From owner-p4-projects@FreeBSD.ORG Wed May 21 23:18:43 2008 Return-Path: Delivered-To: p4-projects@freebsd.org Received: by hub.freebsd.org (Postfix, from userid 32767) id 7EDB61065670; Wed, 21 May 2008 23:18:43 +0000 (UTC) Delivered-To: perforce@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id 27828106566B for ; Wed, 21 May 2008 23:18:43 +0000 (UTC) (envelope-from jb@freebsd.org) Received: from repoman.freebsd.org (repoman.freebsd.org [IPv6:2001:4f8:fff6::29]) by mx1.freebsd.org (Postfix) with ESMTP id 174798FC0C for ; Wed, 21 May 2008 23:18:43 +0000 (UTC) (envelope-from jb@freebsd.org) Received: from repoman.freebsd.org (localhost [127.0.0.1]) by repoman.freebsd.org (8.14.1/8.14.1) with ESMTP id m4LNIh5T037534 for ; Wed, 21 May 2008 23:18:43 GMT (envelope-from jb@freebsd.org) Received: (from perforce@localhost) by repoman.freebsd.org (8.14.1/8.14.1/Submit) id m4LNIhcS037532 for perforce@freebsd.org; Wed, 21 May 2008 23:18:43 GMT (envelope-from jb@freebsd.org) Date: Wed, 21 May 2008 23:18:43 GMT Message-Id: <200805212318.m4LNIhcS037532@repoman.freebsd.org> X-Authentication-Warning: repoman.freebsd.org: perforce set sender to jb@freebsd.org using -f From: John Birrell To: Perforce Change Reviews Cc: Subject: PERFORCE change 142000 for review X-BeenThere: p4-projects@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: p4 projects tree changes List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 21 May 2008 23:18:43 -0000 http://perforce.freebsd.org/chv.cgi?CH=142000 Change 142000 by jb@freebsd3 on 2008/05/21 23:17:43 IFC Affected files ... .. //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/dialup-firewall/Makefile#2 integrate .. //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/dialup-firewall/article.sgml#2 integrate .. //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/laptop/Makefile#2 integrate .. //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/laptop/article.sgml#2 integrate .. //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/multi-os/Makefile#2 integrate .. //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/multi-os/article.sgml#2 integrate .. //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/version-guide/Makefile#2 integrate .. //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/version-guide/article.sgml#3 integrate .. //depot/projects/dtrace/doc/hu_HU.ISO8859-2/books/handbook/introduction/chapter.sgml#2 integrate .. //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/Makefile#5 integrate .. //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/audit/chapter.sgml#3 integrate .. //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/book.sgml#5 integrate .. //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/chapters.ent#4 integrate .. //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/jails/Makefile#1 branch .. //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/jails/chapter.sgml#1 branch .. //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/mac/chapter.sgml#3 integrate .. //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/virtualization/Makefile#1 branch .. //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/virtualization/chapter.sgml#1 branch .. //depot/projects/dtrace/ports/MOVED#89 integrate .. //depot/projects/dtrace/src/sys/Makefile#12 integrate .. //depot/projects/dtrace/src/sys/dev/em/if_em.c#22 integrate .. //depot/projects/dtrace/src/sys/fs/devfs/devfs_int.h#6 integrate .. //depot/projects/dtrace/src/sys/fs/devfs/devfs_vnops.c#19 integrate .. //depot/projects/dtrace/src/sys/i386/conf/GENERIC#40 integrate .. //depot/projects/dtrace/src/sys/ia64/ia64/machdep.c#23 integrate .. //depot/projects/dtrace/src/sys/kern/kern_conf.c#12 integrate .. //depot/projects/dtrace/src/sys/kern/kern_descrip.c#28 integrate .. //depot/projects/dtrace/src/sys/netinet/sctp_output.c#16 integrate .. //depot/projects/dtrace/src/sys/netinet/sctputil.c#19 integrate .. //depot/projects/dtrace/src/sys/powerpc/conf/GENERIC#17 integrate .. //depot/projects/dtrace/src/sys/security/audit/audit_worker.c#13 integrate .. //depot/projects/dtrace/src/sys/sun4v/conf/GENERIC#21 integrate .. //depot/projects/dtrace/src/sys/sys/conf.h#10 integrate .. //depot/projects/dtrace/src/sys/sys/file.h#9 integrate .. //depot/projects/dtrace/src/sys/sys/proc.h#45 integrate Differences ... ==== //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/dialup-firewall/Makefile#2 (text+ko) ==== @@ -1,4 +1,4 @@ -# $FreeBSD: doc/hu_HU.ISO8859-2/articles/dialup-firewall/Makefile,v 1.1 2007/09/03 11:11:43 gabor Exp $ +# $FreeBSD: doc/hu_HU.ISO8859-2/articles/dialup-firewall/Makefile,v 1.2 2008/05/21 04:14:48 pgj Exp $ # # Article: Dialup firewalling with FreeBSD @@ -8,7 +8,7 @@ NO_TIDY= yes -MAINTAINER= pali.gabor@gmail.com +MAINTAINER= pgj@FreeBSD.org DOC?= article ==== //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/dialup-firewall/article.sgml#2 (text+ko) ==== @@ -4,8 +4,8 @@ ]> + Translated by: PALI, Gabor + Original Revision: 1.42 -->
@@ -23,7 +23,7 @@ - $FreeBSD: doc/hu_HU.ISO8859-2/articles/dialup-firewall/article.sgml,v 1.1 2007/09/03 11:11:43 gabor Exp $ + $FreeBSD: doc/hu_HU.ISO8859-2/articles/dialup-firewall/article.sgml,v 1.2 2008/05/21 04:14:48 pgj Exp $ &tm-attrib.freebsd; ==== //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/laptop/Makefile#2 (text+ko) ==== @@ -1,4 +1,4 @@ -# $FreeBSD: doc/hu_HU.ISO8859-2/articles/laptop/Makefile,v 1.1 2007/09/03 11:13:12 gabor Exp $ +# $FreeBSD: doc/hu_HU.ISO8859-2/articles/laptop/Makefile,v 1.2 2008/05/21 04:14:48 pgj Exp $ # # Article: FreeBSD on Laptops @@ -8,7 +8,7 @@ NO_TIDY= yes -MAINTAINER= pali.gabor@gmail.com +MAINTAINER= pgj@FreeBSD.org DOC?= article ==== //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/laptop/article.sgml#2 (text+ko) ==== @@ -4,14 +4,14 @@ ]> + Translated by: PALI, Gabor + Original Revision: 1.25 -->
&os; laptopon - $FreeBSD: doc/hu_HU.ISO8859-2/articles/laptop/article.sgml,v 1.2 2007/09/03 17:47:43 gabor Exp $ + $FreeBSD: doc/hu_HU.ISO8859-2/articles/laptop/article.sgml,v 1.3 2008/05/21 04:14:48 pgj Exp $ A &os; néhány buktatótól eltekintve ==== //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/multi-os/Makefile#2 (text+ko) ==== @@ -1,4 +1,4 @@ -# $FreeBSD: doc/hu_HU.ISO8859-2/articles/multi-os/Makefile,v 1.1 2007/09/03 11:17:06 gabor Exp $ +# $FreeBSD: doc/hu_HU.ISO8859-2/articles/multi-os/Makefile,v 1.2 2008/05/21 04:14:49 pgj Exp $ # # Article: Installing and Using FreeBSD With Other Operating Systems @@ -8,7 +8,7 @@ NO_TIDY= yes -MAINTAINER= pali.gabor@gmail.com +MAINTAINER= pgj@FreeBSD.org DOC?= article ==== //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/multi-os/article.sgml#2 (text+ko) ==== @@ -1,12 +1,12 @@ - + %articles.ent; ]> + Translated by: PALI, Gabor + Original Revision: 1.39 -->
==== //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/version-guide/Makefile#2 (text+ko) ==== @@ -1,4 +1,4 @@ -# $FreeBSD: doc/hu_HU.ISO8859-2/articles/version-guide/Makefile,v 1.1 2007/09/03 11:18:56 gabor Exp $ +# $FreeBSD: doc/hu_HU.ISO8859-2/articles/version-guide/Makefile,v 1.2 2008/05/21 04:14:49 pgj Exp $ # # Article: FreeBSD Version Guide @@ -8,7 +8,7 @@ NO_TIDY= yes -MAINTAINER= pali.gabor@gmail.com +MAINTAINER= pgj@FreeBSD.org DOC?= article ==== //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/version-guide/article.sgml#3 (text+ko) ==== @@ -7,8 +7,8 @@ ]> + Translated by: PALI, Gabor + Original Revision: 1.11 -->
Válasszuk ki a nekünk igazán megfelelõ &os; @@ -21,7 +21,7 @@ </author> </authorgroup> - <pubdate>$FreeBSD: doc/hu_HU.ISO8859-2/articles/version-guide/article.sgml,v 1.4 2007/11/27 23:01:47 gabor Exp $</pubdate> + <pubdate>$FreeBSD: doc/hu_HU.ISO8859-2/articles/version-guide/article.sgml,v 1.5 2008/05/21 04:14:49 pgj Exp $</pubdate> <legalnotice id="trademarks" role="trademarks"> &tm-attrib.freebsd; ==== //depot/projects/dtrace/doc/hu_HU.ISO8859-2/books/handbook/introduction/chapter.sgml#2 (text+ko) ==== @@ -1,7 +1,7 @@ <!-- The FreeBSD Documentation Project - $FreeBSD: doc/hu_HU.ISO8859-2/books/handbook/introduction/chapter.sgml,v 1.1 2008/05/14 16:54:16 pgj Exp $ + $FreeBSD: doc/hu_HU.ISO8859-2/books/handbook/introduction/chapter.sgml,v 1.2 2008/05/21 04:06:56 pgj Exp $ --> <!-- The FreeBSD Hungarian Documentation Project @@ -725,9 +725,10 @@ és egy gyors internetkapcsolatot is a Projekt számára bocsátott. A Walnut Creek szinte példátlan mértékû, egy - akkoriban teljesen ismeretlen projektbe vetett hitével - nagyon nehezen lenne elképzelhetõ, hogy a &os; olyan - messzire jutott volna el, ahol ma is tart.</para> + akkoriban teljesen ismeretlen projektbe vetett hite + nélkül nagyon nehezen lenne + elképzelhetõ, hogy a &os; olyan messzire és + olyan gyorsan jutott volna el, ahol ma tart.</para> <indexterm><primary>4.3BSD-Lite</primary></indexterm> <indexterm><primary>Net/2</primary></indexterm> ==== //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/Makefile#5 (text+ko) ==== @@ -1,5 +1,5 @@ # -# $FreeBSD: doc/nl_NL.ISO8859-1/books/handbook/Makefile,v 1.10 2007/06/28 02:46:38 chinsan Exp $ +# $FreeBSD: doc/nl_NL.ISO8859-1/books/handbook/Makefile,v 1.11 2008/05/21 20:35:08 remko Exp $ # $FreeBSDnl: doc/nl_NL.ISO8859-1/books/handbook/Makefile,v 1.19 2006/01/03 21:17:07 siebrand Exp $ # Gebaseerd op: 1.97 # @@ -136,6 +136,44 @@ IMAGES_EN+= vinum/vinum-simple-vol.pic IMAGES_EN+= vinum/vinum-striped-vol.pic IMAGES_EN+= vinum/vinum-striped.pic +IMAGES_EN+= virtualization/parallels-freebsd1.png +IMAGES_EN+= virtualization/parallels-freebsd2.png +IMAGES_EN+= virtualization/parallels-freebsd3.png +IMAGES_EN+= virtualization/parallels-freebsd4.png +IMAGES_EN+= virtualization/parallels-freebsd5.png +IMAGES_EN+= virtualization/parallels-freebsd6.png +IMAGES_EN+= virtualization/parallels-freebsd7.png +IMAGES_EN+= virtualization/parallels-freebsd8.png +IMAGES_EN+= virtualization/parallels-freebsd9.png +IMAGES_EN+= virtualization/parallels-freebsd10.png +IMAGES_EN+= virtualization/parallels-freebsd11.png +IMAGES_EN+= virtualization/parallels-freebsd12.png +IMAGES_EN+= virtualization/parallels-freebsd13.png +IMAGES_EN+= virtualization/virtualpc-freebsd1.png +IMAGES_EN+= virtualization/virtualpc-freebsd2.png +IMAGES_EN+= virtualization/virtualpc-freebsd3.png +IMAGES_EN+= virtualization/virtualpc-freebsd4.png +IMAGES_EN+= virtualization/virtualpc-freebsd5.png +IMAGES_EN+= virtualization/virtualpc-freebsd6.png +IMAGES_EN+= virtualization/virtualpc-freebsd7.png +IMAGES_EN+= virtualization/virtualpc-freebsd8.png +IMAGES_EN+= virtualization/virtualpc-freebsd9.png +IMAGES_EN+= virtualization/virtualpc-freebsd10.png +IMAGES_EN+= virtualization/virtualpc-freebsd11.png +IMAGES_EN+= virtualization/virtualpc-freebsd12.png +IMAGES_EN+= virtualization/virtualpc-freebsd13.png +IMAGES_EN+= virtualization/vmware-freebsd01.png +IMAGES_EN+= virtualization/vmware-freebsd02.png +IMAGES_EN+= virtualization/vmware-freebsd03.png +IMAGES_EN+= virtualization/vmware-freebsd04.png +IMAGES_EN+= virtualization/vmware-freebsd05.png +IMAGES_EN+= virtualization/vmware-freebsd06.png +IMAGES_EN+= virtualization/vmware-freebsd07.png +IMAGES_EN+= virtualization/vmware-freebsd08.png +IMAGES_EN+= virtualization/vmware-freebsd09.png +IMAGES_EN+= virtualization/vmware-freebsd10.png +IMAGES_EN+= virtualization/vmware-freebsd11.png +IMAGES_EN+= virtualization/vmware-freebsd12.png # Images from the cross-document image library IMAGES_LIB= callouts/1.png @@ -172,6 +210,7 @@ SRCS+= geom/chapter.sgml SRCS+= install/chapter.sgml SRCS+= introduction/chapter.sgml +SRCS+= jails/chapter.sgml SRCS+= kernelconfig/chapter.sgml SRCS+= l10n/chapter.sgml SRCS+= linuxemu/chapter.sgml @@ -189,6 +228,7 @@ SRCS+= serialcomms/chapter.sgml SRCS+= users/chapter.sgml SRCS+= vinum/chapter.sgml +SRCS+= virtualization/chapter.sgml SRCS+= x11/chapter.sgml # Entities ==== //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/audit/chapter.sgml#3 (text+ko) ==== @@ -1,20 +1,10 @@ <!-- The FreeBSD Dutch Documentation Project - - $FreeBSD: doc/nl_NL.ISO8859-1/books/handbook/audit/chapter.sgml,v 1.1 2005/08/22 21:11:57 remko Exp $ - $FreeBSDnl: nl_NL.ISO8859-1/books/handbook/audit/chapter.sgml,v 1.2 2005/08/15 20:23:13 siebrand Exp $ - Gebaseerd op: 1.5 + $FreeBSD: doc/nl_NL.ISO8859-1/books/handbook/audit/chapter.sgml,v 1.3 2008/05/21 14:00:49 remko Exp $ + Gebaseerd op: 1.33 --> -<!-- -This version of the document assumes that the Audit system needs to be -installed as part of the trustedbsd/audit project. When/if audit becomes -part of FreeBSD proper, then these sections should be removed, or at least -reworded. The sections in question are marked with 'PROTOTYPE' labels in -commentary. ---> - -<!-- Need more documenation on praudit, audtreduce, etc. Plus more info +<!-- Need more documentation on praudit, auditreduce, etc. Plus more info on the triggers from the kernel (log rotation, out of space, etc). And the /dev/audit special file if we choose to support that. Could use some coverage of integrating MAC with Event auditing and perhaps discussion @@ -29,79 +19,775 @@ <surname>Rhodes</surname> <contrib>Written by </contrib> </author> + <author> + <firstname>Robert</firstname> + <surname>Watson</surname> + </author> </authorgroup> <authorgroup> <author> - <firstname>Siebrand</firstname> - <surname>Mazeland</surname> + <firstname>Remko</firstname> + <surname>Lodder</surname> <contrib>Vertaald door </contrib> </author> </authorgroup> </chapterinfo> - <title>Kernelgebeurtenissen auditen + Security Event Auditing - * Overzicht + Overzicht AUDIT - - kernelgebeurtenissen auditen - + Security Event Auditing MAC - Wordt vertaald + &os; 6.2 en later heeft ondersteuning voor diepgaande + beveiligingsauditing van evenementen. Evenement auditing maakt + het mogelijk dat er diepgaande en configureerbare logging van + een variateit aan beveiligings-gerelateerde systeem evenementen, + waaronder logins, configuratie wijzigingen, bestands- en + netwerk toegang. Deze log regels kunnen erg belangrijk + zijn voor live systeem monitoring, intrusion detection en + postmortem analyse. &os; implementeert &sun;'s gepubliceerde + BSM API en bestandsformaat en is uitwisselbaar + met zowel &sun;'s &solaris; als &apple;'s &macos; X audit + implementaties. + + Dit hoofdstuk richt zich op de installatie en configuratie van + evenement auditing. Het legt audit policies uit en geeft + voorbeelden van audit configuraties. + + Na het lezen van dit hoofdstuk weet de lezer: + + + + Wat evenement auditing is en hoe het werkt. + + + + Hoe evenement auditing geconfigureerd kan worden voor + &os; voor gebruikers en processen. + + + + Hoe de audittrail bekeken kan worden door gebruik te maken + van de audit reduction en onderzoek programma's. + + + + Voordat verder gegaan wordt moet het volgende bekend + zijn: + + + + &unix; en &os; basishandelingen begrijpen + (). + + + + Bekend zijn met de basishandelingen van kernel + configuratie/compilatie + (). + + + + Bekend zijn met beveiliging en hoe dat relateert aan + &os; (). + + + + + De audit faciliteiten in &os; 6.X + zijn experimenteel en het gebruik in productie mag alleen + gebeuren na zorgvuldig onderzoek van de risico's van het in + gebruik nemen van experimentele software. Bekende limitaties + zijn dat niet alle beveiligings-relevante systeem evenementen + geaudit kunnen worden en dat sommige login mechanismes, zoals + X11 gebaseerde display managers en derde partij programma's + geen (goede) ondersteuning bieden voor het auditen login sessies + van gebruikers. + + + + De beveiligings evenement auditing faciliteit is in staat om + erg gedetailleerde logs van systeem activiteiten op een druk + systeem te genereren, trail bestands data kan erg groot worden + wanneer er erg precieze details worden gevraagd, wat enkele + gigabytes per week kan behalen in sommige configuraties. + Beheerders moeten rekening houden met voldoende schijfruimte + voor grote audit configuraties. Bijvoorbeeld het kan gewenst + zijn om eigen bestandsysteem aan /var/audit + toe te wijzen zo dat andere bestandssystemen geen hinder + ondervinden als het audit bestandssysteem onverhoopt vol + raakt. + - * Sleutelbegrippen - Woordenlijst + Sleutelwoorden in dit hoofdstuk + + Voordat dit hoofdstuk gelezen kan worden, moeten er een + aantal audit gerelateerde termen uitgelegd worden: + + + + evenement: Een auditbaar evenement is + elk evenement dat gelogged kan worden door het audit + subsysteem. Voorbeelden van beveiligings gerelateerde + evenementen zijn het creëeren van een bestand, het + opzetten van een netwerk verbinding, of van een gebruiker die + aanlogt. Evenementen zijn ofwel attributable + wat betekend dat ze getraceerd kunnen worden naar een + geauthoriseerde gebruiker, of non-attributable + voor situaties waarin dat niet mogelijk is. Voorbeelden van + non-attributable evenementen zijn elk evenement dat gebeurd + voordat authorisatie plaatsvind in het login proces, zoals bij + foutieve inlog pogingen. + + + + class: Evenement klassen zijn benoemde + sets van gerelateerde evenementen en worden gebruikt in + selectie expressies. Veel gebruikte klassen van evenementen + zijn bestands creatie (fc), exec + (ex) en login_logout (lo). + + + + record: Een record is een audit log + regel die het beveiligings evenement beschrijft. Records + bevatten een record evenement type, informatie over het + onderwerp (de gebruiker) welke de actie uitvoerd, de datum en + de tijd, informatie over de objecten of argumenten, en een + conditie die aangeeft of de actie geslaagd of mislukt is. + + + + trail: Een audit trail, of log + bestand bestaat uit een serie van audit records welke + beveiligings evenementen beschrijft. Meestal lopen deze + trails in chronologische orde, gebaseerd op de tijd dat + het evenement optrad. Alleen geauthoriseerde processen + mogen records toevoegen aan de audit trail. + + + + selection expression: Een selectie + expressie is een string welke een lijst bevat van prefixes + en audit evenement klasse namen die overeenkomen met + evenementen. + + + + preselection: Het proces waarbij het + systeem bepaald welke evenementen interessant zijn voor de + beheerder, zodat wordt voorkomen dat er audit records + worden gegenereerd voor evenementen die niet interessant zijn. + De preselection configuratie gebruikt een serie + van selectie expressies om te identificeren welke klassen van + evenementen van toepassing zijn op gebruikers en globale + instellingen voor zowel geauthoriseerde als ongeauthoriseerde + processen. + - Wordt vertaald + + reduction: Het proces waarbij records + van bestaande audit trails worden geselecteerd voor bewaring, + uitprinten of analyse. Ook is dit het proces waarbij ongewenste + audit records worden verwijderd uit het audit trail. Door + gebruik te maken van reduction kunnen beheerders policies + implementeren die het bewaren van audit data verzorgen. + Bijvoorbeeld gedetailleerde audit trails kunnen één + maand bewaard worden maar erna worden trails gereduceerd zodat + alleen login informatie bewaard worden voor archiverings + redenen. + + - * Auditondersteuning installeren + Installeren van audit ondersteuning. + + Ondersteuning in de gebruikersomgeving voor evenement auditing + wordt geïnstalleerd als onderdeel van het basis &os; besturings + systeem. In &os; 7.0 en later wordt kernel ondersteuning + voor evenement auditing standaard meegenomen tijdens compilatie. + In &os; 6.X, moet ondersteuning + expliciet in de kernel gecompileerd worden door de volgende regel + toe te voegen aan het kernel configuratie bestand: + + options AUDIT + + Bouw en herinstalleer de kernel volgens het normale + proces zoals beschreven in . + + Zodra een audit ondersteunende kernel is gebouwd en + geïnstalleerd en deze is opgestart kan de audit daemon + aangezet worden door de volgende regel aan &man.rc.conf.5; toe te + voegen: + + auditd_enable="YES" + + Audit ondersteuning moet daarna aangezet worden door een + herstart van het systeem of door het handmatig starten van de audit + daemon: - Wordt vertaald + /etc/rc.d/auditd start - * Auditen instellen + Audit Configuratie + + Alle configuratie bestanden voor beveiligings audit kunnen + worden gevonden in + /etc/security. De volgende + bestanden moeten aanwezig zijn voor de audit daemon wordt + gestart: + + + + audit_class - Bevat de definities + van de audit klasses. + + + + audit_control - Controleert aspecten + van het audit subsysteem, zoals de standaard audit klassen, + minimale hoeveelheid diskruimte die moet overblijven op de + audit log schijf, de maximale audit trail grootte, etc. + + + + audit_event - Tekst namen en + beschrijvingen van systeem audit evenementen, evenals een + lijst van klassen waarin elk evenement zich bevind. + + + + audit_user - Gebruiker specifieke + audit benodigdheden welke gecombineerd worden met de globale + standaarden tijdens het inloggen. + + + + audit_warn - Een bewerkbaar shell + script gebruikt door de auditd + applicatie welke waarschuwings berichten genereert in + bijzondere situaties zoals wanneer de ruimte voor audit + records te laagis of wanneer het audit trail bestand is + geroteerd. + + + + + Audit configuratie bestanden moeten voorzichtig worden + bewerkt en onderhouden, omdat fouten in de configuratie kunnen + resulteren in het verkeerd loggen van evenementen. + - * Auditen bestandssyntaxis + Evenement selectie expressies + + Selectie expressies worden gebruikt op een aantal plaatsen + in de audit configuratie om te bepalen welke evenementen er + geaudit moeten worden. Expressies bevatten een lijst van + evenement klassen welke gelijk zijn aan een prefix welke + aangeeft of gelijke records geaccepteerd moeten worden of + genegeerd en optioneel om aan te geven of de regel is bedoeld + om succesvolle of mislukte operaties te matchen. Selectie + expressies worden geevalueerd van links naar rechts en twee + expressies worden gecombineerd door de één aan de + ander toe te voegen. + + De volgende lijst bevat de standaard audit evenement klassen + welke aanwezig zijn in het audit_class + bestand: + + + + all - all - + Matched alle evenement klasses. + + + + ad - + administrative - Administratieve acties + welke uitgevoerd worden op het gehele systeem. + + + + ap - application - + Applicatie gedefinieerde acties. + + + + cl - file close - + Audit aanroepen naar de close systeem + aanroep. + + + + ex - exec - Audit + programma uitvoer. Het auditen van command line argumenten + en omgevings variabelen wordt gecontroleerd via + &man.audit.control.5; door gebruik te maken van de + argv en envv parameters + in de policy setting. + + + + fa - + file attribute access - Audit de + toevoeging van object attributen zoals &man.stat.1;, + &man.pathconf.2; en gelijkwaardige evenementen. + + + + fc - file create + - Audit evenementen waar een bestand wordt gecreëerd als + resultaat. + + + + fd - file delete + - Audit evenementen waarbij bestanden verwijderd + worden. + + + + fm - + file attribute modify - Audit + evenementen waarbij bestandsattribuut wijzigingen + plaatsvinden zoals bij &man.chown.8;, &man.chflags.1;, + &man.flock.2;, etc. + + + + fr - file read + - Audit evenementen waarbij data wordt gelezen, bestanden + worden geopend voor lezen etc. + + + + fw - file write + - Audit evenementen waarbij data wordt geschreven, bestanden + worden geschreven of gewijzigd, etc. + + + + io - ioctl - + Audit het gebruik van de &man.ioctl.2; systeem aanroep. + + + + ip - ipc - Audit + verschillende vormen van Inter-Process Communication, zoals + POSIX pipes en System V IPC operaties. + + + + lo - login_logout - + Audit &man.login.1; en &man.logout.1; evenementen die + plaatsvinden op het systeem. + + + + na - + non attributable - Audit + non-attributable evenementen. + + + + no - + invalid class - Matched geen enkel + audit evenement. + + + + nt - network - + Audit evenementen die gerelateerd zijn aan netwerk acties + zoals &man.connect.2; en &man.accept.2;. + + + + ot - other - + Audit diverse evenementen. + + + + pc - process - + Audit process operaties zoals &man.exec.3; en + &man.exit.3; + + + + Deze audit evenement klassen kunnen veranderd worden door + het wijzigingen van de audit_class en + audit_event configuratie bestanden. + + Elke audit klasse in de lijst wordt gecombineerd met een + voorzetsel welke aangeeft of er succesvolle of mislukte + operaties hebben plaatsgevonden en of de regel wordt toegevoegd + of verwijderd van het matchen van de klasse en het type. + + + + (none) Audit zowel succesvolle als mislukte informatie + van het evenement. + + + + + Audit succesvolle evenementen in + deze klasse. + + + + - Audit mislukte evenementen in deze + klasse. + + + + ^ Audit geen enkele succesvolle of + mislukte evenementen in deze klasse. + + + + ^+ Audit geen succesvolle evenementen + in deze klasse. + + + + ^- Audit geen mislukte evenementen + in deze klasse. + + + + + De volgende voorbeeld selectie strings selecteren zowel + succesvolle als mislukte login/logout evenementen, maar alleen + succesvolle uitvoer evenementen: - Wordt vertaald + lo,+ex - * Instellingenbestanden + Configuratie bestanden + + In de meeste gevallen moet een beheerder twee bestanden + wijzigingen wanneer het audit systeem wordt geconfigureerd: + audit_control en + audit_user. Het eerste controleert systeem + brede audit eigenschappen en policies, het tweede kan gebruikt + worden om diepgaande auditing per gebruiker uit te voeren. - * Bestand <filename>audit_control</filename> + Het <filename>audit_control</filename> bestand + + Het audit_control bestand specificeert + een aantal standaarden van het audit subsysteem. Als de inhoud + bekeken wordt van dit bestand is het volgende te zien: + + dir:/var/audit +flags:lo +minfree:20 +naflags:lo +policy:cnt +filesz:0 + + De optie wordt gebruikt om + één of meerdere directories te specificeren die + gebruikt worden voor de opslag van audit logs. Als er meer + dan één directory wordt gespecificeerd, worden ze + op volgorde gebruikt naarmate ze gevuld worden. Het is + standaard dat audit geconfigureerd wordt dat audit logs + worden bewaard op een eigen bestandssysteem, om te + voorkomen dat het audit subsysteem en andere subsystemen met + elkaar botsen als het bestandssysteem volraakt. + + Het veld stelt de systeem brede + standaard preselection maskers voor attributable evenementen + in. In het voorbeeld boven worden succesvolle en mislukte + login en logout evenementen geaudit voor alle gebruikers. + + De optie definieerd het minimale + percentage aan vrije ruimte voor dit bestandssysteem waar de + audit trails worden opgeslagen. Wanneer deze limiet wordt + overschreven wordt er een waarschuwing gegenereerd. In het + bovenstaande voorbeeld wordt de minimale vrije ruimte ingesteld + op 20 procent. + + De optie specificeerd audit klasses + welke geaudit moeten worden voor non-attributed evenementen + zoals het login proces en voor systeem daemons. + + De optie specificeert een komma + gescheiden lijst van policy vlaggen welke diverse aspecten + van het audit proces beheren. De standaard + cnt vlag geeft aan dat het systeem moet + blijven draaien ook al treden er audit fouten op (deze vlag + wordt sterk aangeraden). Een andere veel gebruikte vlag is + argv, wat het mogelijk maakt om command + line argumenten aan de &man.execve.2; systeem aanroep te + auditen als onderdeel van het uitvoeren van commando's. - Wordt vertaald + De optie specificeert de maximale + grootte in bytes hoeveel een audit trail bestand mag groeien + voordat het automatisch getermineerd en geroteerd wordt. De + standaard, 0, schakelt automatische log rotatie uit. Als de + gevraagde bestands grootte niet nul is en onder de minimale + 512k zit, wordt de optie genegeerd en wordt er een log bericht + gegenereerd. - * Bestand <filename>audit_user</filename> + Het <filename>audit_user</filename> bestand + + Het audit_user bestand staat de + beheerder toe om verdere audit benodigdheden te + specificeren voor gebruikers. Elke regel configureert + auditing voor een gebruiker via twee velden, het eerste is het + alwaysaudit veld, welke een set van + evenementen specificeert welke altijd moet worden geaudit voor + de gebruiker, en de tweede is het neveraudit + veld, welke een set van evenementen specificeerd die nooit + geaudit moeten worden voor de gebruiker. + + Het volgende voorbeeld audit_user + bestand audit login/logout evenementen en succesvolle commando + uitvoer voor de root gebruiker, en audit + bestands creatie en succesvolle commando uitvoer voor de + www gebruiker. Als dit gebruikt wordt + in combinatie met het voorbeeld + audit_control bestand hierboven, is de + root regel dubbelop en zullen login/logout + evenementen ook worden geaudit voor de + www gebruiker. + + root:lo,+ex:no +www:fc,+ex:no - Wordt vertaald - * Gebeurtenisaudit beheer + Het audit subsysteem beheren. + + + Audit trails inzien + + Audit trails worden opgeslagen in het BSM binaire formaat, + dus ondersteunende programma's moeten worden gebruikt om de + informatie te wijzigen of converteren naar tekst. Het + &man.praudit.1; commando converteert trail bestanden naar een + simpel tekst formaat; het &man.auditreduce.1; commando kan + gebruikt worden om de audit trail te reduceren voor analyse, + archivering of voor het uitprinten van de data. + auditreduce ondersteund een variateit aan + selectie parameters, zoals evenement type, evenement klasse, + gebruiker, datum of tijd van het evenement en het bestandspad + of object dat gebruikt wordt. + + Bijvoorbeeld, het praudit programma zal + een dump maken van de volledige inhoud van een gespecificeerd + audit log bestand in normale tekst: + + &prompt.root; praudit /var/audit/AUDITFILE + + Waar + AUDITFILE het + audit bestand is dat ingelezen moet worden. + + Audit trails bestaan uit een serie van audit records die + gevormd worden door tokens, welke praudit + sequentieel print één per regel. Elke token is van + een specifiek type, zoals een header welke + de audit record header bevat, of path welke + het bestandspad bevat van een lookup. Het volgende is een + voorbeeld van een execve evenement: + + header,133,10,execve(2),0,Mon Sep 25 15:58:03 2006, + 384 msec +exec arg,finger,doug +path,/usr/bin/finger +attribute,555,root,wheel,90,24918,104944 +subject,robert,root,wheel,root,wheel,38439,38032,42086,128.232.9.100 +return,success,0 +trailer,133 + + Deze audit representeert een succesvolle + execve aanroep, waarbij het commando + finger doug is aangeroepen. Het argument + token bevat beide commando's gerepresenteerd door de shell aan + de kernel. Het path token bevat het pad + naar het uitvoerbare bestand zoals opgezocht door de kernel. + Het attribute token beschrijft de binary en + om precies te zijn bevat het de bestands mode welke gebruikt + kan worden om te zien of het bestand setuid was. Het + subject token beschrijft het onderwerp + proces en bevat sequentieel het audit gebruikers ID, effectieve + gebruikers ID en groep ID, echte gebruikers ID, groep ID, + proces ID, sessie ID, port ID en login adres. Let op dat het + audit gebruikers ID en het echte gebruikers ID van elkaar + verschillen omdat de gebruiker robert + veranderd is naar de root gebruiker voordat + het commando werd uitgevoerd, maar welke geaudit wordt als de + originele geauthoriseerde gebruiker. Als laatste wordt de + return token gebruikt om aan te geven dat er + een succesvolle uitvoer is geweest en trailer + geeft het einde aan van het record. + + In &os; 6.3 en later ondersteund praudit + ook een XML output formaat, welke geselecteerd kan worden door + gebruik te maken van het argument. + + + + Het reduceren van audit trails + + Omdat audit logs erg groot kunnen worden, zal de beheerder + waarschijnlijk een subset van records willen selecteren om te + gebruiken, zoals records die gekoppeld zijn aan een specifieke + gebruiker: + + &prompt.root; auditreduce -u trhodes /var/audit/AUDITFILE | praudit + + Dit selecteert alle audit records die geproduceert zijn + voor de gebruiker trhodes die opgeslagen + is in het AUDITFILE + bestand. + + + + Delegeren van audit onderzoek rechten + + Leden van de audit groep krijgen + permissie om de audit trails te lezen in + /var/audit; standaard is deze groep leeg en + kan alleen de root gebruiker deze + audit trails lezen. Gebruikers kunnen toegevoegd worden aan de + audit groep zodat onderzoek rechten kunnen >>> TRUNCATED FOR MAIL (1000 lines) <<<