Date: Wed, 22 Jun 2016 21:36:34 +0000 (UTC) From: Bjoern Heidotting <bhd@FreeBSD.org> To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48982 - head/de_DE.ISO8859-1/books/handbook/audit Message-ID: <201606222136.u5MLaYLj001296@repo.freebsd.org>
next in thread | raw e-mail | index | archive | help
Author: bhd Date: Wed Jun 22 21:36:33 2016 New Revision: 48982 URL: https://svnweb.freebsd.org/changeset/doc/48982 Log: Run igor(1) on this chapter. Bump revision number. Modified: head/de_DE.ISO8859-1/books/handbook/audit/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/audit/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/audit/chapter.xml Wed Jun 22 21:01:53 2016 (r48981) +++ head/de_DE.ISO8859-1/books/handbook/audit/chapter.xml Wed Jun 22 21:36:33 2016 (r48982) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/audit/chapter.xml,v 1.14 2012/02/16 20:28:26 bcr Exp $ - basiert auf: r44395 + basiert auf: r48529 --> <!-- Need more documentation on praudit, auditreduce, etc. Plus more info on the triggers from the kernel (log rotation, out of space, etc). @@ -13,19 +13,41 @@ And the /dev/audit special file if we ch some coverage of integrating MAC with Event auditing and perhaps discussion on how some companies or organizations handle auditing and auditing requirements. --> -<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="audit"> - <info><title>Security Event Auditing</title> +<chapter xmlns="http://docbook.org/ns/docbook" + xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" + xml:id="audit"> + + <info> + <title>Security Event Auditing</title> + <authorgroup> - <author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><contrib>Geschrieben von </contrib></author> - <author><personname><firstname>Robert</firstname><surname>Watson</surname></personname></author> + <author> + <personname> + <firstname>Tom</firstname> + <surname>Rhodes</surname> + </personname> + <contrib>Geschrieben von </contrib> + </author> + + <author> + <personname> + <firstname>Robert</firstname> + <surname>Watson</surname> + </personname> + </author> </authorgroup> + <authorgroup> - <author><personname><firstname>Daniel</firstname><surname>Seuffert</surname></personname><contrib>Übersetzt von </contrib></author> + <author> + <personname> + <firstname>Daniel</firstname> + <surname>Seuffert</surname> + </personname> + <contrib>Übersetzt von </contrib> + </author> </authorgroup> </info> - - <sect1 xml:id="audit-synopsis"> <title>Einleitung</title> @@ -40,17 +62,17 @@ requirements. --> konfigurierbare Aufzeichnung einer Vielzahl von sicherheitsrelevanten Systemereignissen einschliesslich Benutzereingaben, Konfigurationsänderungen sowie Datei- und - Netzwerkzugriffen. Diese Log-Datensätze können + Netzwerkzugriffen. Diese Log-Datensätze können unschätzbar wertvoll sein für direkte Systemüberwachung, Einbruchserkennung und - Post-Mortem-Analyse. &os; implementiert &sun;s öffentlich + Post-Mortem-Analyse. &os; implementiert &sun;s öffentlich zugängliches Basic Security Module (<acronym>BSM</acronym>) Application Programming Interface (<acronym>API</acronym>) und Dateiformat, und kann mit den Audit-Implementierungen von &sun; &solaris; und &apple; &macos; X zusammenarbeiten.</para> <para>Dieses Kapitel konzentriert sich auf die Installation - und Konfiguration des Ereignis-Auditings. Es erklärt + und Konfiguration des Ereignis-Auditings. Es erklärt Audit-Richtlinien und stellt ein Beispiel einer Audit-Konfiguration vor.</para> @@ -84,7 +106,8 @@ requirements. --> <listitem> <para>Mit den grundlegenden Mechanismen der - Kernel-Konfiguration und -Kompilierung vertraut sein (<xref linkend="kernelconfig"/>).</para> + Kernel-Konfiguration und -Kompilierung vertraut sein (<xref + linkend="kernelconfig"/>).</para> </listitem> <listitem> @@ -110,10 +133,10 @@ requirements. --> Extremfall pro Woche um mehrere Gigabyte anwachsen. Administratoren sollten daher den benötigten Plattenplatz in Verbindung mit umfangreichen Audit-Konfigurationen - berücksichtigen. So kann es wünschenswert sein, ein eigenes - Dateisystem für <filename>/var/audit</filename> einzusetzen, damit - andere Dateisysteme nicht betoffen sind, wenn das Dateisystem - des Audit voll läuft.</para> + berücksichtigen. So kann es wünschenswert sein, ein eigenes + Dateisystem für <filename>/var/audit</filename> einzusetzen, + damit andere Dateisysteme nicht betoffen sind, wenn das + Dateisystem des Audit voll läuft.</para> </warning> </sect1> @@ -127,33 +150,32 @@ requirements. --> <listitem> <para><emphasis>event</emphasis>: ein auditierbares Ereignis ist jedes Ereignis, das mit dem Audit-Subsystem - aufgezeichnet werden kann. Beispiele für + aufgezeichnet werden kann. Beispiele für sicherheitsrelevante Systemereignisse sind etwa das Anlegen von Dateien, das Erstellen einer Netzwerkverbindung oder - eine Benutzeranmeldung. Ereignisse sind entweder + eine Benutzeranmeldung. Ereignisse sind entweder <quote>attributierbar</quote>, können also zu einen authentifizierten Benutzer zurückverfolgt werden, oder - sind <quote>nicht-attributierbar</quote>. Nicht-attributierbare Ereignisse erfolgen - daher vor der Authentifizierung im Anmeldeprozess - (beispielsweise die Eingabe eines falschen Passworts).</para> + sind <quote>nicht-attributierbar</quote>. + Nicht-attributierbare Ereignisse erfolgen daher vor der + Authentifizierung im Anmeldeprozess (beispielsweise die + Eingabe eines falschen Passworts).</para> </listitem> <listitem> <para><emphasis>class</emphasis>: benannte Zusammenstellungen von zusammengehörenden Ereignissen, die in - Auswahl-Ausdrücken benutzt werden. - Häufig genutzte Klassen von Ereignissen schließen - <quote>file creation</quote> (fc, Anlegen von Dateien), - <quote>exec</quote> (ex, Ausführung) und - <quote>login_logout</quote> (lo, Anmeldung-Abmeldung) + Auswahl-Ausdrücken benutzt werden. Häufig genutzte Klassen + von Ereignissen schließen <quote>file creation</quote> (fc, + Anlegen von Dateien), <quote>exec</quote> (ex, Ausführung) + und <quote>login_logout</quote> (lo, Anmeldung-Abmeldung) ein.</para> </listitem> <listitem> - <para><emphasis>record</emphasis>: ein - Audit-Logeintrag, der ein Sicherheitsereignis - enthält. Jeder Datensatz enthält einen - Ereignistyp, Informationen über den Gegenstand + <para><emphasis>record</emphasis>: ein Audit-Logeintrag, der + ein Sicherheitsereignis enthält. Jeder Datensatz enthält + einen Ereignistyp, Informationen über den Gegenstand (Benutzer), welcher die Aktion durchführt, Datums- und Zeitinformationen, Informationen über jedes Objekt oder Argument sowie den Zustand hinsichtlich Erfolg oder @@ -161,48 +183,44 @@ requirements. --> </listitem> <listitem> - <para><emphasis>trail</emphasis>: eine Log-Datei bestehend aus einer Reihe von - Audit-Datensätzen, die Sicherheitsereignisse - beschreiben. Pfade sind in grober - zeitlicher Reihenfolge bezüglich des Zeitpunktes, - an welchem ein Ereignis beendet wurde. Nur authorisierte - Prozesse dürfen Datensätze zum Audit-Pfad - hinzufügen.</para> + <para><emphasis>trail</emphasis>: eine Log-Datei bestehend aus + einer Reihe von Audit-Datensätzen, die Sicherheitsereignisse + beschreiben. Pfade sind in grober zeitlicher Reihenfolge + bezüglich des Zeitpunktes, an welchem ein Ereignis beendet + wurde. Nur authorisierte Prozesse dürfen Datensätze zum + Audit-Pfad hinzufügen.</para> </listitem> <listitem> <para><emphasis>selection expression</emphasis>: eine - Zeichenkette, welche eine Liste von - Präfixen und Audit-Ereignisklassennamen enthält, - um Ereignisse abzugleichen.</para> + Zeichenkette, welche eine Liste von Präfixen und + Audit-Ereignisklassennamen enthält, um Ereignisse + abzugleichen.</para> </listitem> <listitem> <para><emphasis>preselection</emphasis>: der Prozess, durch - den das System erkennt, welche Ereignisse - von Interesse für den Administrator sind, um die - Erzeugung von Datensätze zu verhindern, welche nicht - von Belang sind. Die Konfiguration der Vorauswahl benutzt - eine Reihe von Auswahl-Ausdrücken, um zu erkennen, - welche Klassen von Ereignissen für welche Benutzer - aufgezeichnet werden sollen sowie globale Einstellungen, - welche sowohl auf authorisierte - als auch unauthorisierte Prozesse angewendet werden.</para> + den das System erkennt, welche Ereignisse von Interesse für + den Administrator sind, um die Erzeugung von Datensätze zu + verhindern, welche nicht von Belang sind. Die Konfiguration + der Vorauswahl benutzt eine Reihe von Auswahl-Ausdrücken, um + zu erkennen, welche Klassen von Ereignissen für welche + Benutzer aufgezeichnet werden sollen sowie globale + Einstellungen, welche sowohl auf authorisierte als auch + unauthorisierte Prozesse angewendet werden.</para> </listitem> <listitem> - <para><emphasis>reduction</emphasis>: Die Reduzierung ist - der Prozess, durch den Datensätze von bestehenden - Audit-Pfaden ausgewählt werden für Speicherung, - Ausdruck oder Analyse. Ebenso der Prozess, durch den - unerwünschte Datensätze aus dem Audit-Pfad - entfernt werden. Mittels Reduzierung können + <para><emphasis>reduction</emphasis>: Die Reduzierung ist der + Prozess, durch den Datensätze von bestehenden Audit-Pfaden + ausgewählt werden für Speicherung, Ausdruck oder Analyse. + Ebenso der Prozess, durch den unerwünschte Datensätze aus + dem Audit-Pfad entfernt werden. Mittels Reduzierung können Administratoren Richtlinien für die Speicherung von - Audit-Daten vorgeben. Zum Beispiel können - ausführliche Audit-Pfade für einen Monat - gespeichert werden, um danach den Pfad für - archivarische Zwecke auf die Anmeldeinformationen - zu reduzieren.</para> + Audit-Daten vorgeben. Zum Beispiel können ausführliche + Audit-Pfade für einen Monat gespeichert werden, um danach + den Pfad für archivarische Zwecke auf die + Anmeldeinformationen zu reduzieren.</para> </listitem> </itemizedlist> </sect1> @@ -231,173 +249,175 @@ requirements. --> <sect2> <title>Ereignis-Auswahlausdrücke</title> - <para>Auswahlausdrücke werden an einigen Stellen - der Audit-Konfiguration benützt, um zu bestimmen, - welche Ereignisse auditiert werden sollen. Die Ausdrücke - enthalten eine Liste der Ereignisklassen, welche verglichen - werden sollen. Auswahlausdrücke werden von links nach - rechts ausgewertet und zwei Ausdrücke werden durch - Aneinanderhängen miteinander kombiniert.</para> + <para>Auswahlausdrücke werden an einigen Stellen der + Audit-Konfiguration benützt, um zu bestimmen, welche + Ereignisse auditiert werden sollen. Die Ausdrücke enthalten + eine Liste der Ereignisklassen, welche verglichen werden + sollen. Auswahlausdrücke werden von links nach rechts + ausgewertet und zwei Ausdrücke werden durch Aneinanderhängen + miteinander kombiniert.</para> <para><xref linkend="event-selection"/> fasst die Audit-Ereignisklassen zusammen:</para> <table xml:id="event-selection" frame="none" pgwide="1"> - <title>Audit-Ereignisklassen</title> + <title>Audit-Ereignisklassen</title> - <tgroup cols="3"> - <thead> - <row> - <entry>Name der Klasse</entry> - <entry>Beschreibung</entry> - <entry>Aktion</entry> - </row> - </thead> - - <tbody> - <row> - <entry>all</entry> - <entry>all</entry> - <entry>Vergleicht alle Ereisnisklassen.</entry> - </row> - - <row> - <entry>aa</entry> - <entry>authentifizierung und autorisierung</entry> - <entry></entry> - </row> - - <row> - <entry>ad</entry> - <entry>administrative</entry> - <entry>Administrative Aktionen, ausgeführt auf dem System - als Ganzes.</entry> - </row> - - <row> - <entry>ap</entry> - <entry>application</entry> - <entry>Aktionen definiert für Applikationen.</entry> - </row> - - <row> - <entry>cl</entry> - <entry>file close</entry> - <entry>Audit-Aufrufe für den Systemaufruf - <function>close</function>.</entry> - </row> - - <row> - <entry>ex</entry> - <entry>exec</entry> - <entry>Ausführung des Audit-Programms. Auditierung von - Befehlszeilen-Argumenten und Umgebungsvariablen wird - gesteuert durch &man.audit.control.5; mittels der - <literal>argv</literal> und - <literal>envv</literal>-Parameter gemäß der - <literal>Richtlinien</literal>-Einstellungen.</entry> - </row> - - <row> - <entry>fa</entry> - <entry>file attribute access</entry> - <entry>Auditierung des Zugriffs auf Objektattribute wie - &man.stat.1; und &man.pathconf.2;.</entry> - </row> - - <row> - <entry>fc</entry> - <entry>file create</entry> - <entry>Audit-Ereignisse, bei denen eine Datei als - Ergebnis angelegt wird.</entry> - </row> - - <row> - <entry>fd</entry> - <entry>file delete</entry> - <entry>Audit-Ereignisse, bei denen Dateilöschungen - vorkommen.</entry> - </row> - - <row> - <entry>fm</entry> - <entry>file attribute modify</entry> - <entry>Audit-Ereignisse, bei denen Dateiattribute geändert - werden, wie &man.chown.8;, &man.chflags.1; und - &man.flock.2;.</entry> - </row> - - <row> - <entry>fr</entry> - <entry>file read</entry> - <entry>Audit-Ereignisse, bei denen Daten gelesen oder - Dateien zum lesen geöffnet werden.</entry> - </row> - - <row> - <entry>fw</entry> - <entry>file write</entry> - <entry>Audit-Ereignisse, bei denen Daten geschrieben oder - Dateien geschrieben oder verändert werden.</entry> - </row> - - <row> - <entry>io</entry> - <entry>ioctl</entry> - <entry>Nutzung des Systemaufrufes - <function>ioctl</function> durch Audit.</entry> - </row> - - <row> - <entry>ip</entry> - <entry>ipc</entry> - <entry>Auditierung verschiedener Formen von - Inter-Prozess-Kommunikation einschließlich POSIX-Pipes - und System V <acronym>IPC</acronym>-Operationen.</entry> - </row> - - <row> - <entry>lo</entry> - <entry>login_logout</entry> - <entry>Audit-Ereignisse von &man.login.1; und - &man.logout.1;.</entry> - </row> - - <row> - <entry>na</entry> - <entry>non attributable</entry> - <entry>Auditierung nicht-attributierbarer - Ereignisse.</entry> - </row> - - <row> - <entry>no</entry> - <entry>invalid class</entry> - <entry>Kein Abgleich von Audit-Ereignissen.</entry> - </row> - - <row> - <entry>nt</entry> - <entry>network</entry> - <entry>Audit-Ereignisse in Zusammenhang mit - Netzwerkaktivitäten wie &man.connect.2; und - &man.accept.2;</entry> - </row> - - <row> - <entry>ot</entry> - <entry>other</entry> - <entry>Auditierung verschiedener Ereignisse.</entry> - </row> - - <row> - <entry>pc</entry> - <entry>process</entry> - <entry>Auditierung von Prozess-Operationen wie - &man.exec.3; und &man.exit.3;.</entry> - </row> - </tbody> - </tgroup> + <tgroup cols="3"> + <thead> + <row> + <entry>Name der Klasse</entry> + <entry>Beschreibung</entry> + <entry>Aktion</entry> + </row> + </thead> + + <tbody> + <row> + <entry>all</entry> + <entry>all</entry> + <entry>Vergleicht alle Ereisnisklassen.</entry> + </row> + + <row> + <entry>aa</entry> + <entry>authentifizierung und autorisierung</entry> + <entry></entry> + </row> + + <row> + <entry>ad</entry> + <entry>administrative</entry> + <entry>Administrative Aktionen, ausgeführt auf dem + System als Ganzes.</entry> + </row> + + <row> + <entry>ap</entry> + <entry>application</entry> + <entry>Aktionen definiert für Applikationen.</entry> + </row> + + <row> + <entry>cl</entry> + <entry>file close</entry> + <entry>Audit-Aufrufe für den Systemaufruf + <function>close</function>.</entry> + </row> + + <row> + <entry>ex</entry> + <entry>exec</entry> + <entry>Ausführung des Audit-Programms. Auditierung von + Befehlszeilen-Argumenten und Umgebungsvariablen wird + gesteuert durch &man.audit.control.5; mittels der + <literal>argv</literal> und + <literal>envv</literal>-Parameter gemäß der + <literal>Richtlinien</literal>-Einstellungen.</entry> + </row> + + <row> + <entry>fa</entry> + <entry>file attribute access</entry> + <entry>Auditierung des Zugriffs auf Objektattribute wie + &man.stat.1; und &man.pathconf.2;.</entry> + </row> + + <row> + <entry>fc</entry> + <entry>file create</entry> + <entry>Audit-Ereignisse, bei denen eine Datei als + Ergebnis angelegt wird.</entry> + </row> + + <row> + <entry>fd</entry> + <entry>file delete</entry> + <entry>Audit-Ereignisse, bei denen Dateilöschungen + vorkommen.</entry> + </row> + + <row> + <entry>fm</entry> + <entry>file attribute modify</entry> + <entry>Audit-Ereignisse, bei denen Dateiattribute + geändert werden, wie &man.chown.8;, &man.chflags.1; + und &man.flock.2;.</entry> + </row> + + <row> + <entry>fr</entry> + <entry>file read</entry> + <entry>Audit-Ereignisse, bei denen Daten gelesen oder + Dateien zum lesen geöffnet werden.</entry> + </row> + + <row> + <entry>fw</entry> + <entry>file write</entry> + <entry>Audit-Ereignisse, bei denen Daten geschrieben + oder Dateien geschrieben oder verändert + werden.</entry> + </row> + + <row> + <entry>io</entry> + <entry>ioctl</entry> + <entry>Nutzung des Systemaufrufes + <function>ioctl</function> durch Audit.</entry> + </row> + + <row> + <entry>ip</entry> + <entry>ipc</entry> + <entry>Auditierung verschiedener Formen von + Inter-Prozess-Kommunikation einschließlich POSIX-Pipes + und System V + <acronym>IPC</acronym>-Operationen.</entry> + </row> + + <row> + <entry>lo</entry> + <entry>login_logout</entry> + <entry>Audit-Ereignisse von &man.login.1; und + &man.logout.1;.</entry> + </row> + + <row> + <entry>na</entry> + <entry>non attributable</entry> + <entry>Auditierung nicht-attributierbarer + Ereignisse.</entry> + </row> + + <row> + <entry>no</entry> + <entry>invalid class</entry> + <entry>Kein Abgleich von Audit-Ereignissen.</entry> + </row> + + <row> + <entry>nt</entry> + <entry>network</entry> + <entry>Audit-Ereignisse in Zusammenhang mit + Netzwerkaktivitäten wie &man.connect.2; und + &man.accept.2;</entry> + </row> + + <row> + <entry>ot</entry> + <entry>other</entry> + <entry>Auditierung verschiedener Ereignisse.</entry> + </row> + + <row> + <entry>pc</entry> + <entry>process</entry> + <entry>Auditierung von Prozess-Operationen wie + &man.exec.3; und &man.exit.3;.</entry> + </row> + </tbody> + </tgroup> </table> <para>Diese Ereignisklassen können angepasst werden durch @@ -413,48 +433,48 @@ requirements. --> zusammen.</para> <table xml:id="event-prefixes" frame="none" pgwide="1"> - <title>Präfixe für Audit-Ereignisklassen</title> + <title>Präfixe für Audit-Ereignisklassen</title> - <tgroup cols="2"> - <thead> - <row> - <entry>Präfix</entry> - <entry>Aktion</entry> - </row> - </thead> - - <tbody> - <row> - <entry>+</entry> - <entry>Auditiert erfolgreiche Ereignisse in dieser - Klasse.</entry> - </row> - - <row> - <entry>-</entry> - <entry>Auditiert fehlgeschlagene Ereignisse in dieser - Klasse.</entry> - </row> - - <row> - <entry>^</entry> - <entry>Auditiert weder erfolgreiche noch fehlgeschlagene - Ereignisse.</entry> - </row> - - <row> - <entry>^+</entry> - <entry>Auditiert keine erfolgreichen Ereignisse in dieser - Klasse.</entry> - </row> - - <row> - <entry>^-</entry> - <entry>Auditiert keine fehlgeschlagenen Ereignisse in - dieser Klasse.</entry> - </row> - </tbody> - </tgroup> + <tgroup cols="2"> + <thead> + <row> + <entry>Präfix</entry> + <entry>Aktion</entry> + </row> + </thead> + + <tbody> + <row> + <entry>+</entry> + <entry>Auditiert erfolgreiche Ereignisse in dieser + Klasse.</entry> + </row> + + <row> + <entry>-</entry> + <entry>Auditiert fehlgeschlagene Ereignisse in dieser + Klasse.</entry> + </row> + + <row> + <entry>^</entry> + <entry>Auditiert weder erfolgreiche noch fehlgeschlagene + Ereignisse.</entry> + </row> + + <row> + <entry>^+</entry> + <entry>Auditiert keine erfolgreichen Ereignisse in + dieser Klasse.</entry> + </row> + + <row> + <entry>^-</entry> + <entry>Auditiert keine fehlgeschlagenen Ereignisse in + dieser Klasse.</entry> + </row> + </tbody> + </tgroup> </table> <para>Wenn kein Präfix vorhanden ist, werden sowohl erfolgreiche @@ -541,14 +561,14 @@ expire-after:10M</programlisting> <para>Die Option <option>dir</option> wird genutzt, um eines oder mehrere Verzeichnisse festzulegen, in welchen - Audit-Protokolle gespeichert werden. Gibt es mehrere - Verzeichniseinträge, werden diese in der - angegebenen Reihenfolge genutzt, bis sie jeweils - gefüllt sind. Es ist üblich, Audit so zu - konfigurieren, dass die Audit-Logs auf einem dedizierten - Dateisystem abgelegt werden, um Wechselwirkungen zwischen - dem Audit-Subsystem und anderen Subsystemen zu verhindern, - falls das Dateisystem voll läuft.</para> + Audit-Protokolle gespeichert werden. Gibt es mehrere + Verzeichniseinträge, werden diese in der angegebenen + Reihenfolge genutzt, bis sie jeweils gefüllt sind. Es ist + üblich, Audit so zu konfigurieren, dass die Audit-Logs auf + einem dedizierten Dateisystem abgelegt werden, um + Wechselwirkungen zwischen dem Audit-Subsystem und anderen + Subsystemen zu verhindern, falls das Dateisystem voll + läuft.</para> <para>Ist die Option <option>dist</option> auf <literal>on</literal> oder <literal>yes</literal> gesetzt, @@ -556,11 +576,10 @@ expire-after:10M</programlisting> <filename>/var/audit/dist</filename> erstellt.</para> <para>Das <option>flags</option>-Feld legt die systemweite - Standard-Vorauswahl-Maske für attributierbare (direkt - einem Benutzer zuordenbare) Ereignisse fest. Im - obigen Beispiel werden alle gescheiterten und erfolgreichen - Anmelde- und Abmelde-Ereignisse für alle Benutzer - aufgezeichnet.</para> + Standard-Vorauswahl-Maske für attributierbare (direkt einem + Benutzer zuordenbare) Ereignisse fest. Im obigen Beispiel + werden alle gescheiterten und erfolgreichen Anmelde- und + Abmelde-Ereignisse für alle Benutzer aufgezeichnet.</para> <para>Die Option <option>minfree</option> definiert den minimalen Prozentsatz an freiem Plattenplatz für das @@ -573,12 +592,12 @@ expire-after:10M</programlisting> aufgezeichnet werden sollen, wie beispielsweise Anmeldeprozesse, Authentifizierung und Autorisierung.</para> - <para>Die Option <option>policy</option> legt eine durch Kommata - getrennte Liste von policy-Flags fest, welche verschiedene - Aspekte des Audit-Verhaltens steuern. Der Flag + <para>Die Option <option>policy</option> legt eine durch + Kommata getrennte Liste von policy-Flags fest, welche + verschiedene Aspekte des Audit-Verhaltens steuern. Der Flag <literal>cnt</literal> zeigt an, dass das System trotz eines Audit-Fehlers weiterlaufen soll (dieses Flag wird dringend - empfohlen). Ein anderes, häufig genutztes Flag ist + empfohlen). Ein anderes, häufig genutztes Flag ist <literal>argv</literal>, welches dazu führt, dass Befehlszeilen-Argumente für den Systemauruf &man.execve.2; als Teil der Befehlsausführung @@ -586,8 +605,8 @@ expire-after:10M</programlisting> <para>Die <option>filesz</option>-Option spezifiziert die maximale Größe der Audit-Datei, bevor sie automatisch - beendet und rotiert wird. Der Wert <literal>0</literal> - setzt die automatische Log-Rotation ausser Kraft. Falls die + beendet und rotiert wird. Der Wert <literal>0</literal> + setzt die automatische Log-Rotation ausser Kraft. Falls die angeforderte Dateigröße unterhalb des Minimums von 512K ist, dann wird die Angabe verworfen und ein Log-Hinweis wird erzeugt.</para> @@ -601,7 +620,7 @@ expire-after:10M</programlisting> <para>Die <filename>audit_user</filename>-Datei erlaubt es dem Administrator, weitere Audit-Erfordernisse für bestimmte - Benutzer festzulegen. Jede Zeile konfiguriert das Auditing + Benutzer festzulegen. Jede Zeile konfiguriert das Auditing für einen Benutzer über zwei Felder: <literal>alwaysaudit</literal> gibt eine Ansammlung von Ereignissen vor, welche immer für diesen Benutzer @@ -613,14 +632,14 @@ expire-after:10M</programlisting> <filename>audit_user</filename>-Datei zeichnet Anmelde/Abmelde-Ereignisse, erfolgreiche Befehlsausführungen für den Benutzer - <systemitem class="username">root</systemitem>, Anlegen von Dateien und - erfolgreiche Befehlsausführungen für den Benutzer - <systemitem class="username">www</systemitem> auf. Falls die - voreingestellte <filename>audit_control</filename> benutzt wird, dann ist - der Eintrag <literal>lo</literal> für <systemitem - class="username">root</systemitem> überflüssig und - Anmelde/Abmelde-Ereignisse werden für <systemitem - class="username">www</systemitem> ebenfalls + <systemitem class="username">root</systemitem>, Anlegen von + Dateien und erfolgreiche Befehlsausführungen für den + Benutzer <systemitem class="username">www</systemitem> auf. + Falls die voreingestellte <filename>audit_control</filename> + benutzt wird, dann ist der Eintrag <literal>lo</literal> für + <systemitem class="username">root</systemitem> überflüssig + und Anmelde/Abmelde-Ereignisse werden für <systemitem + class="username">www</systemitem> ebenfalls aufgezeichnet.</para> <programlisting>root:lo,+ex:no @@ -632,39 +651,38 @@ www:fc,+ex:no</programlisting> <sect1 xml:id="audit-administration"> <title>Audit-Trails</title> + <para>Weil Audit-Trails werden im binären + <acronym>BSM</acronym>-Format gespeichert werden, gibt es + verschiedene Werkzeuge, um derartige Dateien zu ändern oder sie + in Textdateien zu konvertieren. Der Befehl + <command>praudit</command> wandelt alle Pfad-Dateien in ein + einfaches Textformat um. Der Befehl + <command>auditreduce</command> kann genutzt werden, um die + Pfad-Dateien für Analyse, Ausdruck, Archivierung oder andere + Zwecke zu reduzieren. Eine Reihe von Auswahl-Parametern werden + von &man.auditreduce.1; unterstützt, einschliesslich + Ereignistyp, Ereignisklasse, Benutzer, Datum und Uhrzeit des + Ereignisses und den Dateipfad oder das Objekt, mit dem + gearbeitet wurde.</para> + + <para>Der folgende Befehl schreibt den gesamten Inhalt einer + angegebenen Audit-Protokolldatei in eine Textdatei:</para> + + <screen>&prompt.root; <userinput>praudit /var/audit/<replaceable>AUDITFILE</replaceable></userinput></screen> + + <para><replaceable>AUDITFILE</replaceable> ist hier die zu + schreibende Protokolldatei.</para> + + <para>Audit-Pfade bestehen aus einer Reihe von Datensätzen, die + wiederum aus Kürzeln (token) gebildet werden, die von + &man.praudit.1; fortlaufend zeilenweise ausgegeben werden. + Jedes Kürzel ist von einem bestimmten Typ, z.B. enthält + <literal>header</literal> einen audit-Datensatz-Header oder + <literal>path</literal> enthält einen Dateipfad von einer + Suche. Hier ein Beispiel eines + <literal>execve</literal>-Ereignisses:</para> - <para>Weil Audit-Trails werden im binären - <acronym>BSM</acronym>-Format gespeichert werden, gibt es - verschiedene Werkzeuge, um derartige Dateien zu ändern oder - sie in Textdateien zu konvertieren. Der - Befehl <command>praudit</command> wandelt alle Pfad-Dateien in - ein einfaches Textformat um. Der Befehl - <command>auditreduce</command> kann genutzt werden, um die - Pfad-Dateien für Analyse, Ausdruck, Archivierung oder andere - Zwecke zu reduzieren. Eine Reihe von Auswahl-Parametern - werden von &man.auditreduce.1; unterstützt, - einschliesslich Ereignistyp, Ereignisklasse, Benutzer, Datum - oder Uhrzeit des Ereignisses und den Dateipfad oder das - Objekt, mit dem gearbeitet wurde.</para> - - <para>Der folgende Befehl schreibt den gesamten Inhalt einer - angegebenen Audit-Protokolldatei in eine Textdatei:</para> - - <screen>&prompt.root; <userinput>praudit /var/audit/<replaceable>AUDITFILE</replaceable></userinput></screen> - - <para><replaceable>AUDITFILE</replaceable> ist hier die zu - schreibende Protokolldatei.</para> - - <para>Audit-Pfade bestehen aus einer Reihe von Datensätzen, die - wiederum aus Kürzeln (token) gebildet werden, die von - &man.praudit.1; fortlaufend zeilenweise ausgegeben werden. - Jedes Kürzel ist von einem bestimmten Typ, z.B. enthält - <literal>header</literal> einen audit-Datensatz-Header oder - <literal>path</literal> enthält einen Dateipfad von einer - Suche. Hier ein Beispiel eines - <literal>execve</literal>-Ereignisses:</para> - - <programlisting>header,133,10,execve(2),0,Mon Sep 25 15:58:03 2006, + 384 msec + <programlisting>header,133,10,execve(2),0,Mon Sep 25 15:58:03 2006, + 384 msec exec arg,finger,doug path,/usr/bin/finger attribute,555,root,wheel,90,24918,104944 @@ -672,67 +690,66 @@ subject,robert,root,wheel,root,wheel,384 return,success,0 trailer,133</programlisting> - <para>Dieser Audit stellt einen erfolgreichen - <literal>execve</literal>-Aufruf dar, in welchem der Befehl - <literal>finger doug</literal> ausgeführt wurde. - <literal>exec arg</literal> enthält die Befehlszeile, - welche die Shell an den Kernel weiterleitet. Das Kürzel - <literal>path</literal> enthält den Pfad zur - ausführbaren Datei (wie vom Kernel wahrgenommen). Das - Kürzel <literal>attribute</literal> beschreibt die - Binärdatei und enthält den Datei-Modus, der genutzt - werden kann, um zu bestimmen, ob setuid auf die Applikation - angewendet wurde. Das Kürzel <literal>subject</literal> - speichert die Audit-Benutzer-ID, effektive Benutzer-ID und - Gruppen-ID, wirkliche Benutzer-ID und Grppen-ID, Process-ID, - Session- ID, Port-ID und Anmelde-Adresse. Beachten Sie, dass - Audit-Benutzer-ID und wirkliche Benutzer-ID abweichen, da der - Benutzer <systemitem class="username">robert</systemitem> zum - Benutzer <systemitem class="username">root</systemitem> wurde, - bevor er diesen Befehl ausführte, aber er wird auditiert mit - dem ursprünglich authentifizierten Benutzer. Das Kürzel - <literal>return</literal> zeigt die erfolgreiche Ausführung an - und <literal>trailer</literal> schließt den Datensatz - ab.</para> - - <para>Die Ausgabe im <acronym>XML</acronym>-Format wird - ebenfalls unterstützt und kann über die Option - <option>-x</option> ausgewählt werden.</para> - - <para>Da Audit-Protokolldateien sehr groß sein können, kann mit - Hilfe von <command>auditreduce</command> auch nur eine - Teilmenge der Datensätze ausgewählt werden. Dieses Beispiel - selektiert alle Datensätze des Benutzers <systemitem - class="username">trhodes</systemitem> aus der Datei - <filename>AUDITFILE</filename>:</para> - - <screen>&prompt.root; <userinput>auditreduce -u <replaceable>trhodes</replaceable> /var/audit/<replaceable>AUDITFILE</replaceable> | praudit</userinput></screen> - - <para>Mitglieder der Gruppe <systemitem - class="groupname">audit</systemitem> sind berechtigt, - Audit-Pfade in <filename>/var/audit</filename> zu lesen. In - der Voreinstellung ist diese Gruppe leer, daher kann nur der - Benutzer <systemitem class="username">root</systemitem> die - Audit-Pfade lesen. Benutzer können der Gruppe <systemitem - class="groupname">audit</systemitem> hinzugefügt werden, um - Rechte für Audit-Reviews zu gewähren. Da die - Fähigkeit, Inhalte von Audit-Protokolldateien zu verfolgen, - tiefgreifende Einblicke in das Verhalten von Benutzern und - Prozessen erlaubt, wird empfohlen, dass die Gewährung von - Rechten für Audit-Reviews mit Bedacht erfolgt.</para> + <para>Dieser Audit stellt einen erfolgreichen + <literal>execve</literal>-Aufruf dar, in welchem der Befehl + <literal>finger doug</literal> ausgeführt wurde. + <literal>exec arg</literal> enthält die Befehlszeile, + welche die Shell an den Kernel weiterleitet. Das Kürzel + <literal>path</literal> enthält den Pfad zur + ausführbaren Datei (wie vom Kernel wahrgenommen). Das + Kürzel <literal>attribute</literal> beschreibt die + Binärdatei und enthält den Datei-Modus, der genutzt + werden kann, um zu bestimmen, ob setuid auf die Applikation + angewendet wurde. Das Kürzel <literal>subject</literal> + speichert die Audit-Benutzer-ID, effektive Benutzer-ID und + Gruppen-ID, wirkliche Benutzer-ID und Grppen-ID, Process-ID, + Session- ID, Port-ID und Anmelde-Adresse. Beachten Sie, dass + Audit-Benutzer-ID und wirkliche Benutzer-ID abweichen, da der + Benutzer <systemitem class="username">robert</systemitem> zum + Benutzer <systemitem class="username">root</systemitem> wurde, + bevor er diesen Befehl ausführte, aber er wird auditiert mit + dem ursprünglich authentifizierten Benutzer. Das Kürzel + <literal>return</literal> zeigt die erfolgreiche Ausführung an + und <literal>trailer</literal> schließt den Datensatz ab.</para> + + <para>Die Ausgabe im <acronym>XML</acronym>-Format wird ebenfalls + unterstützt und kann über die Option <option>-x</option> + ausgewählt werden.</para> + + <para>Da Audit-Protokolldateien sehr groß sein können, kann mit + Hilfe von <command>auditreduce</command> auch nur eine + Teilmenge der Datensätze ausgewählt werden. Dieses Beispiel + selektiert alle Datensätze des Benutzers <systemitem + class="username">trhodes</systemitem> aus der Datei + <filename>AUDITFILE</filename>:</para> + + <screen>&prompt.root; <userinput>auditreduce -u <replaceable>trhodes</replaceable> /var/audit/<replaceable>AUDITFILE</replaceable> | praudit</userinput></screen> + + <para>Mitglieder der Gruppe <systemitem + class="groupname">audit</systemitem> sind berechtigt, + Audit-Pfade in <filename>/var/audit</filename> zu lesen. In + der Voreinstellung ist diese Gruppe leer, daher kann nur der + Benutzer <systemitem class="username">root</systemitem> die + Audit-Pfade lesen. Benutzer können der Gruppe <systemitem + class="groupname">audit</systemitem> hinzugefügt werden, um + Rechte für Audit-Reviews zu gewähren. Da die Fähigkeit, + Inhalte von Audit-Protokolldateien zu verfolgen, tiefgreifende + Einblicke in das Verhalten von Benutzern und Prozessen + erlaubt, wird empfohlen, dass die Gewährung von Rechten für + Audit-Reviews mit Bedacht erfolgt.</para> <sect2> <title>Aktive Überwachung mittles Audit-Pipes</title> - <para>Audit-Pipes sind nachgebildete (geklonte) - Pseudo-Geräte, welche es Applikationen erlauben, die - laufenden Audit-Datensätze anzuzapfen. Dies ist vorrangig für - Autoren von Intrusion Detection Software und - Systemüberwachungsprogrammen von Bedeutung. Allerdings ist das - Audit-Pipe-Gerät ein angenehmer Weg für den Administrator, + <para>Audit-Pipes sind nachgebildete (geklonte) Pseudo-Geräte, + welche es Applikationen erlauben, die laufenden + Audit-Datensätze anzuzapfen. Dies ist vorrangig für Autoren + von Intrusion Detection Software und + Systemüberwachungsprogrammen von Bedeutung. Allerdings ist + das Audit-Pipe-Gerät ein angenehmer Weg für den Administrator, aktive Überwachung zu gestatten, ohne Gefahr von Problemen durch Besitzerrechte der Audit-Pfad-Datei oder Unterbrechung - des Stroms von Ereignissen durch Log-Rotation. Um den + des Stroms von Ereignissen durch Log-Rotation. Um den laufenden Audit-Ereignisstrom zu verfolgen, geben Sie folgendes ein:</para> @@ -740,25 +757,24 @@ trailer,133</programlisting> <para>In der Voreinstellung kann nur der Benutzer <systemitem class="username">root</systemitem> auf die - Audit-Pipe-Geräte-Knotenpunkte zugreifen. Um sie allen - Mitgliedern der Gruppe <systemitem class="groupname">audit</systemitem> - zugänglich zu machen, fügen Sie eine - <literal>devfs</literal>-Regel in + Audit-Pipe-Geräte-Knotenpunkte zugreifen. Um sie allen + Mitgliedern der Gruppe <systemitem + class="groupname">audit</systemitem> zugänglich zu machen, + fügen Sie eine <literal>devfs</literal>-Regel in <filename>/etc/devfs.rules</filename> hinzu:</para> <programlisting>add path 'auditpipe*' mode 0440 group audit</programlisting> - <para>Lesen Sie &man.devfs.rules.5; für weitere - Informationen, wie das devfs-Dateisystem konfiguriert - wird.</para> + <para>Lesen Sie &man.devfs.rules.5; für weitere Informationen, + wie das devfs-Dateisystem konfiguriert wird.</para> <warning> <para>Es ist sehr leicht, Rückmeldungszyklen von Audit-Ereignissen hervorzurufen, in welcher das Betrachten des Resultates eines Audit-Ereignisses in die Erzeugung von - mehr Audit-Ereignissen mündet. Wenn zum Beispiel der gesamte - Netzwerk-<acronym>I/O</acronym> auditiert wird, während - <command>praudit</command> in einer + mehr Audit-Ereignissen mündet. Wenn zum Beispiel der + gesamte Netzwerk-<acronym>I/O</acronym> auditiert wird, + während <command>praudit</command> in einer <acronym>SSH</acronym>-Sitzung gestartet wurde, dann wird ein kontinuierlicher, mächtiger Strom von Audit-Ereignissen erzeugt, da jedes ausgegebene Ereignis wiederum neue @@ -777,22 +793,22 @@ trailer,133</programlisting> Audit-Daemon &man.auditd.8; verwaltet. Administratoren sollten nicht versuchen, &man.newsyslog.conf.5; oder andere Werkzeuge zu benutzen, um Audit-Protokolldateien direkt zu - rotieren. Stattdessen sollte <command>audit</command> benutzt - werden, um die Auditierung zu - beenden, das Audit-System neu zu konfigurieren und eine - Log-Rotation durchzuführen. Der folgende Befehl veranlasst den - Audit-Daemon, eine neue Protokolldatei anzulegen und dem - Kernel zu signalisieren, die neue Datei zu nutzen. Die alte - Datei wird beendet und umbenannt. Ab diesem Zeitpunkt kann - sie vom Administrator bearbeitet werden:</para> + rotieren. Stattdessen sollte <command>audit</command> benutzt + werden, um die Auditierung zu beenden, das Audit-System neu zu + konfigurieren und eine Log-Rotation durchzuführen. Der + folgende Befehl veranlasst den Audit-Daemon, eine neue + Protokolldatei anzulegen und dem Kernel zu signalisieren, die + neue Datei zu nutzen. Die alte Datei wird beendet und *** DIFF OUTPUT TRUNCATED AT 1000 LINES ***
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?201606222136.u5MLaYLj001296>