From owner-p4-projects@FreeBSD.ORG Sun Sep 16 13:24:21 2007 Return-Path: Delivered-To: p4-projects@freebsd.org Received: by hub.freebsd.org (Postfix, from userid 32767) id AC7B616A469; Sun, 16 Sep 2007 13:24:20 +0000 (UTC) Delivered-To: perforce@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id 4C6BB16A420 for ; Sun, 16 Sep 2007 13:24:20 +0000 (UTC) (envelope-from gabor@freebsd.org) Received: from repoman.freebsd.org (repoman.freebsd.org [IPv6:2001:4f8:fff6::29]) by mx1.freebsd.org (Postfix) with ESMTP id 3482113C49D for ; Sun, 16 Sep 2007 13:24:20 +0000 (UTC) (envelope-from gabor@freebsd.org) Received: from repoman.freebsd.org (localhost [127.0.0.1]) by repoman.freebsd.org (8.14.1/8.14.1) with ESMTP id l8GDOKmM022703 for ; Sun, 16 Sep 2007 13:24:20 GMT (envelope-from gabor@freebsd.org) Received: (from perforce@localhost) by repoman.freebsd.org (8.14.1/8.14.1/Submit) id l8GDOJRv022700 for perforce@freebsd.org; Sun, 16 Sep 2007 13:24:19 GMT (envelope-from gabor@freebsd.org) Date: Sun, 16 Sep 2007 13:24:19 GMT Message-Id: <200709161324.l8GDOJRv022700@repoman.freebsd.org> X-Authentication-Warning: repoman.freebsd.org: perforce set sender to gabor@freebsd.org using -f From: Gabor Kovesdan To: Perforce Change Reviews Cc: Subject: PERFORCE change 126473 for review X-BeenThere: p4-projects@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: p4 projects tree changes List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 16 Sep 2007 13:24:21 -0000 http://perforce.freebsd.org/chv.cgi?CH=126473 Change 126473 by gabor@gabor_server on 2007/09/16 13:23:54 - Cut long lines - Correct whitespace Affected files ... .. //depot/projects/docproj_hu/books/handbook/audit/chapter.sgml#3 edit Differences ... ==== //depot/projects/docproj_hu/books/handbook/audit/chapter.sgml#3 (text+ko) ==== @@ -5,7 +5,7 @@ + Original Revision: r1.30 --> @@ -33,41 +33,55 @@ MAC - A &os; 6.2-RELEASE és az azóta megjelent verziók támogatják a - biztonsági események aprólékos vizsgálatát. Ezzel egy megbízható, - részletes és jól konfigurálható naplózási rendszert társítanak a - rendszerben található biztonságot igénylõ események széles köréhez, - beleértve a bejelentkezéseket, a konfigurációs állományokban bekövetkezõ - változásokat, állomány- és hálózati hozzáféréseket. Az így létrehozott - naplóbejegyzések felbecsülhetetlen értékûnek bizonyulhatnak egy élõ - rendszer felügyelete során, vagy egy hálózati támadás észleléséhez, - esetleg egy összeomlás okainak kielemezéséhez. A &os; ehhez a &sun; - által kifejlesztett BSM technológia API-ját és - állományformátumát valósítja meg, és így képes együttmûködni a &sun; - &solaris; valamint az &apple; &macos; X bizonsági rendszereivel - egyaránt. + A &os; 6.2-RELEASE és az azóta megjelent verziók + támogatják a biztonsági események + aprólékos vizsgálatát. Ezzel egy + megbízható, részletes és jól + konfigurálható naplózási rendszert + társítanak a rendszerben található + biztonságot igénylõ események széles + köréhez, beleértve a bejelentkezéseket, a + konfigurációs állományokban + bekövetkezõ változásokat, állomány- + és hálózati hozzáféréseket. Az + így létrehozott naplóbejegyzések + felbecsülhetetlen értékûnek bizonyulhatnak egy + élõ rendszer felügyelete során, vagy egy + hálózati támadás + észleléséhez, esetleg egy összeomlás + okainak kielemezéséhez. A &os; ehhez a &sun; által + kifejlesztett BSM technológia API-ját + és állományformátumát + valósítja meg, és így képes + együttmûködni a &sun; &solaris; valamint az &apple; + &macos; X bizonsági rendszereivel egyaránt. - Ebben a fejezetben a biztonsági események vizsgálatának - telepítéséhez és beállításához szükséges ismeretek tekintjük át. - Ennek keretében szó esik a vizsgálati házirendekrõl, valamint - mutatunk egy példát a vizsgálatok beállítására. + Ebben a fejezetben a biztonsági események + vizsgálatának telepítéséhez és + beállításához szükséges ismeretek + tekintjük át. Ennek keretében szó esik a + vizsgálati házirendekrõl, valamint mutatunk egy + példát a vizsgálatok + beállítására. A fejezet elolvasása során megismerjük: - mit jelent az események vizsgálata és hogyan + mit jelent az események vizsgálata és hogyan mûködik. - hogyan kell beállítani az események vizsgálatát &os;-n - a különbözõ felhasználók és programok esetén. + hogyan kell beállítani az események + vizsgálatát &os;-n a különbözõ + felhasználók és programok esetén. - hogyan értelmezzük egy vizsgálati nyomokat a - vizsgálatot szûkítõ és -elemzõ segédprogramok segítségével. + hogyan értelmezzük egy vizsgálati nyomokat a + vizsgálatot szûkítõ és -elemzõ + segédprogramok segítségével. @@ -75,505 +89,627 @@ - alapvetõ &unix;-os és &os;-s ismeretek - (). + alapvetõ &unix;-os és &os;-s ismeretek + (). - a rendszermag konfigurálásával és fordításával kapcsolatos - tudnivalók alapszintû ismerete (). + a rendszermag konfigurálásával és + fordításával kapcsolatos tudnivalók + alapszintû ismerete (). - az informatikai biztonság alapfogalmainak és annak a &os;-re - vonatkozó részleteinek minimális ismerete - (). + az informatikai biztonság alapfogalmainak és annak + a &os;-re vonatkozó részleteinek minimális + ismerete (). - A &os; 6.2-es verziójában jelenlevõ biztonsági vizsgálat még - csak kísérleti jelleggel szerepel, éles környezetben kizárólag csak - az ilyen fajta szoftverekkel kapcsolatos kockázatok tudatában és - elfogadásával javasolt használni. Ismert korlátozások: nem mindegyik - biztonságot érintõ esemény vizsgálható, mint mondjuk az egyes - bejelentkezési típusok, mivel azok nem megfelelõen hitelesítik - a belépõ felhasználókat. Ilyenek például az X11-alapú felületek és - az egyéb, erre a célra alkalmas, más által fejlesztett daemonok. + A &os; 6.2-es verziójában jelenlevõ + biztonsági vizsgálat még csak + kísérleti jelleggel szerepel, éles + környezetben kizárólag csak az ilyen fajta + szoftverekkel kapcsolatos kockázatok tudatában és + elfogadásával javasolt használni. Ismert + korlátozások: nem mindegyik biztonságot + érintõ esemény vizsgálható, mint + mondjuk az egyes bejelentkezési típusok, mivel azok nem + megfelelõen hitelesítik a belépõ + felhasználókat. Ilyenek például az + X11-alapú felületek és az egyéb, erre a + célra alkalmas, más által fejlesztett daemonok. - A biztonsági események vizsgálata során a rendszer képes nagyon - részletes naplókat készíteni az érintett tevékenységekrõl. Így egy - kellõen forgalmas rendszeren az állománymozgások alapos nyomonkövetése - bizonyos konfigurációkon akár gigabyte-okat is kitehet hetente. A - rendszergazdáknak ezért mindig javasolt számolniuk a nagy forgalmú - események biztonsági vizsgálatának tárigényével. Például, emiatt - érdemes lehet egy egész állományrendszert szánni erre a feladatra a - /var/audit könyvtárban, és így a többi - állományrendszer nem látja kárát, ha véletlenül betelne ez a - terület. + A biztonsági események vizsgálata során + a rendszer képes nagyon részletes naplókat + készíteni az érintett + tevékenységekrõl. Így egy kellõen + forgalmas rendszeren az állománymozgások alapos + nyomonkövetése bizonyos konfigurációkon + akár gigabyte-okat is kitehet hetente. A + rendszergazdáknak ezért mindig javasolt számolniuk + a nagy forgalmú események biztonsági + vizsgálatának tárigényével. + Például, emiatt érdemes lehet egy egész + állományrendszert szánni erre a feladatra a + /var/audit könyvtárban, és + így a többi állományrendszer nem látja + kárát, ha véletlenül betelne ez a + terület. - A fejezet fontosabb fogalmai - A fejezet elolvasása elõtt meg kell ismernünk néhány fontos - alapfogalmat: + A fejezet elolvasása elõtt meg kell ismernünk + néhány fontos alapfogalmat: - esemény: Vizsgálható eseménynek azt az - eseményt nevezzük, amely egy vizsgálati alrendszerben naplózható. - Biztonsági események lehetnek például: egy állomány létrehozása, - egy hálózati kapcsolat felépítése, vagy egy felhasználó - bejelentkezése. Egy esemény jellegzetes, ha - visszakövethetõ valamelyik hitelesített felhasználóhoz, vagy - nem jellegzetes, ha ez nem lehetséges. Nem - jellegzetes események lehet például minden olyan esemény, amely - egy bejelentkezési folyamat hitelesítési lépése elõtt történik, - ilyenek a hibás jelszóval történõ belépési kísérletek. + esemény: Vizsgálható + eseménynek azt az eseményt nevezzük, amely egy + vizsgálati alrendszerben naplózható. + Biztonsági események lehetnek például: + egy állomány létrehozása, egy + hálózati kapcsolat felépítése, + vagy egy felhasználó bejelentkezése. Egy + esemény jellegzetes, ha + visszakövethetõ valamelyik hitelesített + felhasználóhoz, vagy nem jellegzetes, + ha ez nem lehetséges. Nem jellegzetes események lehet + például minden olyan esemény, amely egy + bejelentkezési folyamat hitelesítési + lépése elõtt történik, ilyenek a + hibás jelszóval történõ + belépési kísérletek. - osztály: Eseményosztálynak az összefüggõ - események névvel ellátott halmazát tekintjük, és szûrési - feltételekben használjuk õket. Általában alkalmazott osztályok: - file creation (fc, állománylétrehozás), - exec (ex, programindítás), és - login_logout (lo, ki- és bejelentkezés). + osztály: + Eseményosztálynak az összefüggõ + események névvel ellátott halmazát + tekintjük, és szûrési feltételekben + használjuk õket. Általában alkalmazott + osztályok: file creation (fc, + állománylétrehozás), exec + (ex, programindítás), és + login_logout (lo, ki- és + bejelentkezés). - rekord: Rekordnak nevezzük a biztonsági - eseményeket leíró biztonsági naplóbejegyzéseket. A rekordok - tartalmazhatják a feljegyzett esemény típusát, az eseményt kiváltó - tevékenységet (felhasználót), a dátumot és az idõt, tetszõleges - objektum vagy paraméter értékét, feltételek teljesülését vagy - meghiúsulását. + rekord: Rekordnak nevezzük a + biztonsági eseményeket leíró + biztonsági naplóbejegyzéseket. A rekordok + tartalmazhatják a feljegyzett esemény + típusát, az eseményt kiváltó + tevékenységet (felhasználót), a + dátumot és az idõt, tetszõleges objektum + vagy paraméter értékét, feltételek + teljesülését vagy + meghiúsulását. - nyom: Vizsgálati nyomnak vagy - naplóállománynak nevezzük a különféle biztonsági eseményeket - leíró vizsgálati rekordok sorozatát. A nyomok többnyire nagyjából - az események bekövetkezése szerinti idõrendben következnek. Csak - és kizárólag az erre felhatalmazott programok hozhatnak létre - rekordokat a vizsgálati nyomban. + nyom: Vizsgálati nyomnak vagy + naplóállománynak nevezzük a + különféle biztonsági eseményeket + leíró vizsgálati rekordok sorozatát. A + nyomok többnyire nagyjából az események + bekövetkezése szerinti idõrendben következnek. + Csak és kizárólag az erre felhatalmazott + programok hozhatnak létre rekordokat a vizsgálati + nyomban. - szûrési feltétel: Szûrési - feltételnek nevezünk egy olyan sztringet, amelyet események - szûrésére használunk, és módosítókat valamint eseményosztályok - neveit tartalmazza. + szûrési feltétel: + Szûrési feltételnek nevezünk egy olyan + sztringet, amelyet események szûrésére + használunk, és módosítókat + valamint eseményosztályok neveit tartalmazza. - elõválogatás: Elõválogatásnak nevezzük - a folyamatot, amelynek során a rendszer beazonosítja azokat az - eseményeket, amelyek a rendszergazda számára fontosak. Ezáltal - elkerülhetjük olyan vizsgálati rekordok generálását, amelyek - számunkra érdektelen eseményekrõl számolnak be. Az elõválogatás - szûrési feltételek sorát használja az adott felhasználókhoz - tartozó adott biztonsági események vizsgálatának beállításához, - akárcsak a hitelesített és a nem hitelesített programokat - értintõ globális beállítások meghatározásához. + elõválogatás: + Elõválogatásnak nevezzük a folyamatot, + amelynek során a rendszer beazonosítja azokat az + eseményeket, amelyek a rendszergazda számára + fontosak. Ezáltal elkerülhetjük olyan + vizsgálati rekordok generálását, amelyek + számunkra érdektelen eseményekrõl + számolnak be. Az elõválogatás + szûrési feltételek sorát használja + az adott felhasználókhoz tartozó adott + biztonsági események vizsgálatának + beállításához, akárcsak a + hitelesített és a nem hitelesített programokat + értintõ globális beállítások + meghatározásához. - leszûkítés: Leszûkítésnek nevezzük a - folyamatot, amelynek során a már meglevõ biztonsági rekordokból - válogatunk le tárolásra, nyomtatásra vagy elemzésre. Hasonlóan - ez a folyamat, ahol a szükségtelen rekordokat eltávolítjuk a - vizsgálatai nyomból. A leszûkítés segítségével a rendszergazdák - a vizsgálati adatok eltárolására alakíthatnak ki házirendet. - Például a részletesebb vizsgálati nyomokat érdemes egy hónapig - megtartani, ennek lejártával viszont már inkább ajánlott - leszûkíteni õket és archiválásra csak a bejelentkezési információkat - megtartani. + leszûkítés: + Leszûkítésnek nevezzük a folyamatot, amelynek + során a már meglevõ biztonsági + rekordokból válogatunk le tárolásra, + nyomtatásra vagy elemzésre. Hasonlóan ez a + folyamat, ahol a szükségtelen rekordokat + eltávolítjuk a vizsgálatai nyomból. A + leszûkítés segítségével a + rendszergazdák a vizsgálati adatok + eltárolására alakíthatnak ki + házirendet. Például a részletesebb + vizsgálati nyomokat érdemes egy hónapig + megtartani, ennek lejártával viszont már + inkább ajánlott leszûkíteni õket + és archiválásra csak a bejelentkezési + információkat megtartani. - A vizsgálat támogatásának telepítése + A vizsgálat támogatásának + telepítése - A eseményvizsgálathoz szükséges felhasználói programok a &os; - 6.2-RELEASE kiadásától kezdõdõen az alap operációs rendszer részét - képezik. Azonban az eseményvizsgálat használatához a rendszermagban is - be kell kapcsolnunk a megfelelõ támogatást, mégpedig a rendszermag - konfigurációs állományában az alábbi sor hozzáadásával: + A eseményvizsgálathoz szükséges + felhasználói programok a &os; 6.2-RELEASE + kiadásától kezdõdõen az alap + operációs rendszer részét képezik. + Azonban az eseményvizsgálat használatához a + rendszermagban is be kell kapcsolnunk a megfelelõ + támogatást, mégpedig a rendszermag + konfigurációs állományában az + alábbi sor hozzáadásával: options AUDIT - Fordítsuk és telepítsük újra a rendszermagot az - ben ismertetett folyamat szerint. + Fordítsuk és telepítsük újra a + rendszermagot az ben ismertetett + folyamat szerint. - Ahogy a rendszermagot sikerült lefordítanunk és telepítenünk, - valamint a rendszerünk is újraindult, indítsuk el a vizsgáló daemont - a következõ sor hozzáadásával a &man.rc.conf.5;-ban: + Ahogy a rendszermagot sikerült lefordítanunk és + telepítenünk, valamint a rendszerünk is + újraindult, indítsuk el a vizsgáló daemont + a következõ sor hozzáadásával a + &man.rc.conf.5;-ban: auditd_enable="YES" - A vizsgálatot innentõl ténylegesen egy ismételt újraindítással vagy - pedig az elõbb említett daemon manuális elindításával - aktiválhatjuk: - + A vizsgálatot innentõl ténylegesen egy + ismételt újraindítással vagy pedig az + elõbb említett daemon manuális + elindításával aktiválhatjuk: + /etc/rc.d/auditd start A vizsgálat beállítása - A vizsgálatok beállításához szükséges összes konfigurációs állomány - a /etc/security könyvtárban - található. A következõ állományok vannak itt a daemon indítása - elõtt: + A vizsgálatok beállításához + szükséges összes konfigurációs + állomány a /etc/security könyvtárban + található. A következõ állományok + vannak itt a daemon indítása elõtt: - audit_class - a vizsgálati osztályok - definícióit tartalmazza. + audit_class - a vizsgálati + osztályok definícióit tartalmazza. - audit_control - a vizsgálati alrendszer - különbözõ területei vezérli, többek közt az alapértelmezett - vizsgálati osztályokat, az vizsgálati adatok tárhelyén meghagyandó - minimális lemezterület, a vizsgálati nyom maximális mérete - stb. + audit_control - a vizsgálati + alrendszer különbözõ területei + vezérli, többek közt az alapértelmezett + vizsgálati osztályokat, az vizsgálati adatok + tárhelyén meghagyandó minimális + lemezterület, a vizsgálati nyom maximális + mérete, stb. - audit_event - a rendszerben jelenlevõ - vizsgálati események szöveges megnevezése és leírása, valamint a - lista, hogy melyikük mely osztályban található. + audit_event - a rendszerben jelenlevõ + vizsgálati események szöveges megnevezése + és leírása, valamint a lista, hogy melyikük + mely osztályban található. - audit_user - felhasználónként változó - vizsgálati elvárások, kombinálva a bejelentkezéskor érvényes - globálisan alapértelmezett beállításokkal. + audit_user - + felhasználónként változó + vizsgálati elvárások, kombinálva a + bejelentkezéskor érvényes globálisan + alapértelmezett beállításokkal. - audit_warn - az - auditd által használt testreszabható - shell szkript, aminek segítségével a szélsõséges helyzetekben - figyelmeztetõ üzeneteket tudunk generálni, mint mondjuk amikor - a rekordok számára fenntartott hely elfogyóban van, vagy amikor a - nyomokat tartalmazó állományt archiváltuk. + audit_warn - az + auditd által használt + testreszabható shell szkript, aminek + segítségével a szélsõséges + helyzetekben figyelmeztetõ üzeneteket tudunk + generálni, mint mondjuk amikor a rekordok + számára fenntartott hely elfogyóban van, vagy + amikor a nyomokat tartalmazó állományt + archiváltuk. - Az eseményvizsgálat konfigurációs állományait alapos körültekintés - mellett szabad szerkeszteni és karbantartani, mivel a bennük keletkezõ - hibák az események helytelen naplózását eredményezhetik. + Az eseményvizsgálat konfigurációs + állományait alapos körültekintés + mellett szabad szerkeszteni és karbantartani, mivel a + bennük keletkezõ hibák az események + helytelen naplózását + eredményezhetik. Eseményszûrési feltételek - Az eseményvizsgálati beállítások során számtalan helyen felbukkanak - a vizsgálni kívánt eseményeket meghatározó szûrési feltételek. Ezen - feltételek eseményosztályok felsorolását tartalmazzák, mindegyiküket - egy módosító vezeti be, ezzel jelezve, hogy az adott eseményosztályba - tartozó rekordokat tartsuk meg vagy vessük el. Esetleg utalhatnak arra - is, hogy vagy csak a sikerességet jelzõ rekordokat, vagy csak a - sikertelenséget jelzõ rekordokat szûrjük ki. A szûrési feltételek - balról jobbra értékelõdnek ki, és két kifejezés összefûzéssel - kombinálható. + Az eseményvizsgálati beállítások + során számtalan helyen felbukkanak a vizsgálni + kívánt eseményeket meghatározó + szûrési feltételek. Ezen feltételek + eseményosztályok felsorolását + tartalmazzák, mindegyiküket egy + módosító vezeti be, ezzel jelezve, hogy az adott + eseményosztályba tartozó rekordokat tartsuk meg + vagy vessük el. Esetleg utalhatnak arra is, hogy vagy csak a + sikerességet jelzõ rekordokat, vagy csak a + sikertelenséget jelzõ rekordokat szûrjük ki. + A szûrési feltételek balról jobbra + értékelõdnek ki, és két + kifejezés összefûzéssel + kombinálható. A most következõ lista tartalmazza a - audit_class állományban található alapértelmezett - eseményvizsgálati osztályokat: + audit_class állományban + található alapértelmezett + eseményvizsgálati osztályokat: - - all - all (mind) - - Minden eseményosztályra vonatkozik. - - - - ad - - administrive (adminisztrációs) - olyan - adminisztrációs tevékenységek, amelyek egyben az egész rendszeren - végrehajtódnak. - - - - ap - - application (alkalmazás) - az alkalmazások - által meghatározott tevékenység. - - - - cl - - file close (állomány lezárása) - a - close rendszerhívás meghívásának - vizsgálata. - - - - ex - - exec (programindítás) - egy program - indításának vizsgálata. A parancssorban átadott paraméterek és - a környezeti változók vizsgálatát a &man.audit.control.5; - vezérli a policy beállításhoz tartozó - argv és envv - paraméterek segítségével. - - - - fa - - file attribute access - (állományjellemzõk hozzáférése) - a rendszerbeli - objektumok jellemzõinek hozzáférésnek vizsgálata, mint pl. a - &man.stat.1;, &man.pathconf.2; és ehhez hasonló események. - + + all - all (mind) - + Minden eseményosztályra vonatkozik. + + + + ad - administrive + (adminisztrációs) - olyan + adminisztrációs tevékenységek, + amelyek egyben az egész rendszeren + végrehajtódnak. + + + + ap - application + (alkalmazás) - az alkalmazások + által meghatározott + tevékenység. + + + + cl - file close + (állomány lezárása) - a + close rendszerhívás + meghívásának vizsgálata. + + + + ex - exec + (programindítás) - egy program + indításának vizsgálata. A + parancssorban átadott paraméterek és + a környezeti változók vizsgálatát + a &man.audit.control.5; vezérli a policy + beállításhoz tartozó + argv és envv + paraméterek segítségével. + + + + fa - file attribute access + (állományjellemzõk + hozzáférése) - a rendszerbeli + objektumok jellemzõinek hozzáférésnek + vizsgálata, mint pl. a &man.stat.1;, &man.pathconf.2; + és ehhez hasonló események. + - - fc - - file create (állomány létrehozása) - - állományt eredményezõ események vizsgálata. - + + fc - file create + (állomány létrehozása) - + állományt eredményezõ események + vizsgálata. + - - fd - - file delete (állomány törlése) - - állományt törlõ események vizsgálata. - - - - fm - - file attribute modify (állományjellemzõk - módosítása) - állományok jellemzõit megváltoztató - események vizsgálata, mint mondjuk a &man.chown.8;, - &man.chflags.1;, &man.flock.2; stb. - - - - fr - - file read (állományolvasás) - - állományok olvasásra történõ megnyitásával, olvasásával - stb. kapcsolatos események vizsgálata. - - - - fw - - file write (állományírás) - - állományok írásra történõ megnyitásával, írásával, - módosításával stb. kapcsolatos események vizsgálata. - - - - io - - ioctl - a &man.ioctl.2; rendszerhívást - használó események vizsgálata. - - - - ip - - ipc - a folyamatok közti kommunikáció - különféle formáinak, beleértve a POSIX csövek és System V - IPC mûveleteinek vizsgálata. - - - - lo - - login_logout (ki- és bejelentkezés) - - a rendszerben megjelenõ &man.login.1; és &man.logout.1; - események vizsgálata. - - - - na - - non attributable (nem jellegzetes) - - a nem jellegzetes események vizsgálata. - - - - no - - invalid class (érvénytelen osztály) - - egyetlen biztonsági eseményt sem tartalmaz. - - - - nt - - network (hálózat) - - a hálózathoz tartozó események vizsgálata, mint pl. a - &man.connect.2; és &man.accept.2;. - - - - ot - - other (egyéb) - - más egyéb események vizsgálata. - - - - pc - - process (folyamat) - a folyamatokkal - kapcsolatos mûveletek, mint például a &man.exec.3; és - &man.exit.3; vizsgálata. - + + fd - file delete + (állomány törlése) - + állományt törlõ események + vizsgálata. + + + + fm - file attribute modify + (állományjellemzõk + módosítása) - + állományok jellemzõit + megváltoztató események vizsgálata, + mint mondjuk a &man.chown.8;, &man.chflags.1;, &man.flock.2;, + stb. + + + + fr - file read + (állományolvasás) - + állományok olvasásra történõ + megnyitásával, olvasásával, + stb. kapcsolatos események vizsgálata. + + + + fw - file write + (állományírás) - + állományok írásra + történõ megnyitásával, + írásával, + módosításával, stb. kapcsolatos + események vizsgálata. + + + + io - ioctl - a + &man.ioctl.2; rendszerhívást használó + események vizsgálata. + + + + ip - ipc - a folyamatok + közti kommunikáció különféle + formáinak, beleértve a POSIX csövek és + System V IPC mûveleteinek + vizsgálata. + + + + lo - login_logout (ki- + és bejelentkezés) - a rendszerben + megjelenõ &man.login.1; és &man.logout.1; + események vizsgálata. + + + + na - non attributable (nem + jellegzetes) - a nem jellegzetes események + vizsgálata. + + + + no - invalid class + (érvénytelen osztály) - + egyetlen biztonsági eseményt sem tartalmaz. + + + + nt - network + (hálózat) - a hálózathoz + tartozó események vizsgálata, mint pl. a + &man.connect.2; és &man.accept.2;. + + + + ot - other + (egyéb) - más egyéb + események vizsgálata. + + + pc - process + (folyamat) - a folyamatokkal kapcsolatos mûveletek, + mint például a &man.exec.3; és &man.exit.3; + vizsgálata. + - - Az imént felsorolt eseményosztályok az - audit_class és audit_event - állományok módosításával igény szerint testreszabhatóak. - - A listában szereplõ minden egyes eseményosztályhoz tartozik - még egy módosító is, amely jelzi, hogy a sikeres vagy a sikertelen - mûveleteket kell-e szûrnünk, valamint hogy a bejegyzés az adott - típust vagy osztályt hozzáadja vagy elveszi az adott - szûrésbõl. + + Az imént felsorolt eseményosztályok az + audit_class és + audit_event állományok + módosításával igény szerint + testreszabhatóak. + + A listában szereplõ minden egyes + eseményosztályhoz tartozik még egy + módosító is, amely jelzi, hogy a sikeres vagy a + sikertelen mûveleteket kell-e szûrnünk, valamint hogy a + bejegyzés az adott típust vagy osztályt + hozzáadja vagy elveszi az adott + szûrésbõl. - - - (üres) az adott típusból mind a sikereseket és mind a - sikerteleneket feljegyzi. - - - - + az eseményosztályba tartozó sikeres - eseményeket vizsgálja csak. - - - - - az eseményosztályba tartozó sikertelen - eseményeket vizsgálja csak. - - - - ^ az eseményosztályból sem a sikereseket, - sem pedig a sikerteleneket nem vizsgálja. - - - - ^+ az eseményosztályból nem vizsgálja a - sikeres eseményeket. - - - - ^- az eseményosztályból nem vizsgálja a - sikertelen eseményeket. - + + (üres) az adott típusból mind a sikereseket + és mind a sikerteleneket feljegyzi. + + + + + az eseményosztályba + tartozó sikeres eseményeket vizsgálja + csak. + + + + - az eseményosztályba + tartozó sikertelen eseményeket vizsgálja + csak. + + + + ^ az eseményosztályból + sem a sikereseket, sem pedig a sikerteleneket nem + vizsgálja. + + + + ^+ az eseményosztályból + nem vizsgálja a sikeres eseményeket. + + + ^- az eseményosztályból + nem vizsgálja a sikertelen eseményeket. + - Az alábbi példa egy olyan szûrési feltételt mutat be, amely - a ki/bejelentkezések közül megadja a sikereset és a sikerteleneket, - viszont a programindítások közül csak a sikereseket: + Az alábbi példa egy olyan szûrési + feltételt mutat be, amely a ki/bejelentkezések + közül megadja a sikereset és a sikerteleneket, + viszont a programindítások közül csak a + sikereseket: lo,+ex - A konfigurációs állományok - A vizsgálati rendszer beállításához az esetek túlnyomó részében - a rendszergazdáknak csupán két állományt kell módosítaniuk: ezek az - audit_control és az - audit_user. Az elõbbi felelõs a rendszerszintû - vizsgálati jellemzõkért és házirendekért, míg az utóbbi az igények - felhasználókénti finomhangolásához használható. + A vizsgálati rendszer + beállításához az esetek + túlnyomó részében a + rendszergazdáknak csupán két + állományt kell módosítaniuk: ezek az + audit_control és az + audit_user. Az elõbbi felelõs a + rendszerszintû vizsgálati jellemzõkért + és házirendekért, míg az utóbbi az + igények felhasználókénti + finomhangolásához használható. - Az <filename>audit_control</filename> állomány - - Az audit_control állomány határozza meg a - vizsgálati alrendszer alapértelmezéseit. Ezt az állományt - megnyitva a következõket láthatjuk: + Az <filename>audit_control</filename> + állomány + + Az audit_control állomány + határozza meg a vizsgálati alrendszer + alapértelmezéseit. Ezt az állományt + megnyitva a következõket láthatjuk: - dir:/var/audit + dir:/var/audit flags:lo minfree:20 naflags:lo policy:cnt filesz:0 - A opciót használjuk a vizsgálati naplók - tárolására szolgáló egy vagy több könyvtár megadására. Ha egynél - több könyvtárra vonatkozó bejegyzés található az állományban, akkor - azok a megadás sorrendjében kerülnek feltöltésre. Nagyon gyakori - az a beállítás, ahol a vizsgálati naplókat egy erre a célra külön - kialakított állományrendszeren tárolják, megelõzve ezzel az - állományrendszer betelésekor keletkezõ problémákat a többi - alrendszerben. - - A mezõ egy rendszerszintû - alapértelmezett elõválogatási maszkot határoz meg a jellegzetes - események számára. A fenti példában a sikeres és sikertelen ki- - és bejelentkezéseket mindegyik felhasználó esetén - vizsgáljuk. - - A opció megszabja a vizsgálati nyom - tárolására szánt állományrendszeren a minimális szabad helyet, - a teljes kapacitás százalékában. Amint ezt a küszöböt túllépjük, - egy figyelmeztetés fog generálódni. A fenti példa a minimálisan - szükséges rendelkezésre álló helyet húsz százalékra - állítja. - - A opció megadja azokat az - eseményosztályokat, amelyeket vizsgálni kell a nem jellegzetes - események, mind mondjuk a bejelentkezési folyamatok vagy - rendszerdaemonok esetén. - - A opció a vizsgálat különbözõ - szempontjait irányító házirendbeli beállítások vesszõvel - elválasztott listáját tartalmazza. Az alapértelmezett - cnt beállítás azt adja meg, hogy a rendszer - a felmerülõ vizsgálati hibák ellenére is folytassa tovább a - mûködését (erõsen javasolt a használata). A másik gyakorta - alkalmazott beállítás az argv, amellyel a - rendszer a parancsvégrehajtás részeként az &man.execve.2; - rendszerhívás parancssori paramétereit is megvizsgálja. - - A opció meghatározza a - vizsgálati nyom automatikus szétvágása és archiválása elõtti - maximális méretét, byte-ban. Az alapértelmezett értéke a 0, - amely kikapcsolja ezt az archiválást. Ha az itt megadott - állományméret nem nulla és a minimálisan elvárt 512 kb alatt - van, akkor a rendszer figyelmen kívül hagyja és errõl egy - figyelmeztetést ad. + A opciót használjuk a + vizsgálati naplók tárolására + szolgáló egy vagy több könyvtár + megadására. Ha egynél több + könyvtárra vonatkozó bejegyzés + található az állományban, akkor azok a + megadás sorrendjében kerülnek + feltöltésre. Nagyon gyakori az a + beállítás, ahol a vizsgálati + naplókat egy erre a célra külön + kialakított állományrendszeren + tárolják, megelõzve ezzel az + állományrendszer betelésekor keletkezõ + problémákat a többi alrendszerben. + + A mezõ egy rendszerszintû + alapértelmezett elõválogatási maszkot + határoz meg a jellegzetes események >>> TRUNCATED FOR MAIL (1000 lines) <<<