Date: Thu, 6 Mar 2008 18:28:45 GMT From: Gabor Pali <pgj@FreeBSD.org> To: Perforce Change Reviews <perforce@FreeBSD.org> Subject: PERFORCE change 137014 for review Message-ID: <200803061828.m26ISjTv030832@repoman.freebsd.org>
next in thread | raw e-mail | index | archive | help
http://perforce.freebsd.org/chv.cgi?CH=137014 Change 137014 by pgj@disznohal on 2008/03/06 18:28:24 (audit) MFen: 1.31 --> 1.33, including some minor language and format fixes. Affected files ... .. //depot/projects/docproj_hu/books/handbook/audit/chapter.sgml#5 edit Differences ... ==== //depot/projects/docproj_hu/books/handbook/audit/chapter.sgml#5 (text+ko) ==== @@ -1,11 +1,11 @@ <!-- The FreeBSD Documentation Project - $FreeBSD: doc/en_US.ISO8859-1/books/handbook/audit/chapter.sgml,v 1.31 2007/11/28 11:55:25 rwatson Exp $ + $FreeBSD: doc/en_US.ISO8859-1/books/handbook/audit/chapter.sgml,v 1.33 2008/01/22 11:07:11 brueffer Exp $ --> <!-- The FreeBSD Hungarian Documentation Project Translated by: PALI, Gabor <pgj@FreeBSD.org> - Original Revision: r1.31 --> + Original Revision: r1.33 --> <chapter id="audit" lang="hu"> <chapterinfo> @@ -33,55 +33,62 @@ <see>MAC</see> </indexterm> - <para>A &os; 6.2-RELEASE és az azóta megjelent verziók - támogatják a biztonsági események - aprólékos vizsgálatát. Ezzel egy - megbízható, részletes és jól - konfigurálható naplózási rendszert - társítanak a rendszerben található - biztonságot igénylõ események széles - köréhez, beleértve a bejelentkezéseket, a - konfigurációs állományokban - bekövetkezõ változásokat, állomány- - és hálózati hozzáféréseket. Az - így létrehozott naplóbejegyzések - felbecsülhetetlen értékûnek bizonyulhatnak egy - élõ rendszer felügyelete során, vagy egy - hálózati támadás - észleléséhez, esetleg egy összeomlás - okainak kielemezéséhez. A &os; ehhez a &sun; által - kifejlesztett <acronym>BSM</acronym> technológia API-ját - és állományformátumát + <para>A &os; 6.2-RELEASE és az azóta megjelent + verziók támogatják a biztonsági + események aprólékos + vizsgálatát. Ezzel egy megbízható, + részletes és jól konfigurálható + naplózási rendszert társítanak a + rendszerben található biztonságot + igénylõ események széles + köréhez, beleértve a bejelentkezéseket, + a konfigurációs állományokban + bekövetkezõ változásokat, + állomány- és hálózati + hozzáféréseket. Az így + létrehozott naplóbejegyzések + felbecsülhetetlen értékûnek bizonyulhatnak + egy élõ rendszer felügyelete során, vagy + egy hálózati támadás + észleléséhez, esetleg egy + összeomlás okainak kielemezéséhez. A + &os; ehhez a &sun; által kifejlesztett + <acronym>BSM</acronym> technológia API-ját és + állományformátumát valósítja meg, és így képes együttmûködni a &sun; &solaris; valamint az &apple; &macos; X bizonsági rendszereivel egyaránt.</para> <para>Ebben a fejezetben a biztonsági események - vizsgálatának telepítéséhez és - beállításához szükséges ismeretek - tekintjük át. Ennek keretében szó esik a - vizsgálati házirendekrõl, valamint mutatunk egy + vizsgálatának telepítéséhez + és beállításához + szükséges ismeretek tekintjük át. Ennek + keretében szó esik a vizsgálati + házirendekrõl, valamint mutatunk egy példát a vizsgálatok beállítására.</para> - <para>A fejezet elolvasása során megismerjük:</para> + <para>A fejezet elolvasása során + megismerjük:</para> <itemizedlist> <listitem> - <para>mit jelent az események vizsgálata és hogyan - mûködik.</para> + <para>mit jelent az események vizsgálata és + hogyan mûködik</para> </listitem> <listitem> <para>hogyan kell beállítani az események - vizsgálatát &os;-n a különbözõ - felhasználók és programok esetén.</para> + vizsgálatát &os;-n a + különbözõ felhasználók + és programok esetén</para> </listitem> <listitem> - <para>hogyan értelmezzük egy vizsgálati nyomokat a - vizsgálatot szûkítõ és -elemzõ - segédprogramok segítségével.</para> + <para>hogyan értelmezzük egy vizsgálati + nyomokat a vizsgálatot szûkítõ és + -elemzõ segédprogramok + segítségével</para> </listitem> </itemizedlist> @@ -89,56 +96,61 @@ <itemizedlist> <listitem> - <para>alapvetõ &unix;-os és &os;-s ismeretek - (<xref linkend="basics">).</para> + <para>alapvetõ &unix;-os és &os;-s ismeretek (<xref + linkend="basics">)</para> </listitem> <listitem> - <para>a rendszermag konfigurálásával és - fordításával kapcsolatos tudnivalók - alapszintû ismerete (<xref linkend="kernelconfig">).</para> + <para>a rendszermag konfigurálásával + és fordításával kapcsolatos + tudnivalók alapszintû ismerete (<xref + linkend="kernelconfig">)</para> </listitem> <listitem> - <para>az informatikai biztonság alapfogalmainak és annak - a &os;-re vonatkozó részleteinek minimális - ismerete (<xref linkend="security">).</para> + <para>az informatikai biztonság alapfogalmainak és + annak a &os;-re vonatkozó részleteinek + minimális ismerete (<xref linkend="security">)</para> </listitem> </itemizedlist> <warning> - <para>A &os; 6.2-es verziójában jelenlevõ - biztonsági vizsgálat még csak - kísérleti jelleggel szerepel, éles + <para>A &os; 6.<replaceable>X</replaceable> verziójaiban + jelenlevõ biztonsági vizsgálat még + csak kísérleti jelleggel szerepel, éles környezetben kizárólag csak az ilyen fajta - szoftverekkel kapcsolatos kockázatok tudatában és - elfogadásával javasolt használni. Ismert - korlátozások: nem mindegyik biztonságot - érintõ esemény vizsgálható, mint - mondjuk az egyes bejelentkezési típusok, mivel azok nem + szoftverekkel kapcsolatos kockázatok tudatában + és elfogadásával javasolt használni. + Ismert korlátozások: nem mindegyik + biztonságot érintõ esemény + vizsgálható, mint mondjuk az egyes + bejelentkezési típusok, mivel azok nem megfelelõen hitelesítik a belépõ felhasználókat. Ilyenek például az - X11-alapú felületek és az egyéb, erre a - célra alkalmas, más által fejlesztett daemonok. + X11-alapú felületek és az egyéb, erre + a célra alkalmas, más által fejlesztett + démonok.</para> </warning> <warning> - <para>A biztonsági események vizsgálata során - a rendszer képes nagyon részletes naplókat - készíteni az érintett - tevékenységekrõl. Így egy kellõen - forgalmas rendszeren az állománymozgások alapos - nyomonkövetése bizonyos konfigurációkon - akár gigabyte-okat is kitehet hetente. A - rendszergazdáknak ezért mindig javasolt számolniuk - a nagy forgalmú események biztonsági - vizsgálatának tárigényével. - Például, emiatt érdemes lehet egy egész + <para>A biztonsági események vizsgálata + során a rendszer képes nagyon részletes + naplókat készíteni az érintett + tevékenységekrõl. Így egy + kellõen forgalmas rendszeren az + állománymozgások alapos + nyomonkövetése bizonyos + konfigurációkon akár gigabájtokat is + kitehet hetente. A rendszergazdáknak ezért mindig + javasolt számolniuk a nagy forgalmú + események biztonsági vizsgálatának + tárigényével. Például, + emiatt érdemes lehet egy egész állományrendszert szánni erre a feladatra a - <filename>/var/audit</filename> könyvtárban, és - így a többi állományrendszer nem látja - kárát, ha véletlenül betelne ez a - terület.</para> + <filename>/var/audit</filename> könyvtárban, + és így a többi állományrendszer + nem látja kárát, ha véletlenül + betelne ez a terület.</para> </warning> </sect1> @@ -150,21 +162,24 @@ <itemizedlist> <listitem> - <para><emphasis>esemény:</emphasis> Vizsgálható - eseménynek azt az eseményt nevezzük, amely egy - vizsgálati alrendszerben naplózható. - Biztonsági események lehetnek például: - egy állomány létrehozása, egy - hálózati kapcsolat felépítése, - vagy egy felhasználó bejelentkezése. Egy + <para><emphasis>esemény:</emphasis> + Vizsgálható eseménynek azt az + eseményt nevezzük, amely egy vizsgálati + alrendszerben naplózható. Biztonsági + események lehetnek például: egy + állomány létrehozása, egy + hálózati kapcsolat + felépítése, vagy egy + felhasználó bejelentkezése. Egy esemény <quote>jellegzetes</quote>, ha visszakövethetõ valamelyik hitelesített - felhasználóhoz, vagy <quote>nem jellegzetes</quote>, - ha ez nem lehetséges. Nem jellegzetes események lehet - például minden olyan esemény, amely egy - bejelentkezési folyamat hitelesítési - lépése elõtt történik, ilyenek a - hibás jelszóval történõ + felhasználóhoz, vagy <quote>nem + jellegzetes</quote>, ha ez nem lehetséges. Nem + jellegzetes események lehet például + minden olyan esemény, amely egy bejelentkezési + folyamat hitelesítési lépése + elõtt történik, ilyenek a hibás + jelszóval történõ belépési kísérletek.</para> </listitem> @@ -172,24 +187,26 @@ <para><emphasis>osztály:</emphasis> Eseményosztálynak az összefüggõ események névvel ellátott halmazát - tekintjük, és szûrési feltételekben - használjuk õket. Általában alkalmazott - osztályok: <quote>file creation</quote> (fc, - állománylétrehozás), <quote>exec</quote> - (ex, programindítás), és - <quote>login_logout</quote> (lo, ki- és + tekintjük, és szûrési + feltételekben használjuk õket. + Általában alkalmazott osztályok: + <quote>file creation</quote> (fc, + állománylétrehozás), + <quote>exec</quote> (ex, programindítás), + és <quote>login_logout</quote> (lo, ki- és bejelentkezés).</para> </listitem> <listitem> <para><emphasis>rekord:</emphasis> Rekordnak nevezzük a biztonsági eseményeket leíró - biztonsági naplóbejegyzéseket. A rekordok - tartalmazhatják a feljegyzett esemény - típusát, az eseményt kiváltó - tevékenységet (felhasználót), a - dátumot és az idõt, tetszõleges objektum - vagy paraméter értékét, feltételek + biztonsági naplóbejegyzéseket. A + rekordok tartalmazhatják a feljegyzett esemény + típusát, az eseményt + kiváltó tevékenységet + (felhasználót), a dátumot és az + idõt, tetszõleges objektum vagy paraméter + értékét, feltételek teljesülését vagy meghiúsulását.</para> </listitem> @@ -197,57 +214,63 @@ <listitem> <para><emphasis>nyom:</emphasis> Vizsgálati nyomnak vagy naplóállománynak nevezzük a - különféle biztonsági eseményeket - leíró vizsgálati rekordok sorozatát. A - nyomok többnyire nagyjából az események - bekövetkezése szerinti idõrendben következnek. - Csak és kizárólag az erre felhatalmazott - programok hozhatnak létre rekordokat a vizsgálati - nyomban.</para> + különféle biztonsági + eseményeket leíró vizsgálati + rekordok sorozatát. A nyomok többnyire + nagyjából az események + bekövetkezése szerinti idõrendben + következnek. Csak és kizárólag az + erre felhatalmazott programok hozhatnak létre + rekordokat a vizsgálati nyomban.</para> </listitem> <listitem> <para><emphasis>szûrési feltétel:</emphasis> Szûrési feltételnek nevezünk egy olyan - sztringet, amelyet események szûrésére - használunk, és módosítókat - valamint eseményosztályok neveit tartalmazza.</para> + sztringet, amelyet események + szûrésére használunk, és + módosítókat valamint + eseményosztályok neveit tartalmazza.</para> </listitem> <listitem> <para><emphasis>elõválogatás:</emphasis> Elõválogatásnak nevezzük a folyamatot, amelynek során a rendszer beazonosítja azokat az - eseményeket, amelyek a rendszergazda számára - fontosak. Ezáltal elkerülhetjük olyan - vizsgálati rekordok generálását, amelyek - számunkra érdektelen eseményekrõl - számolnak be. Az elõválogatás - szûrési feltételek sorát használja - az adott felhasználókhoz tartozó adott + eseményeket, amelyek a rendszergazda + számára fontosak. Ezáltal + elkerülhetjük olyan vizsgálati rekordok + generálását, amelyek számunkra + érdektelen eseményekrõl számolnak + be. Az elõválogatás szûrési + feltételek sorát használja az adott + felhasználókhoz tartozó adott biztonsági események vizsgálatának beállításához, akárcsak a - hitelesített és a nem hitelesített programokat - értintõ globális beállítások - meghatározásához.</para> + hitelesített és a nem hitelesített + programokat értintõ globális + beállítások + meghatározásához.</para> </listitem> <listitem> <para><emphasis>leszûkítés:</emphasis> - Leszûkítésnek nevezzük a folyamatot, amelynek - során a már meglevõ biztonsági - rekordokból válogatunk le tárolásra, - nyomtatásra vagy elemzésre. Hasonlóan ez a - folyamat, ahol a szükségtelen rekordokat - eltávolítjuk a vizsgálatai nyomból. A - leszûkítés segítségével a - rendszergazdák a vizsgálati adatok - eltárolására alakíthatnak ki - házirendet. Például a részletesebb - vizsgálati nyomokat érdemes egy hónapig - megtartani, ennek lejártával viszont már - inkább ajánlott leszûkíteni õket - és archiválásra csak a bejelentkezési + Leszûkítésnek nevezzük a folyamatot, + amelynek során a már meglevõ + biztonsági rekordokból válogatunk le + tárolásra, nyomtatásra vagy + elemzésre. Hasonlóan ez a folyamat, ahol a + szükségtelen rekordokat eltávolítjuk + a vizsgálatai nyomból. A + leszûkítés + segítségével a rendszergazdák a + vizsgálati adatok eltárolására + alakíthatnak ki házirendet. + Például a részletesebb vizsgálati + nyomokat érdemes egy hónapig megtartani, ennek + lejártával viszont már inkább + ajánlott leszûkíteni õket és + archiválásra csak a bejelentkezési információkat megtartani.</para> </listitem> </itemizedlist> @@ -259,33 +282,36 @@ <para>A eseményvizsgálathoz szükséges felhasználói programok a &os; alaprendszer - részét képezik. A &os; 6.3 és - késõbbi verzióiban az eseményvizsgálat - támogatása alapértelmezés szerint - megtalálható a rendszermagban, azonban a - &os; 6.2-ben be kell kapcsolnunk a megfelelõ + részét képezik. A &os; 7.0 és + késõbbi verzióiban az + eseményvizsgálat támogatása + alapértelmezés szerint megtalálható a + rendszermagban, azonban a &os; 6.<replaceable>X</replaceable> + változataiban be kell kapcsolnunk a megfelelõ támogatást, mégpedig a rendszermag konfigurációs állományában az alábbi sor hozzáadásával:</para> <programlisting>options AUDIT</programlisting> - <para>Fordítsuk és telepítsük újra a - rendszermagot az <xref linkend="kernelconfig">ben ismertetett + <para>Fordítsuk és telepítsük újra + a rendszermagot az <xref linkend="kernelconfig">ben ismertetett folyamat szerint.</para> - <para>Ahogy a rendszermagot a bekapcsolt eseményvizsgálati - támogatással sikerült lefordítanunk és + <para>Ahogy a rendszermagot a bekapcsolt + eseményvizsgálati támogatással + sikerült lefordítanunk és telepítenünk, valamint a rendszerünk is - újraindult, indítsuk el a vizsgáló daemont - a következõ sor hozzáadásával a - &man.rc.conf.5;-ban:</para> + újraindult, indítsuk el a vizsgáló + démont a következõ sor + hozzáadásával az &man.rc.conf.5; + állományban:</para> <programlisting>auditd_enable="YES"</programlisting> <para>A vizsgálatot innentõl ténylegesen egy ismételt újraindítással vagy pedig az - elõbb említett daemon manuális + elõbb említett démon manuális elindításával aktiválhatjuk:</para> <programlisting>/etc/rc.d/auditd start</programlisting> @@ -297,9 +323,10 @@ <para>A vizsgálatok beállításához szükséges összes konfigurációs állomány a <filename - class="directory">/etc/security</filename> könyvtárban - található. A következõ állományok - vannak itt a daemon indítása elõtt:</para> + class="directory">/etc/security</filename> + könyvtárban található. A + következõ állományok vannak itt a + démon indítása elõtt:</para> <itemizedlist> <listitem> @@ -310,67 +337,73 @@ <listitem> <para><filename>audit_control</filename> - a vizsgálati alrendszer különbözõ területei - vezérli, többek közt az alapértelmezett - vizsgálati osztályokat, az vizsgálati adatok - tárhelyén meghagyandó minimális - lemezterület, a vizsgálati nyom maximális - mérete, stb.</para> + vezérli, többek közt az + alapértelmezett vizsgálati osztályokat, + az vizsgálati adatok tárhelyén + meghagyandó minimális lemezterület, a + vizsgálati nyom maximális mérete, + stb.</para> </listitem> <listitem> - <para><filename>audit_event</filename> - a rendszerben jelenlevõ - vizsgálati események szöveges megnevezése - és leírása, valamint a lista, hogy melyikük - mely osztályban található.</para> + <para><filename>audit_event</filename> - a rendszerben + jelenlevõ vizsgálati események szöveges + megnevezése és leírása, valamint a + lista, hogy melyikük mely osztályban + található.</para> </listitem> <listitem> <para><filename>audit_user</filename> - felhasználónként változó vizsgálati elvárások, kombinálva a - bejelentkezéskor érvényes globálisan - alapértelmezett beállításokkal.</para> + bejelentkezéskor érvényes + globálisan alapértelmezett + beállításokkal.</para> </listitem> <listitem> <para><filename>audit_warn</filename> - az <application>auditd</application> által használt testreszabható shell szkript, aminek - segítségével a szélsõséges - helyzetekben figyelmeztetõ üzeneteket tudunk - generálni, mint mondjuk amikor a rekordok - számára fenntartott hely elfogyóban van, vagy - amikor a nyomokat tartalmazó állományt + segítségével a + szélsõséges helyzetekben figyelmeztetõ + üzeneteket tudunk generálni, mint mondjuk amikor a + rekordok számára fenntartott hely + elfogyóban van, vagy amikor a nyomokat + tartalmazó állományt archiváltuk.</para> </listitem> </itemizedlist> <warning> - <para>Az eseményvizsgálat konfigurációs - állományait alapos körültekintés - mellett szabad szerkeszteni és karbantartani, mivel a - bennük keletkezõ hibák az események - helytelen naplózását - eredményezhetik.</para> + <para>Az eseményvizsgálat + konfigurációs állományait alapos + körültekintés mellett szabad szerkeszteni + és karbantartani, mivel a bennük keletkezõ + hibák az események helytelen + naplózását eredményezhetik.</para> </warning> <sect2> <title>Eseményszûrési feltételek</title> - <para>Az eseményvizsgálati beállítások - során számtalan helyen felbukkanak a vizsgálni - kívánt eseményeket meghatározó - szûrési feltételek. Ezen feltételek + <para>Az eseményvizsgálati + beállítások során számtalan + helyen felbukkanak a vizsgálni kívánt + eseményeket meghatározó szûrési + feltételek. Ezen feltételek eseményosztályok felsorolását tartalmazzák, mindegyiküket egy - módosító vezeti be, ezzel jelezve, hogy az adott - eseményosztályba tartozó rekordokat tartsuk meg - vagy vessük el. Esetleg utalhatnak arra is, hogy vagy csak a - sikerességet jelzõ rekordokat, vagy csak a - sikertelenséget jelzõ rekordokat szûrjük ki. - A szûrési feltételek balról jobbra - értékelõdnek ki, és két - kifejezés összefûzéssel + módosító vezeti be, ezzel jelezve, hogy az + adott eseményosztályba tartozó rekordokat + tartsuk meg vagy vessük el. Esetleg utalhatnak arra is, + hogy vagy csak a sikerességet jelzõ rekordokat, vagy + csak a sikertelenséget jelzõ rekordokat + szûrjük ki. A szûrési feltételek + balról jobbra értékelõdnek ki, + és két kifejezés + összefûzéssel kombinálható.</para> <para>A most következõ lista tartalmazza a @@ -380,8 +413,8 @@ <itemizedlist> <listitem> - <para><literal>all</literal> - <emphasis>all (mind)</emphasis> - - Minden eseményosztályra vonatkozik.</para> + <para><literal>all</literal> - <emphasis>all (mind)</emphasis> + - Minden eseményosztályra vonatkozik.</para> </listitem> <listitem> @@ -401,8 +434,8 @@ <listitem> <para><literal>cl</literal> - <emphasis>file close - (állomány lezárása)</emphasis> - a - <function>close</function> rendszerhívás + (állomány lezárása)</emphasis> - + a <function>close</function> rendszerhívás meghívásának vizsgálata.</para> </listitem> @@ -410,9 +443,10 @@ <para><literal>ex</literal> - <emphasis>exec (programindítás)</emphasis> - egy program indításának vizsgálata. A - parancssorban átadott paraméterek és - a környezeti változók vizsgálatát - a &man.audit.control.5; vezérli a <literal>policy</literal> + parancssorban átadott paraméterek és a + környezeti változók + vizsgálatát az &man.audit.control.5; + vezérli a <literal>policy</literal> beállításhoz tartozó <literal>argv</literal> és <literal>envv</literal> paraméterek segítségével.</para> @@ -421,17 +455,19 @@ <listitem> <para><literal>fa</literal> - <emphasis>file attribute access (állományjellemzõk - hozzáférése)</emphasis> - a rendszerbeli - objektumok jellemzõinek hozzáférésnek - vizsgálata, mint pl. a &man.stat.1;, &man.pathconf.2; - és ehhez hasonló események.</para> + hozzáférése)</emphasis> - a + rendszerbeli objektumok jellemzõinek + hozzáférésnek vizsgálata, mint + pl. a &man.stat.1;, &man.pathconf.2; és ehhez + hasonló események.</para> </listitem> <listitem> <para><literal>fc</literal> - <emphasis>file create - (állomány létrehozása)</emphasis> - - állományt eredményezõ események - vizsgálata.</para> + (állomány + létrehozása)</emphasis> - + állományt eredményezõ + események vizsgálata.</para> </listitem> <listitem> @@ -446,45 +482,48 @@ (állományjellemzõk módosítása)</emphasis> - állományok jellemzõit - megváltoztató események vizsgálata, - mint mondjuk a &man.chown.8;, &man.chflags.1;, &man.flock.2;, - stb.</para> + megváltoztató események + vizsgálata, mint mondjuk a &man.chown.8;, + &man.chflags.1;, &man.flock.2;, stb.</para> </listitem> <listitem> - <para><literal>fr</literal> - <emphasis>file read + <para><literal>fr</literal> - <emphasis>file read (állományolvasás)</emphasis> - - állományok olvasásra történõ - megnyitásával, olvasásával, - stb. kapcsolatos események vizsgálata.</para> + állományok olvasásra + történõ megnyitásával, + olvasásával, stb. kapcsolatos + események vizsgálata.</para> </listitem> <listitem> - <para><literal>fw</literal> - <emphasis>file write + <para><literal>fw</literal> - <emphasis>file write (állományírás)</emphasis> - állományok írásra történõ megnyitásával, írásával, - módosításával, stb. kapcsolatos + módosításával, stb. kapcsolatos események vizsgálata.</para> </listitem> <listitem> - <para><literal>io</literal> - <emphasis>ioctl</emphasis> - a - &man.ioctl.2; rendszerhívást használó - események vizsgálata.</para> + <para><literal>io</literal> - <emphasis>ioctl</emphasis> - az + &man.ioctl.2; rendszerhívást + használó események + vizsgálata.</para> </listitem> <listitem> - <para><literal>ip</literal> - <emphasis>ipc</emphasis> - a folyamatok - közti kommunikáció különféle - formáinak, beleértve a POSIX csövek és - System V <acronym>IPC</acronym> mûveleteinek + <para><literal>ip</literal> - <emphasis>ipc</emphasis> - a + folyamatok közti kommunikáció + különféle formáinak, + beleértve a POSIX csövek és System V + <acronym>IPC</acronym> mûveleteinek vizsgálata.</para> </listitem> <listitem> - <para><literal>lo</literal> - <emphasis>login_logout (ki- + <para><literal>lo</literal> - <emphasis>login_logout (ki- és bejelentkezés)</emphasis> - a rendszerben megjelenõ &man.login.1; és &man.logout.1; események vizsgálata.</para> @@ -499,27 +538,29 @@ <listitem> <para><literal>no</literal> - <emphasis>invalid class (érvénytelen osztály)</emphasis> - - egyetlen biztonsági eseményt sem tartalmaz.</para> + egyetlen biztonsági eseményt sem + tartalmaz.</para> </listitem> <listitem> - <para><literal>nt</literal> - <emphasis>network - (hálózat)</emphasis> - a hálózathoz - tartozó események vizsgálata, mint pl. a - &man.connect.2; és &man.accept.2;.</para> + <para><literal>nt</literal> - <emphasis>network + (hálózat)</emphasis> - a + hálózathoz tartozó események + vizsgálata, mint pl. a &man.connect.2; és + &man.accept.2;.</para> </listitem> <listitem> - <para><literal>ot</literal> - <emphasis>other + <para><literal>ot</literal> - <emphasis>other (egyéb)</emphasis> - más egyéb események vizsgálata.</para> </listitem> <listitem> - <para><literal>pc</literal> - <emphasis>process - (folyamat)</emphasis> - a folyamatokkal kapcsolatos mûveletek, - mint például a &man.exec.3; és &man.exit.3; - vizsgálata.</para> + <para><literal>pc</literal> - <emphasis>process + (folyamat)</emphasis> - a folyamatokkal kapcsolatos + mûveletek, mint például az &man.exec.3; + és &man.exit.3; vizsgálata.</para> </listitem> </itemizedlist> @@ -531,16 +572,16 @@ <para>A listában szereplõ minden egyes eseményosztályhoz tartozik még egy - módosító is, amely jelzi, hogy a sikeres vagy a - sikertelen mûveleteket kell-e szûrnünk, valamint hogy a - bejegyzés az adott típust vagy osztályt - hozzáadja vagy elveszi az adott + módosító is, amely jelzi, hogy a sikeres + vagy a sikertelen mûveleteket kell-e szûrnünk, + valamint hogy a bejegyzés az adott típust vagy + osztályt hozzáadja vagy elveszi az adott szûrésbõl.</para> <itemizedlist> <listitem> - <para>(üres) az adott típusból mind a sikereseket - és mind a sikerteleneket feljegyzi.</para> + <para>(üres) az adott típusból mind a + sikereseket és mind a sikerteleneket feljegyzi.</para> </listitem> <listitem> @@ -551,24 +592,26 @@ <listitem> <para><literal>-</literal> az eseményosztályba - tartozó sikertelen eseményeket vizsgálja - csak.</para> + tartozó sikertelen eseményeket + vizsgálja csak.</para> </listitem> <listitem> - <para><literal>^</literal> az eseményosztályból - sem a sikereseket, sem pedig a sikerteleneket nem - vizsgálja.</para> + <para><literal>^</literal> az + eseményosztályból sem a sikereseket, sem + pedig a sikerteleneket nem vizsgálja.</para> </listitem> <listitem> - <para><literal>^+</literal> az eseményosztályból - nem vizsgálja a sikeres eseményeket.</para> + <para><literal>^+</literal> az + eseményosztályból nem vizsgálja a + sikeres eseményeket.</para> </listitem> <listitem> - <para><literal>^-</literal> az eseményosztályból - nem vizsgálja a sikertelen eseményeket.</para> + <para><literal>^-</literal> az + eseményosztályból nem vizsgálja a + sikertelen eseményeket.</para> </listitem> </itemizedlist> @@ -582,7 +625,8 @@ </sect2> <sect2> - <title>A konfigurációs állományok</title> + <title>A konfigurációs + állományok</title> <para>A vizsgálati rendszer beállításához az esetek @@ -592,18 +636,21 @@ <filename>audit_control</filename> és az <filename>audit_user</filename>. Az elõbbi felelõs a rendszerszintû vizsgálati jellemzõkért - és házirendekért, míg az utóbbi az - igények felhasználókénti - finomhangolásához használható.</para> + és házirendekért, míg az + utóbbi az igények + felhasználókénti + finomhangolásához + használható.</para> <sect3 id="audit-auditcontrol"> - <title>Az <filename>audit_control</filename> + <title>Az <filename>audit_control</filename> állomány</title> - <para>Az <filename>audit_control</filename> állomány - határozza meg a vizsgálati alrendszer - alapértelmezéseit. Ezt az állományt - megnyitva a következõket láthatjuk:</para> + <para>Az <filename>audit_control</filename> + állomány határozza meg a vizsgálati + alrendszer alapértelmezéseit. Ezt az + állományt megnyitva a következõket + láthatjuk:</para> <programlisting>dir:/var/audit flags:lo @@ -613,68 +660,74 @@ filesz:0</programlisting> <para>A <option>dir</option> opciót használjuk a - vizsgálati naplók tárolására - szolgáló egy vagy több könyvtár - megadására. Ha egynél több - könyvtárra vonatkozó bejegyzés - található az állományban, akkor azok a - megadás sorrendjében kerülnek - feltöltésre. Nagyon gyakori az a - beállítás, ahol a vizsgálati - naplókat egy erre a célra külön - kialakított állományrendszeren - tárolják, megelõzve ezzel az - állományrendszer betelésekor keletkezõ - problémákat a többi alrendszerben.</para> + vizsgálati naplók + tárolására szolgáló egy + vagy több könyvtár megadására. + Ha egynél több könyvtárra + vonatkozó bejegyzés található az + állományban, akkor azok a megadás + sorrendjében kerülnek feltöltésre. + Nagyon gyakori az a beállítás, ahol a + vizsgálati naplókat egy erre a célra + külön kialakított + állományrendszeren tárolják, + megelõzve ezzel az állományrendszer + betelésekor keletkezõ problémákat a + többi alrendszerben.</para> <para>A <option>flags</option> mezõ egy rendszerszintû - alapértelmezett elõválogatási maszkot - határoz meg a jellegzetes események - számára. A fenti példában a sikeres - és sikertelen ki- és bejelentkezéseket mindegyik - felhasználó esetén vizsgáljuk.</para> + alapértelmezett elõválogatási + maszkot határoz meg a jellegzetes események + számára. A fenti példában a + sikeres és sikertelen ki- és + bejelentkezéseket mindegyik felhasználó + esetén vizsgáljuk.</para> <para>A <option>minfree</option> opció megszabja a - vizsgálati nyom tárolására szánt - állományrendszeren a minimális szabad helyet, - a teljes kapacitás százalékában. Amint - ezt a küszöböt túllépjük, egy + vizsgálati nyom tárolására + szánt állományrendszeren a + minimális szabad helyet, a teljes kapacitás + százalékában. Amint ezt a + küszöböt túllépjük, egy figyelmeztetés fog generálódni. A fenti példa a minimálisan szükséges rendelkezésre álló helyet húsz százalékra állítja.</para> <para>A <option>naflags</option> opció megadja azokat az - eseményosztályokat, amelyeket vizsgálni kell a - nem jellegzetes események, mind mondjuk a - bejelentkezési folyamatok vagy rendszerdaemonok + eseményosztályokat, amelyeket vizsgálni + kell a nem jellegzetes események, mind mondjuk a + bejelentkezési folyamatok vagy rendszerdémonok esetén.</para> <para>A <option>policy</option> opció a vizsgálat különbözõ szempontjait irányító házirendbeli - beállítások vesszõvel elválasztott - listáját tartalmazza. Az alapértelmezett - <literal>cnt</literal> beállítás azt adja meg, - hogy a rendszer a felmerülõ vizsgálati hibák + beállítások vesszõvel + elválasztott listáját tartalmazza. Az + alapértelmezett <literal>cnt</literal> + beállítás azt adja meg, hogy a rendszer a + felmerülõ vizsgálati hibák ellenére is folytassa tovább a mûködését (erõsen javasolt a használata). A másik gyakorta alkalmazott - beállítás az <literal>argv</literal>, amellyel a - rendszer a parancsvégrehajtás részeként - az &man.execve.2; rendszerhívás parancssori - paramétereit is megvizsgálja.</para> + beállítás az <literal>argv</literal>, + amellyel a rendszer a parancsvégrehajtás + részeként az &man.execve.2; + rendszerhívás parancssori paramétereit is + megvizsgálja.</para> - <para>A <option>filesz</option> opció meghatározza a - vizsgálati nyom automatikus szétvágása - és archiválása elõtti maximális - méretét, byte-ban. Az alapértelmezett - értéke a 0, amely kikapcsolja ezt az - archiválást. Ha az itt megadott - állományméret nem nulla és a - minimálisan elvárt 512 kb alatt van, akkor a rendszer - figyelmen kívül hagyja és errõl egy - figyelmeztetést ad.</para> + <para>A <option>filesz</option> opció meghatározza + a vizsgálati nyom automatikus + szétvágása és + archiválása elõtti maximális + méretét, bájtban. Az + alapértelmezett értéke a 0, amely + kikapcsolja ezt az archiválást. Ha az itt + megadott állományméret nem nulla + és a minimálisan elvárt 512 kb alatt van, + akkor a rendszer figyelmen kívül hagyja és + errõl egy figyelmeztetést ad.</para> </sect3> <sect3 id="audit-audituser"> @@ -682,33 +735,38 @@ állomány</title> <para>Az <filename>audit_user</filename> állomány - lehetõvé teszi a rendszergazda számára, - hogy az egyes felhasználók számára + lehetõvé teszi a rendszergazda + számára, hogy az egyes + felhasználók számára további vizsgálati szigorításokat - határozzon meg. Minden sor egy-egy felhasználó - vizsgálatának pontosítását adja - meg két mezõ segítségével: az - elsõ közülük az <literal>alwaysaudit</literal> - mezõ, mely felsorolja azokat az eseményeket, amelyeket - minden esetben vizsgáni kell az adott - felhasználó esetén, valamint a második a - <literal>neveraudit</literal> mezõ, mely az adott - felhasználó esetén a nem + határozzon meg. Minden sor egy-egy + felhasználó vizsgálatának + pontosítását adja meg két + mezõ segítségével: az elsõ + közülük az <literal>alwaysaudit</literal> + mezõ, mely felsorolja azokat az eseményeket, + amelyeket minden esetben vizsgáni kell az adott + felhasználó esetén, valamint a + második a <literal>neveraudit</literal> mezõ, mely + az adott felhasználó esetén a nem vizsgálandó eseményeket adja meg.</para> <para>A most következõ <filename>audit_user</filename> - példában vizsgáljuk a <username>root</username> - felhasználó ki/bejelentkezéseit és - sikeres programindításait, valamint a + példában vizsgáljuk a + <username>root</username> felhasználó + ki/bejelentkezéseit és sikeres + programindításait, valamint a + <username>www</username> felhasználó + állománylétrehozásait és + sikeres programindításait. Ha a korábban + bemutatott <filename>audit_control</filename> + példával együtt használjuk, akkor + észrevehetjük, hogy a <literal>lo</literal> + bejegyzés a <username>root</username> + felhasználó esetén redundáns, + illetve ilyenkor a ki/bejelentkezést a <username>www</username> felhasználó - állománylétrehozásait és sikeres - programindításait. Ha a korábban bemutatott >>> TRUNCATED FOR MAIL (1000 lines) <<<
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?200803061828.m26ISjTv030832>