Date: Sun, 16 Sep 2007 13:24:19 GMT From: Gabor Kovesdan <gabor@FreeBSD.org> To: Perforce Change Reviews <perforce@freebsd.org> Subject: PERFORCE change 126473 for review Message-ID: <200709161324.l8GDOJRv022700@repoman.freebsd.org>
next in thread | raw e-mail | index | archive | help
http://perforce.freebsd.org/chv.cgi?CH=126473 Change 126473 by gabor@gabor_server on 2007/09/16 13:23:54 - Cut long lines - Correct whitespace Affected files ... .. //depot/projects/docproj_hu/books/handbook/audit/chapter.sgml#3 edit Differences ... ==== //depot/projects/docproj_hu/books/handbook/audit/chapter.sgml#3 (text+ko) ==== @@ -5,7 +5,7 @@ <!-- The FreeBSD Hungarian Documentation Project Translated by: PALI, Gabor <pgj@FreeBSD.org> - Original Revision: r1.30 --> + Original Revision: r1.30 --> <chapter id="audit" lang="hu"> <chapterinfo> @@ -33,41 +33,55 @@ <see>MAC</see> </indexterm> - <para>A &os; 6.2-RELEASE és az azóta megjelent verziók támogatják a - biztonsági események aprólékos vizsgálatát. Ezzel egy megbízható, - részletes és jól konfigurálható naplózási rendszert társítanak a - rendszerben található biztonságot igénylõ események széles köréhez, - beleértve a bejelentkezéseket, a konfigurációs állományokban bekövetkezõ - változásokat, állomány- és hálózati hozzáféréseket. Az így létrehozott - naplóbejegyzések felbecsülhetetlen értékûnek bizonyulhatnak egy élõ - rendszer felügyelete során, vagy egy hálózati támadás észleléséhez, - esetleg egy összeomlás okainak kielemezéséhez. A &os; ehhez a &sun; - által kifejlesztett <acronym>BSM</acronym> technológia API-ját és - állományformátumát valósítja meg, és így képes együttmûködni a &sun; - &solaris; valamint az &apple; &macos; X bizonsági rendszereivel - egyaránt.</para> + <para>A &os; 6.2-RELEASE és az azóta megjelent verziók + támogatják a biztonsági események + aprólékos vizsgálatát. Ezzel egy + megbízható, részletes és jól + konfigurálható naplózási rendszert + társítanak a rendszerben található + biztonságot igénylõ események széles + köréhez, beleértve a bejelentkezéseket, a + konfigurációs állományokban + bekövetkezõ változásokat, állomány- + és hálózati hozzáféréseket. Az + így létrehozott naplóbejegyzések + felbecsülhetetlen értékûnek bizonyulhatnak egy + élõ rendszer felügyelete során, vagy egy + hálózati támadás + észleléséhez, esetleg egy összeomlás + okainak kielemezéséhez. A &os; ehhez a &sun; által + kifejlesztett <acronym>BSM</acronym> technológia API-ját + és állományformátumát + valósítja meg, és így képes + együttmûködni a &sun; &solaris; valamint az &apple; + &macos; X bizonsági rendszereivel egyaránt.</para> - <para>Ebben a fejezetben a biztonsági események vizsgálatának - telepítéséhez és beállításához szükséges ismeretek tekintjük át. - Ennek keretében szó esik a vizsgálati házirendekrõl, valamint - mutatunk egy példát a vizsgálatok beállítására.</para> + <para>Ebben a fejezetben a biztonsági események + vizsgálatának telepítéséhez és + beállításához szükséges ismeretek + tekintjük át. Ennek keretében szó esik a + vizsgálati házirendekrõl, valamint mutatunk egy + példát a vizsgálatok + beállítására.</para> <para>A fejezet elolvasása során megismerjük:</para> <itemizedlist> <listitem> - <para>mit jelent az események vizsgálata és hogyan + <para>mit jelent az események vizsgálata és hogyan mûködik.</para> </listitem> <listitem> - <para>hogyan kell beállítani az események vizsgálatát &os;-n - a különbözõ felhasználók és programok esetén.</para> + <para>hogyan kell beállítani az események + vizsgálatát &os;-n a különbözõ + felhasználók és programok esetén.</para> </listitem> <listitem> - <para>hogyan értelmezzük egy vizsgálati nyomokat a - vizsgálatot szûkítõ és -elemzõ segédprogramok segítségével.</para> + <para>hogyan értelmezzük egy vizsgálati nyomokat a + vizsgálatot szûkítõ és -elemzõ + segédprogramok segítségével.</para> </listitem> </itemizedlist> @@ -75,505 +89,627 @@ <itemizedlist> <listitem> - <para>alapvetõ &unix;-os és &os;-s ismeretek - (<xref linkend="basics">).</para> + <para>alapvetõ &unix;-os és &os;-s ismeretek + (<xref linkend="basics">).</para> </listitem> <listitem> - <para>a rendszermag konfigurálásával és fordításával kapcsolatos - tudnivalók alapszintû ismerete (<xref linkend="kernelconfig">).</para> + <para>a rendszermag konfigurálásával és + fordításával kapcsolatos tudnivalók + alapszintû ismerete (<xref linkend="kernelconfig">).</para> </listitem> <listitem> - <para>az informatikai biztonság alapfogalmainak és annak a &os;-re - vonatkozó részleteinek minimális ismerete - (<xref linkend="security">).</para> + <para>az informatikai biztonság alapfogalmainak és annak + a &os;-re vonatkozó részleteinek minimális + ismerete (<xref linkend="security">).</para> </listitem> </itemizedlist> <warning> - <para>A &os; 6.2-es verziójában jelenlevõ biztonsági vizsgálat még - csak kísérleti jelleggel szerepel, éles környezetben kizárólag csak - az ilyen fajta szoftverekkel kapcsolatos kockázatok tudatában és - elfogadásával javasolt használni. Ismert korlátozások: nem mindegyik - biztonságot érintõ esemény vizsgálható, mint mondjuk az egyes - bejelentkezési típusok, mivel azok nem megfelelõen hitelesítik - a belépõ felhasználókat. Ilyenek például az X11-alapú felületek és - az egyéb, erre a célra alkalmas, más által fejlesztett daemonok. + <para>A &os; 6.2-es verziójában jelenlevõ + biztonsági vizsgálat még csak + kísérleti jelleggel szerepel, éles + környezetben kizárólag csak az ilyen fajta + szoftverekkel kapcsolatos kockázatok tudatában és + elfogadásával javasolt használni. Ismert + korlátozások: nem mindegyik biztonságot + érintõ esemény vizsgálható, mint + mondjuk az egyes bejelentkezési típusok, mivel azok nem + megfelelõen hitelesítik a belépõ + felhasználókat. Ilyenek például az + X11-alapú felületek és az egyéb, erre a + célra alkalmas, más által fejlesztett daemonok. </warning> <warning> - <para>A biztonsági események vizsgálata során a rendszer képes nagyon - részletes naplókat készíteni az érintett tevékenységekrõl. Így egy - kellõen forgalmas rendszeren az állománymozgások alapos nyomonkövetése - bizonyos konfigurációkon akár gigabyte-okat is kitehet hetente. A - rendszergazdáknak ezért mindig javasolt számolniuk a nagy forgalmú - események biztonsági vizsgálatának tárigényével. Például, emiatt - érdemes lehet egy egész állományrendszert szánni erre a feladatra a - <filename>/var/audit</filename> könyvtárban, és így a többi - állományrendszer nem látja kárát, ha véletlenül betelne ez a - terület.</para> + <para>A biztonsági események vizsgálata során + a rendszer képes nagyon részletes naplókat + készíteni az érintett + tevékenységekrõl. Így egy kellõen + forgalmas rendszeren az állománymozgások alapos + nyomonkövetése bizonyos konfigurációkon + akár gigabyte-okat is kitehet hetente. A + rendszergazdáknak ezért mindig javasolt számolniuk + a nagy forgalmú események biztonsági + vizsgálatának tárigényével. + Például, emiatt érdemes lehet egy egész + állományrendszert szánni erre a feladatra a + <filename>/var/audit</filename> könyvtárban, és + így a többi állományrendszer nem látja + kárát, ha véletlenül betelne ez a + terület.</para> </warning> - </sect1> <sect1 id="audit-inline-glossary"> <title>A fejezet fontosabb fogalmai</title> - <para>A fejezet elolvasása elõtt meg kell ismernünk néhány fontos - alapfogalmat:</para> + <para>A fejezet elolvasása elõtt meg kell ismernünk + néhány fontos alapfogalmat:</para> <itemizedlist> <listitem> - <para><emphasis>esemény:</emphasis> Vizsgálható eseménynek azt az - eseményt nevezzük, amely egy vizsgálati alrendszerben naplózható. - Biztonsági események lehetnek például: egy állomány létrehozása, - egy hálózati kapcsolat felépítése, vagy egy felhasználó - bejelentkezése. Egy esemény <quote>jellegzetes</quote>, ha - visszakövethetõ valamelyik hitelesített felhasználóhoz, vagy - <quote>nem jellegzetes</quote>, ha ez nem lehetséges. Nem - jellegzetes események lehet például minden olyan esemény, amely - egy bejelentkezési folyamat hitelesítési lépése elõtt történik, - ilyenek a hibás jelszóval történõ belépési kísérletek.</para> + <para><emphasis>esemény:</emphasis> Vizsgálható + eseménynek azt az eseményt nevezzük, amely egy + vizsgálati alrendszerben naplózható. + Biztonsági események lehetnek például: + egy állomány létrehozása, egy + hálózati kapcsolat felépítése, + vagy egy felhasználó bejelentkezése. Egy + esemény <quote>jellegzetes</quote>, ha + visszakövethetõ valamelyik hitelesített + felhasználóhoz, vagy <quote>nem jellegzetes</quote>, + ha ez nem lehetséges. Nem jellegzetes események lehet + például minden olyan esemény, amely egy + bejelentkezési folyamat hitelesítési + lépése elõtt történik, ilyenek a + hibás jelszóval történõ + belépési kísérletek.</para> </listitem> <listitem> - <para><emphasis>osztály:</emphasis> Eseményosztálynak az összefüggõ - események névvel ellátott halmazát tekintjük, és szûrési - feltételekben használjuk õket. Általában alkalmazott osztályok: - <quote>file creation</quote> (fc, állománylétrehozás), - <quote>exec</quote> (ex, programindítás), és - <quote>login_logout</quote> (lo, ki- és bejelentkezés).</para> + <para><emphasis>osztály:</emphasis> + Eseményosztálynak az összefüggõ + események névvel ellátott halmazát + tekintjük, és szûrési feltételekben + használjuk õket. Általában alkalmazott + osztályok: <quote>file creation</quote> (fc, + állománylétrehozás), <quote>exec</quote> + (ex, programindítás), és + <quote>login_logout</quote> (lo, ki- és + bejelentkezés).</para> </listitem> <listitem> - <para><emphasis>rekord:</emphasis> Rekordnak nevezzük a biztonsági - eseményeket leíró biztonsági naplóbejegyzéseket. A rekordok - tartalmazhatják a feljegyzett esemény típusát, az eseményt kiváltó - tevékenységet (felhasználót), a dátumot és az idõt, tetszõleges - objektum vagy paraméter értékét, feltételek teljesülését vagy - meghiúsulását.</para> + <para><emphasis>rekord:</emphasis> Rekordnak nevezzük a + biztonsági eseményeket leíró + biztonsági naplóbejegyzéseket. A rekordok + tartalmazhatják a feljegyzett esemény + típusát, az eseményt kiváltó + tevékenységet (felhasználót), a + dátumot és az idõt, tetszõleges objektum + vagy paraméter értékét, feltételek + teljesülését vagy + meghiúsulását.</para> </listitem> <listitem> - <para><emphasis>nyom:</emphasis> Vizsgálati nyomnak vagy - naplóállománynak nevezzük a különféle biztonsági eseményeket - leíró vizsgálati rekordok sorozatát. A nyomok többnyire nagyjából - az események bekövetkezése szerinti idõrendben következnek. Csak - és kizárólag az erre felhatalmazott programok hozhatnak létre - rekordokat a vizsgálati nyomban.</para> + <para><emphasis>nyom:</emphasis> Vizsgálati nyomnak vagy + naplóállománynak nevezzük a + különféle biztonsági eseményeket + leíró vizsgálati rekordok sorozatát. A + nyomok többnyire nagyjából az események + bekövetkezése szerinti idõrendben következnek. + Csak és kizárólag az erre felhatalmazott + programok hozhatnak létre rekordokat a vizsgálati + nyomban.</para> </listitem> <listitem> - <para><emphasis>szûrési feltétel:</emphasis> Szûrési - feltételnek nevezünk egy olyan sztringet, amelyet események - szûrésére használunk, és módosítókat valamint eseményosztályok - neveit tartalmazza.</para> + <para><emphasis>szûrési feltétel:</emphasis> + Szûrési feltételnek nevezünk egy olyan + sztringet, amelyet események szûrésére + használunk, és módosítókat + valamint eseményosztályok neveit tartalmazza.</para> </listitem> <listitem> - <para><emphasis>elõválogatás:</emphasis> Elõválogatásnak nevezzük - a folyamatot, amelynek során a rendszer beazonosítja azokat az - eseményeket, amelyek a rendszergazda számára fontosak. Ezáltal - elkerülhetjük olyan vizsgálati rekordok generálását, amelyek - számunkra érdektelen eseményekrõl számolnak be. Az elõválogatás - szûrési feltételek sorát használja az adott felhasználókhoz - tartozó adott biztonsági események vizsgálatának beállításához, - akárcsak a hitelesített és a nem hitelesített programokat - értintõ globális beállítások meghatározásához.</para> + <para><emphasis>elõválogatás:</emphasis> + Elõválogatásnak nevezzük a folyamatot, + amelynek során a rendszer beazonosítja azokat az + eseményeket, amelyek a rendszergazda számára + fontosak. Ezáltal elkerülhetjük olyan + vizsgálati rekordok generálását, amelyek + számunkra érdektelen eseményekrõl + számolnak be. Az elõválogatás + szûrési feltételek sorát használja + az adott felhasználókhoz tartozó adott + biztonsági események vizsgálatának + beállításához, akárcsak a + hitelesített és a nem hitelesített programokat + értintõ globális beállítások + meghatározásához.</para> </listitem> <listitem> - <para><emphasis>leszûkítés:</emphasis> Leszûkítésnek nevezzük a - folyamatot, amelynek során a már meglevõ biztonsági rekordokból - válogatunk le tárolásra, nyomtatásra vagy elemzésre. Hasonlóan - ez a folyamat, ahol a szükségtelen rekordokat eltávolítjuk a - vizsgálatai nyomból. A leszûkítés segítségével a rendszergazdák - a vizsgálati adatok eltárolására alakíthatnak ki házirendet. - Például a részletesebb vizsgálati nyomokat érdemes egy hónapig - megtartani, ennek lejártával viszont már inkább ajánlott - leszûkíteni õket és archiválásra csak a bejelentkezési információkat - megtartani.</para> + <para><emphasis>leszûkítés:</emphasis> + Leszûkítésnek nevezzük a folyamatot, amelynek + során a már meglevõ biztonsági + rekordokból válogatunk le tárolásra, + nyomtatásra vagy elemzésre. Hasonlóan ez a + folyamat, ahol a szükségtelen rekordokat + eltávolítjuk a vizsgálatai nyomból. A + leszûkítés segítségével a + rendszergazdák a vizsgálati adatok + eltárolására alakíthatnak ki + házirendet. Például a részletesebb + vizsgálati nyomokat érdemes egy hónapig + megtartani, ennek lejártával viszont már + inkább ajánlott leszûkíteni õket + és archiválásra csak a bejelentkezési + információkat megtartani.</para> </listitem> </itemizedlist> </sect1> <sect1 id="audit-install"> - <title>A vizsgálat támogatásának telepítése</title> + <title>A vizsgálat támogatásának + telepítése</title> - <para>A eseményvizsgálathoz szükséges felhasználói programok a &os; - 6.2-RELEASE kiadásától kezdõdõen az alap operációs rendszer részét - képezik. Azonban az eseményvizsgálat használatához a rendszermagban is - be kell kapcsolnunk a megfelelõ támogatást, mégpedig a rendszermag - konfigurációs állományában az alábbi sor hozzáadásával:</para> + <para>A eseményvizsgálathoz szükséges + felhasználói programok a &os; 6.2-RELEASE + kiadásától kezdõdõen az alap + operációs rendszer részét képezik. + Azonban az eseményvizsgálat használatához a + rendszermagban is be kell kapcsolnunk a megfelelõ + támogatást, mégpedig a rendszermag + konfigurációs állományában az + alábbi sor hozzáadásával:</para> <programlisting>options AUDIT</programlisting> - <para>Fordítsuk és telepítsük újra a rendszermagot az - <xref linkend="kernelconfig">ben ismertetett folyamat szerint.</para> + <para>Fordítsuk és telepítsük újra a + rendszermagot az <xref linkend="kernelconfig">ben ismertetett + folyamat szerint.</para> - <para>Ahogy a rendszermagot sikerült lefordítanunk és telepítenünk, - valamint a rendszerünk is újraindult, indítsuk el a vizsgáló daemont - a következõ sor hozzáadásával a &man.rc.conf.5;-ban:</para> + <para>Ahogy a rendszermagot sikerült lefordítanunk és + telepítenünk, valamint a rendszerünk is + újraindult, indítsuk el a vizsgáló daemont + a következõ sor hozzáadásával a + &man.rc.conf.5;-ban:</para> <programlisting>auditd_enable="YES"</programlisting> - <para>A vizsgálatot innentõl ténylegesen egy ismételt újraindítással vagy - pedig az elõbb említett daemon manuális elindításával - aktiválhatjuk:</para> - + <para>A vizsgálatot innentõl ténylegesen egy + ismételt újraindítással vagy pedig az + elõbb említett daemon manuális + elindításával aktiválhatjuk:</para> + <programlisting>/etc/rc.d/auditd start</programlisting> </sect1> <sect1 id="audit-config"> <title>A vizsgálat beállítása</title> - <para>A vizsgálatok beállításához szükséges összes konfigurációs állomány - a <filename class="directory">/etc/security</filename> könyvtárban - található. A következõ állományok vannak itt a daemon indítása - elõtt:</para> + <para>A vizsgálatok beállításához + szükséges összes konfigurációs + állomány a <filename + class="directory">/etc/security</filename> könyvtárban + található. A következõ állományok + vannak itt a daemon indítása elõtt:</para> <itemizedlist> <listitem> - <para><filename>audit_class</filename> - a vizsgálati osztályok - definícióit tartalmazza.</para> + <para><filename>audit_class</filename> - a vizsgálati + osztályok definícióit tartalmazza.</para> </listitem> <listitem> - <para><filename>audit_control</filename> - a vizsgálati alrendszer - különbözõ területei vezérli, többek közt az alapértelmezett - vizsgálati osztályokat, az vizsgálati adatok tárhelyén meghagyandó - minimális lemezterület, a vizsgálati nyom maximális mérete - stb.</para> + <para><filename>audit_control</filename> - a vizsgálati + alrendszer különbözõ területei + vezérli, többek közt az alapértelmezett + vizsgálati osztályokat, az vizsgálati adatok + tárhelyén meghagyandó minimális + lemezterület, a vizsgálati nyom maximális + mérete, stb.</para> </listitem> <listitem> - <para><filename>audit_event</filename> - a rendszerben jelenlevõ - vizsgálati események szöveges megnevezése és leírása, valamint a - lista, hogy melyikük mely osztályban található.</para> + <para><filename>audit_event</filename> - a rendszerben jelenlevõ + vizsgálati események szöveges megnevezése + és leírása, valamint a lista, hogy melyikük + mely osztályban található.</para> </listitem> <listitem> - <para><filename>audit_user</filename> - felhasználónként változó - vizsgálati elvárások, kombinálva a bejelentkezéskor érvényes - globálisan alapértelmezett beállításokkal.</para> + <para><filename>audit_user</filename> - + felhasználónként változó + vizsgálati elvárások, kombinálva a + bejelentkezéskor érvényes globálisan + alapértelmezett beállításokkal.</para> </listitem> <listitem> - <para><filename>audit_warn</filename> - az - <application>auditd</application> által használt testreszabható - shell szkript, aminek segítségével a szélsõséges helyzetekben - figyelmeztetõ üzeneteket tudunk generálni, mint mondjuk amikor - a rekordok számára fenntartott hely elfogyóban van, vagy amikor a - nyomokat tartalmazó állományt archiváltuk.</para> + <para><filename>audit_warn</filename> - az + <application>auditd</application> által használt + testreszabható shell szkript, aminek + segítségével a szélsõséges + helyzetekben figyelmeztetõ üzeneteket tudunk + generálni, mint mondjuk amikor a rekordok + számára fenntartott hely elfogyóban van, vagy + amikor a nyomokat tartalmazó állományt + archiváltuk.</para> </listitem> </itemizedlist> <warning> - <para>Az eseményvizsgálat konfigurációs állományait alapos körültekintés - mellett szabad szerkeszteni és karbantartani, mivel a bennük keletkezõ - hibák az események helytelen naplózását eredményezhetik.</para> + <para>Az eseményvizsgálat konfigurációs + állományait alapos körültekintés + mellett szabad szerkeszteni és karbantartani, mivel a + bennük keletkezõ hibák az események + helytelen naplózását + eredményezhetik.</para> </warning> <sect2> <title>Eseményszûrési feltételek</title> - <para>Az eseményvizsgálati beállítások során számtalan helyen felbukkanak - a vizsgálni kívánt eseményeket meghatározó szûrési feltételek. Ezen - feltételek eseményosztályok felsorolását tartalmazzák, mindegyiküket - egy módosító vezeti be, ezzel jelezve, hogy az adott eseményosztályba - tartozó rekordokat tartsuk meg vagy vessük el. Esetleg utalhatnak arra - is, hogy vagy csak a sikerességet jelzõ rekordokat, vagy csak a - sikertelenséget jelzõ rekordokat szûrjük ki. A szûrési feltételek - balról jobbra értékelõdnek ki, és két kifejezés összefûzéssel - kombinálható.</para> + <para>Az eseményvizsgálati beállítások + során számtalan helyen felbukkanak a vizsgálni + kívánt eseményeket meghatározó + szûrési feltételek. Ezen feltételek + eseményosztályok felsorolását + tartalmazzák, mindegyiküket egy + módosító vezeti be, ezzel jelezve, hogy az adott + eseményosztályba tartozó rekordokat tartsuk meg + vagy vessük el. Esetleg utalhatnak arra is, hogy vagy csak a + sikerességet jelzõ rekordokat, vagy csak a + sikertelenséget jelzõ rekordokat szûrjük ki. + A szûrési feltételek balról jobbra + értékelõdnek ki, és két + kifejezés összefûzéssel + kombinálható.</para> <para>A most következõ lista tartalmazza a - <filename>audit_class</filename> állományban található alapértelmezett - eseményvizsgálati osztályokat:</para> + <filename>audit_class</filename> állományban + található alapértelmezett + eseményvizsgálati osztályokat:</para> <itemizedlist> - <listitem> - <para><literal>all</literal> - <emphasis>all (mind)</emphasis> - - Minden eseményosztályra vonatkozik.</para> - </listitem> - - <listitem> - <para><literal>ad</literal> - - <emphasis>administrive (adminisztrációs)</emphasis> - olyan - adminisztrációs tevékenységek, amelyek egyben az egész rendszeren - végrehajtódnak.</para> - </listitem> - - <listitem> - <para><literal>ap</literal> - - <emphasis>application (alkalmazás)</emphasis> - az alkalmazások - által meghatározott tevékenység.</para> - </listitem> - - <listitem> - <para><literal>cl</literal> - - <emphasis>file close (állomány lezárása)</emphasis> - a - <function>close</function> rendszerhívás meghívásának - vizsgálata.</para> - </listitem> - - <listitem> - <para><literal>ex</literal> - - <emphasis>exec (programindítás)</emphasis> - egy program - indításának vizsgálata. A parancssorban átadott paraméterek és - a környezeti változók vizsgálatát a &man.audit.control.5; - vezérli a <literal>policy</literal> beállításhoz tartozó - <literal>argv</literal> és <literal>envv</literal> - paraméterek segítségével.</para> - </listitem> - - <listitem> - <para><literal>fa</literal> - - <emphasis>file attribute access - (állományjellemzõk hozzáférése)</emphasis> - a rendszerbeli - objektumok jellemzõinek hozzáférésnek vizsgálata, mint pl. a - &man.stat.1;, &man.pathconf.2; és ehhez hasonló események.</para> - </listitem> + <listitem> + <para><literal>all</literal> - <emphasis>all (mind)</emphasis> - + Minden eseményosztályra vonatkozik.</para> + </listitem> + + <listitem> + <para><literal>ad</literal> - <emphasis>administrive + (adminisztrációs)</emphasis> - olyan + adminisztrációs tevékenységek, + amelyek egyben az egész rendszeren + végrehajtódnak.</para> + </listitem> + + <listitem> + <para><literal>ap</literal> - <emphasis>application + (alkalmazás)</emphasis> - az alkalmazások + által meghatározott + tevékenység.</para> + </listitem> + + <listitem> + <para><literal>cl</literal> - <emphasis>file close + (állomány lezárása)</emphasis> - a + <function>close</function> rendszerhívás + meghívásának vizsgálata.</para> + </listitem> + + <listitem> + <para><literal>ex</literal> - <emphasis>exec + (programindítás)</emphasis> - egy program + indításának vizsgálata. A + parancssorban átadott paraméterek és + a környezeti változók vizsgálatát + a &man.audit.control.5; vezérli a <literal>policy</literal> + beállításhoz tartozó + <literal>argv</literal> és <literal>envv</literal> + paraméterek segítségével.</para> + </listitem> + + <listitem> + <para><literal>fa</literal> - <emphasis>file attribute access + (állományjellemzõk + hozzáférése)</emphasis> - a rendszerbeli + objektumok jellemzõinek hozzáférésnek + vizsgálata, mint pl. a &man.stat.1;, &man.pathconf.2; + és ehhez hasonló események.</para> + </listitem> - <listitem> - <para><literal>fc</literal> - - <emphasis>file create (állomány létrehozása)</emphasis> - - állományt eredményezõ események vizsgálata.</para> - </listitem> + <listitem> + <para><literal>fc</literal> - <emphasis>file create + (állomány létrehozása)</emphasis> - + állományt eredményezõ események + vizsgálata.</para> + </listitem> - <listitem> - <para><literal>fd</literal> - - <emphasis>file delete (állomány törlése)</emphasis> - - állományt törlõ események vizsgálata.</para> - </listitem> - - <listitem> - <para><literal>fm</literal> - - <emphasis>file attribute modify (állományjellemzõk - módosítása)</emphasis> - állományok jellemzõit megváltoztató - események vizsgálata, mint mondjuk a &man.chown.8;, - &man.chflags.1;, &man.flock.2; stb.</para> - </listitem> - - <listitem> - <para><literal>fr</literal> - - <emphasis>file read (állományolvasás)</emphasis> - - állományok olvasásra történõ megnyitásával, olvasásával - stb. kapcsolatos események vizsgálata.</para> - </listitem> - - <listitem> - <para><literal>fw</literal> - - <emphasis>file write (állományírás)</emphasis> - - állományok írásra történõ megnyitásával, írásával, - módosításával stb. kapcsolatos események vizsgálata.</para> - </listitem> - - <listitem> - <para><literal>io</literal> - - <emphasis>ioctl</emphasis> - a &man.ioctl.2; rendszerhívást - használó események vizsgálata.</para> - </listitem> - - <listitem> - <para><literal>ip</literal> - - <emphasis>ipc</emphasis> - a folyamatok közti kommunikáció - különféle formáinak, beleértve a POSIX csövek és System V - <acronym>IPC</acronym> mûveleteinek vizsgálata.</para> - </listitem> - - <listitem> - <para><literal>lo</literal> - - <emphasis>login_logout (ki- és bejelentkezés)</emphasis> - - a rendszerben megjelenõ &man.login.1; és &man.logout.1; - események vizsgálata.</para> - </listitem> - - <listitem> - <para><literal>na</literal> - - <emphasis>non attributable (nem jellegzetes)</emphasis> - - a nem jellegzetes események vizsgálata.</para> - </listitem> - - <listitem> - <para><literal>no</literal> - - <emphasis>invalid class (érvénytelen osztály)</emphasis> - - egyetlen biztonsági eseményt sem tartalmaz.</para> - </listitem> - - <listitem> - <para><literal>nt</literal> - - <emphasis>network (hálózat)</emphasis> - - a hálózathoz tartozó események vizsgálata, mint pl. a - &man.connect.2; és &man.accept.2;.</para> - </listitem> - - <listitem> - <para><literal>ot</literal> - - <emphasis>other (egyéb)</emphasis> - - más egyéb események vizsgálata.</para> - </listitem> - - <listitem> - <para><literal>pc</literal> - - <emphasis>process (folyamat)</emphasis> - a folyamatokkal - kapcsolatos mûveletek, mint például a &man.exec.3; és - &man.exit.3; vizsgálata.</para> - </listitem> + <listitem> + <para><literal>fd</literal> - <emphasis>file delete + (állomány törlése)</emphasis> - + állományt törlõ események + vizsgálata.</para> + </listitem> + + <listitem> + <para><literal>fm</literal> - <emphasis>file attribute modify + (állományjellemzõk + módosítása)</emphasis> - + állományok jellemzõit + megváltoztató események vizsgálata, + mint mondjuk a &man.chown.8;, &man.chflags.1;, &man.flock.2;, + stb.</para> + </listitem> + + <listitem> + <para><literal>fr</literal> - <emphasis>file read + (állományolvasás)</emphasis> - + állományok olvasásra történõ + megnyitásával, olvasásával, + stb. kapcsolatos események vizsgálata.</para> + </listitem> + + <listitem> + <para><literal>fw</literal> - <emphasis>file write + (állományírás)</emphasis> - + állományok írásra + történõ megnyitásával, + írásával, + módosításával, stb. kapcsolatos + események vizsgálata.</para> + </listitem> + + <listitem> + <para><literal>io</literal> - <emphasis>ioctl</emphasis> - a + &man.ioctl.2; rendszerhívást használó + események vizsgálata.</para> + </listitem> + + <listitem> + <para><literal>ip</literal> - <emphasis>ipc</emphasis> - a folyamatok + közti kommunikáció különféle + formáinak, beleértve a POSIX csövek és + System V <acronym>IPC</acronym> mûveleteinek + vizsgálata.</para> + </listitem> + + <listitem> + <para><literal>lo</literal> - <emphasis>login_logout (ki- + és bejelentkezés)</emphasis> - a rendszerben + megjelenõ &man.login.1; és &man.logout.1; + események vizsgálata.</para> + </listitem> + + <listitem> + <para><literal>na</literal> - <emphasis>non attributable (nem + jellegzetes)</emphasis> - a nem jellegzetes események + vizsgálata.</para> + </listitem> + + <listitem> + <para><literal>no</literal> - <emphasis>invalid class + (érvénytelen osztály)</emphasis> - + egyetlen biztonsági eseményt sem tartalmaz.</para> + </listitem> + + <listitem> + <para><literal>nt</literal> - <emphasis>network + (hálózat)</emphasis> - a hálózathoz + tartozó események vizsgálata, mint pl. a + &man.connect.2; és &man.accept.2;.</para> + </listitem> + + <listitem> + <para><literal>ot</literal> - <emphasis>other + (egyéb)</emphasis> - más egyéb + események vizsgálata.</para> + </listitem> + <listitem> + <para><literal>pc</literal> - <emphasis>process + (folyamat)</emphasis> - a folyamatokkal kapcsolatos mûveletek, + mint például a &man.exec.3; és &man.exit.3; + vizsgálata.</para> + </listitem> </itemizedlist> - - <para>Az imént felsorolt eseményosztályok az - <filename>audit_class</filename> és <filename>audit_event</filename> - állományok módosításával igény szerint testreszabhatóak.</para> - - <para>A listában szereplõ minden egyes eseményosztályhoz tartozik - még egy módosító is, amely jelzi, hogy a sikeres vagy a sikertelen - mûveleteket kell-e szûrnünk, valamint hogy a bejegyzés az adott - típust vagy osztályt hozzáadja vagy elveszi az adott - szûrésbõl.</para> + + <para>Az imént felsorolt eseményosztályok az + <filename>audit_class</filename> és + <filename>audit_event</filename> állományok + módosításával igény szerint + testreszabhatóak.</para> + + <para>A listában szereplõ minden egyes + eseményosztályhoz tartozik még egy + módosító is, amely jelzi, hogy a sikeres vagy a + sikertelen mûveleteket kell-e szûrnünk, valamint hogy a + bejegyzés az adott típust vagy osztályt + hozzáadja vagy elveszi az adott + szûrésbõl.</para> <itemizedlist> - - <listitem> - <para>(üres) az adott típusból mind a sikereseket és mind a - sikerteleneket feljegyzi.</para> - </listitem> - - <listitem> - <para><literal>+</literal> az eseményosztályba tartozó sikeres - eseményeket vizsgálja csak.</para> - </listitem> - - <listitem> - <para><literal>-</literal> az eseményosztályba tartozó sikertelen - eseményeket vizsgálja csak.</para> - </listitem> - - <listitem> - <para><literal>^</literal> az eseményosztályból sem a sikereseket, - sem pedig a sikerteleneket nem vizsgálja.</para> - </listitem> - - <listitem> - <para><literal>^+</literal> az eseményosztályból nem vizsgálja a - sikeres eseményeket.</para> - </listitem> - - <listitem> - <para><literal>^-</literal> az eseményosztályból nem vizsgálja a - sikertelen eseményeket.</para> - </listitem> + <listitem> + <para>(üres) az adott típusból mind a sikereseket + és mind a sikerteleneket feljegyzi.</para> + </listitem> + + <listitem> + <para><literal>+</literal> az eseményosztályba + tartozó sikeres eseményeket vizsgálja + csak.</para> + </listitem> + + <listitem> + <para><literal>-</literal> az eseményosztályba + tartozó sikertelen eseményeket vizsgálja + csak.</para> + </listitem> + + <listitem> + <para><literal>^</literal> az eseményosztályból + sem a sikereseket, sem pedig a sikerteleneket nem + vizsgálja.</para> + </listitem> + + <listitem> + <para><literal>^+</literal> az eseményosztályból + nem vizsgálja a sikeres eseményeket.</para> + </listitem> + <listitem> + <para><literal>^-</literal> az eseményosztályból + nem vizsgálja a sikertelen eseményeket.</para> + </listitem> </itemizedlist> - <para>Az alábbi példa egy olyan szûrési feltételt mutat be, amely - a ki/bejelentkezések közül megadja a sikereset és a sikerteleneket, - viszont a programindítások közül csak a sikereseket:</para> + <para>Az alábbi példa egy olyan szûrési + feltételt mutat be, amely a ki/bejelentkezések + közül megadja a sikereset és a sikerteleneket, + viszont a programindítások közül csak a + sikereseket:</para> <programlisting>lo,+ex</programlisting> - </sect2> <sect2> <title>A konfigurációs állományok</title> - <para>A vizsgálati rendszer beállításához az esetek túlnyomó részében - a rendszergazdáknak csupán két állományt kell módosítaniuk: ezek az - <filename>audit_control</filename> és az - <filename>audit_user</filename>. Az elõbbi felelõs a rendszerszintû - vizsgálati jellemzõkért és házirendekért, míg az utóbbi az igények - felhasználókénti finomhangolásához használható.</para> + <para>A vizsgálati rendszer + beállításához az esetek + túlnyomó részében a + rendszergazdáknak csupán két + állományt kell módosítaniuk: ezek az + <filename>audit_control</filename> és az + <filename>audit_user</filename>. Az elõbbi felelõs a + rendszerszintû vizsgálati jellemzõkért + és házirendekért, míg az utóbbi az + igények felhasználókénti + finomhangolásához használható.</para> <sect3 id="audit-auditcontrol"> - <title>Az <filename>audit_control</filename> állomány</title> - - <para>Az <filename>audit_control</filename> állomány határozza meg a - vizsgálati alrendszer alapértelmezéseit. Ezt az állományt - megnyitva a következõket láthatjuk:</para> + <title>Az <filename>audit_control</filename> + állomány</title> + + <para>Az <filename>audit_control</filename> állomány + határozza meg a vizsgálati alrendszer + alapértelmezéseit. Ezt az állományt + megnyitva a következõket láthatjuk:</para> - <programlisting>dir:/var/audit + <programlisting>dir:/var/audit flags:lo minfree:20 naflags:lo policy:cnt filesz:0</programlisting> - <para>A <option>dir</option> opciót használjuk a vizsgálati naplók - tárolására szolgáló egy vagy több könyvtár megadására. Ha egynél - több könyvtárra vonatkozó bejegyzés található az állományban, akkor - azok a megadás sorrendjében kerülnek feltöltésre. Nagyon gyakori - az a beállítás, ahol a vizsgálati naplókat egy erre a célra külön - kialakított állományrendszeren tárolják, megelõzve ezzel az - állományrendszer betelésekor keletkezõ problémákat a többi - alrendszerben.</para> - - <para>A <option>flags</option> mezõ egy rendszerszintû - alapértelmezett elõválogatási maszkot határoz meg a jellegzetes - események számára. A fenti példában a sikeres és sikertelen ki- - és bejelentkezéseket mindegyik felhasználó esetén - vizsgáljuk.</para> - - <para>A <option>minfree</option> opció megszabja a vizsgálati nyom - tárolására szánt állományrendszeren a minimális szabad helyet, - a teljes kapacitás százalékában. Amint ezt a küszöböt túllépjük, - egy figyelmeztetés fog generálódni. A fenti példa a minimálisan - szükséges rendelkezésre álló helyet húsz százalékra - állítja.</para> - - <para>A <option>naflags</option> opció megadja azokat az - eseményosztályokat, amelyeket vizsgálni kell a nem jellegzetes - események, mind mondjuk a bejelentkezési folyamatok vagy - rendszerdaemonok esetén.</para> - - <para>A <option>policy</option> opció a vizsgálat különbözõ - szempontjait irányító házirendbeli beállítások vesszõvel - elválasztott listáját tartalmazza. Az alapértelmezett - <literal>cnt</literal> beállítás azt adja meg, hogy a rendszer - a felmerülõ vizsgálati hibák ellenére is folytassa tovább a - mûködését (erõsen javasolt a használata). A másik gyakorta - alkalmazott beállítás az <literal>argv</literal>, amellyel a - rendszer a parancsvégrehajtás részeként az &man.execve.2; - rendszerhívás parancssori paramétereit is megvizsgálja.</para> - - <para>A <option>filesz</option> opció meghatározza a - vizsgálati nyom automatikus szétvágása és archiválása elõtti - maximális méretét, byte-ban. Az alapértelmezett értéke a 0, - amely kikapcsolja ezt az archiválást. Ha az itt megadott - állományméret nem nulla és a minimálisan elvárt 512 kb alatt - van, akkor a rendszer figyelmen kívül hagyja és errõl egy - figyelmeztetést ad.</para> + <para>A <option>dir</option> opciót használjuk a + vizsgálati naplók tárolására + szolgáló egy vagy több könyvtár + megadására. Ha egynél több + könyvtárra vonatkozó bejegyzés + található az állományban, akkor azok a + megadás sorrendjében kerülnek + feltöltésre. Nagyon gyakori az a + beállítás, ahol a vizsgálati + naplókat egy erre a célra külön + kialakított állományrendszeren + tárolják, megelõzve ezzel az + állományrendszer betelésekor keletkezõ + problémákat a többi alrendszerben.</para> + + <para>A <option>flags</option> mezõ egy rendszerszintû + alapértelmezett elõválogatási maszkot + határoz meg a jellegzetes események >>> TRUNCATED FOR MAIL (1000 lines) <<<
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?200709161324.l8GDOJRv022700>