Skip site navigation (1)Skip section navigation (2) 
Date:      Wed, 5 Mar 2014 13:01:05 GMT
From:      Vladimir Romanov <blueboar_2@rambler.ru>
To:        freebsd-gnats-submit@FreeBSD.org
Subject:   docs/187278: New Russian translation of audit chapter in handbook
Message-ID:  <201403051301.s25D15AK056256@cgiserv.freebsd.org>
Resent-Message-ID: <201403051310.s25DA0P9098338@freefall.freebsd.org>
next in thread | raw e-mail | index | archive | help 

>Number:         187278
>Category:       docs
>Synopsis:       New Russian translation of audit chapter in handbook
>Confidential:   no
>Severity:       non-critical
>Priority:       low
>Responsible:    freebsd-doc
>State:          open
>Quarter:        
>Keywords:       
>Date-Required:
>Class:          doc-bug
>Submitter-Id:   current-users
>Arrival-Date:   Wed Mar 05 13:10:00 UTC 2014
>Closed-Date:
>Last-Modified:
>Originator:     Vladimir Romanov
>Release:        
>Organization:
Kurgan TV Centre
>Environment:
>Description:
File with diff attached. It is new Russian translation of audit chapter of handbook, as of last SVN revision 43688.
>How-To-Repeat:

>Fix:


Patch attached with submission follows:

8c8
<      Original revision: r30208
---
>      Original revision: r43688
16c16,18
< <chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="audit">
---
> <chapter xmlns="http://docbook.org/ns/docbook"
>  xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0"
>  xml:id="audit">
19c21,33
<       <author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><contrib>Автор </contrib></author>
---
>       <author>
>         <personname>
>           <firstname>Tom</firstname>
>           <surname>Rhodes</surname>
>         </personname>
>         <contrib>Автор </contrib>
>       </author>
>       <author>
>         <personname>
>           <firstname>Robert</firstname>
>           <surname>Watson</surname>
>         </personname>
>       </author>
22c36,49
<       <author><personname><firstname>Денис</firstname><surname>Баров</surname></personname><contrib>Перевод на русский язык: </contrib></author>
---
>       <author>
>         <personname>
>           <firstname>Денис</firstname>
>           <surname>Баров</surname>
>         </personname>
>         <contrib>Перевод на русский язык: </contrib>
>       </author>
>       <author>
>         <personname>
>           <firstname>Владимир</firstname>
>           <surname>Романов</surname>
>         </personname>
>         <contrib>Обновление перевода: </contrib>
>       </author>
25c52
<   
---
> 
33,36c60,62
<     <para>&os;&nbsp;6.2-RELEASE и более поздние версии &os;
<       включают в себя поддержку аудита событий безопасности.
<       Аудит событий дает надежный и точный способ для
<       протоколирования различных событий, связанных с безопасностью,
---
>     <para>Операционная система &os; включает в себя поддержку аудита 
>       событий безопасности. Аудит событий дает надежный и точный способ 
>       для протоколирования различных событий, связанных с безопасностью,
87,107c113,128
<       <para>Реализация аудита в &os; 6.2 - экспериментальная, использование
< 	ее в реальных задачах должно производиться только после
< 	внимательного ознакомления со всеми рисками, к которым приводит
< 	использование экспериментального программного обеспечения.  К
< 	известным ограничениям относится и тот факт, что не все события
< 	в настоящий момент протоколируемы.  Например, некоторые механизмы
< 	входа в систему (X11-основанные оконные менеджеры, многое
< 	программное обеспечение от сторонних производителей) не
< 	сконфигурированы для протоколирования событий входа в систему через
< 	подсистему аудита.</para>
<     </warning>
< 
<     <warning>
< 	<para>Использование системы в аудита может привести к генерированию
< 	  огромных журнальных файлов: их размер на сильно загруженных серверах
< 	  в некоторых конфигурациях может достигать нескольких гигабайт в неделю.
< 	  Администраторы должны внимательно следить за дисковым пространством
< 	  в разделе системы аудита.  Например, рекомендуется выделить
< 	  отдельный раздел для файловой системы аудита
< 	  <filename>/var/audit</filename>, чтобы переполнение раздела аудита
< 	  не влияло на работоспособность всей остальной системы.</para>
---
>       <para>Реализация аудита имеет известные ограничения, например,
> 	не все события в настоящий момент протоколируемы.
> 	Например, некоторые механизмы входа в систему (Основанные на X11 
> 	оконные менеджеры, многое программное обеспечение от сторонних 
> 	производителей) не сконфигурированы для протоколирования событий 
> 	входа в систему через подсистему аудита.</para>
>       <para>Использование системы аудита может привести к генерированию
> 	огромных журнальных файлов: их размер на сильно загруженных серверах
> 	в некоторых конфигурациях может достигать нескольких гигабайт в неделю.
> 	Администраторы должны принимать во внимание требования 
> 	к дисковому пространству для нагруженных конфигураций системы
> 	аудита. Например, рекомендуется выделить отдельный раздел для 
> 	файловой системы аудита 
> 	<filename>/var/audit</filename>, 
> 	чтобы переполнение раздела аудита не влияло на работоспособность 
> 	всей остальной системы.</para>
113c134
<     <title>Ключевые понятия - краткий словарь.</title>
---
>     <title>Ключевые понятия в Данной Главе.</title>
116,118c137
<       ключевых понятий.  Это нужно для того, чтобы предотвратить
<       недоразумения, которые могут возникнуть из-за разницы в трактовке
<       некоторых терминов.  В русской версии документа приводятся
---
>       ключевых понятий. В русской версии документа приводятся
125,128c144,145
< 	  может быть занесено в журнал.  Администратор может выбирать,
< 	  какие именно события будут журналироваться подсистемой
< 	  аудита.  Список важных для безопасности системы
< 	  событий включает: создание файла, инициализацию сетевого
---
> 	  может быть занесено в журнал. Примеры важных для безопасности 
> 	  системы событий включает: создание файла, инициализацию сетевого
132c149,150
< 	  и <quote>не-приписываемые</quote> (non-attributable).  Пример
---
> 	  и <quote>не-приписываемые</quote> (non-attributable), если
> 	  их нельзя отнести к конкретному пользователю.  Пример
134,135c152,153
< 	  авторизации пользователя, такое, как неудачный вход пользователя
< 	  в систему.</para>
---
> 	  аутентификации пользователя, такое, например, такое, как 
> 	  неудачный вход пользователя в систему.</para>
139,147c157,162
< 	<para><emphasis>Класс</emphasis> (class): События могут быть
< 	  отнесены к одному или более классам, обычно основываясь
< 	  на категории события: <quote>создание файла</quote> (fc),
< 	  <quote>доступ к файлу</quote> (fo),
< 	  <quote>выполнение файла</quote> (ex), события
< 	  входа в систему и выхода из нее (lo).
< 	  Использование классов позволяет администратору создавать
< 	  высокоуровневые правила аудита без указания конкретных
< 	  операций, отчет о которых должен добавляться в журнал.</para>
---
> 	<para><emphasis>Класс</emphasis> (class): Классы событий это
> 	  именованные наборы однотипных событий, которые используются
> 	  в выражениях выбора. Частоиспользуемые классы событий
> 	  включают <quote>создание файла</quote> (fc),
> 	  <quote>выполнение файла</quote> (ex)
> 	  и <quote>события входа в систему и выхода из нее</quote> (lo).</para>
154,157c169,173
< 	  информацию о субъекте события (пользователе), время события,
< 	  информацию об объектах события (например, файлах) и
< 	  информацию об успешности выполнения операции, породившей
< 	  событие.</para>
---
> 	  информацию о субъекте события (пользователе), который
> 	  выполнил некоторое действия, дату и время события,
> 	  информацию об объектах и аргументах события, если они есть,
> 	  а также информацию об успешности выполнения операции, 
> 	  породившей событие.</para>
162,163c178,179
< 	  <quote>журнал</quote> аудита, или лог-файл -
< 	  содержит серию <quote>записей</quote> о системных событиях.
---
> 	  журнал аудита, или лог-файл -
> 	  содержит серию записей о системных событиях.
166,167c182,183
< 	  события.  Только авторизованные процессы (например,
< 	  <command>auditd</command>) имеют доступ к журналу.</para>
---
> 	  события.  Только авторизованные процессы могут
> 	  добавлять записи в журнал.</para>
171c187
< 	<para><emphasis>выражение выделения</emphasis> (selection expression):
---
> 	<para><emphasis>выражение выбора</emphasis> (selection expression):
173c189
< 	  для выделения группы событий.</para>
---
> 	  для выбора группы событий.</para>
177,179c193,195
< 	<para><emphasis>предварительное выделение</emphasis> (preselection):
< 	  Процесс, во время которого система определяет, какие события имеют
< 	  приоритетную важность для администратора.  Это необходимо для того,
---
> 	<para><emphasis>предварительный выбор</emphasis> (preselection):
> 	  Процесс, с помощью которого система определяет, какие события имеют
> 	  важность для администратора.  Это необходимо для того,
181,185c197,201
< 	  Предварительное выделение использует ряд
< 	  <emphasis>выражений выделения</emphasis> для того, чтобы определить,
< 	  какие именно классы событий для какого пользователя необходимо вносить
< 	  в журнал, так же, как и для авторизованных и неавторизованных
< 	  процессов.</para>
---
> 	  Предварительный выбор использует ряд выражений выбора
> 	  для того, чтобы определить, какие именно классы событий для 
> 	  какого пользователя необходимо вносить в журнал, а так же
> 	  глобальные настройки, которые будут применяться как для 
> 	  авторизованных, так и для неавторизованных процессов.</para>
191,197c207,213
< 	  выделяются для хранения, распечатки или анализа.  Процесс во многом
< 	  аналогичен <emphasis>предварительному выделению</emphasis>.  Используя
< 	  <emphasis>фильтрацию</emphasis> администраторы могут реализовывать
< 	  различные политики хранения журналов аудита.  Например, детализированный
< 	  журнал может храниться месяц, но после этого он должен быть сокращен
< 	  чтобы хранить только информацию о входе в систему и выходе из нее
< 	  более длительный срок.</para>
---
> 	  выделяются для хранения, распечатки или анализа. Также, это
> 	  процесс, в результате которого нежелательные записи удаляются
> 	  из журнала аудита. Используя фильтрацию, администраторы могут
> 	  реализовывать различные политики хранения данных аудита.
> 	  Например, детализированный журнал может храниться месяц, но
> 	  после этого он должен быть сокращен чтобы хранить только 
> 	  информацию о входе в систему и выходе из нее для целей архивации.</para>
206,209c222,225
<       базовой системы &os; начиная с версии 6.2-RELEASE.  Тем не менее,
<       поддержка аудита должна быть добавлена в ядро.  Этого
<       можно добиться, добавив следующую строку в конфигурационный файл
<       вашего специального ядра:</para>
---
>       базовой системы &os;. Поддержка аудита событий со стороны ядра
>       также компилируется по умолчанию, но поддержка данной возможности
>       требует создания своего ядра, с добавлением следующей строки
>       в конфигурационный файл ядра:</para>
216c232,233
<    <para>После этого, необходимо разрешить запуск демона аудита,
---
>    <para>Как только ядро с поддержкой аудита было собрано и установлено, 
>    а система была перезагружена, необходимо разрешить запуск демона аудита,
221,224c238,242
<     <para>Для запуска демона со специфическими параметрами нужно
<       указать эти параметры в опции <option>auditd_flags</option>
<       файла &man.rc.conf.5;.</para>
<   </sect1>
---
>     <para>Затем нужно запустить поддержку аудита либо путем
>     перезагрузки, либо вручную, запустив демон аудита:</para>
> 
> 	<programlisting>service auditd start</programlisting>
>     </sect1>
229d246
< 
244c261
< 	  аудита, и другие.</para>
---
> 	  аудита, максимальный размер журнала аудита и другие.</para>
248,249c265,268
< 	<para><filename>audit_event</filename> - Определяет основные
< 	  события аудита.  Это, в основном, системные вызовы.</para>
---
> 	<para><filename>audit_event</filename> - Текстовые имена и
> 	описания событий аудита, а также список, определяющий
> 	соответствие классов и событий, которые находятся в данных
> 	классах.</para>
253,256c272,275
< 	<para><filename>audit_user</filename> - События аудита для
< 	  для отдельных пользователей.  Пользователи, не упоминаемые
< 	  в этом файле, будут рассматриваться как субъекты конфигурации
< 	  по-умолчанию в файле <filename>audit_control</filename>.</para>
---
> 	<para><filename>audit_user</filename> - Требования аудита, которые
> 	  отличаются для отдельных пользователей. Они соединяются с
> 	  глобальными настройками по умолчанию при входе пользователя
> 	  в систему.</para>
259d277
< 
262,263c280,281
< 	  интерпретатора Bourne Shell, который используется, чтобы
< 	  сгенерировать предупреждающие сообщения об исключительных
---
> 	  интерпретатора, используемый &man.auditd.8;, 
> 	  чтобы сгенерировать предупреждающие сообщения об исключительных
265c283,284
< 	  пространство для записей журналов аудита.</para>
---
> 	  пространство для записей журналов аудита, либо когда произошла
> 	  ротация файла журнала аудита.</para>
268a288,293
> 	<warning>
> 	<para>Файлы конфигурации аудита должны редактироваться и
> 	изменяться с осторожностью, так как ошибки в конфигурации
> 	могут привести к неправильному логу событий</para>
> 	</warning>
> 
270c295
<       <title>Формат конфигурационного файла</title>
---
>       <title>Выражения выбора событий</title>
272,280c297,306
<       <para>Формат конфигурационного файла не очень логичен, но с ним, тем
< 	не менее, достаточно просто работать.  Однако, администраторам
< 	следует быть очень внимательными при изменении значений по
< 	умолчанию, поскольку это создает потенциальную опасность
< 	неправильного сбора данных системой аудита.</para>
< 
<        <para>В конфигурационном файле могут использоваться как полные,
<        так и сокращенные параметры.  Соответствия будут приведены
<        ниже.</para>
---
>       <para>Выражения выбора используются в нескольких местах
>       конфигурации аудита для определения того, какие события должны
>       подвергаться аудиту. Выражения содержат список классов событий,
>       с которыми интересующее нас событие будет сравниваться. Каждое
>       выражение имеет префикс, показывающий, нужно ли принять
>       или игнорировать найденное событие, и, возможно, показывающий,
>       интересуют ли нас успешные или неуспешные операции. Выражения
>       выбора рассматриваются слева направа, и два выражения
>       объединяются простым добавлением второго выражения к концу
>       первого.</para>
282c308
<       <para>Следующий список содержит все классы по умолчанию,
---
>       <para>Следующий список содержит классы по умолчанию,
287c313
< 	  <para><option>all</option> - <literal>all</literal> -
---
> 	  <para><literal>all</literal> - <emphasis>all</emphasis> -
292c318
< 	  <para><option>ad</option> - <literal>administrative</literal>
---
> 	  <para><literal>ad</literal> - <emphasis>administrative</emphasis>
298c324
< 	  <para><option>ap</option> - <literal>application</literal> -
---
> 	  <para><literal>ap</literal> - <emphasis>application</emphasis> -
303,305c329,330
< 	  <para><option>cl</option> - <literal>file_close</literal>
< 	    - Аудит вызовов системной функции
< 	    <function>close</function>.</para>
---
> 	  <para><literal>cl</literal> - <emphasis>file close</emphasis>
> 	    - Аудит вызовов системной функции <function>close</function>.</para>
309c334
< 	  <para><option>ex</option> - <literal>exec</literal> -
---
> 	  <para><literal>ex</literal> - <emphasis>exec</emphasis> -
317,319c342,344
< 	  <para><option>fa</option> - <literal>file_attr_acc</literal>
< 	    - Аудит доступа к атрибутам объектов и их изменению,
< 	    например через &man.stat.1;, &man.pathconf.2;, а
---
> 	  <para><literal>fa</literal> - <emphasis>file attribute access</emphasis>
> 	    - Аудит доступа к атрибутам объектов,
> 	    например &man.stat.1;, &man.pathconf.2;, а
324c349
< 	  <para><option>fc</option> - <literal>file_creation</literal>
---
> 	  <para><literal>fc</literal> - <emphasis>file create</emphasis>
330c355
< 	  <para><option>fd</option> - <literal>file_deletion</literal>
---
> 	  <para><literal>fd</literal> - <emphasis>file delete</emphasis>
336c361
< 	  <para><option>fm</option> - <literal>file_attr_mod</literal>
---
> 	  <para><literal>fm</literal> - <emphasis>file attribute modify</emphasis>
343c368
< 	  <para><option>fr</option> - <literal>file_read</literal>
---
> 	  <para><literal>fr</literal> - <emphasis>file read</emphasis>
349c374
< 	  <para><option>fw</option> - <literal>file_write</literal> -
---
> 	  <para><literal>fw</literal> - <emphasis>file write</emphasis> -
351c376
< 	    запись данных, изменение файлов и так далее.</para>
---
> 	    запись данных, запись или изменение файлов и так далее.</para>
355c380
< 	  <para><option>io</option> - <literal>ioctl</literal> -
---
> 	  <para><literal>io</literal> - <emphasis>ioctl</emphasis> -
360c385
< 	  <para><option>ip</option> - <literal>ipc</literal> -
---
> 	  <para><literal>ip</literal> - <emphasis>ipc</emphasis> -
362c387
< 	    включая создание не-именованных каналов (pipe) и
---
> 	    включая создание не-именованных каналов (POSIX pipe) и
368,369c393,395
< 	  <para><option>lo</option> - <literal>login_logout</literal> -
< 	    Аудит событий  &man.login.1; и  &man.logout.1;.</para>
---
> 	  <para><literal>lo</literal> - <emphasis>login_logout</emphasis> -
> 	    Аудит событий  &man.login.1; и  &man.logout.1;,
> 	    происходящих в системе.</para>
373c399
< 	  <para><option>na</option> - <literal>non_attrib</literal> -
---
> 	  <para><literal>na</literal> - <emphasis>non attributable</emphasis> -
378,380c404,405
< 	  <para><option>no</option> - <literal>no_class</literal> -
< 	    Пустой класс, используется для отключения
< 	    аудита.</para>
---
> 	  <para><literal>no</literal> - <emphasis>invalid class</emphasis> -
> 	    Не соответствует никаким событиям аудита.</para>
384c409
< 	  <para><option>nt</option> - <literal>network</literal> -
---
> 	  <para><literal>nt</literal> - <emphasis>network</emphasis> -
390,391c415,416
< 	  <para><option>ot</option> - <literal>other</literal> -
< 	    Аудит событий, не вошедших в другие классы.</para>
---
> 	  <para><literal>ot</literal> - <emphasis>other</emphasis> -
> 	    Аудит различных событий.</para>
395c420
< 	  <para><option>pc</option> - <literal>process</literal> -
---
> 	  <para><literal>pc</literal> - <emphasis>process</emphasis> -
405,406c430,433
<       <para>Каждый класс комбинируется с префиксом, показывающим удачное
< 	или неудачное завершение операции.</para>
---
>       <para>Каждый класс аудита комбинируется с префиксом, показывающим,
>       какие операции будут учитываться - удачные или неудачные,
>       а также то, включает ли данная запись аудит для данного
>       класса и типа, либо отключает его.</para>
411,413c438
< 	    успешного, так и для ошибочного события.  Например, просто
< 	    указание класса без префикса приведет к занесению события
< 	    в журнал при любом результате операции.</para>
---
> 	    успешного, так и для ошибочного события.</para>
418c443
< 	  событий.</para>
---
> 	  событий в данном классе.</para>
423c448
< 	  событий.</para>
---
> 	  событий в данном классе.</para>
428c453
< 	    ошибочных событий.</para>
---
> 	    ошибочных событий в данном классе.</para>
432,433c457,458
< 	  <para><literal>^-</literal> - Отключение аудита ошибочных
< 	    событий.</para>
---
> 	  <para><literal>^+</literal> - Отключение аудита успешных
> 	    событий в данном классе.</para>
437,438c462,463
< 	  <para><literal>^+</literal> - Включение аудита успешных
< 	    событий.</para>
---
> 	  <para><literal>^-</literal> - Отключение аудита ошибочных
> 	    событий в данном классе.</para>
457,459c482,483
< 	общие настройки системы аудита и установки по умолчанию как
< 	для приписываемых, так и для не-приписываемых событий.  Второй
< 	используется для настройки аудита пользовательских событий.</para>
---
> 	общие настройки системы аудита, второй может использоваться
> 	для более тонкой настройки аудита пользователем.</para>
464,466c488,489
< 	<para>Файл <filename>audit_control</filename> содержит
< 	  настройки по умолчанию, которые, возможно, потребуется
< 	  изменить.  Содержимое этого файла:</para>
---
> 	<para>Некоторые настройки по умолчанию для подсистемы
> 	аудита содержатся в файле <filename>audit_control</filename>:</para>
475,476c498,502
< 	<para>Параметр <option>dir</option> указывает каталог, в
< 	  котором будет сохраняться журнал системы аудита.  Как
---
> 	<para>Запись <option>dir</option> используется для
> 	  установки одного или более каталогов, в
> 	  которых будет сохраняться журнал системы аудита. Если
> 	  указан более чем один каталог, то указанные каталоги
> 	  будут использоваться по очереди, по мере заполнения. Как
479,492c505,513
< 	  предотвратить сбои в работе операционной системы, если
< 	  свободное месте на разделе системы аудита будет
< 	  исчерпано.</para>
< 
< 	<para>Параметр <option>flags</option> используется для
< 	  установки глобальных опций.  Значение этого параметра
< 	  <option>lo</option> настраивает аудит для всех событий
< 	  &man.login.1; и &man.logout.1;.  Более подробный
< 	  пример:</para>
< 
< 	  <programlisting>dir:/var/audit
< flags:lo,ad,-all,^-fa,^-fc,^-cl
< minfree:20
< naflags:lo</programlisting>
---
> 	  предотвратить пересечение подсистемы аудита и остальных
> 	  подсистем в случае, если свободное месте на разделе 
> 	  системы аудита будет исчерпано.</para>
> 
> 	<para>Запись <option>flags</option> используется для
> 	  установки глобальной маски предварительного выбора
> 	  для приписываемых событий. В примере выше, будут подвергаться
> 	  аудиту как успешные, так и неудачные попытки входа в
> 	  систему и выхода из нее для всех пользователей</para>
494,508c515
< 	  <para>Такое значение параметра <option>flags</option>
< 	  приведет к аудиту всех событий &man.login.1; и
< 	  &man.logout.1;, всех административных событий, всех ошибочных
< 	  системных событий и, наконец, отключает аудит всех ошибочных
< 	  событий классов <option>fa</option>, <option>fc</option> и
< 	  <option>cl</option>.  Несмотря на то, что параметр
< 	  <option>-all</option> указывает на необходимость аудита
< 	  всех системных событий, префикс <option>^-</option> отменяет
< 	  это поведение для всех последующих опций.</para>
< 
< 	<para>Заметьте, что значения считываются слева направо.
< 	  Поэтому находящиеся справа значения переопределяют значения,
< 	  находящиеся слева.</para>
< 
< 	<para>Параметр <option>minfree</option> определяет минимальное
---
> 	<para>Запись <option>minfree</option> определяет минимальное
510,520c517,544
< 	  который сохраняются файлы журналов аудита.  Например, если
< 	  значение параметра <option>dir</option> установлено в
< 	  <filename>/var/audit</filename>, а параметр
< 	  <option>minfree</option> равен двадцати (20), то предупреждающее
< 	  сообщение будет выдано, когда раздел <filename>/var</filename> будет заполнен на
< 	  восемьдесят (80%) процентов.</para>
< 
< 	<para>Параметр <option>naflags</option> определяет классы
< 	  аудита для не-приписываемых событий, то есть событий,
< 	  для которых не определён конкретный пользователь.</para>
< 
---
> 	  который сохраняются файлы журналов аудита. Когда данная
> 	  граница будет превышена, будет сгенерировано предупреждение.
> 	  Вышеприведенный пример устанавливает минимальное свободное
> 	  пространство в двадцать процентов.</para>
> 
> 	<para>Запись <option>naflags</option> определяет классы
> 	  аудита для не-приписываемых событий, например, процессов
> 	  входа в систему и системных демонов.</para>
> 
> 	<para>Запись <option>policy</option> определяет список
> 	флагов политики, определяющей различные аспекты поведения
> 	аудита. Элементы списка отделяются друг от друга запятыми.
> 	По умолчанию, флаг <literal>cnt</literal> указывает, что
> 	система должна продолжать работать, несмотря на ошибки
> 	аудита (данный флаг очень сильно рекомендуется использовать).
> 	Другой частоиспользуемый флаг - <literal>argv</literal>,
> 	который заставляет подвергать аудиту аргументы командной
> 	строки при вызове системного вызова &man.execve.2;, как
> 	часть выполнения команды.</para>
> 	
> 	<para>Запись <option>filesz</option> определяет
> 	максимальный размер в байтах, до которого может расти
> 	журнал событий аудита, прежде чем он будет автоматически
> 	закончен и подвергнут ротации. По умолчанию, значение 0
> 	запрещает автоматическую ротацию логов. Если требуемый
> 	размер файла ненулевой, но ниже минимального значения в
> 	512К, то он будет проигнорирован, и будет сгенерировано
> 	предупреждающее сообщение в логах.</para>
526,546c550,575
< 	<para>Файл <filename>audit_user</filename> позволяет
< 	  администратору определить классы событий, аудит которых будет
< 	  производиться для каждого пользователя системы.</para>
< 
< 	<para>По умолчанию файл <filename>audit_user</filename>
< 	содержит:</para>
< 
< 	<programlisting>root:lo:no
< audit:fc:no</programlisting>
< 
< 	<para>Обратите внимание: по умолчанию производится аудит всех
< 	  <command>login</command>/<command>logout</command> событий и
< 	  отключается аудит всех других событий для пользователя
< 	  <systemitem class="username">root</systemitem>.  Эта конфигурация также включает
< 	  аудит всех событий, связанных с созданием файлов и отключает
< 	  аудит всех других событий для пользователя
< 	  <systemitem class="username">audit</systemitem>.  Хотя использование системы
< 	  аудита не требует наличия в системе специального
< 	  пользователя, в некоторых конфигурациях, особенно
< 	  использующих <acronym>MAC</acronym> (Mandatory Access
< 	  Control), это может быть необходимо.</para>
---
> 	<para>Администратор может определить дополнительные
> 	  требования к аудиту для конкретных пользователей
> 	  в файле <filename>audit_user</filename>.
> 	  Каждая строка конфигурирует аудит для пользователя
> 	  с использованием двух полей: первое поле 
> 	  <literal>alwaysaudit</literal>, которое определяет
> 	  набор событий, которые должны всегда подвергаться
> 	  аудиту для данного пользователя, а второе - поле
> 	  <literal>neveraudit</literal>, которое определяет
> 	  набор событий, которые никогда не должны подвергаться
> 	  аудиту для пользователя.</para>
> 
> 	<para>Нижеследующий пример <filename>audit_user</filename>
> 	  проводит аудит всех событий входа в систему и выхода из
> 	  системы для пользователя <systemitem class="username">root</systemitem>,
> 	  а также проводит аудит всех событий, связанных с созданием 
> 	  файлов и успешным выполнением команд для пользователя
> 	  <systemitem class="username">www</systemitem>. При использовании с
> 	  вышеприведенным примером файла <filename>audit_control</filename>,
> 	  запись <literal>lo</literal> для <systemitem class="username">root</systemitem>
> 	  является лишней, кроме того, события входа в систему и выхода
> 	  из системы будут подвергаться аудиту и для пользователя
> 	  <systemitem class="username">www</systemitem>.</para>
> 
> 	<programmlisting>root:lo,+ex:no
> 	www:fc,+ex:no</programlisting>
553c582
<     <title>Администрирование системы аудита</title>
---
>     <title>Администрирование подсистемы аудита</title>
560,561c589,590
< 	утилиты.  Команда <command>praudit</command> преобразует журнал аудита
< 	в текстовый формат; команда <command>auditreduce</command> может быть
---
> 	утилиты.  Команда &man.praudit.1; преобразует журнал аудита
> 	в текстовый формат; команда &man.auditreduce.1; может быть
563,566c592,595
< 	архивирования или распечатки.  Команда <command>auditreduce</command>
< 	поддерживает множество параметров выборки, включая типы событий, классы
< 	событий, пользовательские события, дату и время  событий и пути файлов,
< 	к которым относятся события.</para>
---
> 	архивирования или распечатки. Множество параметров выборки
> 	поддерживаются командой &man.auditreduce.1;, включая типы 
> 	событий, классы событий, конкретного пользователя, дату и 
> 	время событий,а также пути файлов, к которым относятся события.</para>
568c597
<       <para>Например, утилита <command>praudit</command> выведет все содержимое
---
>       <para>Например, утилита &man.praudit.1; выведет все содержимое
573c602
<       <para>В данном примере <replaceable>AUDITFILE</replaceable> -  журнал,
---
>       <para>В данном примере <filename>AUDITFILE</filename> -  журнал,
577,580c606,609
< 	 очередь состоят из элементов.  Эти элементы команда
< 	<command>praudit</command> выводит последовательно - по одному на строку.
< 	Каждый элемент имеет специфический тип, например
< 	<literal>заголовок</literal> (header) содержит заголовок pfgbcb, a
---
> 	очередь состоят из элементов, которые команда &man.praudit.1; 
> 	выводит последовательно - по одному на строку. Каждый элемент 
> 	имеет специфический тип, например
> 	<literal>заголовок</literal> (header) содержит заголовок записи, a
582,583c611
< 	lookup.  Следующий пример показывает запись для события выполнения
< 	(execve):</para>
---
> 	Следующий пример показывает запись для события <literal>execve</literal>:</para>
593c621
<       <para>Эта запись является результатом успешного выполнения системного
---
>       <para>Эта запись отражает результат успешного выполнения системного
595,596c623,624
< 	команды <literal>finger doug</literal>.  Элемент <literal>exec</literal> содержит и
< 	команду, которую оболочка передала ядру, и ее аргументы.  Элемент
---
> 	команды <literal>finger doug</literal>.  В элементах записи есть и
> 	командная строка, которую оболочка передала ядру.  Элемент
599,610c627,640
< 	описывает исполняемый файл, и, в частности, права доступа к файлу.
< 	Элемент <literal>субъект</literal> (subject) описывает процесс, вызвавший
< 	выполнение и сохраняет его в виде ряда значений, представляющих собой
< 	UID аудируемого  пользователя, исполняющие (effective) UID и GID,
< 	реальные (real) UID и GID, идентификатор процесса, идентификатор сессии,
< 	порт и адрес, с которого был осуществлен вход в систему.
< 	Обратите внимание - идентификатор аудируемого пользователя и реальный
< 	идентификатор пользователя отличаются: это значит, что пользователь
< 	<literal>robert</literal> повысил привилегии до пользователя
< 	<literal>root</literal> перед выполнением команды, но система аудита
< 	занесла его действия в журнал используя изначальный идентификатор.
< 	Наконец, элемент <literal>возврат</literal> (return) описывает успешное
---
> 	описывает исполняемый файл, и, в частности, режим файла, что
> 	можно использовать для определения, использовало ли приложение 
> 	setuid. Элемент <literal>субъект</literal> (subject) описывает процесс, вызвавший
> 	и сохраняет его в виде ряда значений, представляющих собой
> 	ID аудируемого  пользователя, исполняющие (effective) UID и GID,
> 	реальные ID пользователя и группы, идентификатор процесса, 
> 	идентификатор сессии, порт и адрес, с которого был осуществлен 
> 	вход в систему. Обратите внимание - идентификатор аудируемого 
> 	пользователя и реальный идентификатор пользователя отличаются: 
> 	это значит, что пользователь <systemitem class="username">robert</systemitem> повысил 
> 	привилегии до пользователя <systemitem class="username">root</systemitem> перед 
> 	выполнением команды, но система аудита занесла его действия в 
> 	журнал используя изначальный идентификатор. Наконец, элемент 
> 	<literal>возврат</literal> (return) описывает успешное
613a644,647
> 	<para>Данные в формате <acronym>XML</acronym> также можно
> 	вывести с помощью команды &man.praudit.1;, используя аргумент
> 	<option>-x</option>.</para>
> 
625,626c659,660
<       <para>Эта команда выделит все записи, относящиеся к пользователю
< 	<systemitem class="username">trhodes</systemitem>, которые хранятся в файле
---
>       <para>Эта команда выделит все записи, относящиеся к
> 	<systemitem class="username">trhodes</systemitem>, которые хранятся в
634c668,669
< 	к журналу аудита, находящемуся в <filename>/var/audit</filename>;
---
> 	к журналу аудита, находящемуся в 
> 	<filename>/var/audit</filename>;
639,641c674,676
< 	информации о поведении пользователей и процессов, что может привести к
< 	раскрытию конфиденциальных данных.  Поэтому, рекомендуется делегировать
< 	права на чтение журнала аудита с большой осторожностью.</para>
---
> 	информации о поведении пользователей и процессов, поэтому, 
> 	рекомендуется делегировать права на чтение журнала аудита 
> 	с большой осторожностью.</para>
645c680
<       <title>Мониторинг системы в реальном времени</title>
---
>       <title>Мониторинг системы в реальном времени с использованием потоков аудита</title>
647,655c682,691
<       <para>Потоки системы аудита - клонированные псевдо-устройства,
< 	используя которые, приложения могут получать информацию о системных
< 	событиях в реальном времени.  В первую очередь, это должно
< 	заинтересовать авторов программ для мониторинга и определения
< 	вторжений в систему.  Тем не менее, для администратора потоки
< 	системы аудита могут стать удобным инструментом для мониторинга
< 	в реальном времени без того, чтобы вдаваться в детали обеспечения
< 	безопасности при передачи прав на чтение журнала аудита.  Для того,
< 	чтобы получить поток событий в реальном времени используйте
---
>       <para>Потоки системы аудита - клонированные псевдо-устройства в
> 	файловой системе устройств, используя которые, приложения могут 
> 	получать информацию о системных событиях в реальном времени.
> 	В первую очередь, это должно заинтересовать авторов программ 
> 	для мониторинга и определения вторжений в систему.  Тем не 
> 	менее, для администратора потоки системы аудита могут стать 
> 	удобным инструментом для мониторинга в реальном времени без 
> 	проблем, свзяанных с правами файла аудита, и возможностью
> 	процесса ротации, что приведет к обрыву потока событий.
> 	Для того, чтобы получить поток событий в реальном времени используйте
660,661c696,697
<       <para>По умолчанию, потоки доступны только пользователю <systemitem class="username">root</systemitem>.  Чтобы
< 	сделать их доступными членам группы <systemitem class="groupname">audit</systemitem> добавьте
---
>       <para>По умолчанию, потоки доступны только пользователю <systemitem class="username">root</systemitem>.
> 	Чтобы сделать их доступными членам группы <systemitem class="groupname">audit</systemitem> добавьте
667c703
<       <para>Смотрите страницу справочника  &man.devfs.rules.5; для более полной
---
>       <para>Смотрите &man.devfs.rules.5; для более полной
673,677c709,716
< 	  сетевого ввода-вывода, и команда <command>praudit</command>
< 	  запущена во время SSH-сессии, то любое событие породит вывод
< 	  сообщения, которое в свою очередь тоже будет событием и так до
< 	  бесконечности.  Разумнее будет не запускать <command>praudit</command>
< 	  на потоке событий из сессии, которая детально журналируется.</para>
---
> 	  сетевого ввода-вывода, и команда &man.praudit.1;
> 	  запущена во время SSH-сессии, то будет сгенерирован
> 	  постоянный поток сообщений аудита, так как каждое событие
> 	  вызовет еще ондо событие, и так до бесконечности.
> 	  Разумнее будет запускать &man.praudit.1;
> 	  на устройстве потока только из сессий, в которых
> 	  нет большого аудита ввода-вывода, чтобы избежать такого
> 	  поведения.</para>
685c724
< 	аудита <application>auditd</application>.  Администраторы не должны пытаться
---
> 	аудита &man.auditd.8;.  Администраторы не должны пытаться
689c728
< 	команда <command>audit</command>.  Следующая команда приведет к
---
> 	команда &man.audit.8;.  Следующая команда приведет к
692,693c731,732
< 	сам файл - переименован.  Это рекомендованный способ ротации
< 	журнальных файлов.</para>
---
> 	сам файл - переименован, в результате чего с ним можно будет
> 	работать администратору.</para>
698c737
< 	<para>Если демон <application>auditd</application> не запущен, то эта команда
---
> 	<para>Если &man.auditd.8; не запущен, то эта команда
711,714c750,753
<       <para>Автоматическая ротация журнальных файлов возможна при использовании
< 	опции <option>filesz</option> в файле
< 	&man.audit.control.5;, и описан в секции
< 	"Формат конфигурационного файла".</para>
---
>       <para>Автоматическая ротация журнальных файлов на основании
>         их размера возможна при использовании опции <option>filesz</option>
>         в файле &man.audit.control.5;, и описана в разделе
> 	"Формат конфигурационного файла" данной главы.</para>
722,725c761,764
< 	после закрытия их демоном <command>auditd</command>.  Для выполнения
< 	определенных пользователем действий соответствующих разнообразным
< 	событиям системы аудита, включая нормальное завершение работы системы
< 	аудита и фильтрацию журнальных файлов, может быть использован скрипт
---
> 	после закрытия их демоном аудита.  Для выполнения
> 	определенных пользователем действий, соответствующих разнообразным
> 	событиям системы аудита, включая нормальное завершение журналов
> 	аудита при их ротации, может быть использован скрипт
737,743c776,781
<       <para>Примерами других действий могут быть, например, копирование файлов в место их
< 	последующего хранения, удаление старых журнальных файлов, фильтрация
< 	журнальных файлов для удаления ненужных записей.  Скрипт
< 	<filename>audit_warn</filename> будет запущен только только при
< 	корректном закрытии журнала системой аудита и не запустится
< 	для журнальных файлов, запись в которые была прекращена в
< 	результате некорректного завершения.</para>
---
>       <para>Примерами других действий могут быть, например, копирование файлов
> 	аудита на централизованный сервер, удаление старых журнальных файлов, 
> 	фильтрация журнальных файлов для удаления ненужных записей.  Скрипт
> 	будет запущен только только при корректном закрытии журнала системой 
> 	аудита и не запустится для журнальных файлов, запись в которые была 
> 	прекращена в результате некорректного завершения.</para>


>Release-Note:
>Audit-Trail:
>Unformatted:

Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?201403051301.s25D15AK056256>