From owner-svn-doc-all@FreeBSD.ORG Wed Apr 16 17:21:04 2014 Return-Path: Delivered-To: svn-doc-all@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) (using TLSv1 with cipher ADH-AES256-SHA (256/256 bits)) (No client certificate requested) by hub.freebsd.org (Postfix) with ESMTPS id DFA375B5; Wed, 16 Apr 2014 17:21:04 +0000 (UTC) Received: from svn.freebsd.org (svn.freebsd.org [IPv6:2001:1900:2254:2068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id CA392192A; Wed, 16 Apr 2014 17:21:04 +0000 (UTC) Received: from svn.freebsd.org ([127.0.1.70]) by svn.freebsd.org (8.14.8/8.14.8) with ESMTP id s3GHL403033354; Wed, 16 Apr 2014 17:21:04 GMT (envelope-from taras@svn.freebsd.org) Received: (from taras@localhost) by svn.freebsd.org (8.14.8/8.14.8/Submit) id s3GHL4i0033353; Wed, 16 Apr 2014 17:21:04 GMT (envelope-from taras@svn.freebsd.org) Message-Id: <201404161721.s3GHL4i0033353@svn.freebsd.org> From: Taras Korenko Date: Wed, 16 Apr 2014 17:21:04 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r44581 - head/ru_RU.KOI8-R/books/handbook/audit X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-Mailman-Approved-At: Wed, 16 Apr 2014 18:01:43 +0000 X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.17 Precedence: list List-Id: "SVN commit messages for the entire doc trees \(except for " user" , " projects" , and " translations" \)" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 16 Apr 2014 17:21:05 -0000 Author: taras Date: Wed Apr 16 17:21:04 2014 New Revision: 44581 URL: http://svnweb.freebsd.org/changeset/doc/44581 Log: + whitespace cleanup after previous two commits. Modified: head/ru_RU.KOI8-R/books/handbook/audit/chapter.xml Modified: head/ru_RU.KOI8-R/books/handbook/audit/chapter.xml ============================================================================== --- head/ru_RU.KOI8-R/books/handbook/audit/chapter.xml Wed Apr 16 17:18:22 2014 (r44580) +++ head/ru_RU.KOI8-R/books/handbook/audit/chapter.xml Wed Apr 16 17:21:04 2014 (r44581) @@ -16,7 +16,9 @@ requirements. --> - Аудит событий безопасности + + Аудит событий безопасности + @@ -25,6 +27,7 @@ requirements. --> Автор + Robert @@ -36,40 +39,41 @@ requirements. --> Краткий обзор + AUDIT Аудит событий безопасности MAC + Операционная система &os; включает в себя поддержку аудита событий безопасности. Аудит позволяет выполнять надежное, - детальное и гибко настраиваемое протоколирование - различных событий, связанных с безопасностью, - включая входы в систему, изменения конфигурации, доступ к - файлам и сети. Эти записи могут быть незаменимы для - мониторинга функционирующей системы, обнаружения вторжений - и для анализа событий, приведших к краху системы. - В &os; реализован опубликованный &sun; интерфейс прикладного - программирования (Application Programming Interface, - API), называемый Basic Security Module - (BSM), и формат файла, который совместим с - реализациями аудита в &solaris; и &macos; X. + детальное и гибко настраиваемое протоколирование различных + событий, связанных с безопасностью, включая входы в систему, + изменения конфигурации, доступ к файлам и сети. Эти записи + могут быть незаменимы для мониторинга функционирующей системы, + обнаружения вторжений и для анализа событий, приведших к краху + системы. В &os; реализован опубликованный &sun; интерфейс + прикладного программирования (Application Programming + Interface, API), называемый Basic Security + Module (BSM), и формат файла, который + совместим с реализациями аудита в &solaris; и &macos; X. В этой главе описывается процесс установки и конфигурирования системы аудита. В том числе, приводится - разъяснение политик аудита, а также даются примеры конфигурационных - файлов. + разъяснение политик аудита, а также даются примеры + конфигурационных файлов. После прочтения этой главы вы будете знать: + Что такое система аудита и как она работает. - Как настроить аудит во &os; для мониторинга - пользователей и процессов. + пользователей и процессов. @@ -93,28 +97,29 @@ requirements. --> Понимать основные принципы безопасности в применении - к операционной системе &os; (). + к операционной системе &os; (). - Реализация аудита имеет известные ограничения. - Не все события в настоящий момент протоколируемые. - Также, некоторые механизмы входа в систему, такие как - оконные менеджеры X11 или - демоны от сторонних производителей, не настраивают аудит - пользовательских сессий должным образом. + Реализация аудита имеет известные ограничения. Не все + события в настоящий момент протоколируемые. Также, некоторые + механизмы входа в систему, такие как оконные менеджеры + X11 или демоны от сторонних + производителей, не настраивают аудит пользовательских сессий + должным образом. Использование системы аудита может привести к генерированию изобилующих подробностями журнальных файлов. Их размер на загруженных серверах в некоторых конфигурациях - может превышать несколько гигабайт в неделю. - Администраторы должны принимать во внимание требования - к дисковому пространству для нагруженных конфигураций системы - аудита. Например, желательно выделить отдельный раздел для - файловой системы аудита /var/audit, - чтобы заполнение раздела аудита не влияло на - другие файловые системы. + может превышать несколько гигабайт в неделю. Администраторы + должны принимать во внимание требования к дисковому + пространству для нагруженных конфигураций системы аудита. + Например, желательно выделить отдельный раздел для файловой + системы аудита /var/audit, чтобы + заполнение раздела аудита не влияло на другие файловые + системы. @@ -129,46 +134,43 @@ requirements. --> событие (event): событие, которое может быть занесено в журнал. Примерами событий, относящихся к безопасности системы, являются: создание - файла, инициализацию сетевого - соединения, вход пользователя в систему. События - разделяются на приписываемые (attributable) - - те, которые могут быть отнесены к конкретному пользователю - - и неприписываемые (non-attributable). - Пример - неприписываемого события — любое событие, произошедшее до - аутентификации пользователя, например, неверно - набранный пароль. + файла, инициализацию сетевого соединения, вход пользователя + в систему. События разделяются на + приписываемые (attributable) - те, которые + могут быть отнесены к конкретному пользователю - и + неприписываемые (non-attributable). Пример + неприписываемого события — любое событие, + произошедшее до аутентификации пользователя, например, + неверно набранный пароль. класс (class): именованные наборы - однотипных событий, которые используются - в выражениях выбора. Часто используемые классы событий - включают создание файла (fc), - выполнение файла (ex) - и события входа в систему и выхода из нее (lo). + однотипных событий, которые используются в выражениях + выбора. Часто используемые классы событий включают + создание файла (fc), выполнение + файла (ex) и события входа в систему и + выхода из нее (lo). запись (record): единичная запись - в журнале, описывающая то или иное - событие. Записи содержат информацию о типе события, - информацию о субъекте события (пользователе), который - выполнил некоторое действие, дату и время события, - информацию об объектах и аргументах события, - а также информацию об успешности или неуспешности выполнения - операции. + в журнале, описывающая то или иное событие. Записи + содержат информацию о типе события, информацию о субъекте + события (пользователе), который выполнил некоторое действие, + дату и время события, информацию об объектах и аргументах + события, а также информацию об успешности или неуспешности + выполнения операции. - журнал (trail): файл, - содержащий последовательность записей аудита, описывающих - события безопасности (security events). - Журнал содержит записи в ориентировочно - хронологическом порядке по времени завершения - события. Только авторизованные процессы могут + журнал (trail): файл, содержащий + последовательность записей аудита, описывающих события + безопасности (security events). Журнал содержит записи в + ориентировочно хронологическом порядке по времени + завершения события. Только авторизованные процессы могут добавлять записи в журнал. - + выражение выбора (selection @@ -177,26 +179,27 @@ requirements. --> - предварительный выбор (preselection): - процесс, с помощью которого система определяет, какие события имеют - важность для администратора. + предварительный выбор + (preselection): процесс, с помощью которого система + определяет, какие события имеют важность для администратора. Предварительный выбор использует ряд выражений выбора, - задающих какие именно классы событий и для - какого пользователя необходимо вносить в журнал, а также — + задающих какие именно классы событий и для какого + пользователя необходимо вносить в журнал, а также — глобальные настройки, которые будут применяться как для авторизованных, так и для неавторизованных процессов. - фильтрация (reduction): - процесс, в результате которого записи из существующего журнала - выделяются для хранения, распечатки или анализа. Также, это - процесс, в результате которого нежелательные записи удаляются - из журнала аудита. Используя фильтрацию, администраторы могут - реализовывать различные политики хранения данных аудита. - Например, детализированный журнал может храниться месяц, но - после этого он может быть сокращен чтобы хранить только - информацию о входе в систему и выходе из нее. + фильтрация (reduction): процесс, в + результате которого записи из существующего журнала + выделяются для хранения, распечатки или анализа. Также, + это процесс, в результате которого нежелательные записи + удаляются из журнала аудита. Используя фильтрацию, + администраторы могут реализовывать различные политики + хранения данных аудита. Например, детализированный журнал + может храниться месяц, но после этого он может быть + сокращен чтобы хранить только информацию о входе в систему + и выходе из нее. @@ -228,10 +231,9 @@ requirements. --> Выражения выбора используются в нескольких местах конфигурации для отбора событий, подлежащих аудиту. Выражения содержат перечень классов событий, с которым - сравнивается происшедшее событие. Выражения - выбора рассматриваются слева направо, и два выражения - объединяются добавлением первого выражения ко - второму. + сравнивается происшедшее событие. Выражения выбора + рассматриваются слева направо, и два выражения объединяются + добавлением первого выражения ко второму. перечисляет имеющиеся по умолчанию записи: @@ -399,10 +401,9 @@ requirements. --> audit_event. Каждый класс аудита можно скомбинировать с префиксом, - показывающим, - какие операции будут учитываться — удачные или неудачные, - а также то, включает ли данная запись аудит для данного - класса и типа, либо отключает его. обобщает доступные префиксы: @@ -452,9 +453,9 @@ requirements. --> Если префикс не указан, то аудиту подлежат как успешные, так и неуспешные события. - Следующий пример выбирает успешные и неуспешные события входа в - систему и выхода из нее, и только успешные события выполнения - приложения: + Следующий пример выбирает успешные и неуспешные события + входа в систему и выхода из нее, и только успешные события + выполнения приложения: lo,+ex @@ -474,9 +475,9 @@ requirements. --> audit_control: контроллирует некоторые аспекты системы аудита, такие как классы по - умолчанию, минимальное дисковое - пространство, которое должно оставаться на разделе журнала - аудита, максимальный размер журнала аудита. + умолчанию, минимальное дисковое пространство, которое + должно оставаться на разделе журнала аудита, максимальный + размер журнала аудита. @@ -495,10 +496,11 @@ requirements. --> audit_warn: настраиваемый скрипт - командного интерпретатора, который вызывается &man.auditd.8; - для генерации предупреждений в исключительных ситуациях, - таких как исчерпание дискового пространства записями аудита - или при ротации журнала аудита. + командного интерпретатора, который вызывается + &man.auditd.8; для генерации предупреждений в + исключительных ситуациях, таких как исчерпание дискового + пространства записями аудита или при ротации журнала + аудита. @@ -531,16 +533,15 @@ policy:cnt,argv filesz:2M expire-after:10M - Запись используется для - установки одного или более каталогов, в - которых будет сохраняться журнал системы аудита. Если - указан более чем один каталог, то указанные каталоги - будут использоваться по очереди, по мере заполнения. Как - правило, система аудита настраивается на хранение - журнала аудита на отдельном разделе, чтобы - предотвратить взаимное влияние подсистемы аудита и остальных - подсистем в случае исчерпания свободного места на - разделе. + Запись используется для установки + одного или более каталогов, в которых будет сохраняться + журнал системы аудита. Если указан более чем один каталог, + то указанные каталоги будут использоваться по очереди, по + мере заполнения. Как правило, система аудита настраивается + на хранение журнала аудита на отдельном разделе, чтобы + предотвратить взаимное влияние подсистемы аудита и + остальных подсистем в случае исчерпания свободного + места на разделе. Если опция имеет значение on или yes, то для @@ -548,8 +549,8 @@ expire-after:10M сохраняемые в /var/audit/dist. Запись используется для - установки глобальной маски предварительного выбора - для приписываемых событий. В примере выше аудиту будут + установки глобальной маски предварительного выбора для + приписываемых событий. В примере выше аудиту будут подвергаться как успешные, так и неудачные попытки входа в систему и выхода из нее, а также — аутентификация и авторизация для всех пользователей. @@ -564,24 +565,21 @@ expire-after:10M входа в систему и системных демонов. Запись определяет разделяемый - запятыми список - флагов политики, определяющей различные аспекты поведения - аудита. - Флаг cnt указывает, что - система должна продолжать работать, несмотря на ошибки - аудита (данный флаг настоятельно рекомендуется). - Второй флаг, argv, - заставляет подвергать аудиту аргументы командной - строки при вызове системного вызова &man.execve.2;. + запятыми список флагов политики, определяющей различные + аспекты поведения аудита. Флаг cnt + указывает, что система должна продолжать работать, несмотря + на ошибки аудита (данный флаг настоятельно рекомендуется). + Второй флаг, argv, заставляет подвергать + аудиту аргументы командной строки при вызове системного + вызова &man.execve.2;. Запись определяет максимальный размер журнала событий аудита, по достижении которого - журнал будет автоматически - закончен и подвергнут ротации. Значение 0 - запрещает автоматическую ротацию логов. Если указанный - размер ниже минимального значения - 512К, то он будет проигнорирован, и будет сгенерировано - предупреждающее сообщение в логах. + журнал будет автоматически закончен и подвергнут ротации. + Значение 0 запрещает автоматическую + ротацию логов. Если указанный размер ниже минимального + значения 512К, то он будет проигнорирован, и будет + сгенерировано предупреждающее сообщение в логах. Поле определяет момент времени, при достижении которого журнальные файлы считаются @@ -592,30 +590,28 @@ expire-after:10M Файл <filename>audit_user</filename> Администратор может определить дополнительные - требования к аудиту для конкретных пользователей - в файле audit_user. - Каждая строка позволяет уточнить настройки аудита - для пользователя при помощи двух полей: - alwaysaudit — определяющее - набор событий, которые должны всегда подвергаться - аудиту для данного пользователя, и - neveraudit — перечисляющее - набор событий, которые никогда не должны подвергаться - аудиту для пользователя. + требования к аудиту для конкретных пользователей в файле + audit_user. Каждая строка позволяет + уточнить настройки аудита для пользователя при помощи двух + полей: alwaysaudit — определяющее + набор событий, которые должны всегда подвергаться аудиту + для данного пользователя, и neveraudit + — перечисляющее набор событий, которые никогда не + должны подвергаться аудиту для пользователя. Нижеследующий пример настраивает аудит всех событий входа в систему, выхода из системы, а также аудит всех - успешных выполнений команд для пользователя - root, - а также — аудит всех событий, связанных с созданием - файлов и успешным выполнением команд пользователем - www. С - настройками по умолчанию в audit_control - запись lo для - root - является избыточной, кроме того, события входа в систему и выхода - из системы будут подвергаться аудиту и для пользователя - www. + успешных выполнений команд для пользователя root, а также — аудит + всех событий, связанных с созданием файлов и успешным + выполнением команд пользователем www. С настройками по + умолчанию в audit_control запись + lo для root является избыточной, + кроме того, события входа в систему и выхода из системы + будут подвергаться аудиту и для пользователя www. root:lo,+ex:no www:fc,+ex:no @@ -625,39 +621,38 @@ www:fc,+ex:no Работа с журналами аудита - + Так как журнал аудита хранится в бинарном формате BSM, то для его изменения или перевода в текстовый формат предоставляются встроенные утилиты. Утилита - praudit преобразует журнал аудита в текстовый - формат. Утилита auditreduce применяется для - фильтрации журнальных записей с целью анализа, архивирования - или распечатки. Последняя утилита поддерживает разнообразие - параметров, позволяющих выбирать записи по типу события, по - классу события, по пользователю, по дате или времени события, - по пути к файлу или по объекту, над которым производилось - действие. - - Например, для отображения всего содержимого журнала аудита - в текстовом формате выполните: - - &prompt.root; praudit /var/audit/AUDITFILE - - В данном примере AUDITFILE - — журнал, - который будет выведен в текстовом формате. - - Журнал аудита состоит из серии записей, которые, в свою - очередь состоят из элементов, которые команда - praudit - выводит последовательно - по одному на строку. Каждый элемент - имеет определенный тип, например - header (содержит заголовок записи) или - path (полный путь к файлу). - Следующий пример показывает запись для события - execve: + praudit преобразует журнал аудита в + текстовый формат. Утилита auditreduce + применяется для фильтрации журнальных записей с целью анализа, + архивирования или распечатки. Последняя утилита поддерживает + разнообразие параметров, позволяющих выбирать записи по типу + события, по классу события, по пользователю, по дате или + времени события, по пути к файлу или по объекту, над которым + производилось действие. + + Например, для отображения всего содержимого журнала аудита + в текстовом формате выполните: + + &prompt.root; praudit /var/audit/AUDITFILE + + В данном примере AUDITFILE + — журнал, который будет выведен в текстовом + формате. + + Журнал аудита состоит из серии записей, которые, в свою + очередь состоят из элементов, которые команда + praudit выводит последовательно - по одному + на строку. Каждый элемент имеет определенный тип, например + header (содержит заголовок записи) или + path (полный путь к файлу). Следующий + пример показывает запись для события + execve: - header,133,10,execve(2),0,Mon Sep 25 15:58:03 2006, + 384 msec + header,133,10,execve(2),0,Mon Sep 25 15:58:03 2006, + 384 msec exec arg,finger,doug path,/usr/bin/finger attribute,555,root,wheel,90,24918,104944 @@ -665,77 +660,75 @@ subject,robert,root,wheel,root,wheel,384 return,success,0 trailer,133 - Эта запись отражает результат успешного выполнения системного - вызова execve, который стал результатом выполнения - команды finger doug. В элементе записи - exec arg есть - командная строка, которую оболочка передала ядру. Элемент - path содержит путь к исполняемому файлу в - представлении ядра. Элемент attribute - описывает исполняемый файл, а также права доступа файла. - Элемент subject описывает - ID аудируемого пользователя, исполняющие (effective) UID и GID, - реальные ID пользователя и группы, идентификатор процесса, - идентификатор сессии, порт и адрес, с которого был осуществлен - вход в систему. Обратите внимание: идентификатор аудируемого - пользователя и реальный идентификатор пользователя отличаются, - так как пользователь - robert повысил - привилегии до пользователя - root перед - выполнением команды, но система аудита занесла его действия в - журнал используя изначальный идентификатор. Элемент - return описывает успешное - выполнение операции, а элемент - trailer завершает запись. - - Указав аргумент можно получить - вывод в формате XML. - - Поскольку логи системы аудита могут иметь огромный размер, - возможно выделить только часть записей при помощи - auditreduce. В следующем примере - из AUDITFILE выбираются все записи, - касающиеся пользователя - trhodes: - - &prompt.root; auditreduce -u trhodes /var/audit/AUDITFILE | praudit - - Члены группы audit - имеют доступ на чтение к журналу аудита, находящемуся в - /var/audit. По умолчанию эта группа пуста, - и только root - имеет к ним доступ. Для того, чтобы дать пользователю - права на чтение журнала, его необходимо добавить в группу - audit. - Право на чтение журнала аудита позволяет получить множество - информации о поведении пользователей и процессов, поэтому - рекомендуется делегировать права на чтение журнала аудита - с большой осторожностью. - + Эта запись отражает результат успешного выполнения + системного вызова execve, который стал + результатом выполнения команды finger doug. + В элементе записи exec arg есть командная + строка, которую оболочка передала ядру. Элемент + path содержит путь к исполняемому файлу в + представлении ядра. Элемент attribute + описывает исполняемый файл, а также права доступа файла. + Элемент subject описывает ID аудируемого + пользователя, исполняющие (effective) UID и GID, реальные ID + пользователя и группы, идентификатор процесса, идентификатор + сессии, порт и адрес, с которого был осуществлен вход в + систему. Обратите внимание: идентификатор аудируемого + пользователя и реальный идентификатор пользователя отличаются, + так как пользователь robert повысил привилегии до + пользователя root + перед выполнением команды, но система аудита занесла его + действия в журнал используя изначальный идентификатор. Элемент + return описывает успешное выполнение + операции, а элемент trailer завершает + запись. + + Указав аргумент можно получить вывод в + формате XML. + + Поскольку логи системы аудита могут иметь огромный размер, + возможно выделить только часть записей при помощи + auditreduce. В следующем примере из + AUDITFILE выбираются все записи, + касающиеся пользователя trhodes: + + &prompt.root; auditreduce -u trhodes /var/audit/AUDITFILE | praudit + + Члены группы audit имеют доступ на чтение к + журналу аудита, находящемуся в /var/audit. + По умолчанию эта группа пуста, и только root имеет к ним доступ. Для + того, чтобы дать пользователю права на чтение журнала, его + необходимо добавить в группу audit. Право на чтение журнала + аудита позволяет получить множество информации о поведении + пользователей и процессов, поэтому рекомендуется делегировать + права на чтение журнала аудита с большой осторожностью. + Мониторинг системы в реальном времени с использованием потоков аудита Потоки системы аудита — клонирующиеся псевдоустройства, позволяющие приложениям просматривать - в реальном времени поток событий аудита. - В первую очередь, это должно заинтересовать авторов программ - определения вторжений и мониторинга системы. Тем не - менее, для администратора поток системы аудита предоставляет - возможность организовать наблюдение за системой, - избежав проблем с правами доступа на журнал аудита или - с прерыванием потока событий из-за ротации журнала. Для - отслеживания потока событий аудита в реальном времени, - выполните: + в реальном времени поток событий аудита. В первую очередь, + это должно заинтересовать авторов программ определения + вторжений и мониторинга системы. Тем не менее, для + администратора поток системы аудита предоставляет возможность + организовать наблюдение за системой, избежав проблем с + правами доступа на журнал аудита или с прерыванием потока + событий из-за ротации журнала. Для отслеживания потока + событий аудита в реальном времени, выполните: &prompt.root; praudit /dev/auditpipe По умолчанию, потоки доступны только пользователю root. Чтобы - сделать их доступными членам группы - audit, добавьте - правило devfs в файл + сделать их доступными членам группы audit, добавьте правило + devfs в файл /etc/devfs.rules: add path 'auditpipe*' mode 0440 group audit @@ -752,37 +745,36 @@ trailer,133 praudit запущена во время SSH-сессии, то будет сгенерирован интенсивный поток сообщений аудита, так как каждое - печатаемое событие - вызовет еще одно событие. По этой причине рекомендуется - запускать praudit - на устройстве потока только из сессий, для которых - нет детального аудита ввода-вывода. + печатаемое событие вызовет еще одно событие. По этой + причине рекомендуется запускать praudit + на устройстве потока только из сессий, для которых нет + детального аудита ввода-вывода. Ротация и сжатие журнальных файлов аудита - Журнал аудита пишется ядром и управляется демоном - аудита &man.auditd.8;. Администраторам не следует пытаться - использовать &man.newsyslog.conf.5; или другие инструменты для - прямой ротации логов. Вместо этого, для прекращения аудита, - реконфигурации и ротации журнальных файлов должна использоваться - команда audit. Следующая команда приведет к - созданию нового журнального файла и даст указание ядру переключиться - на запись в этот файл. Протоколирование в старый файл будет - прекращено, а - сам файл — переименован, в результате чего с ним можно будет + Журнал аудита пишется ядром и управляется демоном аудита + &man.auditd.8;. Администраторам не следует пытаться + использовать &man.newsyslog.conf.5; или другие инструменты + для прямой ротации логов. Вместо этого, для прекращения + аудита, реконфигурации и ротации журнальных файлов должна + использоваться команда audit. Следующая + команда приведет к созданию нового журнального файла и даст + указание ядру переключиться на запись в этот файл. + Протоколирование в старый файл будет прекращено, а сам файл + — переименован, в результате чего с ним можно будет работать администратору: &prompt.root; audit -n - Если &man.auditd.8; не запущен, то эта команда - окончится неудачей, и будет выведено сообщение об ошибке. + Если &man.auditd.8; не запущен, то эта команда окончится + неудачей, и будет выведено сообщение об ошибке. Добавление следующей строки в файл - /etc/crontab приведет к ротации - каждые двенадцать часов: + /etc/crontab приведет к ротации каждые + двенадцать часов: 0 */12 * * * root /usr/sbin/audit -n @@ -790,19 +782,21 @@ trailer,133 /etc/crontab. Автоматическая ротация журнальных файлов на основании - их размера возможна при использовании опции - в файле audit_control, которая описана в + их размера возможна при использовании опции + в файле + audit_control, которая описана в . - Поскольку журнальные файлы могут достигать очень больших размеров, - может возникнуть необходимость сжимать их в целях хранения сразу же - после закрытия их демоном аудита. Для выполнения - определенных пользователем действий, соответствующих разнообразным - событиям системы аудита, включая нормальное завершение журналов - аудита при их ротации, может быть использован скрипт - audit_warn. Например, добавление следующих строк - в файл /etc/security/audit_warn - приведет к сжатию файла аудита после его закрытия: + Поскольку журнальные файлы могут достигать очень больших + размеров, может возникнуть необходимость сжимать их в целях + хранения сразу же после закрытия их демоном аудита. Для + выполнения определенных пользователем действий, + соответствующих разнообразным событиям системы аудита, + включая нормальное завершение журналов аудита при их ротации, + может быть использован скрипт audit_warn. + Например, добавление следующих строк в файл + /etc/security/audit_warn приведет к + сжатию файла аудита после его закрытия: # # Compress audit trail files on close. @@ -812,11 +806,12 @@ if [ "$1" = closefile ]; then fi Примерами других действий могут быть копирование файлов - аудита на централизованный сервер, удаление старых журнальных файлов, - фильтрация журнальных файлов для удаления ненужных записей. Скрипт - будет запущен только при корректном закрытии журнала системой - аудита и не запустится для журнальных файлов, запись в которые была - прекращена в результате некорректного завершения. + аудита на централизованный сервер, удаление старых журнальных + файлов, фильтрация журнальных файлов для удаления ненужных + записей. Скрипт будет запущен только при корректном закрытии + журнала системой аудита и не запустится для журнальных файлов, + запись в которые была прекращена в результате некорректного + завершения.