt: + class="directory">/etc/security + könyvtárban található. A + következõ állományok vannak itt a + démon indítása elõtt: @@ -310,67 +337,73 @@ audit_control - a vizsgálati alrendszer különbözõ területei - vezérli, többek közt az alapértelmezett - vizsgálati osztályokat, az vizsgálati adatok - tárhelyén meghagyandó minimális - lemezterület, a vizsgálati nyom maximális - mérete, stb. + vezérli, többek közt az + alapértelmezett vizsgálati osztályokat, + az vizsgálati adatok tárhelyén + meghagyandó minimális lemezterület, a + vizsgálati nyom maximális mérete, + stb. - audit_event - a rendszerben jelenlevõ - vizsgálati események szöveges megnevezése - és leírása, valamint a lista, hogy melyikük - mely osztályban található. + audit_event - a rendszerben + jelenlevõ vizsgálati események szöveges + megnevezése és leírása, valamint a + lista, hogy melyikük mely osztályban + található. audit_user - felhasználónként változó vizsgálati elvárások, kombinálva a - bejelentkezéskor érvényes globálisan - alapértelmezett beállításokkal. + bejelentkezéskor érvényes + globálisan alapértelmezett + beállításokkal. audit_warn - az auditd által használt testreszabható shell szkript, aminek - segítségével a szélsõséges - helyzetekben figyelmeztetõ üzeneteket tudunk - generálni, mint mondjuk amikor a rekordok - számára fenntartott hely elfogyóban van, vagy - amikor a nyomokat tartalmazó állományt + segítségével a + szélsõséges helyzetekben figyelmeztetõ + üzeneteket tudunk generálni, mint mondjuk amikor a + rekordok számára fenntartott hely + elfogyóban van, vagy amikor a nyomokat + tartalmazó állományt archiváltuk. - Az eseményvizsgálat konfigurációs - állományait alapos körültekintés - mellett szabad szerkeszteni és karbantartani, mivel a - bennük keletkezõ hibák az események - helytelen naplózását - eredményezhetik. + Az eseményvizsgálat + konfigurációs állományait alapos + körültekintés mellett szabad szerkeszteni + és karbantartani, mivel a bennük keletkezõ + hibák az események helytelen + naplózását eredményezhetik. Eseményszûrési feltételek - Az eseményvizsgálati beállítások - során számtalan helyen felbukkanak a vizsgálni - kívánt eseményeket meghatározó - szûrési feltételek. Ezen feltételek + Az eseményvizsgálati + beállítások során számtalan + helyen felbukkanak a vizsgálni kívánt + eseményeket meghatározó szûrési + feltételek. Ezen feltételek eseményosztályok felsorolását tartalmazzák, mindegyiküket egy - módosító vezeti be, ezzel jelezve, hogy az adott - eseményosztályba tartozó rekordokat tartsuk meg - vagy vessük el. Esetleg utalhatnak arra is, hogy vagy csak a - sikerességet jelzõ rekordokat, vagy csak a - sikertelenséget jelzõ rekordokat szûrjük ki. - A szûrési feltételek balról jobbra - értékelõdnek ki, és két - kifejezés összefûzéssel + módosító vezeti be, ezzel jelezve, hogy az + adott eseményosztályba tartozó rekordokat + tartsuk meg vagy vessük el. Esetleg utalhatnak arra is, + hogy vagy csak a sikerességet jelzõ rekordokat, vagy + csak a sikertelenséget jelzõ rekordokat + szûrjük ki. A szûrési feltételek + balról jobbra értékelõdnek ki, + és két kifejezés + összefûzéssel kombinálható. A most következõ lista tartalmazza a @@ -380,8 +413,8 @@ - all - all (mind) - - Minden eseményosztályra vonatkozik. + all - all (mind) + - Minden eseményosztályra vonatkozik. @@ -401,8 +434,8 @@ cl - file close - (állomány lezárása) - a - close rendszerhívás + (állomány lezárása) - + a close rendszerhívás meghívásának vizsgálata. @@ -410,9 +443,10 @@ ex - exec (programindítás) - egy program indításának vizsgálata. A - parancssorban átadott paraméterek és - a környezeti változók vizsgálatát - a &man.audit.control.5; vezérli a policy + parancssorban átadott paraméterek és a + környezeti változók + vizsgálatát az &man.audit.control.5; + vezérli a policy beállításhoz tartozó argv és envv paraméterek segítségével. @@ -421,17 +455,19 @@ fa - file attribute access (állományjellemzõk - hozzáférése) - a rendszerbeli - objektumok jellemzõinek hozzáférésnek - vizsgálata, mint pl. a &man.stat.1;, &man.pathconf.2; - és ehhez hasonló események. + hozzáférése) - a + rendszerbeli objektumok jellemzõinek + hozzáférésnek vizsgálata, mint + pl. a &man.stat.1;, &man.pathconf.2; és ehhez + hasonló események. fc - file create - (állomány létrehozása) - - állományt eredményezõ események - vizsgálata. + (állomány + létrehozása) - + állományt eredményezõ + események vizsgálata. @@ -446,45 +482,48 @@ (állományjellemzõk módosítása) - állományok jellemzõit - megváltoztató események vizsgálata, - mint mondjuk a &man.chown.8;, &man.chflags.1;, &man.flock.2;, - stb. + megváltoztató események + vizsgálata, mint mondjuk a &man.chown.8;, + &man.chflags.1;, &man.flock.2;, stb. - fr - file read + fr - file read (állományolvasás) - - állományok olvasásra történõ - megnyitásával, olvasásával, - stb. kapcsolatos események vizsgálata. + állományok olvasásra + történõ megnyitásával, + olvasásával, stb. kapcsolatos + események vizsgálata. - fw - file write + fw - file write (állományírás) - állományok írásra történõ megnyitásával, írásával, - módosításával, stb. kapcsolatos + módosításával, stb. kapcsolatos események vizsgálata. - io - ioctl - a - &man.ioctl.2; rendszerhívást használó - események vizsgálata. + io - ioctl - az + &man.ioctl.2; rendszerhívást + használó események + vizsgálata. - ip - ipc - a folyamatok - közti kommunikáció különféle - formáinak, beleértve a POSIX csövek és - System V IPC mûveleteinek + ip - ipc - a + folyamatok közti kommunikáció + különféle formáinak, + beleértve a POSIX csövek és System V + IPC mûveleteinek vizsgálata. - lo - login_logout (ki- + lo - login_logout (ki- és bejelentkezés) - a rendszerben megjelenõ &man.login.1; és &man.logout.1; események vizsgálata. @@ -499,27 +538,29 @@ no - invalid class (érvénytelen osztály) - - egyetlen biztonsági eseményt sem tartalmaz. + egyetlen biztonsági eseményt sem + tartalmaz. - nt - network - (hálózat) - a hálózathoz - tartozó események vizsgálata, mint pl. a - &man.connect.2; és &man.accept.2;. + nt - network + (hálózat) - a + hálózathoz tartozó események + vizsgálata, mint pl. a &man.connect.2; és + &man.accept.2;. - ot - other + ot - other (egyéb) - más egyéb események vizsgálata. - pc - process - (folyamat) - a folyamatokkal kapcsolatos mûveletek, - mint például a &man.exec.3; és &man.exit.3; - vizsgálata. + pc - process + (folyamat) - a folyamatokkal kapcsolatos + mûveletek, mint például az &man.exec.3; + és &man.exit.3; vizsgálata. @@ -531,16 +572,16 @@ A listában szereplõ minden egyes eseményosztályhoz tartozik még egy - módosító is, amely jelzi, hogy a sikeres vagy a - sikertelen mûveleteket kell-e szûrnünk, valamint hogy a - bejegyzés az adott típust vagy osztályt - hozzáadja vagy elveszi az adott + módosító is, amely jelzi, hogy a sikeres + vagy a sikertelen mûveleteket kell-e szûrnünk, + valamint hogy a bejegyzés az adott típust vagy + osztályt hozzáadja vagy elveszi az adott szûrésbõl. - (üres) az adott típusból mind a sikereseket - és mind a sikerteleneket feljegyzi. + (üres) az adott típusból mind a + sikereseket és mind a sikerteleneket feljegyzi. @@ -551,24 +592,26 @@ - az eseményosztályba - tartozó sikertelen eseményeket vizsgálja - csak. + tartozó sikertelen eseményeket + vizsgálja csak. - ^ az eseményosztályból - sem a sikereseket, sem pedig a sikerteleneket nem - vizsgálja. + ^ az + eseményosztályból sem a sikereseket, sem + pedig a sikerteleneket nem vizsgálja. - ^+ az eseményosztályból - nem vizsgálja a sikeres eseményeket. + ^+ az + eseményosztályból nem vizsgálja a + sikeres eseményeket. - ^- az eseményosztályból - nem vizsgálja a sikertelen eseményeket. + ^- az + eseményosztályból nem vizsgálja a + sikertelen eseményeket. @@ -582,7 +625,8 @@ - A konfigurációs állományok + A konfigurációs + állományok A vizsgálati rendszer beállításához az esetek @@ -592,18 +636,21 @@ audit_control és az audit_user. Az elõbbi felelõs a rendszerszintû vizsgálati jellemzõkért - és házirendekért, míg az utóbbi az - igények felhasználókénti - finomhangolásához használható. + és házirendekért, míg az + utóbbi az igények + felhasználókénti + finomhangolásához + használható. - Az <filename>audit_control</filename> + <title>Az <filename>audit_control</filename> állomány - Az audit_control állomány - határozza meg a vizsgálati alrendszer - alapértelmezéseit. Ezt az állományt - megnyitva a következõket láthatjuk: + Az audit_control + állomány határozza meg a vizsgálati + alrendszer alapértelmezéseit. Ezt az + állományt megnyitva a következõket + láthatjuk: dir:/var/audit flags:lo @@ -613,68 +660,74 @@ filesz:0 A opciót használjuk a - vizsgálati naplók tárolására - szolgáló egy vagy több könyvtár - megadására. Ha egynél több - könyvtárra vonatkozó bejegyzés - található az állományban, akkor azok a - megadás sorrendjében kerülnek - feltöltésre. Nagyon gyakori az a - beállítás, ahol a vizsgálati - naplókat egy erre a célra külön - kialakított állományrendszeren - tárolják, megelõzve ezzel az - állományrendszer betelésekor keletkezõ - problémákat a többi alrendszerben. + vizsgálati naplók + tárolására szolgáló egy + vagy több könyvtár megadására. + Ha egynél több könyvtárra + vonatkozó bejegyzés található az + állományban, akkor azok a megadás + sorrendjében kerülnek feltöltésre. + Nagyon gyakori az a beállítás, ahol a + vizsgálati naplókat egy erre a célra + külön kialakított + állományrendszeren tárolják, + megelõzve ezzel az állományrendszer + betelésekor keletkezõ problémákat a + többi alrendszerben. A mezõ egy rendszerszintû - alapértelmezett elõválogatási maszkot - határoz meg a jellegzetes események - számára. A fenti példában a sikeres - és sikertelen ki- és bejelentkezéseket mindegyik - felhasználó esetén vizsgáljuk. + alapértelmezett elõválogatási + maszkot határoz meg a jellegzetes események + számára. A fenti példában a + sikeres és sikertelen ki- és + bejelentkezéseket mindegyik felhasználó + esetén vizsgáljuk. A opció megszabja a - vizsgálati nyom tárolására szánt - állományrendszeren a minimális szabad helyet, - a teljes kapacitás százalékában. Amint - ezt a küszöböt túllépjük, egy + vizsgálati nyom tárolására + szánt állományrendszeren a + minimális szabad helyet, a teljes kapacitás + százalékában. Amint ezt a + küszöböt túllépjük, egy figyelmeztetés fog generálódni. A fenti példa a minimálisan szükséges rendelkezésre álló helyet húsz százalékra állítja. A opció megadja azokat az - eseményosztályokat, amelyeket vizsgálni kell a - nem jellegzetes események, mind mondjuk a - bejelentkezési folyamatok vagy rendszerdaemonok + eseményosztályokat, amelyeket vizsgálni + kell a nem jellegzetes események, mind mondjuk a + bejelentkezési folyamatok vagy rendszerdémonok esetén. A opció a vizsgálat különbözõ szempontjait irányító házirendbeli - beállítások vesszõvel elválasztott - listáját tartalmazza. Az alapértelmezett - cnt beállítás azt adja meg, - hogy a rendszer a felmerülõ vizsgálati hibák + beállítások vesszõvel + elválasztott listáját tartalmazza. Az + alapértelmezett cnt + beállítás azt adja meg, hogy a rendszer a + felmerülõ vizsgálati hibák ellenére is folytassa tovább a mûködését (erõsen javasolt a használata). A másik gyakorta alkalmazott - beállítás az argv, amellyel a - rendszer a parancsvégrehajtás részeként - az &man.execve.2; rendszerhívás parancssori - paramétereit is megvizsgálja. + beállítás az argv, + amellyel a rendszer a parancsvégrehajtás + részeként az &man.execve.2; + rendszerhívás parancssori paramétereit is + megvizsgálja. - A opció meghatározza a - vizsgálati nyom automatikus szétvágása - és archiválása elõtti maximális - méretét, byte-ban. Az alapértelmezett - értéke a 0, amely kikapcsolja ezt az - archiválást. Ha az itt megadott - állományméret nem nulla és a - minimálisan elvárt 512 kb alatt van, akkor a rendszer - figyelmen kívül hagyja és errõl egy - figyelmeztetést ad. + A opció meghatározza + a vizsgálati nyom automatikus + szétvágása és + archiválása elõtti maximális + méretét, bájtban. Az + alapértelmezett értéke a 0, amely + kikapcsolja ezt az archiválást. Ha az itt + megadott állományméret nem nulla + és a minimálisan elvárt 512 kb alatt van, + akkor a rendszer figyelmen kívül hagyja és + errõl egy figyelmeztetést ad. @@ -682,33 +735,38 @@ állomány Az audit_user állomány - lehetõvé teszi a rendszergazda számára, - hogy az egyes felhasználók számára + lehetõvé teszi a rendszergazda + számára, hogy az egyes + felhasználók számára további vizsgálati szigorításokat - határozzon meg. Minden sor egy-egy felhasználó - vizsgálatának pontosítását adja - meg két mezõ segítségével: az - elsõ közülük az alwaysaudit - mezõ, mely felsorolja azokat az eseményeket, amelyeket - minden esetben vizsgáni kell az adott - felhasználó esetén, valamint a második a - neveraudit mezõ, mely az adott - felhasználó esetén a nem + határozzon meg. Minden sor egy-egy + felhasználó vizsgálatának + pontosítását adja meg két + mezõ segítségével: az elsõ + közülük az alwaysaudit + mezõ, mely felsorolja azokat az eseményeket, + amelyeket minden esetben vizsgáni kell az adott + felhasználó esetén, valamint a + második a neveraudit mezõ, mely + az adott felhasználó esetén a nem vizsgálandó eseményeket adja meg. A most következõ audit_user - példában vizsgáljuk a root - felhasználó ki/bejelentkezéseit és - sikeres programindításait, valamint a + példában vizsgáljuk a + root felhasználó + ki/bejelentkezéseit és sikeres + programindításait, valamint a + www felhasználó + állománylétrehozásait és + sikeres programindításait. Ha a korábban + bemutatott audit_control + példával együtt használjuk, akkor + észrevehetjük, hogy a lo + bejegyzés a root + felhasználó esetén redundáns, + illetve ilyenkor a ki/bejelentkezést a www felhasználó - állománylétrehozásait és sikeres - programindításait. Ha a korábban bemutatott >>> TRUNCATED FOR MAIL (1000 lines) <<<