Date: Wed, 21 May 2008 23:18:43 GMT From: John Birrell <jb@FreeBSD.org> To: Perforce Change Reviews <perforce@freebsd.org> Subject: PERFORCE change 142000 for review Message-ID: <200805212318.m4LNIhcS037532@repoman.freebsd.org>
next in thread | raw e-mail | index | archive | help
http://perforce.freebsd.org/chv.cgi?CH=142000 Change 142000 by jb@freebsd3 on 2008/05/21 23:17:43 IFC Affected files ... .. //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/dialup-firewall/Makefile#2 integrate .. //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/dialup-firewall/article.sgml#2 integrate .. //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/laptop/Makefile#2 integrate .. //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/laptop/article.sgml#2 integrate .. //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/multi-os/Makefile#2 integrate .. //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/multi-os/article.sgml#2 integrate .. //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/version-guide/Makefile#2 integrate .. //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/version-guide/article.sgml#3 integrate .. //depot/projects/dtrace/doc/hu_HU.ISO8859-2/books/handbook/introduction/chapter.sgml#2 integrate .. //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/Makefile#5 integrate .. //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/audit/chapter.sgml#3 integrate .. //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/book.sgml#5 integrate .. //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/chapters.ent#4 integrate .. //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/jails/Makefile#1 branch .. //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/jails/chapter.sgml#1 branch .. //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/mac/chapter.sgml#3 integrate .. //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/virtualization/Makefile#1 branch .. //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/virtualization/chapter.sgml#1 branch .. //depot/projects/dtrace/ports/MOVED#89 integrate .. //depot/projects/dtrace/src/sys/Makefile#12 integrate .. //depot/projects/dtrace/src/sys/dev/em/if_em.c#22 integrate .. //depot/projects/dtrace/src/sys/fs/devfs/devfs_int.h#6 integrate .. //depot/projects/dtrace/src/sys/fs/devfs/devfs_vnops.c#19 integrate .. //depot/projects/dtrace/src/sys/i386/conf/GENERIC#40 integrate .. //depot/projects/dtrace/src/sys/ia64/ia64/machdep.c#23 integrate .. //depot/projects/dtrace/src/sys/kern/kern_conf.c#12 integrate .. //depot/projects/dtrace/src/sys/kern/kern_descrip.c#28 integrate .. //depot/projects/dtrace/src/sys/netinet/sctp_output.c#16 integrate .. //depot/projects/dtrace/src/sys/netinet/sctputil.c#19 integrate .. //depot/projects/dtrace/src/sys/powerpc/conf/GENERIC#17 integrate .. //depot/projects/dtrace/src/sys/security/audit/audit_worker.c#13 integrate .. //depot/projects/dtrace/src/sys/sun4v/conf/GENERIC#21 integrate .. //depot/projects/dtrace/src/sys/sys/conf.h#10 integrate .. //depot/projects/dtrace/src/sys/sys/file.h#9 integrate .. //depot/projects/dtrace/src/sys/sys/proc.h#45 integrate Differences ... ==== //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/dialup-firewall/Makefile#2 (text+ko) ==== @@ -1,4 +1,4 @@ -# $FreeBSD: doc/hu_HU.ISO8859-2/articles/dialup-firewall/Makefile,v 1.1 2007/09/03 11:11:43 gabor Exp $ +# $FreeBSD: doc/hu_HU.ISO8859-2/articles/dialup-firewall/Makefile,v 1.2 2008/05/21 04:14:48 pgj Exp $ # # Article: Dialup firewalling with FreeBSD @@ -8,7 +8,7 @@ NO_TIDY= yes -MAINTAINER= pali.gabor@gmail.com +MAINTAINER= pgj@FreeBSD.org DOC?= article ==== //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/dialup-firewall/article.sgml#2 (text+ko) ==== @@ -4,8 +4,8 @@ ]> <!-- The FreeBSD Hungarian Documentation Project - Translated by: PALI, Gabor <pali.gabor@gmail.com> - Original Revision: r1.42 --> + Translated by: PALI, Gabor <pgj@FreeBSD.org> + Original Revision: 1.42 --> <article lang="hu"> <articleinfo> @@ -23,7 +23,7 @@ </author> </authorgroup> - <pubdate>$FreeBSD: doc/hu_HU.ISO8859-2/articles/dialup-firewall/article.sgml,v 1.1 2007/09/03 11:11:43 gabor Exp $</pubdate> + <pubdate>$FreeBSD: doc/hu_HU.ISO8859-2/articles/dialup-firewall/article.sgml,v 1.2 2008/05/21 04:14:48 pgj Exp $</pubdate> <legalnotice id="trademarks" role="trademarks"> &tm-attrib.freebsd; ==== //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/laptop/Makefile#2 (text+ko) ==== @@ -1,4 +1,4 @@ -# $FreeBSD: doc/hu_HU.ISO8859-2/articles/laptop/Makefile,v 1.1 2007/09/03 11:13:12 gabor Exp $ +# $FreeBSD: doc/hu_HU.ISO8859-2/articles/laptop/Makefile,v 1.2 2008/05/21 04:14:48 pgj Exp $ # # Article: FreeBSD on Laptops @@ -8,7 +8,7 @@ NO_TIDY= yes -MAINTAINER= pali.gabor@gmail.com +MAINTAINER= pgj@FreeBSD.org DOC?= article ==== //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/laptop/article.sgml#2 (text+ko) ==== @@ -4,14 +4,14 @@ ]> <!-- The FreeBSD Hungarian Documentation Project - Translated by: PALI, Gabor <pali.gabor@gmail.com> - Original Revision: r1.25 --> + Translated by: PALI, Gabor <pgj@FreeBSD.org> + Original Revision: 1.25 --> <article lang="hu"> <articleinfo> <title>&os; laptopon</title> - <pubdate>$FreeBSD: doc/hu_HU.ISO8859-2/articles/laptop/article.sgml,v 1.2 2007/09/03 17:47:43 gabor Exp $</pubdate> + <pubdate>$FreeBSD: doc/hu_HU.ISO8859-2/articles/laptop/article.sgml,v 1.3 2008/05/21 04:14:48 pgj Exp $</pubdate> <abstract> <para>A &os; néhány buktatótól eltekintve ==== //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/multi-os/Makefile#2 (text+ko) ==== @@ -1,4 +1,4 @@ -# $FreeBSD: doc/hu_HU.ISO8859-2/articles/multi-os/Makefile,v 1.1 2007/09/03 11:17:06 gabor Exp $ +# $FreeBSD: doc/hu_HU.ISO8859-2/articles/multi-os/Makefile,v 1.2 2008/05/21 04:14:49 pgj Exp $ # # Article: Installing and Using FreeBSD With Other Operating Systems @@ -8,7 +8,7 @@ NO_TIDY= yes -MAINTAINER= pali.gabor@gmail.com +MAINTAINER= pgj@FreeBSD.org DOC?= article ==== //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/multi-os/article.sgml#2 (text+ko) ==== @@ -1,12 +1,12 @@ -<!-- $FreeBSD: doc/hu_HU.ISO8859-2/articles/multi-os/article.sgml,v 1.2 2007/09/03 19:19:03 gabor Exp $ --> +<!-- $FreeBSD: doc/hu_HU.ISO8859-2/articles/multi-os/article.sgml,v 1.3 2008/05/21 04:14:49 pgj Exp $ --> <!DOCTYPE ARTICLE PUBLIC "-//FreeBSD//DTD DocBook V4.1-Based Extension//EN" [ <!ENTITY % articles.ent PUBLIC "-//FreeBSD//ENTITIES DocBook FreeBSD Articles Entity Set//HU"> %articles.ent; ]> <!-- The FreeBSD Hungarian Documentation Project - Translated by: PALI, Gabor <pali.gabor@gmail.com> - Original Revision: r1.39 --> + Translated by: PALI, Gabor <pgj@FreeBSD.org> + Original Revision: 1.39 --> <article lang="hu"> <articleinfo> ==== //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/version-guide/Makefile#2 (text+ko) ==== @@ -1,4 +1,4 @@ -# $FreeBSD: doc/hu_HU.ISO8859-2/articles/version-guide/Makefile,v 1.1 2007/09/03 11:18:56 gabor Exp $ +# $FreeBSD: doc/hu_HU.ISO8859-2/articles/version-guide/Makefile,v 1.2 2008/05/21 04:14:49 pgj Exp $ # # Article: FreeBSD Version Guide @@ -8,7 +8,7 @@ NO_TIDY= yes -MAINTAINER= pali.gabor@gmail.com +MAINTAINER= pgj@FreeBSD.org DOC?= article ==== //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/version-guide/article.sgml#3 (text+ko) ==== @@ -7,8 +7,8 @@ ]> <!-- The FreeBSD Hungarian Documentation Project - Translated by: PALI, Gabor <pali.gabor@gmail.com> - Original Revision: r1.11 --> + Translated by: PALI, Gabor <pgj@FreeBSD.org> + Original Revision: 1.11 --> <article lang="hu"> <title>Válasszuk ki a nekünk igazán megfelelõ &os; @@ -21,7 +21,7 @@ </author> </authorgroup> - <pubdate>$FreeBSD: doc/hu_HU.ISO8859-2/articles/version-guide/article.sgml,v 1.4 2007/11/27 23:01:47 gabor Exp $</pubdate> + <pubdate>$FreeBSD: doc/hu_HU.ISO8859-2/articles/version-guide/article.sgml,v 1.5 2008/05/21 04:14:49 pgj Exp $</pubdate> <legalnotice id="trademarks" role="trademarks"> &tm-attrib.freebsd; ==== //depot/projects/dtrace/doc/hu_HU.ISO8859-2/books/handbook/introduction/chapter.sgml#2 (text+ko) ==== @@ -1,7 +1,7 @@ <!-- The FreeBSD Documentation Project - $FreeBSD: doc/hu_HU.ISO8859-2/books/handbook/introduction/chapter.sgml,v 1.1 2008/05/14 16:54:16 pgj Exp $ + $FreeBSD: doc/hu_HU.ISO8859-2/books/handbook/introduction/chapter.sgml,v 1.2 2008/05/21 04:06:56 pgj Exp $ --> <!-- The FreeBSD Hungarian Documentation Project @@ -725,9 +725,10 @@ és egy gyors internetkapcsolatot is a Projekt számára bocsátott. A Walnut Creek szinte példátlan mértékû, egy - akkoriban teljesen ismeretlen projektbe vetett hitével - nagyon nehezen lenne elképzelhetõ, hogy a &os; olyan - messzire jutott volna el, ahol ma is tart.</para> + akkoriban teljesen ismeretlen projektbe vetett hite + nélkül nagyon nehezen lenne + elképzelhetõ, hogy a &os; olyan messzire és + olyan gyorsan jutott volna el, ahol ma tart.</para> <indexterm><primary>4.3BSD-Lite</primary></indexterm> <indexterm><primary>Net/2</primary></indexterm> ==== //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/Makefile#5 (text+ko) ==== @@ -1,5 +1,5 @@ # -# $FreeBSD: doc/nl_NL.ISO8859-1/books/handbook/Makefile,v 1.10 2007/06/28 02:46:38 chinsan Exp $ +# $FreeBSD: doc/nl_NL.ISO8859-1/books/handbook/Makefile,v 1.11 2008/05/21 20:35:08 remko Exp $ # $FreeBSDnl: doc/nl_NL.ISO8859-1/books/handbook/Makefile,v 1.19 2006/01/03 21:17:07 siebrand Exp $ # Gebaseerd op: 1.97 # @@ -136,6 +136,44 @@ IMAGES_EN+= vinum/vinum-simple-vol.pic IMAGES_EN+= vinum/vinum-striped-vol.pic IMAGES_EN+= vinum/vinum-striped.pic +IMAGES_EN+= virtualization/parallels-freebsd1.png +IMAGES_EN+= virtualization/parallels-freebsd2.png +IMAGES_EN+= virtualization/parallels-freebsd3.png +IMAGES_EN+= virtualization/parallels-freebsd4.png +IMAGES_EN+= virtualization/parallels-freebsd5.png +IMAGES_EN+= virtualization/parallels-freebsd6.png +IMAGES_EN+= virtualization/parallels-freebsd7.png +IMAGES_EN+= virtualization/parallels-freebsd8.png +IMAGES_EN+= virtualization/parallels-freebsd9.png +IMAGES_EN+= virtualization/parallels-freebsd10.png +IMAGES_EN+= virtualization/parallels-freebsd11.png +IMAGES_EN+= virtualization/parallels-freebsd12.png +IMAGES_EN+= virtualization/parallels-freebsd13.png +IMAGES_EN+= virtualization/virtualpc-freebsd1.png +IMAGES_EN+= virtualization/virtualpc-freebsd2.png +IMAGES_EN+= virtualization/virtualpc-freebsd3.png +IMAGES_EN+= virtualization/virtualpc-freebsd4.png +IMAGES_EN+= virtualization/virtualpc-freebsd5.png +IMAGES_EN+= virtualization/virtualpc-freebsd6.png +IMAGES_EN+= virtualization/virtualpc-freebsd7.png +IMAGES_EN+= virtualization/virtualpc-freebsd8.png +IMAGES_EN+= virtualization/virtualpc-freebsd9.png +IMAGES_EN+= virtualization/virtualpc-freebsd10.png +IMAGES_EN+= virtualization/virtualpc-freebsd11.png +IMAGES_EN+= virtualization/virtualpc-freebsd12.png +IMAGES_EN+= virtualization/virtualpc-freebsd13.png +IMAGES_EN+= virtualization/vmware-freebsd01.png +IMAGES_EN+= virtualization/vmware-freebsd02.png +IMAGES_EN+= virtualization/vmware-freebsd03.png +IMAGES_EN+= virtualization/vmware-freebsd04.png +IMAGES_EN+= virtualization/vmware-freebsd05.png +IMAGES_EN+= virtualization/vmware-freebsd06.png +IMAGES_EN+= virtualization/vmware-freebsd07.png +IMAGES_EN+= virtualization/vmware-freebsd08.png +IMAGES_EN+= virtualization/vmware-freebsd09.png +IMAGES_EN+= virtualization/vmware-freebsd10.png +IMAGES_EN+= virtualization/vmware-freebsd11.png +IMAGES_EN+= virtualization/vmware-freebsd12.png # Images from the cross-document image library IMAGES_LIB= callouts/1.png @@ -172,6 +210,7 @@ SRCS+= geom/chapter.sgml SRCS+= install/chapter.sgml SRCS+= introduction/chapter.sgml +SRCS+= jails/chapter.sgml SRCS+= kernelconfig/chapter.sgml SRCS+= l10n/chapter.sgml SRCS+= linuxemu/chapter.sgml @@ -189,6 +228,7 @@ SRCS+= serialcomms/chapter.sgml SRCS+= users/chapter.sgml SRCS+= vinum/chapter.sgml +SRCS+= virtualization/chapter.sgml SRCS+= x11/chapter.sgml # Entities ==== //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/audit/chapter.sgml#3 (text+ko) ==== @@ -1,20 +1,10 @@ <!-- The FreeBSD Dutch Documentation Project - - $FreeBSD: doc/nl_NL.ISO8859-1/books/handbook/audit/chapter.sgml,v 1.1 2005/08/22 21:11:57 remko Exp $ - $FreeBSDnl: nl_NL.ISO8859-1/books/handbook/audit/chapter.sgml,v 1.2 2005/08/15 20:23:13 siebrand Exp $ - Gebaseerd op: 1.5 + $FreeBSD: doc/nl_NL.ISO8859-1/books/handbook/audit/chapter.sgml,v 1.3 2008/05/21 14:00:49 remko Exp $ + Gebaseerd op: 1.33 --> -<!-- -This version of the document assumes that the Audit system needs to be -installed as part of the trustedbsd/audit project. When/if audit becomes -part of FreeBSD proper, then these sections should be removed, or at least -reworded. The sections in question are marked with 'PROTOTYPE' labels in -commentary. ---> - -<!-- Need more documenation on praudit, audtreduce, etc. Plus more info +<!-- Need more documentation on praudit, auditreduce, etc. Plus more info on the triggers from the kernel (log rotation, out of space, etc). And the /dev/audit special file if we choose to support that. Could use some coverage of integrating MAC with Event auditing and perhaps discussion @@ -29,79 +19,775 @@ <surname>Rhodes</surname> <contrib>Written by </contrib> </author> + <author> + <firstname>Robert</firstname> + <surname>Watson</surname> + </author> </authorgroup> <authorgroup> <author> - <firstname>Siebrand</firstname> - <surname>Mazeland</surname> + <firstname>Remko</firstname> + <surname>Lodder</surname> <contrib>Vertaald door </contrib> </author> </authorgroup> </chapterinfo> - <title>Kernelgebeurtenissen auditen</title> + <title>Security Event Auditing</title> <sect1 id="audit-synopsis"> - <title>* Overzicht</title> + <title>Overzicht</title> <indexterm><primary>AUDIT</primary></indexterm> - <indexterm> - <primary>kernelgebeurtenissen auditen</primary> - + <primary>Security Event Auditing</primary> <see>MAC</see> </indexterm> - <para>Wordt vertaald</para> + <para>&os; 6.2 en later heeft ondersteuning voor diepgaande + beveiligingsauditing van evenementen. Evenement auditing maakt + het mogelijk dat er diepgaande en configureerbare logging van + een variateit aan beveiligings-gerelateerde systeem evenementen, + waaronder logins, configuratie wijzigingen, bestands- en + netwerk toegang. Deze log regels kunnen erg belangrijk + zijn voor live systeem monitoring, intrusion detection en + postmortem analyse. &os; implementeert &sun;'s gepubliceerde + <acronym>BSM</acronym> API en bestandsformaat en is uitwisselbaar + met zowel &sun;'s &solaris; als &apple;'s &macos; X audit + implementaties.</para> + + <para>Dit hoofdstuk richt zich op de installatie en configuratie van + evenement auditing. Het legt audit policies uit en geeft + voorbeelden van audit configuraties.</para> + + <para>Na het lezen van dit hoofdstuk weet de lezer:</para> + + <itemizedlist> + <listitem> + <para>Wat evenement auditing is en hoe het werkt.</para> + </listitem> + + <listitem> + <para>Hoe evenement auditing geconfigureerd kan worden voor + &os; voor gebruikers en processen.</para> + </listitem> + + <listitem> + <para>Hoe de audittrail bekeken kan worden door gebruik te maken + van de audit reduction en onderzoek programma's.</para> + </listitem> + </itemizedlist> + + <para>Voordat verder gegaan wordt moet het volgende bekend + zijn:</para> + + <itemizedlist> + <listitem> + <para>&unix; en &os; basishandelingen begrijpen + (<xref linkend="basics">).</para> + </listitem> + + <listitem> + <para>Bekend zijn met de basishandelingen van kernel + configuratie/compilatie + (<xref linkend="kernelconfig">).</para> + </listitem> + + <listitem> + <para>Bekend zijn met beveiliging en hoe dat relateert aan + &os; (<xref linkend="security">).</para> + </listitem> + </itemizedlist> + + <warning> + <para>De audit faciliteiten in &os; 6.<replaceable>X</replaceable> + zijn experimenteel en het gebruik in productie mag alleen + gebeuren na zorgvuldig onderzoek van de risico's van het in + gebruik nemen van experimentele software. Bekende limitaties + zijn dat niet alle beveiligings-relevante systeem evenementen + geaudit kunnen worden en dat sommige login mechanismes, zoals + X11 gebaseerde display managers en derde partij programma's + geen (goede) ondersteuning bieden voor het auditen login sessies + van gebruikers.</para> + </warning> + + <warning> + <para>De beveiligings evenement auditing faciliteit is in staat om + erg gedetailleerde logs van systeem activiteiten op een druk + systeem te genereren, trail bestands data kan erg groot worden + wanneer er erg precieze details worden gevraagd, wat enkele + gigabytes per week kan behalen in sommige configuraties. + Beheerders moeten rekening houden met voldoende schijfruimte + voor grote audit configuraties. Bijvoorbeeld het kan gewenst + zijn om eigen bestandsysteem aan <filename>/var/audit</filename> + toe te wijzen zo dat andere bestandssystemen geen hinder + ondervinden als het audit bestandssysteem onverhoopt vol + raakt.</para> + </warning> </sect1> <sect1 id="audit-inline-glossary"> - <title>* Sleutelbegrippen - Woordenlijst</title> + <title>Sleutelwoorden in dit hoofdstuk</title> + + <para>Voordat dit hoofdstuk gelezen kan worden, moeten er een + aantal audit gerelateerde termen uitgelegd worden:</para> + + <itemizedlist> + <listitem> + <para><emphasis>evenement</emphasis>: Een auditbaar evenement is + elk evenement dat gelogged kan worden door het audit + subsysteem. Voorbeelden van beveiligings gerelateerde + evenementen zijn het creëeren van een bestand, het + opzetten van een netwerk verbinding, of van een gebruiker die + aanlogt. Evenementen zijn ofwel <quote>attributable</quote> + wat betekend dat ze getraceerd kunnen worden naar een + geauthoriseerde gebruiker, of <quote>non-attributable</quote> + voor situaties waarin dat niet mogelijk is. Voorbeelden van + non-attributable evenementen zijn elk evenement dat gebeurd + voordat authorisatie plaatsvind in het login proces, zoals bij + foutieve inlog pogingen.</para> + </listitem> + + <listitem> + <para><emphasis>class</emphasis>: Evenement klassen zijn benoemde + sets van gerelateerde evenementen en worden gebruikt in + selectie expressies. Veel gebruikte klassen van evenementen + zijn <quote>bestands creatie</quote> (fc), <quote>exec</quote> + (ex) en <quote>login_logout</quote> (lo).</para> + </listitem> + + <listitem> + <para><emphasis>record</emphasis>: Een record is een audit log + regel die het beveiligings evenement beschrijft. Records + bevatten een record evenement type, informatie over het + onderwerp (de gebruiker) welke de actie uitvoerd, de datum en + de tijd, informatie over de objecten of argumenten, en een + conditie die aangeeft of de actie geslaagd of mislukt is.</para> + </listitem> + + <listitem> + <para><emphasis>trail</emphasis>: Een audit trail, of log + bestand bestaat uit een serie van audit records welke + beveiligings evenementen beschrijft. Meestal lopen deze + trails in chronologische orde, gebaseerd op de tijd dat + het evenement optrad. Alleen geauthoriseerde processen + mogen records toevoegen aan de audit trail.</para> + </listitem> + + <listitem> + <para><emphasis>selection expression</emphasis>: Een selectie + expressie is een string welke een lijst bevat van prefixes + en audit evenement klasse namen die overeenkomen met + evenementen.</para> + </listitem> + + <listitem> + <para><emphasis>preselection</emphasis>: Het proces waarbij het + systeem bepaald welke evenementen interessant zijn voor de + beheerder, zodat wordt voorkomen dat er audit records + worden gegenereerd voor evenementen die niet interessant zijn. + De <quote>preselection</quote> configuratie gebruikt een serie + van selectie expressies om te identificeren welke klassen van + evenementen van toepassing zijn op gebruikers en globale + instellingen voor zowel geauthoriseerde als ongeauthoriseerde + processen.</para> + </listitem> - <para>Wordt vertaald</para> + <listitem> + <para><emphasis>reduction</emphasis>: Het proces waarbij records + van bestaande audit trails worden geselecteerd voor bewaring, + uitprinten of analyse. Ook is dit het proces waarbij ongewenste + audit records worden verwijderd uit het audit trail. Door + gebruik te maken van reduction kunnen beheerders policies + implementeren die het bewaren van audit data verzorgen. + Bijvoorbeeld gedetailleerde audit trails kunnen één + maand bewaard worden maar erna worden trails gereduceerd zodat + alleen login informatie bewaard worden voor archiverings + redenen.</para> + </listitem> + </itemizedlist> </sect1> <sect1 id="audit-install"> - <title>* Auditondersteuning installeren</title> + <title>Installeren van audit ondersteuning.</title> + + <para>Ondersteuning in de gebruikersomgeving voor evenement auditing + wordt geïnstalleerd als onderdeel van het basis &os; besturings + systeem. In &os; 7.0 en later wordt kernel ondersteuning + voor evenement auditing standaard meegenomen tijdens compilatie. + In &os; 6.<replaceable>X</replaceable>, moet ondersteuning + expliciet in de kernel gecompileerd worden door de volgende regel + toe te voegen aan het kernel configuratie bestand:</para> + + <programlisting>options AUDIT</programlisting> + + <para>Bouw en herinstalleer de kernel volgens het normale + proces zoals beschreven in <xref linkend="kernelconfig">.</para> + + <para>Zodra een audit ondersteunende kernel is gebouwd en + geïnstalleerd en deze is opgestart kan de audit daemon + aangezet worden door de volgende regel aan &man.rc.conf.5; toe te + voegen:</para> + + <programlisting>auditd_enable="YES"</programlisting> + + <para>Audit ondersteuning moet daarna aangezet worden door een + herstart van het systeem of door het handmatig starten van de audit + daemon:</para> - <para>Wordt vertaald</para> + <programlisting>/etc/rc.d/auditd start</programlisting> </sect1> <sect1 id="audit-config"> - <title>* Auditen instellen</title> + <title>Audit Configuratie</title> + + <para>Alle configuratie bestanden voor beveiligings audit kunnen + worden gevonden in + <filename class="directory">/etc/security</filename>. De volgende + bestanden moeten aanwezig zijn voor de audit daemon wordt + gestart:</para> + + <itemizedlist> + <listitem> + <para><filename>audit_class</filename> - Bevat de definities + van de audit klasses.</para> + </listitem> + + <listitem> + <para><filename>audit_control</filename> - Controleert aspecten + van het audit subsysteem, zoals de standaard audit klassen, + minimale hoeveelheid diskruimte die moet overblijven op de + audit log schijf, de maximale audit trail grootte, etc.</para> + </listitem> + + <listitem> + <para><filename>audit_event</filename> - Tekst namen en + beschrijvingen van systeem audit evenementen, evenals een + lijst van klassen waarin elk evenement zich bevind.</para> + </listitem> + + <listitem> + <para><filename>audit_user</filename> - Gebruiker specifieke + audit benodigdheden welke gecombineerd worden met de globale + standaarden tijdens het inloggen.</para> + </listitem> + + <listitem> + <para><filename>audit_warn</filename> - Een bewerkbaar shell + script gebruikt door de <application>auditd</application> + applicatie welke waarschuwings berichten genereert in + bijzondere situaties zoals wanneer de ruimte voor audit + records te laagis of wanneer het audit trail bestand is + geroteerd.</para> + </listitem> + </itemizedlist> + + <warning> + <para>Audit configuratie bestanden moeten voorzichtig worden + bewerkt en onderhouden, omdat fouten in de configuratie kunnen + resulteren in het verkeerd loggen van evenementen.</para> + </warning> <sect2> - <title>* Auditen bestandssyntaxis</title> + <title>Evenement selectie expressies</title> + + <para>Selectie expressies worden gebruikt op een aantal plaatsen + in de audit configuratie om te bepalen welke evenementen er + geaudit moeten worden. Expressies bevatten een lijst van + evenement klassen welke gelijk zijn aan een prefix welke + aangeeft of gelijke records geaccepteerd moeten worden of + genegeerd en optioneel om aan te geven of de regel is bedoeld + om succesvolle of mislukte operaties te matchen. Selectie + expressies worden geevalueerd van links naar rechts en twee + expressies worden gecombineerd door de één aan de + ander toe te voegen.</para> + + <para>De volgende lijst bevat de standaard audit evenement klassen + welke aanwezig zijn in het <filename>audit_class</filename> + bestand:</para> + + <itemizedlist> + <listitem> + <para><literal>all</literal> - <emphasis>all</emphasis> - + Matched alle evenement klasses.</para> + </listitem> + + <listitem> + <para><literal>ad</literal> - + <emphasis>administrative</emphasis> - Administratieve acties + welke uitgevoerd worden op het gehele systeem.</para> + </listitem> + + <listitem> + <para><literal>ap</literal> - <emphasis>application</emphasis> - + Applicatie gedefinieerde acties.</para> + </listitem> + + <listitem> + <para><literal>cl</literal> - <emphasis>file close</emphasis> - + Audit aanroepen naar de <function>close</function> systeem + aanroep.</para> + </listitem> + + <listitem> + <para><literal>ex</literal> - <emphasis>exec</emphasis> - Audit + programma uitvoer. Het auditen van command line argumenten + en omgevings variabelen wordt gecontroleerd via + &man.audit.control.5; door gebruik te maken van de + <literal>argv</literal> en <literal>envv</literal> parameters + in de <literal>policy</literal> setting.</para> + </listitem> + + <listitem> + <para><literal>fa</literal> - + <emphasis>file attribute access</emphasis> - Audit de + toevoeging van object attributen zoals &man.stat.1;, + &man.pathconf.2; en gelijkwaardige evenementen.</para> + </listitem> + + <listitem> + <para><literal>fc</literal> - <emphasis>file create</emphasis> + - Audit evenementen waar een bestand wordt gecreëerd als + resultaat.</para> + </listitem> + + <listitem> + <para><literal>fd</literal> - <emphasis>file delete</emphasis> + - Audit evenementen waarbij bestanden verwijderd + worden.</para> + </listitem> + + <listitem> + <para><literal>fm</literal> - + <emphasis>file attribute modify</emphasis> - Audit + evenementen waarbij bestandsattribuut wijzigingen + plaatsvinden zoals bij &man.chown.8;, &man.chflags.1;, + &man.flock.2;, etc.</para> + </listitem> + + <listitem> + <para><literal>fr</literal> - <emphasis>file read</emphasis> + - Audit evenementen waarbij data wordt gelezen, bestanden + worden geopend voor lezen etc.</para> + </listitem> + + <listitem> + <para><literal>fw</literal> - <emphasis>file write</emphasis> + - Audit evenementen waarbij data wordt geschreven, bestanden + worden geschreven of gewijzigd, etc.</para> + </listitem> + + <listitem> + <para><literal>io</literal> - <emphasis>ioctl</emphasis> - + Audit het gebruik van de &man.ioctl.2; systeem aanroep.</para> + </listitem> + + <listitem> + <para><literal>ip</literal> - <emphasis>ipc</emphasis> - Audit + verschillende vormen van Inter-Process Communication, zoals + POSIX pipes en System V <acronym>IPC</acronym> operaties.</para> + </listitem> + + <listitem> + <para><literal>lo</literal> - <emphasis>login_logout</emphasis> - + Audit &man.login.1; en &man.logout.1; evenementen die + plaatsvinden op het systeem.</para> + </listitem> + + <listitem> + <para><literal>na</literal> - + <emphasis>non attributable</emphasis> - Audit + non-attributable evenementen.</para> + </listitem> + + <listitem> + <para><literal>no</literal> - + <emphasis>invalid class</emphasis> - Matched geen enkel + audit evenement.</para> + </listitem> + + <listitem> + <para><literal>nt</literal> - <emphasis>network</emphasis> - + Audit evenementen die gerelateerd zijn aan netwerk acties + zoals &man.connect.2; en &man.accept.2;.</para> + </listitem> + + <listitem> + <para><literal>ot</literal> - <emphasis>other</emphasis> - + Audit diverse evenementen.</para> + </listitem> + + <listitem> + <para><literal>pc</literal> - <emphasis>process</emphasis> - + Audit process operaties zoals &man.exec.3; en + &man.exit.3;</para> + </listitem> + </itemizedlist> + + <para>Deze audit evenement klassen kunnen veranderd worden door + het wijzigingen van de <filename>audit_class</filename> en + <filename>audit_event</filename> configuratie bestanden.</para> + + <para>Elke audit klasse in de lijst wordt gecombineerd met een + voorzetsel welke aangeeft of er succesvolle of mislukte + operaties hebben plaatsgevonden en of de regel wordt toegevoegd + of verwijderd van het matchen van de klasse en het type.</para> + + <itemizedlist> + <listitem> + <para>(none) Audit zowel succesvolle als mislukte informatie + van het evenement.</para> + </listitem> + + <listitem> + <para><literal>+</literal> Audit succesvolle evenementen in + deze klasse.</para> + </listitem> + + <listitem> + <para><literal>-</literal> Audit mislukte evenementen in deze + klasse.</para> + </listitem> + + <listitem> + <para><literal>^</literal> Audit geen enkele succesvolle of + mislukte evenementen in deze klasse.</para> + </listitem> + + <listitem> + <para><literal>^+</literal> Audit geen succesvolle evenementen + in deze klasse.</para> + </listitem> + + <listitem> + <para><literal>^-</literal> Audit geen mislukte evenementen + in deze klasse.</para> + </listitem> + + </itemizedlist> + + <para>De volgende voorbeeld selectie strings selecteren zowel + succesvolle als mislukte login/logout evenementen, maar alleen + succesvolle uitvoer evenementen:</para> - <para>Wordt vertaald</para> + <programlisting>lo,+ex</programlisting> </sect2> <sect2> - <title>* Instellingenbestanden</title> + <title>Configuratie bestanden</title> + + <para>In de meeste gevallen moet een beheerder twee bestanden + wijzigingen wanneer het audit systeem wordt geconfigureerd: + <filename>audit_control</filename> en + <filename>audit_user</filename>. Het eerste controleert systeem + brede audit eigenschappen en policies, het tweede kan gebruikt + worden om diepgaande auditing per gebruiker uit te voeren.</para> <sect3 id="audit-auditcontrol"> - <title>* Bestand <filename>audit_control</filename></title> + <title>Het <filename>audit_control</filename> bestand</title> + + <para>Het <filename>audit_control</filename> bestand specificeert + een aantal standaarden van het audit subsysteem. Als de inhoud + bekeken wordt van dit bestand is het volgende te zien:</para> + + <programlisting>dir:/var/audit +flags:lo +minfree:20 +naflags:lo +policy:cnt +filesz:0</programlisting> + + <para>De <option>dir</option> optie wordt gebruikt om + één of meerdere directories te specificeren die + gebruikt worden voor de opslag van audit logs. Als er meer + dan één directory wordt gespecificeerd, worden ze + op volgorde gebruikt naarmate ze gevuld worden. Het is + standaard dat audit geconfigureerd wordt dat audit logs + worden bewaard op een eigen bestandssysteem, om te + voorkomen dat het audit subsysteem en andere subsystemen met + elkaar botsen als het bestandssysteem volraakt.</para> + + <para>Het <option>flags</option> veld stelt de systeem brede + standaard preselection maskers voor attributable evenementen + in. In het voorbeeld boven worden succesvolle en mislukte + login en logout evenementen geaudit voor alle gebruikers.</para> + + <para>De <option>minfree</option> optie definieerd het minimale + percentage aan vrije ruimte voor dit bestandssysteem waar de + audit trails worden opgeslagen. Wanneer deze limiet wordt + overschreven wordt er een waarschuwing gegenereerd. In het + bovenstaande voorbeeld wordt de minimale vrije ruimte ingesteld + op 20 procent.</para> + + <para>De<option>naflags</option> optie specificeerd audit klasses + welke geaudit moeten worden voor non-attributed evenementen + zoals het login proces en voor systeem daemons.</para> + + <para>De<option>policy</option> optie specificeert een komma + gescheiden lijst van policy vlaggen welke diverse aspecten + van het audit proces beheren. De standaard + <literal>cnt</literal> vlag geeft aan dat het systeem moet + blijven draaien ook al treden er audit fouten op (deze vlag + wordt sterk aangeraden). Een andere veel gebruikte vlag is + <literal>argv</literal>, wat het mogelijk maakt om command + line argumenten aan de &man.execve.2; systeem aanroep te + auditen als onderdeel van het uitvoeren van commando's.</para> - <para>Wordt vertaald</para> + <para>De <option>filesz</option> optie specificeert de maximale + grootte in bytes hoeveel een audit trail bestand mag groeien + voordat het automatisch getermineerd en geroteerd wordt. De + standaard, 0, schakelt automatische log rotatie uit. Als de + gevraagde bestands grootte niet nul is en onder de minimale + 512k zit, wordt de optie genegeerd en wordt er een log bericht + gegenereerd.</para> </sect3> <sect3 id="audit-audituser"> - <title>* Bestand <filename>audit_user</filename></title> + <title>Het <filename>audit_user</filename> bestand</title> + + <para>Het <filename>audit_user</filename> bestand staat de + beheerder toe om verdere audit benodigdheden te + specificeren voor gebruikers. Elke regel configureert + auditing voor een gebruiker via twee velden, het eerste is het + <literal>alwaysaudit</literal> veld, welke een set van + evenementen specificeert welke altijd moet worden geaudit voor + de gebruiker, en de tweede is het <literal>neveraudit</literal> + veld, welke een set van evenementen specificeerd die nooit + geaudit moeten worden voor de gebruiker.</para> + + <para>Het volgende voorbeeld <filename>audit_user</filename> + bestand audit login/logout evenementen en succesvolle commando + uitvoer voor de <username>root</username> gebruiker, en audit + bestands creatie en succesvolle commando uitvoer voor de + <username>www</username> gebruiker. Als dit gebruikt wordt + in combinatie met het voorbeeld + <filename>audit_control</filename> bestand hierboven, is de + <username>root</username> regel dubbelop en zullen login/logout + evenementen ook worden geaudit voor de + <username>www</username> gebruiker.</para> + + <programlisting>root:lo,+ex:no +www:fc,+ex:no</programlisting> - <para>Wordt vertaald</para> </sect3> </sect2> </sect1> <sect1 id="audit-administration"> - <title>* Gebeurtenisaudit beheer</title> + <title>Het audit subsysteem beheren.</title> + + <sect2> + <title>Audit trails inzien</title> + + <para>Audit trails worden opgeslagen in het BSM binaire formaat, + dus ondersteunende programma's moeten worden gebruikt om de + informatie te wijzigen of converteren naar tekst. Het + &man.praudit.1; commando converteert trail bestanden naar een + simpel tekst formaat; het &man.auditreduce.1; commando kan + gebruikt worden om de audit trail te reduceren voor analyse, + archivering of voor het uitprinten van de data. + <command>auditreduce</command> ondersteund een variateit aan + selectie parameters, zoals evenement type, evenement klasse, + gebruiker, datum of tijd van het evenement en het bestandspad + of object dat gebruikt wordt.</para> + + <para>Bijvoorbeeld, het <command>praudit</command> programma zal + een dump maken van de volledige inhoud van een gespecificeerd + audit log bestand in normale tekst:</para> + + <screen>&prompt.root; <userinput>praudit /var/audit/AUDITFILE</userinput></screen> + + <para>Waar + <filename><replaceable>AUDITFILE</replaceable></filename> het + audit bestand is dat ingelezen moet worden.</para> + + <para>Audit trails bestaan uit een serie van audit records die + gevormd worden door tokens, welke <command>praudit</command> + sequentieel print één per regel. Elke token is van + een specifiek type, zoals een <literal>header</literal> welke + de audit record header bevat, of <literal>path</literal> welke + het bestandspad bevat van een lookup. Het volgende is een + voorbeeld van een <literal>execve</literal> evenement:</para> + + <programlisting>header,133,10,execve(2),0,Mon Sep 25 15:58:03 2006, + 384 msec +exec arg,finger,doug +path,/usr/bin/finger +attribute,555,root,wheel,90,24918,104944 +subject,robert,root,wheel,root,wheel,38439,38032,42086,128.232.9.100 +return,success,0 +trailer,133</programlisting> + + <para>Deze audit representeert een succesvolle + <literal>execve</literal> aanroep, waarbij het commando + <literal>finger doug</literal> is aangeroepen. Het argument + token bevat beide commando's gerepresenteerd door de shell aan + de kernel. Het <literal>path</literal> token bevat het pad + naar het uitvoerbare bestand zoals opgezocht door de kernel. + Het <literal>attribute</literal> token beschrijft de binary en + om precies te zijn bevat het de bestands mode welke gebruikt + kan worden om te zien of het bestand setuid was. Het + <literal>subject</literal> token beschrijft het onderwerp + proces en bevat sequentieel het audit gebruikers ID, effectieve + gebruikers ID en groep ID, echte gebruikers ID, groep ID, + proces ID, sessie ID, port ID en login adres. Let op dat het + audit gebruikers ID en het echte gebruikers ID van elkaar + verschillen omdat de gebruiker <username>robert</username> + veranderd is naar de <username>root</username> gebruiker voordat + het commando werd uitgevoerd, maar welke geaudit wordt als de + originele geauthoriseerde gebruiker. Als laatste wordt de + <literal>return</literal> token gebruikt om aan te geven dat er + een succesvolle uitvoer is geweest en <literal>trailer</literal> + geeft het einde aan van het record.</para> + + <para>In &os; 6.3 en later ondersteund <command>praudit</command> + ook een XML output formaat, welke geselecteerd kan worden door + gebruik te maken van het <option>x</option> argument.</para> + </sect2> + + <sect2> + <title>Het reduceren van audit trails</title> + + <para>Omdat audit logs erg groot kunnen worden, zal de beheerder + waarschijnlijk een subset van records willen selecteren om te + gebruiken, zoals records die gekoppeld zijn aan een specifieke + gebruiker:</para> + + <screen>&prompt.root; <userinput>auditreduce -u trhodes /var/audit/AUDITFILE | praudit</userinput></screen> + + <para>Dit selecteert alle audit records die geproduceert zijn + voor de gebruiker <username>trhodes</username> die opgeslagen + is in het <filename><replaceable>AUDITFILE</replaceable></filename> + bestand.</para> + </sect2> + + <sect2> + <title>Delegeren van audit onderzoek rechten</title> + + <para>Leden van de <groupname>audit</groupname> groep krijgen + permissie om de audit trails te lezen in + <filename>/var/audit</filename>; standaard is deze groep leeg en + kan alleen de <username>root</username> gebruiker deze + audit trails lezen. Gebruikers kunnen toegevoegd worden aan de + <groupname>audit</groupname> groep zodat onderzoek rechten kunnen >>> TRUNCATED FOR MAIL (1000 lines) <<<
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?200805212318.m4LNIhcS037532>