From owner-p4-projects@FreeBSD.ORG Sat May 3 19:48:01 2008 Return-Path: Delivered-To: p4-projects@freebsd.org Received: by hub.freebsd.org (Postfix, from userid 32767) id 2FC3B1065676; Sat, 3 May 2008 19:48:01 +0000 (UTC) Delivered-To: perforce@FreeBSD.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id E566B106564A for ; Sat, 3 May 2008 19:48:00 +0000 (UTC) (envelope-from pgj@FreeBSD.org) Received: from repoman.freebsd.org (repoman.freebsd.org [IPv6:2001:4f8:fff6::29]) by mx1.freebsd.org (Postfix) with ESMTP id C13A98FC0A for ; Sat, 3 May 2008 19:48:00 +0000 (UTC) (envelope-from pgj@FreeBSD.org) Received: from repoman.freebsd.org (localhost [127.0.0.1]) by repoman.freebsd.org (8.14.1/8.14.1) with ESMTP id m43Jm0DX026406 for ; Sat, 3 May 2008 19:48:00 GMT (envelope-from pgj@FreeBSD.org) Received: (from perforce@localhost) by repoman.freebsd.org (8.14.1/8.14.1/Submit) id m43Jm0Td026402 for perforce@freebsd.org; Sat, 3 May 2008 19:48:00 GMT (envelope-from pgj@FreeBSD.org) Date: Sat, 3 May 2008 19:48:00 GMT Message-Id: <200805031948.m43Jm0Td026402@repoman.freebsd.org> X-Authentication-Warning: repoman.freebsd.org: perforce set sender to pgj@FreeBSD.org using -f From: Gabor Pali To: Perforce Change Reviews Cc: Subject: PERFORCE change 141099 for review X-BeenThere: p4-projects@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: p4 projects tree changes List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 03 May 2008 19:48:01 -0000 http://perforce.freebsd.org/chv.cgi?CH=141099 Change 141099 by pgj@disznohal on 2008/05/03 19:47:40 Cleanup in Chapter 17. Affected files ... .. //depot/projects/docproj_hu/books/handbook/audit/chapter.sgml#8 edit Differences ... ==== //depot/projects/docproj_hu/books/handbook/audit/chapter.sgml#8 (text+ko) ==== @@ -5,7 +5,7 @@ + Original Revision: 1.33 --> @@ -34,7 +34,7 @@ MAC - A &os; 6.2-RELEASE és az azóta megjelent + A &os; 6.2-RELEASE és az azóta megjelent verziók támogatják a biztonsági események aprólékos vizsgálatát. Ezzel egy megbízható, @@ -58,7 +58,7 @@ állományformátumát valósítja meg, és így képes együttmûködni a &sun; &solaris; valamint az &apple; - &macos; X bizonsági rendszereivel egyaránt. + &macos; X bizonsági rendszereivel egyaránt. Ebben a fejezetben a biztonsági események vizsgálatának telepítéséhez @@ -75,21 +75,21 @@ mit jelent az események vizsgálata és - hogyan mûködik + hogyan mûködik; hogyan kell beállítani az események vizsgálatát &os;-n a különbözõ felhasználók - és programok esetén + és programok esetén; hogyan értelmezzük a vizsgálati nyomokat a vizsgálatot szûkítõ és -elemzõ segédprogramok - segítségével + segítségével. @@ -98,38 +98,40 @@ alapvetõ &unix;-os és &os;-s ismeretek () + linkend="basics">); a rendszermag konfigurálásával és fordításával kapcsolatos tudnivalók alapszintû ismerete () + linkend="kernelconfig">); az informatikai biztonság alapfogalmainak és annak a &os;-re vonatkozó részleteinek - minimális ismerete () + minimális ismerete (). - A &os; 6.X verziójaiban - jelenlevõ biztonsági vizsgálat még - csak kísérleti jelleggel szerepel, éles - környezetben kizárólag csak az ebbõl - eredõ kockázatok tudatában és + A &os; 6.X + verziójaiban jelenlevõ biztonsági + vizsgálat még csak kísérleti + jelleggel szerepel, éles környezetben + kizárólag csak az ebbõl eredõ + kockázatok tudatában és elfogadásával javasolt használni. Ismert korlátozások: nem mindegyik biztonságot érintõ esemény vizsgálható, - mint mondjuk az egyes bejelentkezési típusok, - mivel azok nem megfelelõen hitelesítik a - belépõ felhasználókat. Ilyenek - például az X11-alapú felületek - és az egyéb, erre a célra alkalmas, - más által fejlesztett démonok. + mint például az egyes bejelentkezési + típusok, mivel azok nem megfelelõen + hitelesítik a belépõ + felhasználókat. Ilyenek például az + X11-alapú felületek és az egyéb, erre + a célra alkalmas, más által fejlesztett + démonok. @@ -140,7 +142,7 @@ kellõen forgalmas rendszeren az állománymozgások alapos nyomonkövetése bizonyos - konfigurációkon akár gigabájtokat is + konfigurációkon akár gigabyte-okat is kitehet hetente. A rendszergazdáknak ezért mindig javasolt számolniuk a nagy forgalmú események biztonsági vizsgálatának @@ -175,12 +177,12 @@ visszakövethetõ valamelyik hitelesített felhasználóhoz, vagy nem jellegzetes, ha ez nem lehetséges. Nem - jellegzetes esemény lehet például - minden olyan esemény, amely egy bejelentkezési - folyamat hitelesítési lépése - elõtt történik, ilyenek a hibás - jelszóval történõ - belépési kísérletek. + jellegzetes esemény lehet minden olyan esemény, + amely egy bejelentkezési folyamat + hitelesítési lépése elõtt + történik, például egy + belépési kísérlet hibás + jelszóval. @@ -188,7 +190,7 @@ Eseményosztálynak az összefüggõ események névvel ellátott halmazát tekintjük, és szûrési - feltételekben használjuk õket. + feltételekben használjuk ezeket. Általában alkalmazott osztályok: file creation (fc, állománylétrehozás), @@ -269,7 +271,7 @@ Például a részletesebb vizsgálati nyomokat érdemes egy hónapig megtartani, ennek lejártával viszont már inkább - ajánlott leszûkíteni õket és + ajánlott leszûkíteni ezeket és archiválásra csak a bejelentkezési információkat megtartani. @@ -315,6 +317,7 @@ elindításával aktiválhatjuk: /etc/rc.d/auditd start + @@ -323,10 +326,10 @@ A vizsgálatok beállításához szükséges összes konfigurációs állomány a /etc/security - könyvtárban található. A - következõ állományok vannak itt a - démon indítása elõtt: + class="directory">/etc/security könyvtárban + található. A következõ + állományok vannak itt a démon + indítása elõtt: @@ -347,10 +350,10 @@ audit_event - a rendszerben - jelenlevõ vizsgálati események szöveges - megnevezése és leírása, valamint a - lista, hogy melyikük mely osztályban - található. + jelenlevõ vizsgálati események + szöveges megnevezése és + leírása, valamint a lista, hogy melyikük + mely osztályban található. @@ -368,10 +371,11 @@ testreszabható shell szkript, aminek segítségével a szélsõséges helyzetekben figyelmeztetõ - üzeneteket tudunk generálni, mint mondjuk amikor a - rekordok számára fenntartott hely hamarosan - elfogy, vagy amikor a nyomokat tartalmazó - állományt archiváltuk. + üzeneteket tudunk generálni, mint + például amikor a rekordok számára + fenntartott hely hamarosan elfogy, vagy amikor a nyomokat + tartalmazó állományt + archiváltuk. @@ -457,8 +461,8 @@ hozzáférése) - a rendszerbeli objektumok jellemzõinek hozzáférésnek vizsgálata, mint - pl. a &man.stat.1;, &man.pathconf.2; és ehhez - hasonló események. + például a &man.stat.1;, &man.pathconf.2; + és ehhez hasonló események. @@ -482,25 +486,23 @@ módosítása) - állományok jellemzõit megváltoztató események - vizsgálata, mint mondjuk a &man.chown.8;, - &man.chflags.1;, &man.flock.2;, stb. + vizsgálata, mint például a + &man.chown.8;, &man.chflags.1;, &man.flock.2;, stb. fr - file read (állományolvasás) - - állományok olvasásra - történõ megnyitásával, - olvasásával, stb. kapcsolatos - események vizsgálata. + állományok megnyitásával + olvasásra, olvasásával, stb. + kapcsolatos események vizsgálata. fw - file write (állományírás) - - állományok írásra - történõ megnyitásával, - írásával, + állományok megnyitásával + írásra, írásával, módosításával, stb. kapcsolatos események vizsgálata. @@ -545,8 +547,8 @@ nt - network (hálózat) - a hálózathoz tartozó események - vizsgálata, mint pl. a &man.connect.2; és az - &man.accept.2;. + vizsgálata, mint például a + &man.connect.2; és az &man.accept.2;. @@ -580,7 +582,8 @@ (üres) az adott típusból mind a - sikereseket és mind a sikerteleneket feljegyzi. + sikereseket és mind a sikerteleneket + feljegyzi. @@ -597,30 +600,32 @@ ^ az - eseményosztályból sem a sikereseket, sem - pedig a sikerteleneket nem vizsgálja. + eseményosztályból sem a sikereseket, + sem pedig a sikerteleneket nem vizsgálja. ^+ az - eseményosztályból nem vizsgálja a - sikeres eseményeket. + eseményosztályból nem vizsgálja + a sikeres eseményeket. ^- az - eseményosztályból nem vizsgálja a - sikertelen eseményeket. + eseményosztályból nem vizsgálja + a sikertelen eseményeket. Az alábbi példa egy olyan szûrési - feltételt mutat be, amely a ki- és bejelentkezések - közül megadja a sikereset és a sikerteleneket, - viszont a programindítások közül csak a + feltételt mutat be, amely a ki- és + bejelentkezések közül megadja a sikereset + és a sikerteleneket, viszont a + programindítások közül csak a sikereseket: lo,+ex + @@ -646,10 +651,10 @@ állomány Az audit_control - állomány határozza meg a vizsgálati - alrendszer alapértelmezéseit. Ezt az - állományt megnyitva a következõket - láthatjuk: + állomány határozza meg a + vizsgálati alrendszer alapértelmezéseit. + Ezt az állományt megnyitva a + következõket láthatjuk: dir:/var/audit flags:lo @@ -695,9 +700,9 @@ A opció megadja azokat az eseményosztályokat, amelyeket vizsgálni - kell a nem jellegzetes események, mind mondjuk a - bejelentkezési folyamatok vagy rendszerdémonok - esetén. + kell a nem jellegzetes események, mind + például a bejelentkezési folyamatok vagy + rendszerdémonok esetén. A opció a vizsgálat különbözõ szempontjait @@ -716,17 +721,18 @@ rendszerhívás parancssori paramétereit is megvizsgálja. - A opció határozza meg - a vizsgálati nyom automatikus + A opció határozza + meg a vizsgálati nyom automatikus szétvágása és archiválása elõtti maximális - méretét, bájtban. Az - alapértelmezett értéke a 0, amely - kikapcsolja ezt az archiválást. Ha az itt - megadott állományméret nem nulla - és a minimálisan elvárt 512 KB alatt van, - akkor a rendszer figyelmen kívül hagyja és + méretét, byte-ban. Az alapértelmezett + értéke a 0, amely kikapcsolja ezt az + archiválást. Ha az itt megadott + állományméret nem nulla és a + minimálisan elvárt 512 KB alatt van, akkor + a rendszer figyelmen kívül hagyja és errõl egy figyelmeztetést ad. + @@ -752,8 +758,8 @@ A most következõ audit_user példában vizsgáljuk a - root felhasználó - ki- és bejelentkezéseit és sikeres + root felhasználó ki- + és bejelentkezéseit és sikeres programindításait, valamint a www felhasználó állománylétrehozásait és @@ -769,6 +775,7 @@ root:lo,+ex:no www:fc,+ex:no + @@ -805,7 +812,7 @@ szövegesen egy adott vizsgálati napló teljes tartalmát: - &prompt.root; praudit /var/audit/AUDITFILE + &prompt.root; praudit /var/audit/AUDITFILE ahol az AUDITFILE a @@ -815,9 +822,10 @@ összeállított vizsgálati rekordok, amelyeket a praudit egymás után soronként megjelenít. Minden token adott - típusú, pl. a header egy - vizsgálati rekord fejlécét tartalmazza, - vagy a path, amely a + típusú, például a + header egy vizsgálati rekord + fejlécét tartalmazza, vagy a + path, amely a névfeloldásból származó elérési utat tartalmaz. A következõ példa egy execve eseményt mutat @@ -869,6 +877,7 @@ Végezetül a return token jelzi a sikeres végrehajtást, és a trailer pedig zárja a rekordot. + @@ -882,13 +891,14 @@ adott felhasználóhoz tartozó rekordok kiválogatására: - &prompt.root; auditreduce -u trhodes /var/audit/AUDITFILE | praudit + &prompt.root; auditreduce -u trhodes /var/audit/AUDITFILE | praudit Ezzel ki tudjuk szûrni a trhodes nevû felhasználóhoz tartozó összes vizsgálati rekordot az AUDITFILE állományból. + @@ -911,6 +921,7 @@ és folyamatok viselkedésére, ajánlott körültekintõen kiosztani az olvasási jogokat. + @@ -926,8 +937,8 @@ Ez az elsõdleges célja a különbözõ betörésfigyelõ és rendszerfelügyeleti eszközök - készítõinek. Azonban a rendszergazda - számára a vizsgálati csövek + készítõinek. A rendszergazda + számára azonban a vizsgálati csövek megkönnyítik az élõ megfigyelést, mert itt nem merülnek fel a nyomok jogosultságaiból vagy az archiválás @@ -952,8 +963,8 @@ add path 'auditpipe*' mode 0440 group audit A devfs állományrendszer - beállításárõl bõvebben ld. - a &man.devfs.rules.5; oldalt. + beállításárõl bõvebben + lásd a &man.devfs.rules.5; oldalt. Könnyen gerjedést lehet elõidézni @@ -961,19 +972,20 @@ megfigyelésével, amikor is az egyes események megtekintése újabb vizsgálandó események sorozatát - indítják el. Mondjuk, ha az összes - hálózati forgalmat egyszerre vizsgáljuk - és a &man.praudit.1; egy SSH-munkameneten - keresztül fut, akkor a vizsgálati események - töméntelen áradata indul meg, mivel minden - kiírandó esemény egy újabb - eseményt indukál. Ennek elkerülése - érdekében ajánlott a - praudit parancsot részletes + indítják el. Például, ha az + összes hálózati forgalmat egyszerre + vizsgáljuk és a &man.praudit.1; egy + SSH-munkameneten keresztül fut, akkor a vizsgálati + események töméntelen áradata indul + meg, mivel minden kiírandó esemény egy + újabb eseményt indukál. Ennek + elkerülése érdekében ajánlott + a praudit parancsot részletes forgalmat nem figyelõ vizsgálati csõvel ellátott munkameneten keresztül elindítani. + @@ -981,7 +993,7 @@ archiválása A vizsgálati nyomokat egyedül a rendszermag - képes írni, ill. csak a vizsgálati + képes írni, illetve csak a vizsgálati démon, az auditd képes felügyelni. A rendszergazdáknak ebben az esetben tehát nem szabad használniuk a @@ -1033,6 +1045,7 @@ is találhatunk ebben a fejezetben, a konfigurációs állományok beállításánál. + @@ -1080,6 +1093,7 @@ formátumot is támogat, amely az kapcsolóval érhetõ el. +