From owner-svn-doc-all@freebsd.org Fri Aug 14 15:04:49 2015 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id DDC639B96BA; Fri, 14 Aug 2015 15:04:49 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2001:1900:2254:2068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id CDA671793; Fri, 14 Aug 2015 15:04:49 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.70]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id t7EF4nhW092687; Fri, 14 Aug 2015 15:04:49 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id t7EF4nJ1092686; Fri, 14 Aug 2015 15:04:49 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201508141504.t7EF4nJ1092686@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Fri, 14 Aug 2015 15:04:49 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r47224 - head/de_DE.ISO8859-1/books/handbook/audit X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.20 Precedence: list List-Id: "SVN commit messages for the entire doc trees \(except for " user" , " projects" , and " translations" \)" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 14 Aug 2015 15:04:50 -0000 Author: bhd Date: Fri Aug 14 15:04:49 2015 New Revision: 47224 URL: https://svnweb.freebsd.org/changeset/doc/47224 Log: Update to r44377: Editorial review of first 1/2 of Security Event Auditing. Add 2 tables. Still need to research additional entries which are not described in this section. More commits to come. Approved by: bcr (mentor) Modified: head/de_DE.ISO8859-1/books/handbook/audit/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/audit/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/audit/chapter.xml Fri Aug 14 11:19:43 2015 (r47223) +++ head/de_DE.ISO8859-1/books/handbook/audit/chapter.xml Fri Aug 14 15:04:49 2015 (r47224) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/audit/chapter.xml,v 1.14 2012/02/16 20:28:26 bcr Exp $ - basiert auf: r44231 + basiert auf: r44377 --> MAC - Das &os;-Betriebssystem unterstützt - ein feingranuliertes Sicherheits-Auditing. - Ereignis-Auditing erlaubt die - zuverlässige, feingranulierte und konfigurierbare - Aufzeichnung einer Vielzahl von sicherheitsrelevanten - Systemereignissen einschliesslich Benutzereingaben, - Konfigurationsänderungen sowie Datei- und + &os; bietet Unterstützung für Sicherheits-Auditing. + Ereignis-Auditing bietet zuverlässige, feingranulierte und + konfigurierbare Aufzeichnung einer Vielzahl von + sicherheitsrelevanten Systemereignissen einschliesslich + Benutzereingaben, Konfigurationsänderungen sowie Datei- und Netzwerkzugriffen. Diese Log-Datensätze können unschätzbar wertvoll sein für direkte Systemüberwachung, Einbruchserkennung und Post-Mortem-Analyse. &os; implementiert &sun;s öffentlich - zugängliche BSM API und Dateiformat. Die - &os;-Implementierung kann mit den Audit-Implementierungen von + zugängliches Basic Security Module (BSM) + Application Programming Interface (API) und + Dateiformat, und kann mit den Audit-Implementierungen von &sun; &solaris; und &apple; &macos; X zusammenarbeiten. Dieses Kapitel konzentriert sich auf die Installation @@ -60,7 +59,8 @@ requirements. --> - Was Ereignis-Auditing ist und wie es arbeitet. + Was Ereignis-Auditing ist und wie es + funktioniert. @@ -94,13 +94,14 @@ requirements. --> - Die Audit-Funktionalität in &os; besitzt die - Einschränkungen, dass zur Zeit nicht alle - sicherheitsrelevanten System-Ereignisse auditierbar sind und - dass einige Anmelde-Mechanismen, wie z.B. X11-basierte - Bildschirm-Manager und Daemonen von Drittanbietern, das - Auditing für Benutzeranmeldungen nicht korrekt - konfigurieren. + Die Audit-Funktionalität in &os; hat einige bekannte + Einschränkungen. Nicht alle sicherheitsrelevanten + System-Ereignisse sind auditierbar, und einige + Anmelde-Mechanismen, wie beispielsweise + Xorg-basierte + Bildschirm-Manager und Dienste von Drittanbietern, + konfigurieren das Auditing für Benutzeranmeldungen nicht + korrekt. Das Sicherheits-Auditing ist in der Lage, sehr detaillierte Log-Dateien von Systemaktivitäten zu erzeugen. @@ -110,8 +111,7 @@ requirements. --> Administratoren sollten daher den benötigten Plattenplatz in Verbindung mit umfangreichen Audit-Konfigurationen berücksichtigen. So kann es wünschenswert sein, ein eigenes - Dateisystem für /var/audit einzusetzen, damit + Dateisystem für /var/audit einzusetzen, damit andere Dateisysteme nicht betoffen sind, wenn das Dateisystem des Audit voll läuft. @@ -120,30 +120,28 @@ requirements. --> Schlüsselbegriffe - Vor dem Lesen dieses Kapitels müssen einige - Audit-bezogene Schlüsselbegriffe erläutert - werden: + Die folgenden Begriffe stehen im Zusammenhang mit + Ereignis-Auditing: - event: Ein auditierbares Ereignis - ist ein Ereignis, das mit dem Audit-Subsystem + event: ein auditierbares Ereignis + ist jedes Ereignis, das mit dem Audit-Subsystem aufgezeichnet werden kann. Beispiele für sicherheitsrelevante Systemereignisse sind etwa das Anlegen von Dateien, das Erstellen einer Netzwerkverbindung oder eine Benutzeranmeldung. Ereignisse sind entweder attributierbar, können also zu einen authentifizierten Benutzer zurückverfolgt werden, oder - sind nicht-attributierbar, falls dies nicht - möglich ist. Nicht-attributierbare Ereignisse erfolgen + sind nicht-attributierbar. Nicht-attributierbare Ereignisse erfolgen daher vor der Authentifizierung im Anmeldeprozess (beispielsweise die Eingabe eines falschen Passworts). - class: Ereignisklassen sind - benannte Zusammenstellungen von zusammengehörenden - Ereignissen und werden in Auswahl-Ausdrücken benutzt. + class: benannte Zusammenstellungen + von zusammengehörenden Ereignissen, die in + Auswahl-Ausdrücken benutzt werden. Häufig genutzte Klassen von Ereignissen schließen file creation (fc, Anlegen von Dateien), exec (ex, Ausführung) und @@ -152,8 +150,8 @@ requirements. --> - record: Ein Datensatz ist ein - Audit-Logeintrag, welcher ein Sicherheitsereignis + record: ein + Audit-Logeintrag, der ein Sicherheitsereignis enthält. Jeder Datensatz enthält einen Ereignistyp, Informationen über den Gegenstand (Benutzer), welcher die Aktion durchführt, Datums- und @@ -163,10 +161,9 @@ requirements. --> - trail: Ein Audit-Pfad (audit - trail) oder eine Log-Datei besteht aus einer Reihe von + trail: eine Log-Datei bestehend aus einer Reihe von Audit-Datensätzen, die Sicherheitsereignisse - beschreiben. Normalerweise sind die Pfade in grober + beschreiben. Pfade sind in grober zeitlicher Reihenfolge bezüglich des Zeitpunktes, an welchem ein Ereignis beendet wurde. Nur authorisierte Prozesse dürfen Datensätze zum Audit-Pfad @@ -174,15 +171,15 @@ requirements. --> - selection expression: Ein - Auswahlausdruck ist eine Zeichenkette, welche eine Liste von + selection expression: eine + Zeichenkette, welche eine Liste von Präfixen und Audit-Ereignisklassennamen enthält, um Ereignisse abzugleichen. - preselection: Die Vorauswahl ist - der Prozess, durch den das System erkennt, welche Ereignisse + preselection: der Prozess, durch + den das System erkennt, welche Ereignisse von Interesse für den Administrator sind, um die Erzeugung von Datensätze zu verhindern, welche nicht von Belang sind. Die Konfiguration der Vorauswahl benutzt @@ -210,86 +207,25 @@ requirements. --> - - Installation der Audit-Unterstützung - - Die Unterstützung des Ereignis-Auditings für den - Benutzerbereich wird bereits als Teil des Basissystems installiert. - Die Audit-Unterstützung ist bereits im &os;-Standardkernel - enthalten, jedoch müssen Sie die folgende Zeile explizit in - Ihre Kernelkonfigurationsdatei aufnehmen und den Kernel neu bauen: - - options AUDIT - - Bauen und installieren Sie den Kernel wie in - beschrieben ist. - - Nachdem der Kernel mit Audit-Unterstützung - gebaut und installiert ist und das System neu gestartet wurde, - aktivieren Sie den Audit-Daemon - durch das Einfügen der folgenden Zeile in die Datei - &man.rc.conf.5;: - - auditd_enable="YES" - - Die Audit-Unterstützung kann nun durch einen - Neustart des Systems oder durch das manuelle Starten - des Audit-Daemon aktiviert werden: - - service auditd start - - - Die Konfiguration des Audit - - Alle Konfigurationsdateien für das Sicherheits-Audit - finden sich unter - /etc/security. - Die folgenden Dateien müssen vorhanden sein, bevor - der Audit-Daemon gestartet wird: - - - - audit_class – Enthält - die Definitionen der Audit-Klassen. - - - - audit_control – Steuert - Teile des Audit-Subsystems wie Audit-Klassen, minimaler - Plattenplatz auf dem Audit-Log-Datenträger, maximale - Größe des Audit-Pfades usw. - + Audit Konfiguration - - audit_event – Wörtliche - Namen und Beschreibungen von System-Audit-Ereignissen sowie - eine Liste, welche Klassen welches Ereignis - aufzeichnen. - + Userspace-Untersützung für Ereignis-Auditing ist Bestandteil + des &os;-Betriebssystems. Kernel-Unterstützung kann durch + Hinzufügen der folgenden Zeile in + /etc/rc.conf aktiviert werden: - - audit_user – Benutzerspezifische - Audit-Erfordernisse, welche mit den globalen Vorgaben bei - der Anmeldung kombiniert werden. - + auditd_enable="YES" - - audit_warn – Ein - anpassbares Shell-Skript, welches von - auditd benutzt wird, um - Warnhinweise in aussergewöhnlichen Situationen zu - erzeugen, z.B. wenn der Platz für die - Audit-Datensätze knapp wird oder wenn die Datei des - Audit-Pfades rotiert wurde. - - + Starten Sie anschließend den Audit-Daemon: + + &prompt.root; service auditd start + + Benutzer, die es bevorzugen einen angepassten Kernel zu + kompilieren, müssen folgende Zeile in die + Kernelkonfigurationsdatei aufnehmen: - - Audit-Konfigurationsdateien sollten vorsichtig gewartet und - bearbeitet werden, da Fehler in der Konfiguration zu falscher - Aufzeichnung von Ereignissen führen könnten. - + options AUDIT Ereignis-Auswahlausdrücke @@ -306,193 +242,284 @@ requirements. --> rechts ausgewertet und zwei Ausdrücke werden durch Aneinanderhängen miteinander kombiniert. - Die folgende Liste enthält die - Standard-Ereignisklassen für das Audit und ist in - audit_class festgehalten: - - - - all – all – Vergleiche - alle Ereignisklassen. - - - - ad – administrative – Administrative - Aktionen ausgeführt auf dem System als Ganzes. - - - - ap – application – Aktionen - definiert für Applikationen. - - - - cl – file - close – Audit-Aufrufe für - den Systemaufruf close. - - - - ex – exec – Ausführung - des Audit-Programms. Auditierung von - Befehlszeilen-Argumenten und Umgebungsvariablen wird - gesteuert durch &man.audit.control.5; mittels der - argv und - envv-Parametergemäss der - Richtlinien-Einstellungen. - - - - fa – file - attribute access – Auditierung - des Zugriffs auf Objektattribute wie &man.stat.1;, - &man.pathconf.2; und ähnlichen Ereignissen. - - - - fc – file - create – Audit-Ereignisse, - bei denen eine Datei als Ergebnis angelegt wird. - - - - fd – file - delete – Audit-Ereignisse, - bei denen Dateilöschungen vorkommen. - - - - fm – file - attribute modify – Audit-Ereignisse, - bei welchen Dateiattribute geändert werden, wie - &man.chown.8;, &man.chflags.1;, &man.flock.2; etc. - - - - fr – file - read – Audit-Ereignisse, bei - denen Daten gelesen oder Dateien zum lesen geöffnet - werden usw. - - - - fw – file write – Audit-Ereignisse, - bei welchen Daten geschrieben oder Dateien geschrieben - oder verändert werden usw. - - - - io – ioctl – Nutzung - des Systemaufrufes &man.ioctl.2; durch Audit. - - - - ip – ipc – Auditierung - verschiedener Formen von Inter-Prozess-Kommunikation - einschliesslich POSIX-Pipes und System V - IPC-Operationen. - - - - lo – login_logout – Audit-Ereignisse - betreffend &man.login.1; und &man.logout.1;, welche auf - dem System auftreten. - - - - na – non - attributable – Auditierung - nicht-attributierbarer Ereignisse (Ereignisse, die nicht auf - einen bestimmten Benutzer zurückgeführt werden - können). - - - - no – invalid - class – Kein Abgleich von - Audit-Ereignissen. - - - - nt – network – Audit-Ereignisse - in Zusammenhang mit Netzwerkaktivitäten wie - z.B. &man.connect.2; und &man.accept.2;. - + fasst die + Audit-Ereignisklassen zusammen: - - ot – other – Auditierung - verschiedener Ereignisse. - + + Audit-Ereignisklassen - - pc – process – Auditierung - von Prozess-Operationen wie &man.exec.3; und - &man.exit.3;. - - + + + + Name der Klasse + Beschreibung + Aktion + + + + + + all + all + Vergleicht alle Ereisnisklassen. + + + + ad + administrative + Administrative Aktionen, ausgeführt auf dem System + als Ganzes. + + + + ap + application + Aktionen definiert für Applikationen. + + + + cl + file close + Audit-Aufrufe für den Systemaufruf + close. + + + + ex + exec + Ausführung des Audit-Programms. Auditierung von + Befehlszeilen-Argumenten und Umgebungsvariablen wird + gesteuert durch &man.audit.control.5; mittels der + argv und + envv-Parameter gemäß der + Richtlinien-Einstellungen. + + + + fa + file attribute access + Auditierung des Zugriffs auf Objektattribute wie + &man.stat.1; und &man.pathconf.2;. + + + + fc + file create + Audit-Ereignisse, bei denen eine Datei als + Ergebnis angelegt wird. + + + + fd + file delete + Audit-Ereignisse, bei denen Dateilöschungen + vorkommen. + + + + fm + file attribute modify + Audit-Ereignisse, bei denen Dateiattribute geändert + werden, wie &man.chown.8;, &man.chflags.1; und + &man.flock.2;. + + + + fr + file read + Audit-Ereignisse, bei denen Daten gelesen oder + Dateien zum lesen geöffnet werden. + + + + fw + file write + Audit-Ereignisse, bei denen Daten geschrieben oder + Dateien geschrieben oder verändert werden. + + + + io + ioctl + Nutzung des Systemaufrufes + ioctl durch Audit. + + + + ip + ipc + Auditierung verschiedener Formen von + Inter-Prozess-Kommunikation einschließlich POSIX-Pipes + und System V IPC-Operationen. + + + + lo + login_logout + Audit-Ereignisse von &man.login.1; und + &man.logout.1;. + + + + na + non attributable + Auditierung nicht-attributierbarer + Ereignisse. + + + + no + invalid class + Kein Abgleich von Audit-Ereignissen. + + + + nt + network + Audit-Ereignisse in Zusammenhang mit + Netzwerkaktivitäten wie &man.connect.2; und + &man.accept.2; + + + + ot + other + Auditierung verschiedener Ereignisse. + + + + pc + process + Auditierung von Prozess-Operationen wie + &man.exec.3; und &man.exit.3;. + + + +
Diese Ereignisklassen können angepasst werden durch Modifizierung der Konfigurationsdateien audit_class und audit_event. - Jede Audit-Klasse in dieser Liste ist kombiniert mit + Jede Audit-Klasse ist kombiniert mit einem Präfix, welches anzeigt, ob erfolgreiche/gescheiterte Operationen abgebildet werden, und ob der Eintrag den Abgleich hinzufügt oder entfernt - für die Klasse und den Typ. + für die Klasse und den Typ. + fasst die verfügbaren Präfixe zusammen. - - - (none) Kein Präfix, sowohl erfolgreiche als - auch gescheiterte Vorkommen eines Ereignisses werden - auditiert. - + + Präfixe für Audit-Ereignisklassen + + + + + Präfix + Aktion + + + + + + + + Auditiert erfolgreiche Ereignisse in dieser + Klasse. + + + + - + Auditiert fehlgeschlagene Ereignisse in dieser + Klasse. + + + + ^ + Auditiert weder erfolgreiche noch fehlgeschlagene + Ereignisse. + + + + ^+ + Auditiert keine erfolgreichen Ereignisse in dieser + Klasse. + + + + ^- + Auditiert keine fehlgeschlagenen Ereignisse in + dieser Klasse. + + + +
+ + Wenn kein Präfix vorhanden ist, werden sowohl erfolgreiche + als auch fehlgeschlagene Ereignisse auditiert. + + Das folgende Beispiel einer Auswahl-Zeichenkette + wählt erfolgreiche und gescheiterte + Anmelde/Abmelde-Ereignisse aus, aber nur erfolgreich beendete + Ausführungs-Ereignisse: + + lo,+ex + + + + Konfigurationsdateien + Die folgenden Konfigurationsdateien für + Sicherheits-Auditing befinden sich in + /etc/security. + + - + Auditiere nur erfolgreiche - Ereignisse in dieser Klasse. + audit_class: enthält die + Definitionen der Audit-Klassen. - - Auditiere nur gescheiterte - Operationen in dieser Klasse. + audit_control: steuert die + Eigenschaften des Audit-Subsystems, wie + Standard-Audit-Klassen, Mindestfestplattenspeicher auf + dem Audit-Log-Volume und die maximale Größe des + Audit-Trails. - ^ Auditiere weder erfolgreiche - noch gescheiterte Ereignisse in dieser Klasse. + audit_event: Namen und + Beschreibungen der Audit-Ereignisse, und eine Liste + von Klassen mit den dazugehörigen Ereignissen. - ^+ Auditiere keine erfolgreichen - Ereignisse in dieser Klasse. + audit_user: benutzerspezifische + Audit-Anforderungen, kombinierbar mit den globalen + Standardeinstellungen bei der Anmeldung. - ^- Auditiere keine gescheiterten - Ereignisse in dieser Klasse. + audit_warn: ein anpassbares + Skript, das von &man.auditd.8; verwendet wird, um in + bestimmten Situationen Warnmeldungen zu generieren, + z.B. wenn der Platz für Audit-Protokolle knapp wird, oder + wenn die Datei des Audit-Trails rotiert wurde. - Das folgende Beispiel einer Auswahl-Zeichenkette - wählt erfolgreiche und gescheiterte - Anmelde/Abmelde-Ereignisse aus, aber nur erfolgreich beendete - Ausführungs-Ereignisse: - - lo,+ex - - - - Konfigurationsdateien + + Konfigurationsdateien von Audit sollten sorgfältig + bearbeitet und gepflegt werden, da Fehler in der + Konfiguration zu einer fehlerhaften Protokollierung der + Ereignisse führen können. + - In den meisten Fällen müssen Administratoren - nur zwei Dateien ändern, wenn sie das Audit-System - konfigurieren: audit_control und - audit_user. Die erste Datei steuert - systemweite Audit-Eigenschaften und -Richtlinien; die zweite - Datei kann für die Feinanpassung der Auditierung von - Benutzern verwendet werden. + In den meisten Fällen werden Administratoren nur + audit_control und + audit_user änpassen müssen. Die erste + Datei steuert systemweite Audit-Eigenschaften, sowie + Richtlinien. Die zweite Datei kann für die Feinabstimmung bei + der Auditierung von Benutzern verwendet werden. Die <filename>audit_control</filename>-Datei @@ -501,11 +528,13 @@ requirements. --> Anzahl Vorgabewerte fest: dir:/var/audit -flags:lo -minfree:20 -naflags:lo -policy:cnt -filesz:0 +dist:off +flags:lo,aa +minfree:5 +naflags:lo,aa +policy:cnt,argv +filesz:2M +expire-after:10M Die Option wird genutzt, um eines oder mehrere Verzeichnisse festzulegen, in welchen