From owner-svn-doc-translations@freebsd.org Wed Nov 4 18:32:22 2015 Return-Path: Delivered-To: svn-doc-translations@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id DCABEA20041; Wed, 4 Nov 2015 18:32:21 +0000 (UTC) (envelope-from remko@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id A00A6117A; Wed, 4 Nov 2015 18:32:21 +0000 (UTC) (envelope-from remko@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id tA4IWKtI025270; Wed, 4 Nov 2015 18:32:20 GMT (envelope-from remko@FreeBSD.org) Received: (from remko@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id tA4IWKmH025269; Wed, 4 Nov 2015 18:32:20 GMT (envelope-from remko@FreeBSD.org) Message-Id: <201511041832.tA4IWKmH025269@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: remko set sender to remko@FreeBSD.org using -f From: Remko Lodder Date: Wed, 4 Nov 2015 18:32:20 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-translations@freebsd.org Subject: svn commit: r47739 - translations/nl_NL.ISO8859-1/books/handbook/audit X-SVN-Group: doc-translations MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-translations@freebsd.org X-Mailman-Version: 2.1.20 Precedence: list List-Id: SVN commit messages for doc translations trees List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 04 Nov 2015 18:32:22 -0000 Author: remko Date: Wed Nov 4 18:32:20 2015 New Revision: 47739 URL: https://svnweb.freebsd.org/changeset/doc/47739 Log: Update the WIP from Mike Submitted by: Mike Snow B.V. Facilitated by: Snow B.V. Modified: translations/nl_NL.ISO8859-1/books/handbook/audit/chapter.xml Modified: translations/nl_NL.ISO8859-1/books/handbook/audit/chapter.xml ============================================================================== --- translations/nl_NL.ISO8859-1/books/handbook/audit/chapter.xml Wed Nov 4 12:13:47 2015 (r47738) +++ translations/nl_NL.ISO8859-1/books/handbook/audit/chapter.xml Wed Nov 4 18:32:20 2015 (r47739) @@ -4,7 +4,7 @@ $FreeBSD$ %SOURCE% en_US.ISO8859-1/books/handbook/audit/chapter.xml - %SRCID% 41645 + %SRCID% 44395 --> - - Security Event Auditing + + + + + Security Event Auditing + - TomRhodesGeschreven door - RobertWatson + + + Tom + Rhodes + + Geschreven door + + + + + Robert + Watson + + - RemkoLodderVertaald door + + + Remko + Lodder + + Vertaald door + - - Overzicht @@ -34,10 +56,10 @@ requirements. --> MAC - Het besturingssysteem &os; heeft ondersteuning voor diepgaande + Het besturingssysteem &os; heeft ondersteuning voor beveiligingsauditing van evenementen. Evenement auditing maakt - het mogelijk dat er diepgaande en configureerbare logging van - een variateit aan beveiligings-gerelateerde systeem evenementen, + het mogelijk dat er betrouwbare, diepgaande en configureerbare logging + van een variateit aan beveiligings-gerelateerde systeem evenementen, waaronder logins, configuratie wijzigingen, bestands- en netwerk toegang. Deze log regels kunnen erg belangrijk zijn voor live systeem monitoring, intrusion detection en @@ -98,8 +120,8 @@ requirements. --> van gebruikers. De beveiligings evenement auditing faciliteit is in staat om - erg gedetailleerde logs van systeem activiteiten op een druk - systeem te genereren, trail bestands data kan erg groot worden + erg gedetailleerde logs van systeem activiteiten te genereren. Op + een druksysteem kan het trail bestands data erg groot worden wanneer er erg precieze details worden gevraagd, wat enkele gigabytes per week kan behalen in sommige configuraties. Beheerders moeten rekening houden met voldoende schijfruimte voor @@ -114,8 +136,8 @@ requirements. --> Sleutelwoorden in dit hoofdstuk - Voordat dit hoofdstuk gelezen kan worden, moeten er een - aantal audit gerelateerde termen uitgelegd worden: + De volgende termen zijn gerelateerd aan security event + auditing: @@ -169,11 +191,9 @@ requirements. --> preselection: Het proces waarbij het systeem bepaald welke evenementen interessant zijn voor de - beheerder, zodat wordt voorkomen dat er audit records - worden gegenereerd voor evenementen die niet interessant zijn. - De preselection configuratie gebruikt een serie - van selectie expressies om te identificeren welke klassen van - evenementen van toepassing zijn op gebruikers en globale + beheerder. De preselection configuratie gebruikt + een serie van selectie expressies om te identificeren welke klassen + van evenementen van toepassing zijn op gebruikers en globale instellingen voor zowel geauthoriseerde als ongeauthoriseerde processen. @@ -193,84 +213,27 @@ requirements. --> - - Installeren van audit ondersteuning. + + Audit Configuratie Ondersteuning in de gebruikersomgeving voor evenement auditing wordt geïnstalleerd als onderdeel van het basis &os; besturingssysteem. - Kernel-ondersteuning voor evenement-auditing wordt standaard meegenomen - tijdens compilatie, maar moet expliciet in de kernel gecompileerd worden - door de volgende regel toe te voegen aan het configuratiebestand van de - kernel: - - options AUDIT - - Bouw en herinstalleer de kernel volgens het normale - proces zoals beschreven in . - - Zodra een audit ondersteunende kernel is gebouwd en - geïnstalleerd en deze is opgestart kan de audit daemon - aangezet worden door de volgende regel aan &man.rc.conf.5; toe te - voegen: + Kernel-ondersteuning is standaard beschikbaar in de + GENERIC kernel en &man.auditd.8; kan worden + aangezet door de volgende regel aan + /etc/rc.conf toe te voegen: auditd_enable="YES" - Audit ondersteuning moet daarna aangezet worden door een - herstart van het systeem of door het handmatig starten van de audit - daemon: - - service auditd start - - - - Audit Configuratie - - Alle configuratie bestanden voor beveiligings audit kunnen - worden gevonden in - /etc/security. De volgende - bestanden moeten aanwezig zijn voor de audit daemon wordt - gestart: - - - - audit_class - Bevat de definities - van de audit klasses. - - - - audit_control - Controleert aspecten - van het audit subsysteem, zoals de standaard audit klassen, - minimale hoeveelheid diskruimte die moet overblijven op de - audit log schijf, de maximale audit trail grootte, etc. - - - - audit_event - Tekst namen en - beschrijvingen van systeem audit evenementen, evenals een - lijst van klassen waarin elk evenement zich bevind. - + Start daarna de audit daemon: - - audit_user - Gebruiker specifieke - audit benodigdheden welke gecombineerd worden met de globale - standaarden tijdens het inloggen. - + &prompt.root; service auditd start - - audit_warn - Een bewerkbaar shell - script gebruikt door de auditd - applicatie welke waarschuwings berichten genereert in - bijzondere situaties zoals wanneer de ruimte voor audit - records te laagis of wanneer het audit trail bestand is - geroteerd. - - + Gebruikers met een voorkeur voor een custom kernel moeten de + volgende regel toe te voegen aan het configuratiebestand van de + kernel: - - Audit configuratie bestanden moeten voorzichtig worden - bewerkt en onderhouden, omdat fouten in de configuratie kunnen - resulteren in het verkeerd loggen van evenementen. - + options AUDIT Evenement selectie expressies @@ -278,135 +241,168 @@ requirements. --> Selectie expressies worden gebruikt op een aantal plaatsen in de audit configuratie om te bepalen welke evenementen er geaudit moeten worden. Expressies bevatten een lijst van - evenement klassen welke gelijk zijn aan een prefix welke - aangeeft of gelijke records geaccepteerd moeten worden of - genegeerd en optioneel om aan te geven of de regel is bedoeld - om succesvolle of mislukte operaties te matchen. Selectie - expressies worden geevalueerd van links naar rechts en twee - expressies worden gecombineerd door de één aan de - ander toe te voegen. - - De volgende lijst bevat de standaard audit evenement klassen - welke aanwezig zijn in het audit_class - bestand: - - - - all - all - - Matched alle evenement klasses. - - - - ad - - administrative - Administratieve acties - welke uitgevoerd worden op het gehele systeem. - - - - ap - application - - Applicatie gedefinieerde acties. - - - - cl - file close - - Audit aanroepen naar de close systeem - aanroep. - - - - ex - exec - Audit - programma uitvoer. Het auditen van command line argumenten - en omgevings variabelen wordt gecontroleerd via - &man.audit.control.5; door gebruik te maken van de - argv en envv parameters - in de policy setting. - - - - fa - - file attribute access - Audit de - toevoeging van object attributen zoals &man.stat.1;, - &man.pathconf.2; en gelijkwaardige evenementen. - - - - fc - file create - - Audit evenementen waar een bestand wordt gecreëerd als - resultaat. - - - - fd - file delete - - Audit evenementen waarbij bestanden verwijderd - worden. - - - - fm - - file attribute modify - Audit - evenementen waarbij bestandsattribuut wijzigingen - plaatsvinden zoals bij &man.chown.8;, &man.chflags.1;, - &man.flock.2;, etc. - - - - fr - file read - - Audit evenementen waarbij data wordt gelezen, bestanden - worden geopend voor lezen etc. - - - - fw - file write - - Audit evenementen waarbij data wordt geschreven, bestanden - worden geschreven of gewijzigd, etc. - - - - io - ioctl - - Audit het gebruik van de &man.ioctl.2; systeem aanroep. - - - - ip - ipc - Audit - verschillende vormen van Inter-Process Communication, zoals - POSIX pipes en System V IPC operaties. - - - - lo - login_logout - - Audit &man.login.1; en &man.logout.1; evenementen die - plaatsvinden op het systeem. - - - - na - - non attributable - Audit - non-attributable evenementen. - - - - no - - invalid class - Matched geen enkel - audit evenement. - - - - nt - network - - Audit evenementen die gerelateerd zijn aan netwerk acties - zoals &man.connect.2; en &man.accept.2;. - - - - ot - other - - Audit diverse evenementen. - - - - pc - process - - Audit process operaties zoals &man.exec.3; en - &man.exit.3; - - + evenement klassen om te matchen. Selectie expressies worden + geevalueerd van links naar rechts en twee expressies worden + gecombineerd door de één aan de ander toe te voegen. + + vat de standaard audit evenement + klassen samen: + + + Standaard audit event klassen + + + + + Class Name + Description + Action + + + + + + all + all + Matched alle evenement klasses. + + + + aa + authentication and authorization + + + + + ad + administrative + Administratieve acties welke uitgevoerd worden op + het gehele systeem. + + + + ap + application + Applicatie gedefinieerde acties. + + + + cl + file close + Audit aanroepen naar de close systeem + aanroep. + + + + ex + exec + Audit programma uitvoer. Het auditen van command line + argumenten en omgevings variabelen wordt gecontroleerd via + &man.audit.control.5; door gebruik te maken van de + argv en envv parameters + in de policy setting. + + + + fa + file attribute access + Audit de toevoeging van object attributen zoals + &man.stat.1;, &man.pathconf.2; en gelijkwaardige + evenementen. + + + + fc + file create + Audit evenementen waar een bestand wordt gecreëerd als + resultaat. + + + + fd + file delete + Audit evenementen waarbij bestanden verwijderd + worden. + + + + fm + file attribute modify + Audit evenementen waarbij bestandsattribuut wijzigingen + plaatsvinden zoals bij &man.chown.8;, &man.chflags.1;, + &man.flock.2;, etc. + + + + fr + file read + Audit evenementen waarbij data wordt gelezen, bestanden + worden geopend voor lezen etc. + + + + fw + file write + Audit evenementen waarbij data wordt geschreven, bestanden + worden geschreven of gewijzigd, etc. + + + + io + ioctl + Audit het gebruik van de &man.ioctl.2; systeem + aanroep. + + + + ip + ipc + Audit verschillende vormen van Inter-Process Communicatie, + zoals POSIX pipes en System V IPC + operaties. + + + + lo + login_logout + Audit &man.login.1; en &man.logout.1; evenementen die + plaatsvinden op het systeem. + + + + na + non attributable + Audit non-attributable evenementen. + + + + no + invalid class + Matched geen enkel audit evenement. + + + + nt + network + Audit evenementen die gerelateerd zijn aan netwerk acties + zoals &man.connect.2; en &man.accept.2;. + + + + ot + other + Audit diverse evenementen. + + + + pc + process + Audit process operaties zoals &man.exec.3; en + &man.exit.3; + + + +
Deze audit evenement klassen kunnen veranderd worden door het wijzigingen van de audit_class en @@ -417,48 +413,104 @@ requirements. --> operaties hebben plaatsgevonden en of de regel wordt toegevoegd of verwijderd van het matchen van de klasse en het type. - - - (none) Audit zowel succesvolle als mislukte informatie - van het evenement. - + + Prefixes voor audit evenement klassen + + + + + Prefix + Action + + + + + + + + Audit succesvolle evenementen in deze klasse. + + + + - + Audit mislukte evenementen in deze klasse. + + + + ^ + Audit geen enkele succesvolle of + mislukte evenementen in deze klasse. + + + + ^+ + Audit geen succesvolle evenementen in deze klasse. + + + + ^- + Audit geen mislukte evenementen in deze klasse. + + + +
+ + Indien er geen prefix aanwezig is, worden zowel succesvolle als + mislukte gebeurtenissen van het evenement geaudit. + + De volgende voorbeeld selectie strings selecteren zowel + succesvolle als mislukte login/logout evenementen, maar alleen + succesvolle uitvoer evenementen: + + lo,+ex + + + Configuratie bestanden + + Alle configuratie bestanden voor beveiligings audit kunnen + worden gevonden in + /etc/security: + + - + Audit succesvolle evenementen in - deze klasse. + audit_class - Bevat de definities + van de audit klasses. - - Audit mislukte evenementen in deze - klasse. + audit_control - Controleert aspecten + van het audit subsysteem, zoals de standaard audit klassen, + minimale hoeveelheid diskruimte die moet overblijven op de + audit log schijf, de maximale audit trail grootte, etc. - ^ Audit geen enkele succesvolle of - mislukte evenementen in deze klasse. + audit_event - Tekst namen en + beschrijvingen van systeem audit evenementen, evenals een + lijst van klassen waarin elk evenement zich bevind. - ^+ Audit geen succesvolle evenementen - in deze klasse. + audit_user - Gebruiker specifieke + audit benodigdheden welke gecombineerd worden met de globale + standaarden tijdens het inloggen. - ^- Audit geen mislukte evenementen - in deze klasse. + audit_warn - Een bewerkbaar shell + script gebruikt door de auditd + applicatie welke waarschuwings berichten genereert in + bijzondere situaties zoals wanneer de ruimte voor audit + records te laagis of wanneer het audit trail bestand is + geroteerd. - - De volgende voorbeeld selectie strings selecteren zowel - succesvolle als mislukte login/logout evenementen, maar alleen - succesvolle uitvoer evenementen: - - lo,+ex - - - - Configuratie bestanden + + Audit configuratie bestanden moeten voorzichtig worden + bewerkt en onderhouden, omdat fouten in de configuratie kunnen + resulteren in het verkeerd loggen van evenementen. + In de meeste gevallen moet een beheerder twee bestanden wijzigingen wanneer het audit systeem wordt geconfigureerd: @@ -475,11 +527,13 @@ requirements. --> bekeken wordt van dit bestand is het volgende te zien: dir:/var/audit -flags:lo -minfree:20 -naflags:lo -policy:cnt -filesz:0 +dist:off +flags:lo,aa +minfree:5 +naflags:lo,aa +policy:cnt,argv +filesz:2M +expire-after:10M De optie wordt gebruikt om één of meerdere directories te specificeren die @@ -491,6 +545,11 @@ filesz:0 voorkomen dat het audit subsysteem en andere subsystemen met elkaar botsen als het bestandssysteem volraakt. + Als het veld op on + of yes is gezet, zullen harde links worden + gemaakt naar alle trail bestanden in + /var/audit/dist. + Het veld stelt de systeem brede standaard preselection maskers voor attributable evenementen in. In het voorbeeld boven worden succesvolle en mislukte @@ -524,6 +583,9 @@ filesz:0 gevraagde bestands grootte niet nul is en onder de minimale 512k zit, wordt de optie genegeerd en wordt er een log bericht gegenereerd. + + Het veld specificeert wanneer + audit log bestanden zullen expireren en verwijderd worden. @@ -558,42 +620,38 @@ www:fc,+ex:no - Het audit subsysteem beheren. - - - Audit trails inzien + Werken met audit trails - Audit trails worden opgeslagen in het BSM binaire formaat, - dus ondersteunende programma's moeten worden gebruikt om de - informatie te wijzigen of converteren naar tekst. Het - &man.praudit.1; commando converteert trail bestanden naar een - simpel tekst formaat; het &man.auditreduce.1; commando kan - gebruikt worden om de audit trail te reduceren voor analyse, - archivering of voor het uitprinten van de data. - auditreduce ondersteund een variateit aan - selectie parameters, zoals evenement type, evenement klasse, - gebruiker, datum of tijd van het evenement en het bestandspad - of object dat gebruikt wordt. - - Bijvoorbeeld, het praudit programma zal - een dump maken van de volledige inhoud van een gespecificeerd - audit log bestand in normale tekst: - - &prompt.root; praudit /var/audit/AUDITFILE - - Waar - AUDITFILE het - audit bestand is dat ingelezen moet worden. - - Audit trails bestaan uit een serie van audit records die - gevormd worden door tokens, welke praudit - sequentieel print één per regel. Elke token is van - een specifiek type, zoals een header welke - de audit record header bevat, of path welke - het bestandspad bevat van een lookup. Het volgende is een - voorbeeld van een execve evenement: + Audit trails worden opgeslagen in het BSM binaire formaat, + dus ondersteunende programma's moeten worden gebruikt om de + informatie te wijzigen of converteren naar tekst. Het + praudit commando converteert trail bestanden naar + een simpel tekst formaat; het auditreduce commando + kan gebruikt worden om de audit trail te reduceren voor analyse, + archivering of voor het uitprinten van de data. + auditreduce ondersteund een variateit aan + selectie parameters, zoals evenement type, evenement klasse, + gebruiker, datum of tijd van het evenement en het bestandspad + of object dat gebruikt wordt. + + Bijvoorbeeld, het praudit programma zal + een dump maken van de volledige inhoud van een gespecificeerd + audit log bestand in normale tekst: + + &prompt.root; praudit /var/audit/AUDITFILE + + Waar AUDITFILE het + audit bestand is dat ingelezen moet worden. + + Audit trails bestaan uit een serie van audit records die + gevormd worden door tokens, welke praudit + sequentieel print één per regel. Elke token is van + een specifiek type, zoals een header welke + de audit record header bevat, of path welke + het bestandspad bevat van een lookup. Het volgende is een + voorbeeld van een execve evenement: - header,133,10,execve(2),0,Mon Sep 25 15:58:03 2006, + 384 msec + header,133,10,execve(2),0,Mon Sep 25 15:58:03 2006, + 384 msec exec arg,finger,doug path,/usr/bin/finger attribute,555,root,wheel,90,24918,104944 @@ -601,73 +659,61 @@ subject,robert,root,wheel,root,wheel,384 return,success,0 trailer,133 - Deze audit representeert een succesvolle - execve aanroep, waarbij het commando - finger doug is aangeroepen. Het argument - token bevat beide commando's gerepresenteerd door de shell aan - de kernel. Het path token bevat het pad - naar het uitvoerbare bestand zoals opgezocht door de kernel. - Het attribute token beschrijft de binary en - om precies te zijn bevat het de bestands mode welke gebruikt - kan worden om te zien of het bestand setuid was. Het - subject token beschrijft het onderwerp - proces en bevat sequentieel het audit gebruikers ID, effectieve - gebruikers ID en groep ID, echte gebruikers ID, groep ID, - proces ID, sessie ID, port ID en login adres. Let op dat het - audit gebruikers ID en het echte gebruikers ID van elkaar - verschillen omdat de gebruiker robert - veranderd is naar de root gebruiker voordat - het commando werd uitgevoerd, maar welke geaudit wordt als de - originele geauthoriseerde gebruiker. Als laatste wordt de - return token gebruikt om aan te geven dat er - een succesvolle uitvoer is geweest en trailer - geeft het einde aan van het record. - - praudit ook een XML output formaat, - welke geselecteerd kan worden door gebruik te maken van het - argument. - - - - Het reduceren van audit trails - - Omdat audit logs erg groot kunnen worden, zal de beheerder - waarschijnlijk een subset van records willen selecteren om te - gebruiken, zoals records die gekoppeld zijn aan een specifieke - gebruiker: - - &prompt.root; auditreduce -u trhodes /var/audit/AUDITFILE | praudit - - Dit selecteert alle audit records die geproduceert zijn - voor de gebruiker trhodes die opgeslagen - is in het AUDITFILE - bestand. - - - - Delegeren van audit onderzoek rechten - - Leden van de audit groep krijgen - permissie om de audit trails te lezen in - /var/audit; standaard is deze - groep leeg en kan alleen de root gebruiker deze - audit trails lezen. Gebruikers kunnen toegevoegd worden aan de - audit groep zodat onderzoek rechten kunnen - worden gedelegeerd aan de geruiker. Omdat de mogelijkheid van - het inzien van audit log inhoud significante inzicht kan geven - in het gedrag van gebruikers en processen, wordt het aangeraden - dat de delagatie van onderzoek rechten eerst goed overdacht - wordt. - + Deze audit representeert een succesvolle + execve aanroep, waarbij het commando + finger doug is aangeroepen. Het argument token + bevat beide commando's gerepresenteerd door de shell aan de kernel + Het path token bevat het pad naar het uitvoerbare + bestand zoals opgezocht door de kernel. Het attribute + token beschrijft de binary en om precies te zijn bevat het de bestands + mode welke gebruikt kan worden om te zien of het bestand setuid was. + Het subject token beschrijft het onderwerp proces + en bevat sequentieel het audit gebruikers ID, effectieve gebruikers ID + en groep ID, echte gebruikers ID, groep ID, proces ID, sessie ID, + port ID en login adres. Let op dat het audit gebruikers ID en het + echte gebruikers ID van elkaar verschillen omdat de gebruiker + robert veranderd is naar de + root gebruiker voordat + het commando werd uitgevoerd, maar welke geaudit wordt als de + originele geauthoriseerde gebruiker. Als laatste wordt de + return token gebruikt om aan te geven dat er + een succesvolle uitvoer is geweest en trailer + geeft het einde aan van het record. + + XML uitvoer formaat wordt ook ondersteund en + kan geselecteerd worden door gebruik te maken van de + optie. + + Omdat audit logs erg groot kunnen worden, kan een subset van + records geselecteerd worden met auditreduce. + Dit voorbeeld selecteert alle audit records die geproduceert zijn + voor de gebruiker trhodes + die opgeslagen zijn in het bestand + AUDITFILE: + + &prompt.root; auditreduce -u trhodes /var/audit/AUDITFILE | praudit + + Leden van de audit groep krijgen permissie om de + audit trails te lezen in /var/audit; standaard + is deze /var/audit; standaard is deze + groep leeg en kan alleen de root gebruiker deze audit trails + lezen. Gebruikers kunnen toegevoegd worden aan de audit groep zodat onderzoek rechten + kunnen worden gedelegeerd aan de geruiker. Omdat de mogelijkheid van + het inzien van audit log inhoud significante inzicht kan geven + in het gedrag van gebruikers en processen, wordt het aangeraden + dat de delagatie van onderzoek rechten eerst goed overdacht + wordt. Live monitoren door gebruik van audit pipes - Audit pipes zijn gecloonde pseudo-devices in het device - bestands systeem, welke applicaties toestaat om een tap te - plaatsen in de live audit record stream. Dit is primair - interessant voor schrijvers van intrusion detection en systeem - monitoring applicaties. Echter, voor een beheerder is het + Audit pipes zijn gecloonde pseudo-devices welke applicaties + toestaat om een tap te plaatsen in de live audit record stream. + Dit is primair interessant voor schrijvers van intrusion detection + systeem monitoring applicaties. Echter, voor een beheerder is het audit pipe device een makkelijke manier om live monitoring toe te staan zonder dat er problemen kunnen ontstaan met het eigenaarschap van het audit trail bestand, of dat een log @@ -678,9 +724,9 @@ trailer,133 &prompt.root; praudit /dev/auditpipe Standaard zijn de audit pipe device nodes alleen toegankelijk - voor de root gebruiker. Om deze - toegankelijk te maken voor leden van de - audit groep, moet een + voor de root gebruiker. + Om deze toegankelijk te maken voor leden van de audit groep, moet een devfs regel toegevoegd worden aan het devfs.rules bestand: @@ -693,13 +739,14 @@ trailer,133 Het is makkelijk om audit evenement terugkoppeling cyclussen te creëeren, waarbij het tonen van elk audit evenement resulteert in het genereren van nog meer audit - evenementen. Bijvoorbeeld, als alle netwerk I/O wordt geaudit - en &man.praudit.1; wordt gestart vanuit een SSH sessie, wordt - er een grote continue stroom aan audit evenementen gegenereert - doordat elk getoond evenement een nieuw evenement genereert. - Het is verstandig om praudit te draaien op - een audit pipe device voor sessies zonder diepgaande I/O - auditing om te voorkomen dat dit gebeurd. + evenementen. Bijvoorbeeld, als alle netwerk I/O + wordt geaudit en praudit wordt gestart vanuit + een SSH sessie, wordt er een grote continue stroom + aan audit evenementen gegenereert doordat elk getoond evenement een + nieuw evenement genereert. Het is verstandig om + praudit te draaien op een audit pipe device voor + sessies zonder diepgaande I/O auditing om te + voorkomen dat dit gebeurd. @@ -707,30 +754,27 @@ trailer,133 Het roteren van audit trail bestanden Audit trails worden alleen beschreven door de kernel en - alleen beheerd worden door de audit daemon, - auditd. Beheerders mogen geen - gebruik maken van &man.newsyslog.conf.5; of soortgelijke - programma's om de audit files te roteren. In plaats daarvan kan - het audit management programma gebruikt worden - om auditing te stoppen, het audit systeem te herconfigureren en - log rotatie uit te voeren. Het volgende commando zorgt ervoor - dat de audit daemon een nieuwe audit log maakt, en vervolgens - de kernel een signaal stuurt om het nieuwe logbestand te gaan - gebruiken. Het oude logbestand wordt getermineerd en hernoemd, - waarna het bestand gemanipuleerd kan worden door de beheerder. + alleen beheerd worden door de audit daemon, &man.auditd.8;. + Beheerders mogen geen gebruik maken van &man.newsyslog.conf.5; + of soortgelijke programma's om de audit files te roteren. In + plaats daarvan kan het audit management + programma gebruikt worden om auditing te stoppen, het audit + systeem te herconfigureren en log rotatie uit te voeren. Het + volgende commando zorgt ervoor dat de audit daemon een nieuwe + audit log maakt, en vervolgens de kernel een signaal stuurt om + het nieuwe logbestand te gaan gebruiken. Het oude logbestand + wordt getermineerd en hernoemd, waarna het bestand gemanipuleerd + kan worden door de beheerder. &prompt.root; audit -n - - Als de auditd daemon op dit - moment niet actief is, zal het commando falen en - zal er een error bericht worden geproduceerd. - + Als de auditd daemon op dit + moment niet actief is, zal het commando falen en + zal er een error bericht worden geproduceerd. Als de volgende regel wordt toegevoegd aan het /etc/crontab bestand, zal er - elke twaalf uur een rotatie plaatsvinden door middel - van &man.cron.8;: + elke twaalf uur een rotatie plaatsvinden 0 */12 * * * root /usr/sbin/audit -n @@ -740,12 +784,8 @@ trailer,133 Automatische rotatie van het audit trail bestand gebaseerd op de bestand grootte is mogelijk via de - optie in &man.audit.control.5; en wordt beschreven in de - configuratie bestanden sectie van dit hoofdstuk. - - - - Audit trails comprimeren + optie in audit_control en wordt beschreven in + . Omdat audit trail bestanden erg groot kunnen worden, is het meestal gewenst om de trails te comprimeren of op een andere