Date: Wed, 21 May 2008 09:38:51 GMT From: Remko Lodder <remko@FreeBSD.org> To: Perforce Change Reviews <perforce@freebsd.org> Subject: PERFORCE change 141969 for review Message-ID: <200805210938.m4L9cp9x049763@repoman.freebsd.org>
next in thread | raw e-mail | index | archive | help
http://perforce.freebsd.org/chv.cgi?CH=141969 Change 141969 by remko@remko_guardian on 2008/05/21 09:37:50 Stylify the chapter, more review needed (language) Facilitated by: Snow B.V. Affected files ... .. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/audit/chapter.sgml#5 edit Differences ... ==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/audit/chapter.sgml#5 (text+ko) ==== @@ -77,7 +77,8 @@ </listitem> </itemizedlist> - <para>Voordat verder gegaan wordt moet het volgende gedaan worden:</para> + <para>Voordat verder gegaan wordt moet het volgende gedaan + worden:</para> <itemizedlist> <listitem> @@ -112,16 +113,16 @@ <warning> <para>De beveiligings evenement auditing faciliteit is in staat om erg gedetailleerde logs van systeem activiteiten op een druk - systeem te genereren, trial bestand data kan erg groot worden + systeem te genereren, trail bestand data kan erg groot worden wanneer er erg precieze details worden gevraagd, wat enkele gigabytes per week kan overschrijden in sommige configuraties. - Administrators moeten goed overwegen genoeg diskruimte te alloceren - aan grote audit configuraties. Bijvoorbeeld het kan gewenst zijn - om een volledig bestandsysteem aan <filename>/var/audit</filename> - toe te wijzen zo dat andere bestandssystemen niet geraakt worden - als het audit bestandssysteem vol raakt.</para> + Administrators moeten goed overwegen genoeg diskruimte te + alloceren aan grote audit configuraties. Bijvoorbeeld het kan + gewenst zijn om een volledig bestandsysteem aan + <filename>/var/audit</filename> toe te wijzen zo dat andere + bestandssystemen niet geraakt worden als het audit + bestandssysteem vol raakt.</para> </warning> - </sect1> <sect1 id="audit-inline-glossary"> @@ -133,57 +134,59 @@ <itemizedlist> <listitem> <para><emphasis>evenement</emphasis>: Een auditbaar evenement is - elk evenement dat geloogged kan worden door het audit subsysteem. - Voorbeelden van beveiligings gerelateerde evenementen zijn het - creeëren van een bestand, het opzetten van een netwerk - verbinding, of van een gebruiker die inlogged. Evenementen - zijn ofwel <quote>attributable</quote> wat betekend dat ze - getraceerd kunnen worden naar een geauthoriseerde gebruiker, of - <quote>non-attributable</quote> als dat niet mogelijk is. - Voorbeelden van non-attributable evenementen zijn elk evenement - dat gebeurd voordat authorisatie plaatsvind in het login proces, - zoals verkeerde paswoord pogingen.</para> + elk evenement dat geloogged kan worden door het audit + subsysteem. Voorbeelden van beveiligings gerelateerde + evenementen zijn het creeëren van een bestand, het + opzetten van een netwerk verbinding, of van een gebruiker die + aanlogt. Evenementen zijn ofwel <quote>attributable</quote> + wat betekend dat ze getraceerd kunnen worden naar een + geauthoriseerde gebruiker, of <quote>non-attributable</quote> + als dat niet mogelijk is. Voorbeelden van non-attributable + evenementen zijn elk evenement dat gebeurd voordat + authorisatie plaatsvind in het login proces, zoals foutieve + inlog pogingen.</para> </listitem> <listitem> <para><emphasis>class</emphasis>: Evenement klassen zijn benoemde sets van gerelateerde evenementen en worden gebruikt in - selectie expressies. Veel gebruikte klassen van evenementen zijn - <quote>bestands creatie</quote> (fc), <quote>exec</quote> (ex) en - <quote>login_logout</quote> (lo).</para> + selectie expressies. Veel gebruikte klassen van evenementen + zijn <quote>bestands creatie</quote> (fc), <quote>exec</quote> + (ex) en <quote>login_logout</quote> (lo).</para> </listitem> <listitem> <para><emphasis>record</emphasis>: Een record is een audit log regel die het beveiligings evenement beschrijft. Records - bevatten een record evenement type, informatie over het onderwerp - (gebruiker) welke de actie uitvoerd, de datum en de tijd, - informatie over elke objecten of argumenten, en een succes of - faal conditie.</para> + bevatten een record evenement type, informatie over het + onderwerp (gebruiker) welke de actie uitvoerd, de datum en de + tijd, informatie over elke objecten of argumenten, en conditie + die aangeeft of de actie geslaagd of mislukt is.</para> </listitem> <listitem> - <para><emphasis>trail</emphasis>: Een audit trial, of log + <para><emphasis>trail</emphasis>: Een audit trail, of log bestand bestaat uit een serie van audit records welke beveiligings evenementen beschrijven. Meestal lopen deze - trials in chronologische orde, gebaseerd op de tijd dat + trails in chronologische orde, gebaseerd op de tijd dat het evenement optrad. Alleen geauthoriseerde processen - mogen records toevoegen aan de audit trial.</para> + mogen records toevoegen aan de audit trail.</para> </listitem> <listitem> <para><emphasis>selection expression</emphasis>: Een selectie expressie is een string welke een lijst bevat van prefixes - en audit evenement klasse namen overeenkomen met evenementen.</para> + en audit evenement klasse namen overeenkomen met + evenementen.</para> </listitem> <listitem> <para><emphasis>preselection</emphasis>: Het proces waarbij het systeem bepaald welke evenementen interessant zijn voor de - administrator, zodat wordt voorkomen dat er audit records worden - gegenereerd voor evenementen die niet interessant zijn. De - <quote>preselection</quote> configuratie gebruikt een serie van - selectie expressies om te identificeren welke klassen van + administrator, zodat wordt voorkomen dat er audit records + worden gegenereerd voor evenementen die niet interessant zijn. + De <quote>preselection</quote> configuratie gebruikt een serie + van selectie expressies om te identificeren welke klassen van evenementen van toepassing zijn op gebruikers en globale instellingen voor zowel geauthoriseerde als ongeauthoriseerde processen.</para> @@ -191,14 +194,15 @@ <listitem> <para><emphasis>reduction</emphasis>: Het proces waarbij records - van bestaande audit trials worden geselecteerd voor bewaring, + van bestaande audit trails worden geselecteerd voor bewaring, printen of analyse. Ook is dit het proces waarbij ongewenste - audit records worden verwijderd uit het audit trail. Door gebruik - te maken van reduction kunnen administrators policies implementeren - die het bewaren van audit data verzorgen. Bijvoorbeeld gedetailleerde - audit trails kunnen ëën maand bewaard worden maar erna - worden trails gereduceerd zodat alleen login informatie bewaard - worden voor archief redenen.</para> + audit records worden verwijderd uit het audit trail. Door + gebruik te maken van reduction kunnen administrators policies + implementeren die het bewaren van audit data verzorgen. + Bijvoorbeeld gedetailleerde audit trails kunnen ëën + maand bewaard worden maar erna worden trails gereduceerd zodat + alleen login informatie bewaard worden voor archief + redenen.</para> </listitem> </itemizedlist> </sect1> @@ -207,25 +211,28 @@ <title>Installeren van audit ondersteuning.</title> <para>Gebruikers ruimte ondersteuning voor evenement auditing wordt - geïnstalleerd als onderdeel van het basis &os; besturings systeem. - In &os; 7.0 en later wordt kernel ondersteuning voor evenement - auditing standaard meegenomen tijdens compliatie. In &os; 6.<replaceable>X</replaceable>, - moet ondersteuning expliciet in de kernel gecompileerd worden door - de volgende regels toe te voegen aan het kernel configuratie bestand:</para> + geïnstalleerd als onderdeel van het basis &os; besturings + systeem. In &os; 7.0 en later wordt kernel ondersteuning + voor evenement auditing standaard meegenomen tijdens compliatie. + In &os; 6.<replaceable>X</replaceable>, moet ondersteuning + expliciet in de kernel gecompileerd worden door de volgende regels + toe te voegen aan het kernel configuratie bestand:</para> <programlisting>options AUDIT</programlisting> <para>Bouw en herinstalleer de kernel volgens het normale proces zoals beschreven in <xref linkend="kernelconfig">.</para> - <para>Zodra een audit ondersteunende kernel is gebouwd en geïnstalleerd, - en opgestart kan de audit daemon aangezet worden door de volgende regel - an &man.rc.conf.5; toe te voegen:</para> + <para>Zodra een audit ondersteunende kernel is gebouwd en + geïnstalleerd, en opgestart kan de audit daemon aangezet + worden door de volgende regel an &man.rc.conf.5; toe te + voegen:</para> <programlisting>auditd_enable="YES"</programlisting> - <para>Audit ondersteuning moet daarna aangezet worden door een herstart - of door het handmatig starten van de audit daemon:</para> + <para>Audit ondersteuning moet daarna aangezet worden door een + herstart of door het handmatig starten van de audit + daemon:</para> <programlisting>/etc/rc.d/auditd start</programlisting> </sect1> @@ -236,7 +243,8 @@ <para>Alle configuratie bestanden voor beveiligings audit kunnen worden gevonden in <filename class="directory">/etc/security</filename>. De volgende - bestanden moeten aanwezig zijn voor de audit daemon wordt gestart:</para> + bestanden moeten aanwezig zijn voor de audit daemon wordt + gestart:</para> <itemizedlist> <listitem> @@ -265,10 +273,10 @@ <listitem> <para><filename>audit_warn</filename> - Een bewerkbaar shell - script gebruikt door de <application>auditd</application> welke - waarschuwings berichten genereert in bijzondere situaties zoals - wanneer de ruimte voor audit records weinig is of wanneer het - audit trail bestand is geroteerd.</para> + script gebruikt door de <application>auditd</application> + welke waarschuwings berichten genereert in bijzondere situaties + zoals wanneer de ruimte voor audit records weinig is of + wanneer het audit trail bestand is geroteerd.</para> </listitem> </itemizedlist> @@ -284,12 +292,13 @@ <para>Selectie expressies worden gebruikt op een aantal plaatsen in de audit configuratie om te bepalen welke evenementen er geaudit moeten worden. Expressies bevatten een lijst van - evenement klassen welke gelijk zijn aan een prefix welke aangeeft - of het gelijke records geaccepteerd moeten worden of genegeerd - en optioneel om aan te geven of de regel is bedoeld om succesvolle - of mislukte operaties te matchen. Selectie expressies worden - gevalueerd van links naar rechts en twee expressies worden - gecombineerd door de ëën aan de ander toe te voegen.</para> + evenement klassen welke gelijk zijn aan een prefix welke + aangeeft of het gelijke records geaccepteerd moeten worden of + genegeerd en optioneel om aan te geven of de regel is bedoeld + om succesvolle of mislukte operaties te matchen. Selectie + expressies worden gevalueerd van links naar rechts en twee + expressies worden gecombineerd door de ëën aan de + ander toe te voegen.</para> <para>De volgende lijst bevat de standaard audit evenement klassen welke aanwezig zijn in het <filename>audit_class</filename> @@ -297,14 +306,14 @@ <itemizedlist> <listitem> - <para><literal>all</literal> - <emphasis>all</emphasis> - Matched alle - evenement klasses.</para> + <para><literal>all</literal> - <emphasis>all</emphasis> - + Matched alle evenement klasses.</para> </listitem> <listitem> - <para><literal>ad</literal> - <emphasis>administrative</emphasis> - - Administratieve acties welke uitgevoerd worden op het gehele - systeem.</para> + <para><literal>ad</literal> - + <emphasis>administrative</emphasis> - Administratieve acties + welke uitgevoerd worden op het gehele systeem.</para> </listitem> <listitem> @@ -320,16 +329,17 @@ <listitem> <para><literal>ex</literal> - <emphasis>exec</emphasis> - Audit - programma uitvoer. Het auditen van command line argumenten en - omgevings variabelen wordt gecontroleerd via + programma uitvoer. Het auditen van command line argumenten + en omgevings variabelen wordt gecontroleerd via &man.audit.control.5; door gebruik te maken van de <literal>argv</literal> en <literal>envv</literal> parameters in de <literal>policy</literal> setting.</para> </listitem> <listitem> - <para><literal>fa</literal> - <emphasis>file attribute access</emphasis> - - Audit de toeging van object attributen zoals &man.stat.1;, + <para><literal>fa</literal> - + <emphasis>file attribute access</emphasis> - Audit de + toevoeging van object attributen zoals &man.stat.1;, &man.pathconf.2; en gelijkwaardige evenementen.</para> </listitem> @@ -341,14 +351,16 @@ <listitem> <para><literal>fd</literal> - <emphasis>file delete</emphasis> - - Audit evenementen waarbij bestanden verwijderd worden.</para> + - Audit evenementen waarbij bestanden verwijderd + worden.</para> </listitem> <listitem> - <para><literal>fm</literal> - <emphasis>file attribute modify</emphasis> - - Audit evententen waarbij bestands attributen wijzigingen - plaatsvinden zoals bij &man.chown.8;, &man.chflags.1;, &man.flock.2;, - etc.</para> + <para><literal>fm</literal> - + <emphasis>file attribute modify</emphasis> - Audit + evenementen waarbij bestands attributen wijzigingen + plaatsvinden zoals bij &man.chown.8;, &man.chflags.1;, + &man.flock.2;, etc.</para> </listitem> <listitem> @@ -358,14 +370,14 @@ </listitem> <listitem> - <para><literal>fw</literal> - <emphasis>file write</emphasis> - - Audit evenementen waarbij data wordt geschreven, bestanden + <para><literal>fw</literal> - <emphasis>file write</emphasis> + - Audit evenementen waarbij data wordt geschreven, bestanden worden geschreven of gewijzigd, etc.</para> </listitem> <listitem> - <para><literal>io</literal> - <emphasis>ioctl</emphasis> - Audit - het gebruik van de &man.ioctl.2; systeem aanroep.</para> + <para><literal>io</literal> - <emphasis>ioctl</emphasis> - + Audit het gebruik van de &man.ioctl.2; systeem aanroep.</para> </listitem> <listitem> @@ -376,18 +388,20 @@ <listitem> <para><literal>lo</literal> - <emphasis>login_logout</emphasis> - - Audit &man.login.1; en &man.logout.1; evenementen die plaatsvinden - op het systeem.</para> + Audit &man.login.1; en &man.logout.1; evenementen die + plaatsvinden op het systeem.</para> </listitem> <listitem> - <para><literal>na</literal> - <emphasis>non attributable</emphasis> - - Audit non-attributable evenementen.</para> + <para><literal>na</literal> - + <emphasis>non attributable</emphasis> - Audit + non-attributable evenementen.</para> </listitem> <listitem> - <para><literal>no</literal> - <emphasis>invalid class</emphasis> - - Matched geen audit evenement.</para> + <para><literal>no</literal> - + <emphasis>invalid class</emphasis> - Matched geen enkel + audit evenement.</para> </listitem> <listitem> @@ -403,51 +417,56 @@ <listitem> <para><literal>pc</literal> - <emphasis>process</emphasis> - - Audit process operaties zoals &man.exec.3; en &man.exit.3;</para> + Audit process operaties zoals &man.exec.3; en + &man.exit.3;</para> </listitem> - </itemizedlist> - <para>Deze audit evenement klassen kunnen veranderd worden door het - wijzigingen van de <filename>audit_class</filename> en + <para>Deze audit evenement klassen kunnen veranderd worden door + het wijzigingen van de <filename>audit_class</filename> en <filename>audit_event</filename> configuratie bestanden.</para> <para>Elke audit klasse in de lijst wordt gecombineerd met een - voorzetsel welke aangeeft of er succesvolle of mislukte operaties - hebben plaatsgevonden en of de regel wordt toegevoegd of verwijderd - van het matchen van de klasse en het type.</para> + voorzetsel welke aangeeft of er succesvolle of mislukte + operaties hebben plaatsgevonden en of de regel wordt toegevoegd + of verwijderd van het matchen van de klasse en het type.</para> <itemizedlist> <listitem> - <para>(none) Audit zowel succesvolle als mislukte infomratie van - het evenement.</para> + <para>(none) Audit zowel succesvolle als mislukte informatie + van het evenement.</para> </listitem> <listitem> - <para><literal>+</literal> Audit succesvolle evenementen in deze klasse.</para> + <para><literal>+</literal> Audit succesvolle evenementen in + deze klasse.</para> </listitem> <listitem> - <para><literal>-</literal> Audit mislukte evenementen in deze klasse.</para> + <para><literal>-</literal> Audit mislukte evenementen in deze + klasse.</para> </listitem> <listitem> - <para><literal>^</literal> Audit geen enkele succesvolle of mislukte evenementen - in deze klasse.</para> + <para><literal>^</literal> Audit geen enkele succesvolle of + mislukte evenementen in deze klasse.</para> </listitem> <listitem> - <para><literal>^+</literal> Audit geen succesvolle evenementen in deze klasse.</para> + <para><literal>^+</literal> Audit geen succesvolle evenementen + in deze klasse.</para> </listitem> <listitem> - <para><literal>^-</literal> Audit geen mislukte evenementen in deze klasse.</para> + <para><literal>^-</literal> Audit geen mislukte evenementen + in deze klasse.</para> </listitem> </itemizedlist> - <para> de volgende voorbeeld selectie strings selecteren zowel succesvolle als - mislukte login/logout evenementen, maar alleen succesvolle uitvoer evenementen:</para> + <para>De volgende voorbeeld selectie strings selecteren zowel + succesvolle als mislukte login/logout evenementen, maar alleen + succesvolle uitvoer evenementen:</para> <programlisting>lo,+ex</programlisting> </sect2> @@ -455,12 +474,12 @@ <sect2> <title>Configuratie bestanden</title> - <para>In de meeste gevallen moet een administrator twee bestanden wijzigingen - wanneer het audit systeem wordt geconfigureerd: - <filename>audit_control</filename> en <filename>audit_user</filename>. - Het eerste controleert systeem brede audit eigenschappen en policies, het - tweede kan gebruikt worden om diepgaande auditing per gebruiker uit te - voeren.</para> + <para>In de meeste gevallen moet een administrator twee bestanden + wijzigingen wanneer het audit systeem wordt geconfigureerd: + <filename>audit_control</filename> en + <filename>audit_user</filename>. Het eerste controleert systeem + brede audit eigenschappen en policies, het tweede kan gebruikt + worden om diepgaande auditing per gebruiker uit te voeren.</para> <sect3 id="audit-auditcontrol"> <title>Het <filename>audit_control</filename> bestand</title> @@ -476,19 +495,20 @@ policy:cnt filesz:0</programlisting> - <para>De <option>dir</option> optie wordt gebruikt om ëën - of meerdere directories te specificeren die gebruikt worden voor - de opslag van audit logs. Als er meer dan ëën directory - wordt gespecificeerd, worden ze op volgorde gebruikt naarmate ze - gevuld worden. Het is standaard dat audit geconfigureerd wordt - dat audit logs worden bewaard op een eigen bestandssysteem, om te - voorkomen dat het audit subsysteem en andere subsystemen met elkaar - botsen als het bestandssysteem volraakt.</para> + <para>De <option>dir</option> optie wordt gebruikt om + ëën of meerdere directories te specificeren die + gebruikt worden voor de opslag van audit logs. Als er meer + dan ëën directory wordt gespecificeerd, worden ze + op volgorde gebruikt naarmate ze gevuld worden. Het is + standaard dat audit geconfigureerd wordt dat audit logs + worden bewaard op een eigen bestandssysteem, om te + voorkomen dat het audit subsysteem en andere subsystemen met + elkaar botsen als het bestandssysteem volraakt.</para> - <para>Het <option>flags</option> veld stelt de systeem brede standaard - preselection maskers voor attributable evenementen in. In het - voorbeeld boven worden succesvolle en mislukte login en logout - evenementen geaudit voor alle gebruikers.</para> + <para>Het <option>flags</option> veld stelt de systeem brede + standaard preselection maskers voor attributable evenementen + in. In het voorbeeld boven worden succesvolle en mislukte + login en logout evenementen geaudit voor alle gebruikers.</para> <para>De <option>minfree</option> optie definieerd het minimale percentage aan vrije ruimte voor dit bestandssysteem waar de @@ -498,17 +518,18 @@ op 20 procent.</para> <para>De<option>naflags</option> optie specificeerd audit klasses - welke geaudit moeten worden voor non-attributed evenementen zoals - het login proces en voor systeem daemons.</para> + welke geaudit moeten worden voor non-attributed evenementen + zoals het login proces en voor systeem daemons.</para> <para>De<option>policy</option> optie specificeert een komma gescheiden lijst van policy vlaggen welke diverse aspecten - van het audit proces beheren. De standaard <literal>cnt</literal> - vlag geeft aan dat het systeem moet blijven draaien ook al treden - er audit fouten op (Deze vlag wordt sterk aangeraden). Een andere veel - gebruikte vlag is <literal>argv</literal>, wat het mogelijk maakt om - command line argumenten aan de &man.execve.2; systeem aanroep te auditen - als onderdeel van het uitvoeren van commando's.</para> + van het audit proces beheren. De standaard + <literal>cnt</literal> vlag geeft aan dat het systeem moet + blijven draaien ook al treden er audit fouten op (Deze vlag + wordt sterk aangeraden). Een andere veel gebruikte vlag is + <literal>argv</literal>, wat het mogelijk maakt om command + line argumenten aan de &man.execve.2; systeem aanroep te + auditen als onderdeel van het uitvoeren van commando's.</para> <para>De <option>filesz</option> optie specificeert de maximale grootte in bytes hoeveel een audit trail bestand mag groeien @@ -527,20 +548,20 @@ specificeren voor gebruikers. Elke regel configureert auditing voor een gebruiker via twee velden, het eerste is het <literal>alwaysaudit</literal> veld, welke een set van - evenementen specificeert welke altijd moet worden geaudit voor de - gebruiker, en de tweede is het <literal>neveraudit</literal> veld, - welke een set van evenementen specificeerd die nooit geaudit moeten - worden voor de gebruiker.</para> + evenementen specificeert welke altijd moet worden geaudit voor + de gebruiker, en de tweede is het <literal>neveraudit</literal> + veld, welke een set van evenementen specificeerd die nooit + geaudit moeten worden voor de gebruiker.</para> - <para>Het volgende voorbeeld <filename>audit_user</filename> bestand - audit login/logout evenementen en succesvolle commando uitvoer voor - de <username>root</username> gebruiker, en audit bestands creatie - en succesvolle commando uitvoer voor de <username>www</username> - gebruiker. Als dit gebruikt wordt met het voorbeeld - <filename>audit_control</filename> bestand hierboven, is de - <username>root</username> regel dubbelop en zullen login/logout - evenementen ook worden geaudit voor de <username>www</username> - gebruiker.</para> + <para>Het volgende voorbeeld <filename>audit_user</filename> + bestand audit login/logout evenementen en succesvolle commando + uitvoer voor de <username>root</username> gebruiker, en audit + bestands creatie en succesvolle commando uitvoer voor de + <username>www</username> gebruiker. Als dit gebruikt wordt + met het voorbeeld <filename>audit_control</filename> bestand + hierboven, is de <username>root</username> regel dubbelop en + zullen login/logout evenementen ook worden geaudit voor de + <username>www</username> gebruiker.</para> <programlisting>root:lo,+ex:no www:fc,+ex:no</programlisting> @@ -555,33 +576,35 @@ <sect2> <title>Audit trails inzien</title> - <para>Audit trails worden opgeslagen in het BSM binaire formaat, dus - ondersteuning programma's moeten worden gebruikt om de informatie - te wijzigen of converteren naar tekst. Het &man.praudit.1; commando - converteert trail bestanden naar een simpel tekst formaat; het - &man.auditreduce.1; commando kan gebruikt worden om de audit trail - te reduceren voor analyse, archivering of voor het printen. - <command>auditreduce</command> ondersteund een variateit van - selectie parameters, zoals evenement type, evenement klasse, - gebruiker, datum of tijd van het evenement en het bestandspad - of object dat gebruikt wordt.</para> + <para>Audit trails worden opgeslagen in het BSM binaire formaat, + dus ondersteuning programma's moeten worden gebruikt om de + informatie te wijzigen of converteren naar tekst. Het + &man.praudit.1; commando converteert trail bestanden naar een + simpel tekst formaat; het &man.auditreduce.1; commando kan + gebruikt worden om de audit trail te reduceren voor analyse, + archivering of voor het printen. <command>auditreduce</command> + ondersteund een variateit van selectie parameters, zoals + evenement type, evenement klasse, gebruiker, datum of tijd van + het evenement en het bestandspad of object dat gebruikt + wordt.</para> - <para>Bijvoorbeeld, het <command>praudit</command> programma zal een - dump maken van de volledige inhoud van een gespecificeerd audit - log bestand in normale tekst:</para> + <para>Bijvoorbeeld, het <command>praudit</command> programma zal + een dump maken van de volledige inhoud van een gespecificeerd + audit log bestand in normale tekst:</para> <screen>&prompt.root; <userinput>praudit /var/audit/AUDITFILE</userinput></screen> - <para>Waar <filename><replaceable>AUDITFILE</replaceable></filename> het audit bestand - is dat gedumpt moet worden.</para> + <para>Waar + <filename><replaceable>AUDITFILE</replaceable></filename> het + audit bestand is dat gedumpt moet worden.</para> - <para>Audit trails bestaan uit een serie van audit records die gevormd - worden door tokens, welke <command>praudit</command> sequentieel print - ëën per regel. Elke token is van een specifiek type, zoals - een <literal>header</literal> welke de audit record header bevat, of - <literal>path</literal> welke het bestandspad bevat van een lookup. - Het volgende is een voorbeeld van een <literal>execve</literal> - evenement:</para> + <para>Audit trails bestaan uit een serie van audit records die + gevormd worden door tokens, welke <command>praudit</command> + sequentieel print ëën per regel. Elke token is van + een specifiek type, zoals een <literal>header</literal> welke + de audit record header bevat, of <literal>path</literal> welke + het bestandspad bevat van een lookup. Het volgende is een + voorbeeld van een <literal>execve</literal> evenement:</para> <programlisting>header,133,10,execve(2),0,Mon Sep 25 15:58:03 2006, + 384 msec exec arg,finger,doug @@ -593,27 +616,29 @@ <para>Deze audit representeert een succesvolle <literal>execve</literal> aanroep, waarbij het commando - <literal>finger doug</literal> is aangeroepen. Het argument token - bevat beide behandelde command line gepresendeerd door de shell - aan de kernel. Het <literal>path</literal> token bevat het - pad naar het uitvoere bestand zoals opgezocht door de kernel. - Het <literal>attribute</literal> token beschrijft de binary en om - precies te zijn bevat het de bestands mode welke gebruikt kan worden - om te zien of het bestand setuid was. Het <literal>subject</literal> - token beschrijft het onderwerp proces en bevat sequentieel het - audit gebruikers ID, effectieve gebruikers ID en groep ID, echte - gebruikers ID, groep ID, proces ID, sessie ID, port ID en login - adres. Let op dat het audit gebruikers ID en het echte gebruikers - ID van elkaar verschillen omdat de gebruiker <username>robert</username> - gewisseld is naar de <username>root</username> gebruiker voordat het - commando werd uitgevoerd, maar dat het geaudit wordt als de originele - geauthoriseerde gebruiker. Als laatste wordt de <literal>return</literal> - token gebruikt om aan te geven dat er een succesvolle uitvoer is geweest - en <literal>trailer</literal> geeft het einde aan van het record.</para> + <literal>finger doug</literal> is aangeroepen. Het argument + token bevat beide behandelde command line gepresendeerd door + de shell aan de kernel. Het <literal>path</literal> token + bevat het pad naar het uitvoerbare bestand zoals opgezocht door + de kernel. Het <literal>attribute</literal> token beschrijft + de binary en om precies te zijn bevat het de bestands mode + welke gebruikt kan worden om te zien of het bestand setuid was. + Het <literal>subject</literal> token beschrijft het onderwerp + proces en bevat sequentieel het audit gebruikers ID, effectieve + gebruikers ID en groep ID, echte gebruikers ID, groep ID, + proces ID, sessie ID, port ID en login adres. Let op dat het + audit gebruikers ID en het echte gebruikers ID van elkaar + verschillen omdat de gebruiker <username>robert</username> + gewisseld is naar de <username>root</username> gebruiker voordat + het commando werd uitgevoerd, maar dat het geaudit wordt als de + originele geauthoriseerde gebruiker. Als laatste wordt de + <literal>return</literal> token gebruikt om aan te geven dat er + een succesvolle uitvoer is geweest en <literal>trailer</literal> + geeft het einde aan van het record.</para> - <para>In &os; 6.3 en later ondersteund <command>praudit</command> ook - een XML output formaat, welke geselecteerd kan worden door gebruik te - maken van het <option>x</option> argument.</para> + <para>In &os; 6.3 en later ondersteund <command>praudit</command> + ook een XML output formaat, welke geselecteerd kan worden door + gebruik te maken van het <option>x</option> argument.</para> </sect2> <sect2> @@ -641,74 +666,78 @@ kan alleen de <username>root</username> gebruiker deze audit trails lezen. Gebrukers kunnen toegevoegd worden aan de <groupname>audit</groupname> groep zodat onderzoek rechten kunnen - worden gedelegeerd aan de geruiker. Omdat de mogelijkheid van het - inzien van audit log inhoud significante inzicht kan geven in het - gedrag van gebruikers en processen, wordt het aangeraden dat de - delagatie van onderzoek rechten wordt uitgevoerd met zorg.</para> + worden gedelegeerd aan de geruiker. Omdat de mogelijkheid van + het inzien van audit log inhoud significante inzicht kan geven + in het gedrag van gebruikers en processen, wordt het aangeraden + dat de delagatie van onderzoek rechten wordt uitgevoerd met + zorg.</para> </sect2> <sect2> <title>Live monitoren door gebruik van audit pipes</title> <para>Audit pipes zijn gecloonde pseudo-devices in het device - bestands systeem, welke applicaties toestaat om een tap te plaatsen - in de live audit record stream. Dit is primair interessant voor - schrijvers van intrusion detection en systeem monitoring applicaties. - Echter, voor een administrator is het audit pipe device een makkelijke - manier om live monitoring toe te staan zonder dat er problemen kunnen - ontstaan met het eigenaarschap van het audit trail bestand, of dat - een log rotatie de evenementen stroom in de weg zit. Om de live - audit evenementen stroom te kunnen inzien is het volgende commando + bestands systeem, welke applicaties toestaat om een tap te + plaatsen in de live audit record stream. Dit is primair + interessant voor schrijvers van intrusion detection en systeem + monitoring applicaties. Echter, voor een administrator is het + audit pipe device een makkelijke manier om live monitoring toe + te staan zonder dat er problemen kunnen ontstaan met het + eigenaarschap van het audit trail bestand, of dat een log + rotatie de evenementen stroom in de weg zit. Om de live audit + evenementen stroom te kunnen inzien is het volgende commando benodigd:</para> <screen>&prompt.root; <userinput>praudit /dev/auditpipe</userinput></screen> - <para>Standaard zijn de audit pipe device nodes alleen toegankelijk voor - de <username>root</username> gebruiker. Om deze toegankelijk te maken - voor leden van de <groupname>audit</groupname> groep, moet een + <para>Standaard zijn de audit pipe device nodes alleen toegankelijk + voor de <username>root</username> gebruiker. Om deze + toegankelijk te maken voor leden van de + <groupname>audit</groupname> groep, moet een <literal>devfs</literal> regel toegevoegd worden aan het <filename>devfs.rules</filename> bestand:</para> <programlisting>add path 'auditpipe*' mode 0440 group audit</programlisting> - <para>Zie &man.devfs.rules.5; voor meer informatie over het configureren - van het devfs bestands systeem.</para> + <para>Zie &man.devfs.rules.5; voor meer informatie over het + configureren van het devfs bestands systeem.</para> <warning> - <para>Het is makkelijk om audit evenement terugkoppeling cyclussen - te creeëren, waarbij het tonen van elk audit evenement - resulteert in het genereren van nog meer audit evenementen. - Bijvoorbeeld, als alle netwerk I/O wordt geaudit en - &man.praudit.1; wordt gestart vanuit een SSH sessie, wordt er - een grote continue stroom aan audit evenementen gegenereert doordat - elk getoond evenement een nieuw evenement genereert. Het is - verstandig om <command>praudit</command> te draaien op een - audit pipe device voor sessies zonder diepgaande I/O auditing - om te voorkomen dat dit gebeurd.</para> + <para>Het is makkelijk om audit evenement terugkoppeling + cyclussen te creeëren, waarbij het tonen van elk audit + evenement resulteert in het genereren van nog meer audit + evenementen. Bijvoorbeeld, als alle netwerk I/O wordt geaudit + en &man.praudit.1; wordt gestart vanuit een SSH sessie, wordt + er een grote continue stroom aan audit evenementen gegenereert + doordat elk getoond evenement een nieuw evenement genereert. + Het is verstandig om <command>praudit</command> te draaien op + een audit pipe device voor sessies zonder diepgaande I/O + auditing om te voorkomen dat dit gebeurd.</para> </warning> </sect2> <sect2> <title>Het roteren van audit trail bestanden</title> - <para>Audit trails worden alleen beschreven door de kernel en alleen - gemanaged door de audit daemon, <application>auditd</application>. - Administrators moeten &man.newsyslog.conf.5; of andere programma's - niet gebruiken om direct audit logs te roteren. In plaats daarvan - kan het <command>audit</command> management programma gebruikt worden + <para>Audit trails worden alleen beschreven door de kernel en + alleen beheerd worden door de audit daemon, + <application>auditd</application>. Administrators mogen geen + gebruik maken van &man.newsyslog.conf.5; of soortgelijke + programma's om de audit files te roteren. In plaats daarvan kan + het <command>audit</command> management programma gebruikt worden om auditing te stoppen, het audit systeem te herconfigureren en - log rotatie uit te voeren. Het volgende commando zorgt ervoor dat de - audit daemon een nieuwe audit log maakt, en de kernel een signaal - stuurt om het nieuwe logbestand te gebruiken. Het oude logbestand - wordt getermineerd en hernoemd, en vanaf dan kan het gemanipuleerd - worden door de administrator.</para> + log rotatie uit te voeren. Het volgende commando zorgt ervoor + dat de audit daemon een nieuwe audit log maakt, en de kernel + een signaal stuurt om het nieuwe logbestand te gebruiken. Het + oude logbestand wordt getermineerd en hernoemd, en vanaf dan kan + het gemanipuleerd worden door de administrator.</para> <screen>&prompt.root; <userinput>audit -n</userinput></screen> <warning> - <para>Als de <application>auditd</application> daemon op dit moment - niet draait op dit moment, zal het commando falen en zal er een - error bericht worden geproduceerd.</para> + <para>Als de <application>auditd</application> daemon op dit + moment niet draait op dit moment, zal het commando falen en + zal er een error bericht worden geproduceerd.</para> </warning> <para>Als de volgende regel wordt toegevoegd aan het @@ -731,14 +760,15 @@ <sect2> <title>Audit trails comprimeren</title> - <para>Omdat audit trail bestanden erg groot kunnen worden, is het meestal - gewenst om de trails te comprimeren of op een andere manier te archiveren - zodra ze afgesloten zijn door de audit daemon. Het - <filename>audit_warn</filename> script kan gebruikt worden om bewerkte - operaties te doen voor een variateit aan audit gerelateerde evenementen - inclusief een schone terminatie van audit trails wanneer deze - geroteerd worden. Bijvoorbeeld het volgende kan worden toegevoegd - aan het <filename>audit_warn</filename> script, dat de audit trails + <para>Omdat audit trail bestanden erg groot kunnen worden, is het + meestal gewenst om de trails te comprimeren of op een andere + manier te archiveren zodra ze afgesloten zijn door de audit + daemon. Het <filename>audit_warn</filename> script kan gebruikt + worden om bewerkte operaties te doen voor een variateit aan + audit gerelateerde evenementen inclusief een schone terminatie + van audit trails wanneer deze geroteerd worden. Bijvoorbeeld + het volgende kan worden toegevoegd aan het + <filename>audit_warn</filename> script, dat de audit trails comprimeert zodra ze afgesloten worden:</para> <programlisting># @@ -752,9 +782,9 @@ trail bestanden naar een gecentraliseerde server, het verwijderen van oude trail bestanden of het reduceren van de audit trail om onnodige records te verwijderen. Het script zal alleen draaien - als audit trail bestanden netjes worden afgesloten, dus het zal niet - gedraaid worden op trails die niet netjes afgesloten zijn waardoor - een foutieve afsluiting plaatsvind.</para> + als audit trail bestanden netjes worden afgesloten, dus het zal + niet gedraaid worden op trails die niet netjes afgesloten zijn + waardoor een foutieve afsluiting plaatsvind.</para> </sect2> </sect1> </chapter>
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?200805210938.m4L9cp9x049763>