Date: Sat, 3 May 2008 19:48:00 GMT From: Gabor Pali <pgj@FreeBSD.org> To: Perforce Change Reviews <perforce@FreeBSD.org> Subject: PERFORCE change 141099 for review Message-ID: <200805031948.m43Jm0Td026402@repoman.freebsd.org>
next in thread | raw e-mail | index | archive | help
http://perforce.freebsd.org/chv.cgi?CH=141099 Change 141099 by pgj@disznohal on 2008/05/03 19:47:40 Cleanup in Chapter 17. Affected files ... .. //depot/projects/docproj_hu/books/handbook/audit/chapter.sgml#8 edit Differences ... ==== //depot/projects/docproj_hu/books/handbook/audit/chapter.sgml#8 (text+ko) ==== @@ -5,7 +5,7 @@ <!-- The FreeBSD Hungarian Documentation Project Translated by: PALI, Gabor <pgj@FreeBSD.org> - Original Revision: r1.33 --> + Original Revision: 1.33 --> <chapter id="audit" lang="hu"> <chapterinfo> @@ -34,7 +34,7 @@ <see>MAC</see> </indexterm> - <para>A &os; 6.2-RELEASE és az azóta megjelent + <para>A &os; 6.2-RELEASE és az azóta megjelent verziók támogatják a biztonsági események aprólékos vizsgálatát. Ezzel egy megbízható, @@ -58,7 +58,7 @@ állományformátumát valósítja meg, és így képes együttmûködni a &sun; &solaris; valamint az &apple; - &macos; X bizonsági rendszereivel egyaránt.</para> + &macos; X bizonsági rendszereivel egyaránt.</para> <para>Ebben a fejezetben a biztonsági események vizsgálatának telepítéséhez @@ -75,21 +75,21 @@ <itemizedlist> <listitem> <para>mit jelent az események vizsgálata és - hogyan mûködik</para> + hogyan mûködik;</para> </listitem> <listitem> <para>hogyan kell beállítani az események vizsgálatát &os;-n a különbözõ felhasználók - és programok esetén</para> + és programok esetén;</para> </listitem> <listitem> <para>hogyan értelmezzük a vizsgálati nyomokat a vizsgálatot szûkítõ és -elemzõ segédprogramok - segítségével</para> + segítségével.</para> </listitem> </itemizedlist> @@ -98,38 +98,40 @@ <itemizedlist> <listitem> <para>alapvetõ &unix;-os és &os;-s ismeretek (<xref - linkend="basics">)</para> + linkend="basics">);</para> </listitem> <listitem> <para>a rendszermag konfigurálásával és fordításával kapcsolatos tudnivalók alapszintû ismerete (<xref - linkend="kernelconfig">)</para> + linkend="kernelconfig">);</para> </listitem> <listitem> <para>az informatikai biztonság alapfogalmainak és annak a &os;-re vonatkozó részleteinek - minimális ismerete (<xref linkend="security">)</para> + minimális ismerete (<xref linkend="security">).</para> </listitem> </itemizedlist> <warning> - <para>A &os; 6.<replaceable>X</replaceable> verziójaiban - jelenlevõ biztonsági vizsgálat még - csak kísérleti jelleggel szerepel, éles - környezetben kizárólag csak az ebbõl - eredõ kockázatok tudatában és + <para>A &os; 6.<replaceable>X</replaceable> + verziójaiban jelenlevõ biztonsági + vizsgálat még csak kísérleti + jelleggel szerepel, éles környezetben + kizárólag csak az ebbõl eredõ + kockázatok tudatában és elfogadásával javasolt használni. Ismert korlátozások: nem mindegyik biztonságot érintõ esemény vizsgálható, - mint mondjuk az egyes bejelentkezési típusok, - mivel azok nem megfelelõen hitelesítik a - belépõ felhasználókat. Ilyenek - például az X11-alapú felületek - és az egyéb, erre a célra alkalmas, - más által fejlesztett démonok.</para> + mint például az egyes bejelentkezési + típusok, mivel azok nem megfelelõen + hitelesítik a belépõ + felhasználókat. Ilyenek például az + X11-alapú felületek és az egyéb, erre + a célra alkalmas, más által fejlesztett + démonok.</para> </warning> <warning> @@ -140,7 +142,7 @@ kellõen forgalmas rendszeren az állománymozgások alapos nyomonkövetése bizonyos - konfigurációkon akár gigabájtokat is + konfigurációkon akár gigabyte-okat is kitehet hetente. A rendszergazdáknak ezért mindig javasolt számolniuk a nagy forgalmú események biztonsági vizsgálatának @@ -175,12 +177,12 @@ visszakövethetõ valamelyik hitelesített felhasználóhoz, vagy <quote>nem jellegzetes</quote>, ha ez nem lehetséges. Nem - jellegzetes esemény lehet például - minden olyan esemény, amely egy bejelentkezési - folyamat hitelesítési lépése - elõtt történik, ilyenek a hibás - jelszóval történõ - belépési kísérletek.</para> + jellegzetes esemény lehet minden olyan esemény, + amely egy bejelentkezési folyamat + hitelesítési lépése elõtt + történik, például egy + belépési kísérlet hibás + jelszóval.</para> </listitem> <listitem> @@ -188,7 +190,7 @@ Eseményosztálynak az összefüggõ események névvel ellátott halmazát tekintjük, és szûrési - feltételekben használjuk õket. + feltételekben használjuk ezeket. Általában alkalmazott osztályok: <quote>file creation</quote> (fc, állománylétrehozás), @@ -269,7 +271,7 @@ Például a részletesebb vizsgálati nyomokat érdemes egy hónapig megtartani, ennek lejártával viszont már inkább - ajánlott leszûkíteni õket és + ajánlott leszûkíteni ezeket és archiválásra csak a bejelentkezési információkat megtartani.</para> </listitem> @@ -315,6 +317,7 @@ elindításával aktiválhatjuk:</para> <programlisting>/etc/rc.d/auditd start</programlisting> + </sect1> <sect1 id="audit-config"> @@ -323,10 +326,10 @@ <para>A vizsgálatok beállításához szükséges összes konfigurációs állomány a <filename - class="directory">/etc/security</filename> - könyvtárban található. A - következõ állományok vannak itt a - démon indítása elõtt:</para> + class="directory">/etc/security</filename> könyvtárban + található. A következõ + állományok vannak itt a démon + indítása elõtt:</para> <itemizedlist> <listitem> @@ -347,10 +350,10 @@ <listitem> <para><filename>audit_event</filename> - a rendszerben - jelenlevõ vizsgálati események szöveges - megnevezése és leírása, valamint a - lista, hogy melyikük mely osztályban - található.</para> + jelenlevõ vizsgálati események + szöveges megnevezése és + leírása, valamint a lista, hogy melyikük + mely osztályban található.</para> </listitem> <listitem> @@ -368,10 +371,11 @@ testreszabható shell szkript, aminek segítségével a szélsõséges helyzetekben figyelmeztetõ - üzeneteket tudunk generálni, mint mondjuk amikor a - rekordok számára fenntartott hely hamarosan - elfogy, vagy amikor a nyomokat tartalmazó - állományt archiváltuk.</para> + üzeneteket tudunk generálni, mint + például amikor a rekordok számára + fenntartott hely hamarosan elfogy, vagy amikor a nyomokat + tartalmazó állományt + archiváltuk.</para> </listitem> </itemizedlist> @@ -457,8 +461,8 @@ hozzáférése)</emphasis> - a rendszerbeli objektumok jellemzõinek hozzáférésnek vizsgálata, mint - pl. a &man.stat.1;, &man.pathconf.2; és ehhez - hasonló események.</para> + például a &man.stat.1;, &man.pathconf.2; + és ehhez hasonló események.</para> </listitem> <listitem> @@ -482,25 +486,23 @@ módosítása)</emphasis> - állományok jellemzõit megváltoztató események - vizsgálata, mint mondjuk a &man.chown.8;, - &man.chflags.1;, &man.flock.2;, stb.</para> + vizsgálata, mint például a + &man.chown.8;, &man.chflags.1;, &man.flock.2;, stb.</para> </listitem> <listitem> <para><literal>fr</literal> - <emphasis>file read (állományolvasás)</emphasis> - - állományok olvasásra - történõ megnyitásával, - olvasásával, stb. kapcsolatos - események vizsgálata.</para> + állományok megnyitásával + olvasásra, olvasásával, stb. + kapcsolatos események vizsgálata.</para> </listitem> <listitem> <para><literal>fw</literal> - <emphasis>file write (állományírás)</emphasis> - - állományok írásra - történõ megnyitásával, - írásával, + állományok megnyitásával + írásra, írásával, módosításával, stb. kapcsolatos események vizsgálata.</para> </listitem> @@ -545,8 +547,8 @@ <para><literal>nt</literal> - <emphasis>network (hálózat)</emphasis> - a hálózathoz tartozó események - vizsgálata, mint pl. a &man.connect.2; és az - &man.accept.2;.</para> + vizsgálata, mint például a + &man.connect.2; és az &man.accept.2;.</para> </listitem> <listitem> @@ -580,7 +582,8 @@ <itemizedlist> <listitem> <para>(üres) az adott típusból mind a - sikereseket és mind a sikerteleneket feljegyzi.</para> + sikereseket és mind a sikerteleneket + feljegyzi.</para> </listitem> <listitem> @@ -597,30 +600,32 @@ <listitem> <para><literal>^</literal> az - eseményosztályból sem a sikereseket, sem - pedig a sikerteleneket nem vizsgálja.</para> + eseményosztályból sem a sikereseket, + sem pedig a sikerteleneket nem vizsgálja.</para> </listitem> <listitem> <para><literal>^+</literal> az - eseményosztályból nem vizsgálja a - sikeres eseményeket.</para> + eseményosztályból nem vizsgálja + a sikeres eseményeket.</para> </listitem> <listitem> <para><literal>^-</literal> az - eseményosztályból nem vizsgálja a - sikertelen eseményeket.</para> + eseményosztályból nem vizsgálja + a sikertelen eseményeket.</para> </listitem> </itemizedlist> <para>Az alábbi példa egy olyan szûrési - feltételt mutat be, amely a ki- és bejelentkezések - közül megadja a sikereset és a sikerteleneket, - viszont a programindítások közül csak a + feltételt mutat be, amely a ki- és + bejelentkezések közül megadja a sikereset + és a sikerteleneket, viszont a + programindítások közül csak a sikereseket:</para> <programlisting>lo,+ex</programlisting> + </sect2> <sect2> @@ -646,10 +651,10 @@ állomány</title> <para>Az <filename>audit_control</filename> - állomány határozza meg a vizsgálati - alrendszer alapértelmezéseit. Ezt az - állományt megnyitva a következõket - láthatjuk:</para> + állomány határozza meg a + vizsgálati alrendszer alapértelmezéseit. + Ezt az állományt megnyitva a + következõket láthatjuk:</para> <programlisting>dir:/var/audit flags:lo @@ -695,9 +700,9 @@ <para>A <option>naflags</option> opció megadja azokat az eseményosztályokat, amelyeket vizsgálni - kell a nem jellegzetes események, mind mondjuk a - bejelentkezési folyamatok vagy rendszerdémonok - esetén.</para> + kell a nem jellegzetes események, mind + például a bejelentkezési folyamatok vagy + rendszerdémonok esetén.</para> <para>A <option>policy</option> opció a vizsgálat különbözõ szempontjait @@ -716,17 +721,18 @@ rendszerhívás parancssori paramétereit is megvizsgálja.</para> - <para>A <option>filesz</option> opció határozza meg - a vizsgálati nyom automatikus + <para>A <option>filesz</option> opció határozza + meg a vizsgálati nyom automatikus szétvágása és archiválása elõtti maximális - méretét, bájtban. Az - alapértelmezett értéke a 0, amely - kikapcsolja ezt az archiválást. Ha az itt - megadott állományméret nem nulla - és a minimálisan elvárt 512 KB alatt van, - akkor a rendszer figyelmen kívül hagyja és + méretét, byte-ban. Az alapértelmezett + értéke a 0, amely kikapcsolja ezt az + archiválást. Ha az itt megadott + állományméret nem nulla és a + minimálisan elvárt 512 KB alatt van, akkor + a rendszer figyelmen kívül hagyja és errõl egy figyelmeztetést ad.</para> + </sect3> <sect3 id="audit-audituser"> @@ -752,8 +758,8 @@ <para>A most következõ <filename>audit_user</filename> példában vizsgáljuk a - <username>root</username> felhasználó - ki- és bejelentkezéseit és sikeres + <username>root</username> felhasználó ki- + és bejelentkezéseit és sikeres programindításait, valamint a <username>www</username> felhasználó állománylétrehozásait és @@ -769,6 +775,7 @@ <programlisting>root:lo,+ex:no www:fc,+ex:no</programlisting> + </sect3> </sect2> </sect1> @@ -805,7 +812,7 @@ szövegesen egy adott vizsgálati napló teljes tartalmát:</para> - <screen>&prompt.root; <userinput>praudit /var/audit/AUDITFILE</userinput></screen> + <screen>&prompt.root; <userinput>praudit /var/audit/<replaceable>AUDITFILE</replaceable></userinput></screen> <para>ahol az <filename><replaceable>AUDITFILE</replaceable></filename> a @@ -815,9 +822,10 @@ összeállított vizsgálati rekordok, amelyeket a <command>praudit</command> egymás után soronként megjelenít. Minden token adott - típusú, pl. a <literal>header</literal> egy - vizsgálati rekord fejlécét tartalmazza, - vagy a <literal>path</literal>, amely a + típusú, például a + <literal>header</literal> egy vizsgálati rekord + fejlécét tartalmazza, vagy a + <literal>path</literal>, amely a névfeloldásból származó elérési utat tartalmaz. A következõ példa egy <literal>execve</literal> eseményt mutat @@ -869,6 +877,7 @@ Végezetül a <literal>return</literal> token jelzi a sikeres végrehajtást, és a <literal>trailer</literal> pedig zárja a rekordot.</para> + </sect2> <sect2> @@ -882,13 +891,14 @@ adott felhasználóhoz tartozó rekordok kiválogatására:</para> - <screen>&prompt.root; <userinput>auditreduce -u trhodes /var/audit/AUDITFILE | praudit</userinput></screen> + <screen>&prompt.root; <userinput>auditreduce -u trhodes <replaceable>/var/audit/AUDITFILE</replaceable> | praudit</userinput></screen> <para>Ezzel ki tudjuk szûrni a <username>trhodes</username> nevû felhasználóhoz tartozó összes vizsgálati rekordot az <filename><replaceable>AUDITFILE</replaceable></filename> állományból.</para> + </sect2> <sect2> @@ -911,6 +921,7 @@ és folyamatok viselkedésére, ajánlott körültekintõen kiosztani az olvasási jogokat.</para> + </sect2> <sect2> @@ -926,8 +937,8 @@ Ez az elsõdleges célja a különbözõ betörésfigyelõ és rendszerfelügyeleti eszközök - készítõinek. Azonban a rendszergazda - számára a vizsgálati csövek + készítõinek. A rendszergazda + számára azonban a vizsgálati csövek megkönnyítik az élõ megfigyelést, mert itt nem merülnek fel a nyomok jogosultságaiból vagy az archiválás @@ -952,8 +963,8 @@ <programlisting>add path 'auditpipe*' mode 0440 group audit</programlisting> <para>A devfs állományrendszer - beállításárõl bõvebben ld. - a &man.devfs.rules.5; oldalt.</para> + beállításárõl bõvebben + lásd a &man.devfs.rules.5; oldalt.</para> <warning> <para>Könnyen gerjedést lehet elõidézni @@ -961,19 +972,20 @@ megfigyelésével, amikor is az egyes események megtekintése újabb vizsgálandó események sorozatát - indítják el. Mondjuk, ha az összes - hálózati forgalmat egyszerre vizsgáljuk - és a &man.praudit.1; egy SSH-munkameneten - keresztül fut, akkor a vizsgálati események - töméntelen áradata indul meg, mivel minden - kiírandó esemény egy újabb - eseményt indukál. Ennek elkerülése - érdekében ajánlott a - <command>praudit</command> parancsot részletes + indítják el. Például, ha az + összes hálózati forgalmat egyszerre + vizsgáljuk és a &man.praudit.1; egy + SSH-munkameneten keresztül fut, akkor a vizsgálati + események töméntelen áradata indul + meg, mivel minden kiírandó esemény egy + újabb eseményt indukál. Ennek + elkerülése érdekében ajánlott + a <command>praudit</command> parancsot részletes forgalmat nem figyelõ vizsgálati csõvel ellátott munkameneten keresztül elindítani.</para> </warning> + </sect2> <sect2> @@ -981,7 +993,7 @@ archiválása</title> <para>A vizsgálati nyomokat egyedül a rendszermag - képes írni, ill. csak a vizsgálati + képes írni, illetve csak a vizsgálati démon, az <application>auditd</application> képes felügyelni. A rendszergazdáknak ebben az esetben tehát nem szabad használniuk a @@ -1033,6 +1045,7 @@ is találhatunk ebben a fejezetben, a konfigurációs állományok beállításánál.</para> + </sect2> <sect2> @@ -1080,6 +1093,7 @@ formátumot is támogat, amely az <option>-x</option> kapcsolóval érhetõ el.</para> + </sect2> </sect1> </chapter>
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?200805031948.m43Jm0Td026402>