From owner-freebsd-doc@FreeBSD.ORG Wed Mar 5 13:10:00 2014 Return-Path: Delivered-To: freebsd-doc@smarthost.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) (using TLSv1 with cipher ADH-AES256-SHA (256/256 bits)) (No client certificate requested) by hub.freebsd.org (Postfix) with ESMTPS id AC0F3231 for ; Wed, 5 Mar 2014 13:10:00 +0000 (UTC) Received: from freefall.freebsd.org (freefall.freebsd.org [IPv6:2001:1900:2254:206c::16:87]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) by mx1.freebsd.org (Postfix) with ESMTPS id 857AD7C1 for ; Wed, 5 Mar 2014 13:10:00 +0000 (UTC) Received: from freefall.freebsd.org (localhost [127.0.0.1]) by freefall.freebsd.org (8.14.8/8.14.8) with ESMTP id s25DA07C098339 for ; Wed, 5 Mar 2014 13:10:00 GMT (envelope-from gnats@freefall.freebsd.org) Received: (from gnats@localhost) by freefall.freebsd.org (8.14.8/8.14.8/Submit) id s25DA0P9098338; Wed, 5 Mar 2014 13:10:00 GMT (envelope-from gnats) Resent-Date: Wed, 5 Mar 2014 13:10:00 GMT Resent-Message-Id: <201403051310.s25DA0P9098338@freefall.freebsd.org> Resent-From: FreeBSD-gnats-submit@FreeBSD.org (GNATS Filer) Resent-To: freebsd-doc@FreeBSD.org Resent-Reply-To: FreeBSD-gnats-submit@FreeBSD.org, Vladimir Romanov Received: from mx1.freebsd.org (mx1.freebsd.org [8.8.178.115]) (using TLSv1 with cipher ADH-AES256-SHA (256/256 bits)) (No client certificate requested) by hub.freebsd.org (Postfix) with ESMTPS id 01E278F for ; Wed, 5 Mar 2014 13:01:06 +0000 (UTC) Received: from cgiserv.freebsd.org (cgiserv.freebsd.org [IPv6:2001:1900:2254:206a::50:4]) (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)) (No client certificate requested) by mx1.freebsd.org (Postfix) with ESMTPS id E1E12758 for ; Wed, 5 Mar 2014 13:01:05 +0000 (UTC) Received: from cgiserv.freebsd.org ([127.0.1.6]) by cgiserv.freebsd.org (8.14.8/8.14.8) with ESMTP id s25D155D056257 for ; Wed, 5 Mar 2014 13:01:05 GMT (envelope-from nobody@cgiserv.freebsd.org) Received: (from nobody@localhost) by cgiserv.freebsd.org (8.14.8/8.14.8/Submit) id s25D15AK056256; Wed, 5 Mar 2014 13:01:05 GMT (envelope-from nobody) Message-Id: <201403051301.s25D15AK056256@cgiserv.freebsd.org> Date: Wed, 5 Mar 2014 13:01:05 GMT From: Vladimir Romanov To: freebsd-gnats-submit@FreeBSD.org X-Send-Pr-Version: www-3.1 Subject: docs/187278: New Russian translation of audit chapter in handbook X-BeenThere: freebsd-doc@freebsd.org X-Mailman-Version: 2.1.17 Precedence: list List-Id: Documentation project List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 05 Mar 2014 13:10:00 -0000 >Number: 187278 >Category: docs >Synopsis: New Russian translation of audit chapter in handbook >Confidential: no >Severity: non-critical >Priority: low >Responsible: freebsd-doc >State: open >Quarter: >Keywords: >Date-Required: >Class: doc-bug >Submitter-Id: current-users >Arrival-Date: Wed Mar 05 13:10:00 UTC 2014 >Closed-Date: >Last-Modified: >Originator: Vladimir Romanov >Release: >Organization: Kurgan TV Centre >Environment: >Description: File with diff attached. It is new Russian translation of audit chapter of handbook, as of last SVN revision 43688. >How-To-Repeat: >Fix: Patch attached with submission follows: 8c8 < Original revision: r30208 --- > Original revision: r43688 16c16,18 < --- > xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" > xml:id="audit"> 19c21,33 < TomRhodesАвтор --- > > > Tom > Rhodes > > Автор > > > > Robert > Watson > > 22c36,49 < ДенисБаровПеревод на русский язык: --- > > > Денис > Баров > > Перевод на русский язык: > > > > Владимир > Романов > > Обновление перевода: > 25c52 < --- > 33,36c60,62 < &os; 6.2-RELEASE и более поздние версии &os; < включают в себя поддержку аудита событий безопасности. < Аудит событий дает надежный и точный способ для < протоколирования различных событий, связанных с безопасностью, --- > Операционная система &os; включает в себя поддержку аудита > событий безопасности. Аудит событий дает надежный и точный способ > для протоколирования различных событий, связанных с безопасностью, 87,107c113,128 < Реализация аудита в &os; 6.2 - экспериментальная, использование < ее в реальных задачах должно производиться только после < внимательного ознакомления со всеми рисками, к которым приводит < использование экспериментального программного обеспечения. К < известным ограничениям относится и тот факт, что не все события < в настоящий момент протоколируемы. Например, некоторые механизмы < входа в систему (X11-основанные оконные менеджеры, многое < программное обеспечение от сторонних производителей) не < сконфигурированы для протоколирования событий входа в систему через < подсистему аудита. < < < < Использование системы в аудита может привести к генерированию < огромных журнальных файлов: их размер на сильно загруженных серверах < в некоторых конфигурациях может достигать нескольких гигабайт в неделю. < Администраторы должны внимательно следить за дисковым пространством < в разделе системы аудита. Например, рекомендуется выделить < отдельный раздел для файловой системы аудита < /var/audit, чтобы переполнение раздела аудита < не влияло на работоспособность всей остальной системы. --- > Реализация аудита имеет известные ограничения, например, > не все события в настоящий момент протоколируемы. > Например, некоторые механизмы входа в систему (Основанные на X11 > оконные менеджеры, многое программное обеспечение от сторонних > производителей) не сконфигурированы для протоколирования событий > входа в систему через подсистему аудита. > Использование системы аудита может привести к генерированию > огромных журнальных файлов: их размер на сильно загруженных серверах > в некоторых конфигурациях может достигать нескольких гигабайт в неделю. > Администраторы должны принимать во внимание требования > к дисковому пространству для нагруженных конфигураций системы > аудита. Например, рекомендуется выделить отдельный раздел для > файловой системы аудита > /var/audit, > чтобы переполнение раздела аудита не влияло на работоспособность > всей остальной системы. 113c134 < Ключевые понятия - краткий словарь. --- > Ключевые понятия в Данной Главе. 116,118c137 < ключевых понятий. Это нужно для того, чтобы предотвратить < недоразумения, которые могут возникнуть из-за разницы в трактовке < некоторых терминов. В русской версии документа приводятся --- > ключевых понятий. В русской версии документа приводятся 125,128c144,145 < может быть занесено в журнал. Администратор может выбирать, < какие именно события будут журналироваться подсистемой < аудита. Список важных для безопасности системы < событий включает: создание файла, инициализацию сетевого --- > может быть занесено в журнал. Примеры важных для безопасности > системы событий включает: создание файла, инициализацию сетевого 132c149,150 < и не-приписываемые (non-attributable). Пример --- > и не-приписываемые (non-attributable), если > их нельзя отнести к конкретному пользователю. Пример 134,135c152,153 < авторизации пользователя, такое, как неудачный вход пользователя < в систему. --- > аутентификации пользователя, такое, например, такое, как > неудачный вход пользователя в систему. 139,147c157,162 < Класс (class): События могут быть < отнесены к одному или более классам, обычно основываясь < на категории события: создание файла (fc), < доступ к файлу (fo), < выполнение файла (ex), события < входа в систему и выхода из нее (lo). < Использование классов позволяет администратору создавать < высокоуровневые правила аудита без указания конкретных < операций, отчет о которых должен добавляться в журнал. --- > Класс (class): Классы событий это > именованные наборы однотипных событий, которые используются > в выражениях выбора. Частоиспользуемые классы событий > включают создание файла (fc), > выполнение файла (ex) > и события входа в систему и выхода из нее (lo). 154,157c169,173 < информацию о субъекте события (пользователе), время события, < информацию об объектах события (например, файлах) и < информацию об успешности выполнения операции, породившей < событие. --- > информацию о субъекте события (пользователе), который > выполнил некоторое действия, дату и время события, > информацию об объектах и аргументах события, если они есть, > а также информацию об успешности выполнения операции, > породившей событие. 162,163c178,179 < журнал аудита, или лог-файл - < содержит серию записей о системных событиях. --- > журнал аудита, или лог-файл - > содержит серию записей о системных событиях. 166,167c182,183 < события. Только авторизованные процессы (например, < auditd) имеют доступ к журналу. --- > события. Только авторизованные процессы могут > добавлять записи в журнал. 171c187 < выражение выделения (selection expression): --- > выражение выбора (selection expression): 173c189 < для выделения группы событий. --- > для выбора группы событий. 177,179c193,195 < предварительное выделение (preselection): < Процесс, во время которого система определяет, какие события имеют < приоритетную важность для администратора. Это необходимо для того, --- > предварительный выбор (preselection): > Процесс, с помощью которого система определяет, какие события имеют > важность для администратора. Это необходимо для того, 181,185c197,201 < Предварительное выделение использует ряд < выражений выделения для того, чтобы определить, < какие именно классы событий для какого пользователя необходимо вносить < в журнал, так же, как и для авторизованных и неавторизованных < процессов. --- > Предварительный выбор использует ряд выражений выбора > для того, чтобы определить, какие именно классы событий для > какого пользователя необходимо вносить в журнал, а так же > глобальные настройки, которые будут применяться как для > авторизованных, так и для неавторизованных процессов. 191,197c207,213 < выделяются для хранения, распечатки или анализа. Процесс во многом < аналогичен предварительному выделению. Используя < фильтрацию администраторы могут реализовывать < различные политики хранения журналов аудита. Например, детализированный < журнал может храниться месяц, но после этого он должен быть сокращен < чтобы хранить только информацию о входе в систему и выходе из нее < более длительный срок. --- > выделяются для хранения, распечатки или анализа. Также, это > процесс, в результате которого нежелательные записи удаляются > из журнала аудита. Используя фильтрацию, администраторы могут > реализовывать различные политики хранения данных аудита. > Например, детализированный журнал может храниться месяц, но > после этого он должен быть сокращен чтобы хранить только > информацию о входе в систему и выходе из нее для целей архивации. 206,209c222,225 < базовой системы &os; начиная с версии 6.2-RELEASE. Тем не менее, < поддержка аудита должна быть добавлена в ядро. Этого < можно добиться, добавив следующую строку в конфигурационный файл < вашего специального ядра: --- > базовой системы &os;. Поддержка аудита событий со стороны ядра > также компилируется по умолчанию, но поддержка данной возможности > требует создания своего ядра, с добавлением следующей строки > в конфигурационный файл ядра: 216c232,233 < После этого, необходимо разрешить запуск демона аудита, --- > Как только ядро с поддержкой аудита было собрано и установлено, > а система была перезагружена, необходимо разрешить запуск демона аудита, 221,224c238,242 < Для запуска демона со специфическими параметрами нужно < указать эти параметры в опции < файла &man.rc.conf.5;. < --- > Затем нужно запустить поддержку аудита либо путем > перезагрузки, либо вручную, запустив демон аудита: > > service auditd start > 229d246 < 244c261 < аудита, и другие. --- > аудита, максимальный размер журнала аудита и другие. 248,249c265,268 < audit_event - Определяет основные < события аудита. Это, в основном, системные вызовы. --- > audit_event - Текстовые имена и > описания событий аудита, а также список, определяющий > соответствие классов и событий, которые находятся в данных > классах. 253,256c272,275 < audit_user - События аудита для < для отдельных пользователей. Пользователи, не упоминаемые < в этом файле, будут рассматриваться как субъекты конфигурации < по-умолчанию в файле audit_control. --- > audit_user - Требования аудита, которые > отличаются для отдельных пользователей. Они соединяются с > глобальными настройками по умолчанию при входе пользователя > в систему. 259d277 < 262,263c280,281 < интерпретатора Bourne Shell, который используется, чтобы < сгенерировать предупреждающие сообщения об исключительных --- > интерпретатора, используемый &man.auditd.8;, > чтобы сгенерировать предупреждающие сообщения об исключительных 265c283,284 < пространство для записей журналов аудита. --- > пространство для записей журналов аудита, либо когда произошла > ротация файла журнала аудита. 268a288,293 > > Файлы конфигурации аудита должны редактироваться и > изменяться с осторожностью, так как ошибки в конфигурации > могут привести к неправильному логу событий > > 270c295 < Формат конфигурационного файла --- > Выражения выбора событий 272,280c297,306 < Формат конфигурационного файла не очень логичен, но с ним, тем < не менее, достаточно просто работать. Однако, администраторам < следует быть очень внимательными при изменении значений по < умолчанию, поскольку это создает потенциальную опасность < неправильного сбора данных системой аудита. < < В конфигурационном файле могут использоваться как полные, < так и сокращенные параметры. Соответствия будут приведены < ниже. --- > Выражения выбора используются в нескольких местах > конфигурации аудита для определения того, какие события должны > подвергаться аудиту. Выражения содержат список классов событий, > с которыми интересующее нас событие будет сравниваться. Каждое > выражение имеет префикс, показывающий, нужно ли принять > или игнорировать найденное событие, и, возможно, показывающий, > интересуют ли нас успешные или неуспешные операции. Выражения > выбора рассматриваются слева направа, и два выражения > объединяются простым добавлением второго выражения к концу > первого. 282c308 < Следующий список содержит все классы по умолчанию, --- > Следующий список содержит классы по умолчанию, 287c313 < - all - --- > all - all - 292c318 < - administrative --- > ad - administrative 298c324 < - application - --- > ap - application - 303,305c329,330 < - file_close < - Аудит вызовов системной функции < close. --- > cl - file close > - Аудит вызовов системной функции close. 309c334 < - exec - --- > ex - exec - 317,319c342,344 < - file_attr_acc < - Аудит доступа к атрибутам объектов и их изменению, < например через &man.stat.1;, &man.pathconf.2;, а --- > fa - file attribute access > - Аудит доступа к атрибутам объектов, > например &man.stat.1;, &man.pathconf.2;, а 324c349 < - file_creation --- > fc - file create 330c355 < - file_deletion --- > fd - file delete 336c361 < - file_attr_mod --- > fm - file attribute modify 343c368 < - file_read --- > fr - file read 349c374 < - file_write - --- > fw - file write - 351c376 < запись данных, изменение файлов и так далее. --- > запись данных, запись или изменение файлов и так далее. 355c380 < - ioctl - --- > io - ioctl - 360c385 < - ipc - --- > ip - ipc - 362c387 < включая создание не-именованных каналов (pipe) и --- > включая создание не-именованных каналов (POSIX pipe) и 368,369c393,395 < - login_logout - < Аудит событий &man.login.1; и &man.logout.1;. --- > lo - login_logout - > Аудит событий &man.login.1; и &man.logout.1;, > происходящих в системе. 373c399 < - non_attrib - --- > na - non attributable - 378,380c404,405 < - no_class - < Пустой класс, используется для отключения < аудита. --- > no - invalid class - > Не соответствует никаким событиям аудита. 384c409 < - network - --- > nt - network - 390,391c415,416 < - other - < Аудит событий, не вошедших в другие классы. --- > ot - other - > Аудит различных событий. 395c420 < - process - --- > pc - process - 405,406c430,433 < Каждый класс комбинируется с префиксом, показывающим удачное < или неудачное завершение операции. --- > Каждый класс аудита комбинируется с префиксом, показывающим, > какие операции будут учитываться - удачные или неудачные, > а также то, включает ли данная запись аудит для данного > класса и типа, либо отключает его. 411,413c438 < успешного, так и для ошибочного события. Например, просто < указание класса без префикса приведет к занесению события < в журнал при любом результате операции. --- > успешного, так и для ошибочного события. 418c443 < событий. --- > событий в данном классе. 423c448 < событий. --- > событий в данном классе. 428c453 < ошибочных событий. --- > ошибочных событий в данном классе. 432,433c457,458 < ^- - Отключение аудита ошибочных < событий. --- > ^+ - Отключение аудита успешных > событий в данном классе. 437,438c462,463 < ^+ - Включение аудита успешных < событий. --- > ^- - Отключение аудита ошибочных > событий в данном классе. 457,459c482,483 < общие настройки системы аудита и установки по умолчанию как < для приписываемых, так и для не-приписываемых событий. Второй < используется для настройки аудита пользовательских событий. --- > общие настройки системы аудита, второй может использоваться > для более тонкой настройки аудита пользователем. 464,466c488,489 < Файл audit_control содержит < настройки по умолчанию, которые, возможно, потребуется < изменить. Содержимое этого файла: --- > Некоторые настройки по умолчанию для подсистемы > аудита содержатся в файле audit_control: 475,476c498,502 < Параметр указывает каталог, в < котором будет сохраняться журнал системы аудита. Как --- > Запись используется для > установки одного или более каталогов, в > которых будет сохраняться журнал системы аудита. Если > указан более чем один каталог, то указанные каталоги > будут использоваться по очереди, по мере заполнения. Как 479,492c505,513 < предотвратить сбои в работе операционной системы, если < свободное месте на разделе системы аудита будет < исчерпано. < < Параметр используется для < установки глобальных опций. Значение этого параметра < настраивает аудит для всех событий < &man.login.1; и &man.logout.1;. Более подробный < пример: < < dir:/var/audit < flags:lo,ad,-all,^-fa,^-fc,^-cl < minfree:20 < naflags:lo --- > предотвратить пересечение подсистемы аудита и остальных > подсистем в случае, если свободное месте на разделе > системы аудита будет исчерпано. > > Запись используется для > установки глобальной маски предварительного выбора > для приписываемых событий. В примере выше, будут подвергаться > аудиту как успешные, так и неудачные попытки входа в > систему и выхода из нее для всех пользователей 494,508c515 < Такое значение параметра < приведет к аудиту всех событий &man.login.1; и < &man.logout.1;, всех административных событий, всех ошибочных < системных событий и, наконец, отключает аудит всех ошибочных < событий классов , и < . Несмотря на то, что параметр < указывает на необходимость аудита < всех системных событий, префикс отменяет < это поведение для всех последующих опций. < < Заметьте, что значения считываются слева направо. < Поэтому находящиеся справа значения переопределяют значения, < находящиеся слева. < < Параметр определяет минимальное --- > Запись определяет минимальное 510,520c517,544 < который сохраняются файлы журналов аудита. Например, если < значение параметра установлено в < /var/audit, а параметр < равен двадцати (20), то предупреждающее < сообщение будет выдано, когда раздел /var будет заполнен на < восемьдесят (80%) процентов. < < Параметр определяет классы < аудита для не-приписываемых событий, то есть событий, < для которых не определён конкретный пользователь. < --- > который сохраняются файлы журналов аудита. Когда данная > граница будет превышена, будет сгенерировано предупреждение. > Вышеприведенный пример устанавливает минимальное свободное > пространство в двадцать процентов. > > Запись определяет классы > аудита для не-приписываемых событий, например, процессов > входа в систему и системных демонов. > > Запись определяет список > флагов политики, определяющей различные аспекты поведения > аудита. Элементы списка отделяются друг от друга запятыми. > По умолчанию, флаг cnt указывает, что > система должна продолжать работать, несмотря на ошибки > аудита (данный флаг очень сильно рекомендуется использовать). > Другой частоиспользуемый флаг - argv, > который заставляет подвергать аудиту аргументы командной > строки при вызове системного вызова &man.execve.2;, как > часть выполнения команды. > > Запись определяет > максимальный размер в байтах, до которого может расти > журнал событий аудита, прежде чем он будет автоматически > закончен и подвергнут ротации. По умолчанию, значение 0 > запрещает автоматическую ротацию логов. Если требуемый > размер файла ненулевой, но ниже минимального значения в > 512К, то он будет проигнорирован, и будет сгенерировано > предупреждающее сообщение в логах. 526,546c550,575 < Файл audit_user позволяет < администратору определить классы событий, аудит которых будет < производиться для каждого пользователя системы. < < По умолчанию файл audit_user < содержит: < < root:lo:no < audit:fc:no < < Обратите внимание: по умолчанию производится аудит всех < login/logout событий и < отключается аудит всех других событий для пользователя < root. Эта конфигурация также включает < аудит всех событий, связанных с созданием файлов и отключает < аудит всех других событий для пользователя < audit. Хотя использование системы < аудита не требует наличия в системе специального < пользователя, в некоторых конфигурациях, особенно < использующих MAC (Mandatory Access < Control), это может быть необходимо. --- > Администратор может определить дополнительные > требования к аудиту для конкретных пользователей > в файле audit_user. > Каждая строка конфигурирует аудит для пользователя > с использованием двух полей: первое поле > alwaysaudit, которое определяет > набор событий, которые должны всегда подвергаться > аудиту для данного пользователя, а второе - поле > neveraudit, которое определяет > набор событий, которые никогда не должны подвергаться > аудиту для пользователя. > > Нижеследующий пример audit_user > проводит аудит всех событий входа в систему и выхода из > системы для пользователя root, > а также проводит аудит всех событий, связанных с созданием > файлов и успешным выполнением команд для пользователя > www. При использовании с > вышеприведенным примером файла audit_control, > запись lo для root > является лишней, кроме того, события входа в систему и выхода > из системы будут подвергаться аудиту и для пользователя > www. > > root:lo,+ex:no > www:fc,+ex:no 553c582 < Администрирование системы аудита --- > Администрирование подсистемы аудита 560,561c589,590 < утилиты. Команда praudit преобразует журнал аудита < в текстовый формат; команда auditreduce может быть --- > утилиты. Команда &man.praudit.1; преобразует журнал аудита > в текстовый формат; команда &man.auditreduce.1; может быть 563,566c592,595 < архивирования или распечатки. Команда auditreduce < поддерживает множество параметров выборки, включая типы событий, классы < событий, пользовательские события, дату и время событий и пути файлов, < к которым относятся события. --- > архивирования или распечатки. Множество параметров выборки > поддерживаются командой &man.auditreduce.1;, включая типы > событий, классы событий, конкретного пользователя, дату и > время событий,а также пути файлов, к которым относятся события. 568c597 < Например, утилита praudit выведет все содержимое --- > Например, утилита &man.praudit.1; выведет все содержимое 573c602 < В данном примере AUDITFILE - журнал, --- > В данном примере AUDITFILE - журнал, 577,580c606,609 < очередь состоят из элементов. Эти элементы команда < praudit выводит последовательно - по одному на строку. < Каждый элемент имеет специфический тип, например < заголовок (header) содержит заголовок pfgbcb, a --- > очередь состоят из элементов, которые команда &man.praudit.1; > выводит последовательно - по одному на строку. Каждый элемент > имеет специфический тип, например > заголовок (header) содержит заголовок записи, a 582,583c611 < lookup. Следующий пример показывает запись для события выполнения < (execve): --- > Следующий пример показывает запись для события execve: 593c621 < Эта запись является результатом успешного выполнения системного --- > Эта запись отражает результат успешного выполнения системного 595,596c623,624 < команды finger doug. Элемент exec содержит и < команду, которую оболочка передала ядру, и ее аргументы. Элемент --- > команды finger doug. В элементах записи есть и > командная строка, которую оболочка передала ядру. Элемент 599,610c627,640 < описывает исполняемый файл, и, в частности, права доступа к файлу. < Элемент субъект (subject) описывает процесс, вызвавший < выполнение и сохраняет его в виде ряда значений, представляющих собой < UID аудируемого пользователя, исполняющие (effective) UID и GID, < реальные (real) UID и GID, идентификатор процесса, идентификатор сессии, < порт и адрес, с которого был осуществлен вход в систему. < Обратите внимание - идентификатор аудируемого пользователя и реальный < идентификатор пользователя отличаются: это значит, что пользователь < robert повысил привилегии до пользователя < root перед выполнением команды, но система аудита < занесла его действия в журнал используя изначальный идентификатор. < Наконец, элемент возврат (return) описывает успешное --- > описывает исполняемый файл, и, в частности, режим файла, что > можно использовать для определения, использовало ли приложение > setuid. Элемент субъект (subject) описывает процесс, вызвавший > и сохраняет его в виде ряда значений, представляющих собой > ID аудируемого пользователя, исполняющие (effective) UID и GID, > реальные ID пользователя и группы, идентификатор процесса, > идентификатор сессии, порт и адрес, с которого был осуществлен > вход в систему. Обратите внимание - идентификатор аудируемого > пользователя и реальный идентификатор пользователя отличаются: > это значит, что пользователь robert повысил > привилегии до пользователя root перед > выполнением команды, но система аудита занесла его действия в > журнал используя изначальный идентификатор. Наконец, элемент > возврат (return) описывает успешное 613a644,647 > Данные в формате XML также можно > вывести с помощью команды &man.praudit.1;, используя аргумент > . > 625,626c659,660 < Эта команда выделит все записи, относящиеся к пользователю < trhodes, которые хранятся в файле --- > Эта команда выделит все записи, относящиеся к > trhodes, которые хранятся в 634c668,669 < к журналу аудита, находящемуся в /var/audit; --- > к журналу аудита, находящемуся в > /var/audit; 639,641c674,676 < информации о поведении пользователей и процессов, что может привести к < раскрытию конфиденциальных данных. Поэтому, рекомендуется делегировать < права на чтение журнала аудита с большой осторожностью. --- > информации о поведении пользователей и процессов, поэтому, > рекомендуется делегировать права на чтение журнала аудита > с большой осторожностью. 645c680 < Мониторинг системы в реальном времени --- > Мониторинг системы в реальном времени с использованием потоков аудита 647,655c682,691 < Потоки системы аудита - клонированные псевдо-устройства, < используя которые, приложения могут получать информацию о системных < событиях в реальном времени. В первую очередь, это должно < заинтересовать авторов программ для мониторинга и определения < вторжений в систему. Тем не менее, для администратора потоки < системы аудита могут стать удобным инструментом для мониторинга < в реальном времени без того, чтобы вдаваться в детали обеспечения < безопасности при передачи прав на чтение журнала аудита. Для того, < чтобы получить поток событий в реальном времени используйте --- > Потоки системы аудита - клонированные псевдо-устройства в > файловой системе устройств, используя которые, приложения могут > получать информацию о системных событиях в реальном времени. > В первую очередь, это должно заинтересовать авторов программ > для мониторинга и определения вторжений в систему. Тем не > менее, для администратора потоки системы аудита могут стать > удобным инструментом для мониторинга в реальном времени без > проблем, свзяанных с правами файла аудита, и возможностью > процесса ротации, что приведет к обрыву потока событий. > Для того, чтобы получить поток событий в реальном времени используйте 660,661c696,697 < По умолчанию, потоки доступны только пользователю root. Чтобы < сделать их доступными членам группы audit добавьте --- > По умолчанию, потоки доступны только пользователю root. > Чтобы сделать их доступными членам группы audit добавьте 667c703 < Смотрите страницу справочника &man.devfs.rules.5; для более полной --- > Смотрите &man.devfs.rules.5; для более полной 673,677c709,716 < сетевого ввода-вывода, и команда praudit < запущена во время SSH-сессии, то любое событие породит вывод < сообщения, которое в свою очередь тоже будет событием и так до < бесконечности. Разумнее будет не запускать praudit < на потоке событий из сессии, которая детально журналируется. --- > сетевого ввода-вывода, и команда &man.praudit.1; > запущена во время SSH-сессии, то будет сгенерирован > постоянный поток сообщений аудита, так как каждое событие > вызовет еще ондо событие, и так до бесконечности. > Разумнее будет запускать &man.praudit.1; > на устройстве потока только из сессий, в которых > нет большого аудита ввода-вывода, чтобы избежать такого > поведения. 685c724 < аудита auditd. Администраторы не должны пытаться --- > аудита &man.auditd.8;. Администраторы не должны пытаться 689c728 < команда audit. Следующая команда приведет к --- > команда &man.audit.8;. Следующая команда приведет к 692,693c731,732 < сам файл - переименован. Это рекомендованный способ ротации < журнальных файлов. --- > сам файл - переименован, в результате чего с ним можно будет > работать администратору. 698c737 < Если демон auditd не запущен, то эта команда --- > Если &man.auditd.8; не запущен, то эта команда 711,714c750,753 < Автоматическая ротация журнальных файлов возможна при использовании < опции в файле < &man.audit.control.5;, и описан в секции < "Формат конфигурационного файла". --- > Автоматическая ротация журнальных файлов на основании > их размера возможна при использовании опции > в файле &man.audit.control.5;, и описана в разделе > "Формат конфигурационного файла" данной главы. 722,725c761,764 < после закрытия их демоном auditd. Для выполнения < определенных пользователем действий соответствующих разнообразным < событиям системы аудита, включая нормальное завершение работы системы < аудита и фильтрацию журнальных файлов, может быть использован скрипт --- > после закрытия их демоном аудита. Для выполнения > определенных пользователем действий, соответствующих разнообразным > событиям системы аудита, включая нормальное завершение журналов > аудита при их ротации, может быть использован скрипт 737,743c776,781 < Примерами других действий могут быть, например, копирование файлов в место их < последующего хранения, удаление старых журнальных файлов, фильтрация < журнальных файлов для удаления ненужных записей. Скрипт < audit_warn будет запущен только только при < корректном закрытии журнала системой аудита и не запустится < для журнальных файлов, запись в которые была прекращена в < результате некорректного завершения. --- > Примерами других действий могут быть, например, копирование файлов > аудита на централизованный сервер, удаление старых журнальных файлов, > фильтрация журнальных файлов для удаления ненужных записей. Скрипт > будет запущен только только при корректном закрытии журнала системой > аудита и не запустится для журнальных файлов, запись в которые была > прекращена в результате некорректного завершения. >Release-Note: >Audit-Trail: >Unformatted: