From owner-svn-doc-all@freebsd.org Sat Jun 11 07:14:00 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 8C130AEFA98; Sat, 11 Jun 2016 07:14:00 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 5551B28E9; Sat, 11 Jun 2016 07:14:00 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u5B7Dxet014481; Sat, 11 Jun 2016 07:13:59 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u5B7Dx3t014480; Sat, 11 Jun 2016 07:13:59 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201606110713.u5B7Dx3t014480@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Sat, 11 Jun 2016 07:13:59 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48917 - head/de_DE.ISO8859-1/books/handbook/audit X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees \(except for " user" , " projects" , and " translations" \)" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 11 Jun 2016 07:14:00 -0000 Author: bhd Date: Sat Jun 11 07:13:59 2016 New Revision: 48917 URL: https://svnweb.freebsd.org/changeset/doc/48917 Log: Update to r44378: Finish editorial review of Event Auditing. Modified: head/de_DE.ISO8859-1/books/handbook/audit/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/audit/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/audit/chapter.xml Sat Jun 11 07:07:44 2016 (r48916) +++ head/de_DE.ISO8859-1/books/handbook/audit/chapter.xml Sat Jun 11 07:13:59 2016 (r48917) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/audit/chapter.xml,v 1.14 2012/02/16 20:28:26 bcr Exp $ - basiert auf: r44377 + basiert auf: r44378 --> + aa + authentifizierung und autorisierung + + + + ad administrative Administrative Aktionen, ausgeführt auf dem System @@ -547,6 +553,11 @@ expire-after:10M dem Audit-Subsystem und anderen Subsystemen zu verhindern, falls das Dateisystem voll läuft. + Ist die Option auf + on oder yes gesetzt, + wird ein Link der Dateien des Audit-Trails in + /var/audit/dist erstellt. + Das -Feld legt die systemweite Standard-Vorauswahl-Maske für attributierbare (direkt einem Benutzer zuordenbare) Ereignisse fest. Im @@ -558,34 +569,34 @@ expire-after:10M minimalen Prozentsatz an freiem Plattenplatz für das Dateisystem, in welchem der Audit-Pfad abgespeichert wird. Wenn diese Schwelle überschritten ist, wird ein - Warnhinweis erzeugt. Das obige Beispiel legt den minimalen - freien Platz auf zwanzig Prozent fest. + Warnhinweis erzeugt. Die -Option bestimmt diejenigen Audit-Klassen, für die nicht-attributierbare Ereignisse - aufgezeichnet werden sollen (beispielsweise Anmeldeprozesse - und System-Daemonen. + aufgezeichnet werden sollen, wie beispielsweise + Anmeldeprozesse, Authentifizierung und Autorisierung. Die Option legt eine durch Kommata getrennte Liste von policy-Flags fest, welche verschiedene - Aspekte des Audit-Verhaltens steuern. Der vorgegebene Flag + Aspekte des Audit-Verhaltens steuern. Der Flag cnt zeigt an, dass das System trotz eines Audit-Fehlers weiterlaufen soll (dieses Flag wird dringend - angeraten). Ein anderes, häufig genutztes Flag ist + empfohlen). Ein anderes, häufig genutztes Flag ist argv, welches dazu führt, dass Befehlszeilen-Argumente für den Systemauruf &man.execve.2; als Teil der Befehlsausführung aufgezeichnet werden. Die -Option spezifiziert die - maximale Größe in Bytes, welche eine - Audit-Pfad-Datei wachsen darf, bevor sie automatisch beendet - und rotiert wird. Die Standardvorgabe 0 + maximale Größe der Audit-Datei, bevor sie automatisch + beendet und rotiert wird. Der Wert 0 setzt die automatische Log-Rotation ausser Kraft. Falls die - angeforderte Dateigröße größer Null - und gleichzeitig unterhalb des Minimums von 512K ist, dann - wird die Angabe verworfen und ein Log-Hinweis wird + angeforderte Dateigröße unterhalb des Minimums von 512K + ist, dann wird die Angabe verworfen und ein Log-Hinweis wird erzeugt. + + Die Option legt fest, wann + die Audit-Dateien verfallen und entfernt werden. @@ -594,13 +605,12 @@ expire-after:10M Die audit_user-Datei erlaubt es dem Administrator, weitere Audit-Erfordernisse für bestimmte Benutzer festzulegen. Jede Zeile konfiguriert das Auditing - für einen Benutzer über zwei Felder: Das erste Feld - ist alwaysaudit, welches eine Ansammlung - von Ereignissen vorgibt, welche immer für diesen Benutzer - aufgezeichnet werden. Das zweite Feld - neveraudit legt eine Menge an Ereignissen - fest, die niemals für diesen Benutzer auditiert werden - sollen. + für einen Benutzer über zwei Felder: + alwaysaudit gibt eine Ansammlung von + Ereignissen vor, welche immer für diesen Benutzer + aufgezeichnet werden. neveraudit legt + Ereignisse fest, die niemals für diesen Benutzer auditiert + werden sollen. Das folgende Beispiel einer audit_user-Datei zeichnet @@ -608,9 +618,8 @@ expire-after:10M Befehlsausführungen für den Benutzer root, Anlegen von Dateien und erfolgreiche Befehlsausführungen für den Benutzer - www auf. Falls das Beispiel zusammen - mit der vorstehend als Beispiel gezeigten Datei - audit_control benutzt wird, dann ist + www auf. Falls die + voreingestellte audit_control benutzt wird, dann ist der Eintrag lo für root überflüssig und Anmelde/Abmelde-Ereignisse werden für - Administration des Audit-Subsystems + Audit-Trails - - Audit-Pfade betrachten - Audit-Pfade werden im binären BSM-Format - gespeichert, daher benötigen Sie spezielle Werkzeuge, um - derartige Dateien zu ändern oder Sie in Textdateien zu - konvertieren. Der - Befehl &man.praudit.1; wandelt alle Pfad-Dateien in ein - einfaches Textformat um. Der Befehl &man.auditreduce.1; kann - genutzt werden, um die Pfad-Dateien für Analyse, Ausdruck, - Archivierung oder andere Zwecke zu reduzieren. Eine Reihe von - Auswahl-Parametern werden von &man.auditreduce.1; unterstützt, + Weil Audit-Trails werden im binären + BSM-Format gespeichert werden, gibt es + verschiedene Werkzeuge, um derartige Dateien zu ändern oder + sie in Textdateien zu konvertieren. Der + Befehl praudit wandelt alle Pfad-Dateien in + ein einfaches Textformat um. Der Befehl + auditreduce kann genutzt werden, um die + Pfad-Dateien für Analyse, Ausdruck, Archivierung oder andere + Zwecke zu reduzieren. Eine Reihe von Auswahl-Parametern + werden von &man.auditreduce.1; unterstützt, einschliesslich Ereignistyp, Ereignisklasse, Benutzer, Datum oder Uhrzeit des Ereignisses und den Dateipfad oder das Objekt, mit dem gearbeitet wurde. - Das Dienstprogramm &man.praudit.1; schreibt zum Beispiel - den gesamten Inhalt einer angegebenen Audit-Protokolldatei in - eine simple Textdatei: + Der folgende Befehl schreibt den gesamten Inhalt einer + angegebenen Audit-Protokolldatei in eine Textdatei: - &prompt.root; praudit /var/audit/AUDITFILE + &prompt.root; praudit /var/audit/AUDITFILE - AUDITFILE - ist hier die zu schreibende Protokolldatei. + AUDITFILE ist hier die zu + schreibende Protokolldatei. Audit-Pfade bestehen aus einer Reihe von Datensätzen, die wiederum aus Kürzeln (token) gebildet werden, die von @@ -670,82 +677,67 @@ trailer,133 Dieser Audit stellt einen erfolgreichen execve-Aufruf dar, in welchem der Befehl - finger doug ausgeführt wurde. Das - Kürzel des Argumentes enthält die Befehlszeile, + finger doug ausgeführt wurde. + exec arg enthält die Befehlszeile, welche die Shell an den Kernel weiterleitet. Das Kürzel path enthält den Pfad zur ausführbaren Datei (wie vom Kernel wahrgenommen). Das Kürzel attribute beschreibt die - Binärdatei (insbesondere den Datei-Modus, der genutzt + Binärdatei und enthält den Datei-Modus, der genutzt werden kann, um zu bestimmen, ob setuid auf die Applikation - angewendet wurde). Das Kürzel subject - beschreibt den untergeordneten Prozess und speichert daher in - Aufeinanderfolge Audit-Benutzer-ID, effektive Benutzer-ID und + angewendet wurde. Das Kürzel subject + speichert die Audit-Benutzer-ID, effektive Benutzer-ID und Gruppen-ID, wirkliche Benutzer-ID und Grppen-ID, Process-ID, Session- ID, Port-ID und Anmelde-Adresse. Beachten Sie, dass - Audit-Benutzer-ID und wirkliche Benutzer-ID abweichen: Der Benutzer - robert wurde zum Benutzer - root, bevor er diesen Befehl - ausführte, aber er wird auditiert mit dem - ursprünglich authentifizierten Benutzer. Schließlich zeigt - das Kürzel return die erfolgreiche - Ausführung an und trailer schließt - den Datensatz ab. - - &man.praudit.1; unterstützt auch die Ausgabe im - XML-Format (die sie über die Option - auswählen können). - - - - Audit-Pfade reduzieren + Audit-Benutzer-ID und wirkliche Benutzer-ID abweichen, da der + Benutzer robert zum + Benutzer root wurde, + bevor er diesen Befehl ausführte, aber er wird auditiert mit + dem ursprünglich authentifizierten Benutzer. Das Kürzel + return zeigt die erfolgreiche Ausführung an + und trailer schließt den Datensatz + ab. + + Die Ausgabe im XML-Format wird + ebenfalls unterstützt und kann über die Option + ausgewählt werden. + + Da Audit-Protokolldateien sehr groß sein können, kann mit + Hilfe von auditreduce auch nur eine + Teilmenge der Datensätze ausgewählt werden. Dieses Beispiel + selektiert alle Datensätze des Benutzers trhodes aus der Datei + AUDITFILE: - Da Audit-Protokolldateien sehr groß sein können, - wird ein Administrator höchstwahrscheinlich eine Auswahl - an Datensätzen verwenden, wie z.B. alle Datensätze - zu einem bestimmten Benutzer: - - &prompt.root; auditreduce -u trhodes /var/audit/AUDITFILE | praudit - - Dies wird alle Audit-Datensätze des Benutzers - trhodes auswählen, - die in - AUDITFILE - gespeichert sind. - - - - Delegation von Rechten für Audit-Reviews + &prompt.root; auditreduce -u trhodes /var/audit/AUDITFILE | praudit Mitglieder der Gruppe audit haben die Erlaubnis, - Audit-Pfade in /var/audit zu lesen; - standardmässig ist diese Gruppe leer, daher - kann nur der Benutzer root die Audit-Pfade - lesen. Benutzer können der Gruppe - audit hinzugefügt werden, um + class="groupname">audit sind berechtigt, + Audit-Pfade in /var/audit zu lesen. In + der Voreinstellung ist diese Gruppe leer, daher kann nur der + Benutzer root die + Audit-Pfade lesen. Benutzer können der Gruppe audit hinzugefügt werden, um Rechte für Audit-Reviews zu gewähren. Da die Fähigkeit, Inhalte von Audit-Protokolldateien zu verfolgen, tiefgreifende Einblicke in das Verhalten von Benutzern und Prozessen erlaubt, wird empfohlen, dass die Gewährung von Rechten für Audit-Reviews mit Bedacht erfolgt. - Aktive Überwachung mittles Audit-Pipes Audit-Pipes sind nachgebildete (geklonte) - Pseudo-Geräte im Dateisystem des Gerätes, welche es - Applikationen erlauben, die laufenden Audit-Datensätze - anzuzapfen. Dies ist vorrangig für Autoren von Intrusion - Detection Software und Systemüberwachungsprogrammen von - Bedeutung. Allerdings ist für den Administrator das - Audit-Pipe-Gerät ein angenehmer Weg, aktive - Überwachung zu gestatten, ohne Gefahr von Problemen durch - Besitzerrechte der Audit-Pfad-Datei oder Unterbrechung des - Stroms von Ereignissen durch Log-Rotation. Um den laufenden - Audit-Ereignisstrom zu verfolgen, geben Sie bitte folgende - Befehlszeile ein: + Pseudo-Geräte, welche es Applikationen erlauben, die + laufenden Audit-Datensätze anzuzapfen. Dies ist vorrangig für + Autoren von Intrusion Detection Software und + Systemüberwachungsprogrammen von Bedeutung. Allerdings ist das + Audit-Pipe-Gerät ein angenehmer Weg für den Administrator, + aktive Überwachung zu gestatten, ohne Gefahr von Problemen + durch Besitzerrechte der Audit-Pfad-Datei oder Unterbrechung + des Stroms von Ereignissen durch Log-Rotation. Um den + laufenden Audit-Ereignisstrom zu verfolgen, geben Sie + folgendes ein: &prompt.root; praudit /dev/auditpipe @@ -755,7 +747,7 @@ trailer,133 Mitgliedern der Gruppe audit zugänglich zu machen, fügen Sie eine devfs-Regel in - devfs.rules hinzu: + /etc/devfs.rules hinzu: add path 'auditpipe*' mode 0440 group audit @@ -768,58 +760,55 @@ trailer,133 Audit-Ereignissen hervorzurufen, in welcher das Betrachten des Resultates eines Audit-Ereignisses in die Erzeugung von mehr Audit-Ereignissen mündet. Wenn zum Beispiel der gesamte - Netzwerk-I/O auditiert wird, während &man.praudit.1; in - einer SSH-Sitzung gestartet wurde, dann wird ein - kontinuierlicher, mächtiger Strom von Audit-Ereignissen + Netzwerk-I/O auditiert wird, während + praudit in einer + SSH-Sitzung gestartet wurde, dann wird + ein kontinuierlicher, mächtiger Strom von Audit-Ereignissen erzeugt, da jedes ausgegebene Ereignis wiederum neue - Ereignisse erzeugt. Es ist anzuraten, &man.praudit.1; an - einem Audit-Pipe-Gerät nur von Sitzungen anzuwenden (ohne - feingranuliertes I/O-Auditing), um dies zu vermeiden. + Ereignisse erzeugt. Daher ist anzuraten, + praudit an einem Audit-Pipe-Gerät nur + von Sitzungen anzuwenden (ohne feingranuliertes + I/O-Auditing), um dies zu + vermeiden. - Rotation von Audit-Pfad-Dateien + Rotation und Komprimierung von Audit-Pfad-Dateien - Audit-Pfade werden nur vom Kernel geschrieben und nur - vom Audit-Daemon &man.auditd.8; verwaltet. Administratoren + Audit-Pfade werden vom Kernel geschrieben und vom + Audit-Daemon &man.auditd.8; verwaltet. Administratoren sollten nicht versuchen, &man.newsyslog.conf.5; oder andere Werkzeuge zu benutzen, um Audit-Protokolldateien direkt zu - rotieren. Stattdessen sollte das &man.audit.8; - Management-Werkzeug benutzt werden, um die Auditierung zu + rotieren. Stattdessen sollte audit benutzt + werden, um die Auditierung zu beenden, das Audit-System neu zu konfigurieren und eine Log-Rotation durchzuführen. Der folgende Befehl veranlasst den Audit-Daemon, eine neue Protokolldatei anzulegen und dem Kernel zu signalisieren, die neue Datei zu nutzen. Die alte Datei wird beendet und umbenannt. Ab diesem Zeitpunkt kann - sie vom Administrator bearbeitet werden. + sie vom Administrator bearbeitet werden: &prompt.root; audit -n - Falls der &man.auditd.8;-Daemon gegenwärtig nicht läuft, wird dieser Befehl scheitern und eine Fehlermeldung wird ausgegeben. - Das Hinzufügen der folgenden Zeile in /etc/crontab wird die Log-Rotation alle - zwölf Stunden durch &man.cron.8; erzwingen: + zwölf Stunden durchgeführt: 0 */12 * * * root /usr/sbin/audit -n - Die Änderung wird wirksam, sobald Sie die neue - /etc/crontab gespeichert haben. + Die Änderung wird wirksam, sobald + /etc/crontab gespeichert wird. Die automatische Rotation der Audit-Pfad-Datei in Abhängigkeit von der Dateigröße ist möglich durch die Angabe der Option in - &man.audit.control.5;. Dieser Vorgang ist im Abschnitt - Konfigurationsdateien dieses Kapitels beschrieben. - - - - Komprimierung von Audit-Pfaden + audit.control. Dieser Vorgang ist in + beschrieben. Da Audit-Pfad-Dateien sehr groß werden können, ist es oft wünschenswert, Pfade zu komprimieren oder @@ -829,8 +818,8 @@ trailer,133 angepasste Aktionen für eine Vielzahl von audit-bezogenen Ereignissen auszuführen, einschliesslich der sauberen Beendigung von Audit-Pfaden, wenn diese geschlossen werden. - Zum Beispiel kann man die folgenden Zeilen in das - audit_warn-Skript aufnehmen, um + Zum Beispiel kann man die folgenden Zeilen in + /etc/security/audit_warn aufnehmen, um Audit-Pfade beim Beenden zu komprimieren: # @@ -840,14 +829,14 @@ if [ "$1" = closefile ]; then gzip -9 $2 fi - Andere Archivierungsaktivitäten können das - Kopieren zu einem zentralen Server, die Löschung der alten - Pfad-Dateien oder die Reduzierung des alten Audit-Pfades durch - Entfernung nicht benötigter Datensätze - einschliessen. Das Skript wird nur dann ausgeführt, wenn - die Audit-Pfad-Dateien sauber beendet wurden, daher wird es - nicht auf Pfaden laufen, welche durch ein unsauberes Herunterfahren - des Systems nicht beendet wurden. + Andere Archivierungsaktivitäten können das Kopieren zu + einem zentralen Server, die Löschung der alten Pfad-Dateien + oder die Reduzierung des alten Audit-Pfades durch Entfernung + nicht benötigter Datensätze einschließen. Dieses Skript wird + nur dann ausgeführt, wenn die Audit-Pfad-Dateien sauber + beendet wurden, daher wird es nicht auf Pfaden laufen, welche + durch ein unsauberes Herunterfahren des Systems nicht beendet + wurden.