From owner-p4-projects@FreeBSD.ORG Wed May 21 09:38:51 2008 Return-Path: Delivered-To: p4-projects@freebsd.org Received: by hub.freebsd.org (Postfix, from userid 32767) id 7BAD51065675; Wed, 21 May 2008 09:38:51 +0000 (UTC) Delivered-To: perforce@freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:4f8:fff6::34]) by hub.freebsd.org (Postfix) with ESMTP id 3CFDB1065672 for ; Wed, 21 May 2008 09:38:51 +0000 (UTC) (envelope-from remko@freebsd.org) Received: from repoman.freebsd.org (repoman.freebsd.org [IPv6:2001:4f8:fff6::29]) by mx1.freebsd.org (Postfix) with ESMTP id 21CE68FC14 for ; Wed, 21 May 2008 09:38:51 +0000 (UTC) (envelope-from remko@freebsd.org) Received: from repoman.freebsd.org (localhost [127.0.0.1]) by repoman.freebsd.org (8.14.1/8.14.1) with ESMTP id m4L9cpdq049765 for ; Wed, 21 May 2008 09:38:51 GMT (envelope-from remko@freebsd.org) Received: (from perforce@localhost) by repoman.freebsd.org (8.14.1/8.14.1/Submit) id m4L9cp9x049763 for perforce@freebsd.org; Wed, 21 May 2008 09:38:51 GMT (envelope-from remko@freebsd.org) Date: Wed, 21 May 2008 09:38:51 GMT Message-Id: <200805210938.m4L9cp9x049763@repoman.freebsd.org> X-Authentication-Warning: repoman.freebsd.org: perforce set sender to remko@freebsd.org using -f From: Remko Lodder To: Perforce Change Reviews Cc: Subject: PERFORCE change 141969 for review X-BeenThere: p4-projects@freebsd.org X-Mailman-Version: 2.1.5 Precedence: list List-Id: p4 projects tree changes List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 21 May 2008 09:38:51 -0000 http://perforce.freebsd.org/chv.cgi?CH=141969 Change 141969 by remko@remko_guardian on 2008/05/21 09:37:50 Stylify the chapter, more review needed (language) Facilitated by: Snow B.V. Affected files ... .. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/audit/chapter.sgml#5 edit Differences ... ==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/audit/chapter.sgml#5 (text+ko) ==== @@ -77,7 +77,8 @@ - Voordat verder gegaan wordt moet het volgende gedaan worden: + Voordat verder gegaan wordt moet het volgende gedaan + worden: @@ -112,16 +113,16 @@ De beveiligings evenement auditing faciliteit is in staat om erg gedetailleerde logs van systeem activiteiten op een druk - systeem te genereren, trial bestand data kan erg groot worden + systeem te genereren, trail bestand data kan erg groot worden wanneer er erg precieze details worden gevraagd, wat enkele gigabytes per week kan overschrijden in sommige configuraties. - Administrators moeten goed overwegen genoeg diskruimte te alloceren - aan grote audit configuraties. Bijvoorbeeld het kan gewenst zijn - om een volledig bestandsysteem aan /var/audit - toe te wijzen zo dat andere bestandssystemen niet geraakt worden - als het audit bestandssysteem vol raakt. + Administrators moeten goed overwegen genoeg diskruimte te + alloceren aan grote audit configuraties. Bijvoorbeeld het kan + gewenst zijn om een volledig bestandsysteem aan + /var/audit toe te wijzen zo dat andere + bestandssystemen niet geraakt worden als het audit + bestandssysteem vol raakt. - @@ -133,57 +134,59 @@ evenement: Een auditbaar evenement is - elk evenement dat geloogged kan worden door het audit subsysteem. - Voorbeelden van beveiligings gerelateerde evenementen zijn het - creeëren van een bestand, het opzetten van een netwerk - verbinding, of van een gebruiker die inlogged. Evenementen - zijn ofwel attributable wat betekend dat ze - getraceerd kunnen worden naar een geauthoriseerde gebruiker, of - non-attributable als dat niet mogelijk is. - Voorbeelden van non-attributable evenementen zijn elk evenement - dat gebeurd voordat authorisatie plaatsvind in het login proces, - zoals verkeerde paswoord pogingen. + elk evenement dat geloogged kan worden door het audit + subsysteem. Voorbeelden van beveiligings gerelateerde + evenementen zijn het creeëren van een bestand, het + opzetten van een netwerk verbinding, of van een gebruiker die + aanlogt. Evenementen zijn ofwel attributable + wat betekend dat ze getraceerd kunnen worden naar een + geauthoriseerde gebruiker, of non-attributable + als dat niet mogelijk is. Voorbeelden van non-attributable + evenementen zijn elk evenement dat gebeurd voordat + authorisatie plaatsvind in het login proces, zoals foutieve + inlog pogingen. class: Evenement klassen zijn benoemde sets van gerelateerde evenementen en worden gebruikt in - selectie expressies. Veel gebruikte klassen van evenementen zijn - bestands creatie (fc), exec (ex) en - login_logout (lo). + selectie expressies. Veel gebruikte klassen van evenementen + zijn bestands creatie (fc), exec + (ex) en login_logout (lo). record: Een record is een audit log regel die het beveiligings evenement beschrijft. Records - bevatten een record evenement type, informatie over het onderwerp - (gebruiker) welke de actie uitvoerd, de datum en de tijd, - informatie over elke objecten of argumenten, en een succes of - faal conditie. + bevatten een record evenement type, informatie over het + onderwerp (gebruiker) welke de actie uitvoerd, de datum en de + tijd, informatie over elke objecten of argumenten, en conditie + die aangeeft of de actie geslaagd of mislukt is. - trail: Een audit trial, of log + trail: Een audit trail, of log bestand bestaat uit een serie van audit records welke beveiligings evenementen beschrijven. Meestal lopen deze - trials in chronologische orde, gebaseerd op de tijd dat + trails in chronologische orde, gebaseerd op de tijd dat het evenement optrad. Alleen geauthoriseerde processen - mogen records toevoegen aan de audit trial. + mogen records toevoegen aan de audit trail. selection expression: Een selectie expressie is een string welke een lijst bevat van prefixes - en audit evenement klasse namen overeenkomen met evenementen. + en audit evenement klasse namen overeenkomen met + evenementen. preselection: Het proces waarbij het systeem bepaald welke evenementen interessant zijn voor de - administrator, zodat wordt voorkomen dat er audit records worden - gegenereerd voor evenementen die niet interessant zijn. De - preselection configuratie gebruikt een serie van - selectie expressies om te identificeren welke klassen van + administrator, zodat wordt voorkomen dat er audit records + worden gegenereerd voor evenementen die niet interessant zijn. + De preselection configuratie gebruikt een serie + van selectie expressies om te identificeren welke klassen van evenementen van toepassing zijn op gebruikers en globale instellingen voor zowel geauthoriseerde als ongeauthoriseerde processen. @@ -191,14 +194,15 @@ reduction: Het proces waarbij records - van bestaande audit trials worden geselecteerd voor bewaring, + van bestaande audit trails worden geselecteerd voor bewaring, printen of analyse. Ook is dit het proces waarbij ongewenste - audit records worden verwijderd uit het audit trail. Door gebruik - te maken van reduction kunnen administrators policies implementeren - die het bewaren van audit data verzorgen. Bijvoorbeeld gedetailleerde - audit trails kunnen ëën maand bewaard worden maar erna - worden trails gereduceerd zodat alleen login informatie bewaard - worden voor archief redenen. + audit records worden verwijderd uit het audit trail. Door + gebruik te maken van reduction kunnen administrators policies + implementeren die het bewaren van audit data verzorgen. + Bijvoorbeeld gedetailleerde audit trails kunnen ëën + maand bewaard worden maar erna worden trails gereduceerd zodat + alleen login informatie bewaard worden voor archief + redenen. @@ -207,25 +211,28 @@ Installeren van audit ondersteuning. Gebruikers ruimte ondersteuning voor evenement auditing wordt - geïnstalleerd als onderdeel van het basis &os; besturings systeem. - In &os; 7.0 en later wordt kernel ondersteuning voor evenement - auditing standaard meegenomen tijdens compliatie. In &os; 6.X, - moet ondersteuning expliciet in de kernel gecompileerd worden door - de volgende regels toe te voegen aan het kernel configuratie bestand: + geïnstalleerd als onderdeel van het basis &os; besturings + systeem. In &os; 7.0 en later wordt kernel ondersteuning + voor evenement auditing standaard meegenomen tijdens compliatie. + In &os; 6.X, moet ondersteuning + expliciet in de kernel gecompileerd worden door de volgende regels + toe te voegen aan het kernel configuratie bestand: options AUDIT Bouw en herinstalleer de kernel volgens het normale proces zoals beschreven in . - Zodra een audit ondersteunende kernel is gebouwd en geïnstalleerd, - en opgestart kan de audit daemon aangezet worden door de volgende regel - an &man.rc.conf.5; toe te voegen: + Zodra een audit ondersteunende kernel is gebouwd en + geïnstalleerd, en opgestart kan de audit daemon aangezet + worden door de volgende regel an &man.rc.conf.5; toe te + voegen: auditd_enable="YES" - Audit ondersteuning moet daarna aangezet worden door een herstart - of door het handmatig starten van de audit daemon: + Audit ondersteuning moet daarna aangezet worden door een + herstart of door het handmatig starten van de audit + daemon: /etc/rc.d/auditd start @@ -236,7 +243,8 @@ Alle configuratie bestanden voor beveiligings audit kunnen worden gevonden in /etc/security. De volgende - bestanden moeten aanwezig zijn voor de audit daemon wordt gestart: + bestanden moeten aanwezig zijn voor de audit daemon wordt + gestart: @@ -265,10 +273,10 @@ audit_warn - Een bewerkbaar shell - script gebruikt door de auditd welke - waarschuwings berichten genereert in bijzondere situaties zoals - wanneer de ruimte voor audit records weinig is of wanneer het - audit trail bestand is geroteerd. + script gebruikt door de auditd + welke waarschuwings berichten genereert in bijzondere situaties + zoals wanneer de ruimte voor audit records weinig is of + wanneer het audit trail bestand is geroteerd. @@ -284,12 +292,13 @@ Selectie expressies worden gebruikt op een aantal plaatsen in de audit configuratie om te bepalen welke evenementen er geaudit moeten worden. Expressies bevatten een lijst van - evenement klassen welke gelijk zijn aan een prefix welke aangeeft - of het gelijke records geaccepteerd moeten worden of genegeerd - en optioneel om aan te geven of de regel is bedoeld om succesvolle - of mislukte operaties te matchen. Selectie expressies worden - gevalueerd van links naar rechts en twee expressies worden - gecombineerd door de ëën aan de ander toe te voegen. + evenement klassen welke gelijk zijn aan een prefix welke + aangeeft of het gelijke records geaccepteerd moeten worden of + genegeerd en optioneel om aan te geven of de regel is bedoeld + om succesvolle of mislukte operaties te matchen. Selectie + expressies worden gevalueerd van links naar rechts en twee + expressies worden gecombineerd door de ëën aan de + ander toe te voegen. De volgende lijst bevat de standaard audit evenement klassen welke aanwezig zijn in het audit_class @@ -297,14 +306,14 @@ - all - all - Matched alle - evenement klasses. + all - all - + Matched alle evenement klasses. - ad - administrative - - Administratieve acties welke uitgevoerd worden op het gehele - systeem. + ad - + administrative - Administratieve acties + welke uitgevoerd worden op het gehele systeem. @@ -320,16 +329,17 @@ ex - exec - Audit - programma uitvoer. Het auditen van command line argumenten en - omgevings variabelen wordt gecontroleerd via + programma uitvoer. Het auditen van command line argumenten + en omgevings variabelen wordt gecontroleerd via &man.audit.control.5; door gebruik te maken van de argv en envv parameters in de policy setting. - fa - file attribute access - - Audit de toeging van object attributen zoals &man.stat.1;, + fa - + file attribute access - Audit de + toevoeging van object attributen zoals &man.stat.1;, &man.pathconf.2; en gelijkwaardige evenementen. @@ -341,14 +351,16 @@ fd - file delete - - Audit evenementen waarbij bestanden verwijderd worden. + - Audit evenementen waarbij bestanden verwijderd + worden. - fm - file attribute modify - - Audit evententen waarbij bestands attributen wijzigingen - plaatsvinden zoals bij &man.chown.8;, &man.chflags.1;, &man.flock.2;, - etc. + fm - + file attribute modify - Audit + evenementen waarbij bestands attributen wijzigingen + plaatsvinden zoals bij &man.chown.8;, &man.chflags.1;, + &man.flock.2;, etc. @@ -358,14 +370,14 @@ - fw - file write - - Audit evenementen waarbij data wordt geschreven, bestanden + fw - file write + - Audit evenementen waarbij data wordt geschreven, bestanden worden geschreven of gewijzigd, etc. - io - ioctl - Audit - het gebruik van de &man.ioctl.2; systeem aanroep. + io - ioctl - + Audit het gebruik van de &man.ioctl.2; systeem aanroep. @@ -376,18 +388,20 @@ lo - login_logout - - Audit &man.login.1; en &man.logout.1; evenementen die plaatsvinden - op het systeem. + Audit &man.login.1; en &man.logout.1; evenementen die + plaatsvinden op het systeem. - na - non attributable - - Audit non-attributable evenementen. + na - + non attributable - Audit + non-attributable evenementen. - no - invalid class - - Matched geen audit evenement. + no - + invalid class - Matched geen enkel + audit evenement. @@ -403,51 +417,56 @@ pc - process - - Audit process operaties zoals &man.exec.3; en &man.exit.3; + Audit process operaties zoals &man.exec.3; en + &man.exit.3; - - Deze audit evenement klassen kunnen veranderd worden door het - wijzigingen van de audit_class en + Deze audit evenement klassen kunnen veranderd worden door + het wijzigingen van de audit_class en audit_event configuratie bestanden. Elke audit klasse in de lijst wordt gecombineerd met een - voorzetsel welke aangeeft of er succesvolle of mislukte operaties - hebben plaatsgevonden en of de regel wordt toegevoegd of verwijderd - van het matchen van de klasse en het type. + voorzetsel welke aangeeft of er succesvolle of mislukte + operaties hebben plaatsgevonden en of de regel wordt toegevoegd + of verwijderd van het matchen van de klasse en het type. - (none) Audit zowel succesvolle als mislukte infomratie van - het evenement. + (none) Audit zowel succesvolle als mislukte informatie + van het evenement. - + Audit succesvolle evenementen in deze klasse. + + Audit succesvolle evenementen in + deze klasse. - - Audit mislukte evenementen in deze klasse. + - Audit mislukte evenementen in deze + klasse. - ^ Audit geen enkele succesvolle of mislukte evenementen - in deze klasse. + ^ Audit geen enkele succesvolle of + mislukte evenementen in deze klasse. - ^+ Audit geen succesvolle evenementen in deze klasse. + ^+ Audit geen succesvolle evenementen + in deze klasse. - ^- Audit geen mislukte evenementen in deze klasse. + ^- Audit geen mislukte evenementen + in deze klasse. - de volgende voorbeeld selectie strings selecteren zowel succesvolle als - mislukte login/logout evenementen, maar alleen succesvolle uitvoer evenementen: + De volgende voorbeeld selectie strings selecteren zowel + succesvolle als mislukte login/logout evenementen, maar alleen + succesvolle uitvoer evenementen: lo,+ex @@ -455,12 +474,12 @@ Configuratie bestanden - In de meeste gevallen moet een administrator twee bestanden wijzigingen - wanneer het audit systeem wordt geconfigureerd: - audit_control en audit_user. - Het eerste controleert systeem brede audit eigenschappen en policies, het - tweede kan gebruikt worden om diepgaande auditing per gebruiker uit te - voeren. + In de meeste gevallen moet een administrator twee bestanden + wijzigingen wanneer het audit systeem wordt geconfigureerd: + audit_control en + audit_user. Het eerste controleert systeem + brede audit eigenschappen en policies, het tweede kan gebruikt + worden om diepgaande auditing per gebruiker uit te voeren. Het <filename>audit_control</filename> bestand @@ -476,19 +495,20 @@ policy:cnt filesz:0 - De optie wordt gebruikt om ëën - of meerdere directories te specificeren die gebruikt worden voor - de opslag van audit logs. Als er meer dan ëën directory - wordt gespecificeerd, worden ze op volgorde gebruikt naarmate ze - gevuld worden. Het is standaard dat audit geconfigureerd wordt - dat audit logs worden bewaard op een eigen bestandssysteem, om te - voorkomen dat het audit subsysteem en andere subsystemen met elkaar - botsen als het bestandssysteem volraakt. + De optie wordt gebruikt om + ëën of meerdere directories te specificeren die + gebruikt worden voor de opslag van audit logs. Als er meer + dan ëën directory wordt gespecificeerd, worden ze + op volgorde gebruikt naarmate ze gevuld worden. Het is + standaard dat audit geconfigureerd wordt dat audit logs + worden bewaard op een eigen bestandssysteem, om te + voorkomen dat het audit subsysteem en andere subsystemen met + elkaar botsen als het bestandssysteem volraakt. - Het veld stelt de systeem brede standaard - preselection maskers voor attributable evenementen in. In het - voorbeeld boven worden succesvolle en mislukte login en logout - evenementen geaudit voor alle gebruikers. + Het veld stelt de systeem brede + standaard preselection maskers voor attributable evenementen + in. In het voorbeeld boven worden succesvolle en mislukte + login en logout evenementen geaudit voor alle gebruikers. De optie definieerd het minimale percentage aan vrije ruimte voor dit bestandssysteem waar de @@ -498,17 +518,18 @@ op 20 procent. De optie specificeerd audit klasses - welke geaudit moeten worden voor non-attributed evenementen zoals - het login proces en voor systeem daemons. + welke geaudit moeten worden voor non-attributed evenementen + zoals het login proces en voor systeem daemons. De optie specificeert een komma gescheiden lijst van policy vlaggen welke diverse aspecten - van het audit proces beheren. De standaard cnt - vlag geeft aan dat het systeem moet blijven draaien ook al treden - er audit fouten op (Deze vlag wordt sterk aangeraden). Een andere veel - gebruikte vlag is argv, wat het mogelijk maakt om - command line argumenten aan de &man.execve.2; systeem aanroep te auditen - als onderdeel van het uitvoeren van commando's. + van het audit proces beheren. De standaard + cnt vlag geeft aan dat het systeem moet + blijven draaien ook al treden er audit fouten op (Deze vlag + wordt sterk aangeraden). Een andere veel gebruikte vlag is + argv, wat het mogelijk maakt om command + line argumenten aan de &man.execve.2; systeem aanroep te + auditen als onderdeel van het uitvoeren van commando's. De optie specificeert de maximale grootte in bytes hoeveel een audit trail bestand mag groeien @@ -527,20 +548,20 @@ specificeren voor gebruikers. Elke regel configureert auditing voor een gebruiker via twee velden, het eerste is het alwaysaudit veld, welke een set van - evenementen specificeert welke altijd moet worden geaudit voor de - gebruiker, en de tweede is het neveraudit veld, - welke een set van evenementen specificeerd die nooit geaudit moeten - worden voor de gebruiker. + evenementen specificeert welke altijd moet worden geaudit voor + de gebruiker, en de tweede is het neveraudit + veld, welke een set van evenementen specificeerd die nooit + geaudit moeten worden voor de gebruiker. - Het volgende voorbeeld audit_user bestand - audit login/logout evenementen en succesvolle commando uitvoer voor - de root gebruiker, en audit bestands creatie - en succesvolle commando uitvoer voor de www - gebruiker. Als dit gebruikt wordt met het voorbeeld - audit_control bestand hierboven, is de - root regel dubbelop en zullen login/logout - evenementen ook worden geaudit voor de www - gebruiker. + Het volgende voorbeeld audit_user + bestand audit login/logout evenementen en succesvolle commando + uitvoer voor de root gebruiker, en audit + bestands creatie en succesvolle commando uitvoer voor de + www gebruiker. Als dit gebruikt wordt + met het voorbeeld audit_control bestand + hierboven, is de root regel dubbelop en + zullen login/logout evenementen ook worden geaudit voor de + www gebruiker. root:lo,+ex:no www:fc,+ex:no @@ -555,33 +576,35 @@ Audit trails inzien - Audit trails worden opgeslagen in het BSM binaire formaat, dus - ondersteuning programma's moeten worden gebruikt om de informatie - te wijzigen of converteren naar tekst. Het &man.praudit.1; commando - converteert trail bestanden naar een simpel tekst formaat; het - &man.auditreduce.1; commando kan gebruikt worden om de audit trail - te reduceren voor analyse, archivering of voor het printen. - auditreduce ondersteund een variateit van - selectie parameters, zoals evenement type, evenement klasse, - gebruiker, datum of tijd van het evenement en het bestandspad - of object dat gebruikt wordt. + Audit trails worden opgeslagen in het BSM binaire formaat, + dus ondersteuning programma's moeten worden gebruikt om de + informatie te wijzigen of converteren naar tekst. Het + &man.praudit.1; commando converteert trail bestanden naar een + simpel tekst formaat; het &man.auditreduce.1; commando kan + gebruikt worden om de audit trail te reduceren voor analyse, + archivering of voor het printen. auditreduce + ondersteund een variateit van selectie parameters, zoals + evenement type, evenement klasse, gebruiker, datum of tijd van + het evenement en het bestandspad of object dat gebruikt + wordt. - Bijvoorbeeld, het praudit programma zal een - dump maken van de volledige inhoud van een gespecificeerd audit - log bestand in normale tekst: + Bijvoorbeeld, het praudit programma zal + een dump maken van de volledige inhoud van een gespecificeerd + audit log bestand in normale tekst: &prompt.root; praudit /var/audit/AUDITFILE - Waar AUDITFILE het audit bestand - is dat gedumpt moet worden. + Waar + AUDITFILE het + audit bestand is dat gedumpt moet worden. - Audit trails bestaan uit een serie van audit records die gevormd - worden door tokens, welke praudit sequentieel print - ëën per regel. Elke token is van een specifiek type, zoals - een header welke de audit record header bevat, of - path welke het bestandspad bevat van een lookup. - Het volgende is een voorbeeld van een execve - evenement: + Audit trails bestaan uit een serie van audit records die + gevormd worden door tokens, welke praudit + sequentieel print ëën per regel. Elke token is van + een specifiek type, zoals een header welke + de audit record header bevat, of path welke + het bestandspad bevat van een lookup. Het volgende is een + voorbeeld van een execve evenement: header,133,10,execve(2),0,Mon Sep 25 15:58:03 2006, + 384 msec exec arg,finger,doug @@ -593,27 +616,29 @@ Deze audit representeert een succesvolle execve aanroep, waarbij het commando - finger doug is aangeroepen. Het argument token - bevat beide behandelde command line gepresendeerd door de shell - aan de kernel. Het path token bevat het - pad naar het uitvoere bestand zoals opgezocht door de kernel. - Het attribute token beschrijft de binary en om - precies te zijn bevat het de bestands mode welke gebruikt kan worden - om te zien of het bestand setuid was. Het subject - token beschrijft het onderwerp proces en bevat sequentieel het - audit gebruikers ID, effectieve gebruikers ID en groep ID, echte - gebruikers ID, groep ID, proces ID, sessie ID, port ID en login - adres. Let op dat het audit gebruikers ID en het echte gebruikers - ID van elkaar verschillen omdat de gebruiker robert - gewisseld is naar de root gebruiker voordat het - commando werd uitgevoerd, maar dat het geaudit wordt als de originele - geauthoriseerde gebruiker. Als laatste wordt de return - token gebruikt om aan te geven dat er een succesvolle uitvoer is geweest - en trailer geeft het einde aan van het record. + finger doug is aangeroepen. Het argument + token bevat beide behandelde command line gepresendeerd door + de shell aan de kernel. Het path token + bevat het pad naar het uitvoerbare bestand zoals opgezocht door + de kernel. Het attribute token beschrijft + de binary en om precies te zijn bevat het de bestands mode + welke gebruikt kan worden om te zien of het bestand setuid was. + Het subject token beschrijft het onderwerp + proces en bevat sequentieel het audit gebruikers ID, effectieve + gebruikers ID en groep ID, echte gebruikers ID, groep ID, + proces ID, sessie ID, port ID en login adres. Let op dat het + audit gebruikers ID en het echte gebruikers ID van elkaar + verschillen omdat de gebruiker robert + gewisseld is naar de root gebruiker voordat + het commando werd uitgevoerd, maar dat het geaudit wordt als de + originele geauthoriseerde gebruiker. Als laatste wordt de + return token gebruikt om aan te geven dat er + een succesvolle uitvoer is geweest en trailer + geeft het einde aan van het record. - In &os; 6.3 en later ondersteund praudit ook - een XML output formaat, welke geselecteerd kan worden door gebruik te - maken van het argument. + In &os; 6.3 en later ondersteund praudit + ook een XML output formaat, welke geselecteerd kan worden door + gebruik te maken van het argument. @@ -641,74 +666,78 @@ kan alleen de root gebruiker deze audit trails lezen. Gebrukers kunnen toegevoegd worden aan de audit groep zodat onderzoek rechten kunnen - worden gedelegeerd aan de geruiker. Omdat de mogelijkheid van het - inzien van audit log inhoud significante inzicht kan geven in het - gedrag van gebruikers en processen, wordt het aangeraden dat de - delagatie van onderzoek rechten wordt uitgevoerd met zorg. + worden gedelegeerd aan de geruiker. Omdat de mogelijkheid van + het inzien van audit log inhoud significante inzicht kan geven + in het gedrag van gebruikers en processen, wordt het aangeraden + dat de delagatie van onderzoek rechten wordt uitgevoerd met + zorg. Live monitoren door gebruik van audit pipes Audit pipes zijn gecloonde pseudo-devices in het device - bestands systeem, welke applicaties toestaat om een tap te plaatsen - in de live audit record stream. Dit is primair interessant voor - schrijvers van intrusion detection en systeem monitoring applicaties. - Echter, voor een administrator is het audit pipe device een makkelijke - manier om live monitoring toe te staan zonder dat er problemen kunnen - ontstaan met het eigenaarschap van het audit trail bestand, of dat - een log rotatie de evenementen stroom in de weg zit. Om de live - audit evenementen stroom te kunnen inzien is het volgende commando + bestands systeem, welke applicaties toestaat om een tap te + plaatsen in de live audit record stream. Dit is primair + interessant voor schrijvers van intrusion detection en systeem + monitoring applicaties. Echter, voor een administrator is het + audit pipe device een makkelijke manier om live monitoring toe + te staan zonder dat er problemen kunnen ontstaan met het + eigenaarschap van het audit trail bestand, of dat een log + rotatie de evenementen stroom in de weg zit. Om de live audit + evenementen stroom te kunnen inzien is het volgende commando benodigd: &prompt.root; praudit /dev/auditpipe - Standaard zijn de audit pipe device nodes alleen toegankelijk voor - de root gebruiker. Om deze toegankelijk te maken - voor leden van de audit groep, moet een + Standaard zijn de audit pipe device nodes alleen toegankelijk + voor de root gebruiker. Om deze + toegankelijk te maken voor leden van de + audit groep, moet een devfs regel toegevoegd worden aan het devfs.rules bestand: add path 'auditpipe*' mode 0440 group audit - Zie &man.devfs.rules.5; voor meer informatie over het configureren - van het devfs bestands systeem. + Zie &man.devfs.rules.5; voor meer informatie over het + configureren van het devfs bestands systeem. - Het is makkelijk om audit evenement terugkoppeling cyclussen - te creeëren, waarbij het tonen van elk audit evenement - resulteert in het genereren van nog meer audit evenementen. - Bijvoorbeeld, als alle netwerk I/O wordt geaudit en - &man.praudit.1; wordt gestart vanuit een SSH sessie, wordt er - een grote continue stroom aan audit evenementen gegenereert doordat - elk getoond evenement een nieuw evenement genereert. Het is - verstandig om praudit te draaien op een - audit pipe device voor sessies zonder diepgaande I/O auditing - om te voorkomen dat dit gebeurd. + Het is makkelijk om audit evenement terugkoppeling + cyclussen te creeëren, waarbij het tonen van elk audit + evenement resulteert in het genereren van nog meer audit + evenementen. Bijvoorbeeld, als alle netwerk I/O wordt geaudit + en &man.praudit.1; wordt gestart vanuit een SSH sessie, wordt + er een grote continue stroom aan audit evenementen gegenereert + doordat elk getoond evenement een nieuw evenement genereert. + Het is verstandig om praudit te draaien op + een audit pipe device voor sessies zonder diepgaande I/O + auditing om te voorkomen dat dit gebeurd. Het roteren van audit trail bestanden - Audit trails worden alleen beschreven door de kernel en alleen - gemanaged door de audit daemon, auditd. - Administrators moeten &man.newsyslog.conf.5; of andere programma's - niet gebruiken om direct audit logs te roteren. In plaats daarvan - kan het audit management programma gebruikt worden + Audit trails worden alleen beschreven door de kernel en + alleen beheerd worden door de audit daemon, + auditd. Administrators mogen geen + gebruik maken van &man.newsyslog.conf.5; of soortgelijke + programma's om de audit files te roteren. In plaats daarvan kan + het audit management programma gebruikt worden om auditing te stoppen, het audit systeem te herconfigureren en - log rotatie uit te voeren. Het volgende commando zorgt ervoor dat de - audit daemon een nieuwe audit log maakt, en de kernel een signaal - stuurt om het nieuwe logbestand te gebruiken. Het oude logbestand - wordt getermineerd en hernoemd, en vanaf dan kan het gemanipuleerd - worden door de administrator. + log rotatie uit te voeren. Het volgende commando zorgt ervoor + dat de audit daemon een nieuwe audit log maakt, en de kernel + een signaal stuurt om het nieuwe logbestand te gebruiken. Het + oude logbestand wordt getermineerd en hernoemd, en vanaf dan kan + het gemanipuleerd worden door de administrator. &prompt.root; audit -n - Als de auditd daemon op dit moment - niet draait op dit moment, zal het commando falen en zal er een - error bericht worden geproduceerd. + Als de auditd daemon op dit + moment niet draait op dit moment, zal het commando falen en + zal er een error bericht worden geproduceerd. Als de volgende regel wordt toegevoegd aan het @@ -731,14 +760,15 @@ Audit trails comprimeren - Omdat audit trail bestanden erg groot kunnen worden, is het meestal - gewenst om de trails te comprimeren of op een andere manier te archiveren - zodra ze afgesloten zijn door de audit daemon. Het - audit_warn script kan gebruikt worden om bewerkte - operaties te doen voor een variateit aan audit gerelateerde evenementen - inclusief een schone terminatie van audit trails wanneer deze - geroteerd worden. Bijvoorbeeld het volgende kan worden toegevoegd - aan het audit_warn script, dat de audit trails + Omdat audit trail bestanden erg groot kunnen worden, is het + meestal gewenst om de trails te comprimeren of op een andere + manier te archiveren zodra ze afgesloten zijn door de audit + daemon. Het audit_warn script kan gebruikt + worden om bewerkte operaties te doen voor een variateit aan + audit gerelateerde evenementen inclusief een schone terminatie + van audit trails wanneer deze geroteerd worden. Bijvoorbeeld + het volgende kan worden toegevoegd aan het + audit_warn script, dat de audit trails comprimeert zodra ze afgesloten worden: # @@ -752,9 +782,9 @@ trail bestanden naar een gecentraliseerde server, het verwijderen van oude trail bestanden of het reduceren van de audit trail om onnodige records te verwijderen. Het script zal alleen draaien - als audit trail bestanden netjes worden afgesloten, dus het zal niet - gedraaid worden op trails die niet netjes afgesloten zijn waardoor - een foutieve afsluiting plaatsvind. + als audit trail bestanden netjes worden afgesloten, dus het zal + niet gedraaid worden op trails die niet netjes afgesloten zijn + waardoor een foutieve afsluiting plaatsvind.