svn commit: r47224 - head/de_DE.ISO8859-1/books/handbook/audit
Bjoern Heidotting
bhd at FreeBSD.org
Fri Aug 14 15:04:50 UTC 2015
Author: bhd
Date: Fri Aug 14 15:04:49 2015
New Revision: 47224
URL: https://svnweb.freebsd.org/changeset/doc/47224
Log:
Update to r44377:
Editorial review of first 1/2 of Security Event Auditing.
Add 2 tables.
Still need to research additional entries which are not described
in this section.
More commits to come.
Approved by: bcr (mentor)
Modified:
head/de_DE.ISO8859-1/books/handbook/audit/chapter.xml
Modified: head/de_DE.ISO8859-1/books/handbook/audit/chapter.xml
==============================================================================
--- head/de_DE.ISO8859-1/books/handbook/audit/chapter.xml Fri Aug 14 11:19:43 2015 (r47223)
+++ head/de_DE.ISO8859-1/books/handbook/audit/chapter.xml Fri Aug 14 15:04:49 2015 (r47224)
@@ -5,7 +5,7 @@
$FreeBSD$
$FreeBSDde: de-docproj/books/handbook/audit/chapter.xml,v 1.14 2012/02/16 20:28:26 bcr Exp $
- basiert auf: r44231
+ basiert auf: r44377
-->
<!-- Need more documentation on praudit, auditreduce, etc. Plus more info
on the triggers from the kernel (log rotation, out of space, etc).
@@ -35,19 +35,18 @@ requirements. -->
<see>MAC</see>
</indexterm>
- <para>Das &os;-Betriebssystem unterstützt
- ein feingranuliertes Sicherheits-Auditing.
- Ereignis-Auditing erlaubt die
- zuverlässige, feingranulierte und konfigurierbare
- Aufzeichnung einer Vielzahl von sicherheitsrelevanten
- Systemereignissen einschliesslich Benutzereingaben,
- Konfigurationsänderungen sowie Datei- und
+ <para>&os; bietet Unterstützung für Sicherheits-Auditing.
+ Ereignis-Auditing bietet zuverlässige, feingranulierte und
+ konfigurierbare Aufzeichnung einer Vielzahl von
+ sicherheitsrelevanten Systemereignissen einschliesslich
+ Benutzereingaben, Konfigurationsänderungen sowie Datei- und
Netzwerkzugriffen. Diese Log-Datensätze können
unschätzbar wertvoll sein für direkte
Systemüberwachung, Einbruchserkennung und
Post-Mortem-Analyse. &os; implementiert &sun;s öffentlich
- zugängliche <acronym>BSM</acronym> API und Dateiformat. Die
- &os;-Implementierung kann mit den Audit-Implementierungen von
+ zugängliches Basic Security Module (<acronym>BSM</acronym>)
+ Application Programming Interface (<acronym>API</acronym>) und
+ Dateiformat, und kann mit den Audit-Implementierungen von
&sun; &solaris; und &apple; &macos; X zusammenarbeiten.</para>
<para>Dieses Kapitel konzentriert sich auf die Installation
@@ -60,7 +59,8 @@ requirements. -->
<itemizedlist>
<listitem>
- <para>Was Ereignis-Auditing ist und wie es arbeitet.</para>
+ <para>Was Ereignis-Auditing ist und wie es
+ funktioniert.</para>
</listitem>
<listitem>
@@ -94,13 +94,14 @@ requirements. -->
</itemizedlist>
<warning>
- <para>Die Audit-Funktionalität in &os; besitzt die
- Einschränkungen, dass zur Zeit nicht alle
- sicherheitsrelevanten System-Ereignisse auditierbar sind und
- dass einige Anmelde-Mechanismen, wie z.B. X11-basierte
- Bildschirm-Manager und Daemonen von Drittanbietern, das
- Auditing für Benutzeranmeldungen nicht korrekt
- konfigurieren.</para>
+ <para>Die Audit-Funktionalität in &os; hat einige bekannte
+ Einschränkungen. Nicht alle sicherheitsrelevanten
+ System-Ereignisse sind auditierbar, und einige
+ Anmelde-Mechanismen, wie beispielsweise
+ <application>Xorg</application>-basierte
+ Bildschirm-Manager und Dienste von Drittanbietern,
+ konfigurieren das Auditing für Benutzeranmeldungen nicht
+ korrekt.</para>
<para>Das Sicherheits-Auditing ist in der Lage, sehr
detaillierte Log-Dateien von Systemaktivitäten zu erzeugen.
@@ -110,8 +111,7 @@ requirements. -->
Administratoren sollten daher den benötigten Plattenplatz in
Verbindung mit umfangreichen Audit-Konfigurationen
berücksichtigen. So kann es wünschenswert sein, ein eigenes
- Dateisystem für <filename
- class="directory">/var/audit</filename> einzusetzen, damit
+ Dateisystem für <filename>/var/audit</filename> einzusetzen, damit
andere Dateisysteme nicht betoffen sind, wenn das Dateisystem
des Audit voll läuft.</para>
</warning>
@@ -120,30 +120,28 @@ requirements. -->
<sect1 xml:id="audit-inline-glossary">
<title>Schlüsselbegriffe</title>
- <para>Vor dem Lesen dieses Kapitels müssen einige
- Audit-bezogene Schlüsselbegriffe erläutert
- werden:</para>
+ <para>Die folgenden Begriffe stehen im Zusammenhang mit
+ Ereignis-Auditing:</para>
<itemizedlist>
<listitem>
- <para><emphasis>event</emphasis>: Ein auditierbares Ereignis
- ist ein Ereignis, das mit dem Audit-Subsystem
+ <para><emphasis>event</emphasis>: ein auditierbares Ereignis
+ ist jedes Ereignis, das mit dem Audit-Subsystem
aufgezeichnet werden kann. Beispiele für
sicherheitsrelevante Systemereignisse sind etwa das Anlegen
von Dateien, das Erstellen einer Netzwerkverbindung oder
eine Benutzeranmeldung. Ereignisse sind entweder
<quote>attributierbar</quote>, können also zu einen
authentifizierten Benutzer zurückverfolgt werden, oder
- sind <quote>nicht-attributierbar</quote>, falls dies nicht
- möglich ist. Nicht-attributierbare Ereignisse erfolgen
+ sind <quote>nicht-attributierbar</quote>. Nicht-attributierbare Ereignisse erfolgen
daher vor der Authentifizierung im Anmeldeprozess
(beispielsweise die Eingabe eines falschen Passworts).</para>
</listitem>
<listitem>
- <para><emphasis>class</emphasis>: Ereignisklassen sind
- benannte Zusammenstellungen von zusammengehörenden
- Ereignissen und werden in Auswahl-Ausdrücken benutzt.
+ <para><emphasis>class</emphasis>: benannte Zusammenstellungen
+ von zusammengehörenden Ereignissen, die in
+ Auswahl-Ausdrücken benutzt werden.
Häufig genutzte Klassen von Ereignissen schließen
<quote>file creation</quote> (fc, Anlegen von Dateien),
<quote>exec</quote> (ex, Ausführung) und
@@ -152,8 +150,8 @@ requirements. -->
</listitem>
<listitem>
- <para><emphasis>record</emphasis>: Ein Datensatz ist ein
- Audit-Logeintrag, welcher ein Sicherheitsereignis
+ <para><emphasis>record</emphasis>: ein
+ Audit-Logeintrag, der ein Sicherheitsereignis
enthält. Jeder Datensatz enthält einen
Ereignistyp, Informationen über den Gegenstand
(Benutzer), welcher die Aktion durchführt, Datums- und
@@ -163,10 +161,9 @@ requirements. -->
</listitem>
<listitem>
- <para><emphasis>trail</emphasis>: Ein Audit-Pfad (audit
- trail) oder eine Log-Datei besteht aus einer Reihe von
+ <para><emphasis>trail</emphasis>: eine Log-Datei bestehend aus einer Reihe von
Audit-Datensätzen, die Sicherheitsereignisse
- beschreiben. Normalerweise sind die Pfade in grober
+ beschreiben. Pfade sind in grober
zeitlicher Reihenfolge bezüglich des Zeitpunktes,
an welchem ein Ereignis beendet wurde. Nur authorisierte
Prozesse dürfen Datensätze zum Audit-Pfad
@@ -174,15 +171,15 @@ requirements. -->
</listitem>
<listitem>
- <para><emphasis>selection expression</emphasis>: Ein
- Auswahlausdruck ist eine Zeichenkette, welche eine Liste von
+ <para><emphasis>selection expression</emphasis>: eine
+ Zeichenkette, welche eine Liste von
Präfixen und Audit-Ereignisklassennamen enthält,
um Ereignisse abzugleichen.</para>
</listitem>
<listitem>
- <para><emphasis>preselection</emphasis>: Die Vorauswahl ist
- der Prozess, durch den das System erkennt, welche Ereignisse
+ <para><emphasis>preselection</emphasis>: der Prozess, durch
+ den das System erkennt, welche Ereignisse
von Interesse für den Administrator sind, um die
Erzeugung von Datensätze zu verhindern, welche nicht
von Belang sind. Die Konfiguration der Vorauswahl benutzt
@@ -210,86 +207,25 @@ requirements. -->
</itemizedlist>
</sect1>
- <sect1 xml:id="audit-install">
- <title>Installation der Audit-Unterstützung</title>
-
- <para>Die Unterstützung des Ereignis-Auditings für den
- Benutzerbereich wird bereits als Teil des Basissystems installiert.
- Die Audit-Unterstützung ist bereits im &os;-Standardkernel
- enthalten, jedoch müssen Sie die folgende Zeile explizit in
- Ihre Kernelkonfigurationsdatei aufnehmen und den Kernel neu bauen:</para>
-
- <programlisting>options AUDIT</programlisting>
-
- <para>Bauen und installieren Sie den Kernel wie in
- <xref linkend="kernelconfig"/> beschrieben ist.</para>
-
- <para>Nachdem der Kernel mit Audit-Unterstützung
- gebaut und installiert ist und das System neu gestartet wurde,
- aktivieren Sie den Audit-Daemon
- durch das Einfügen der folgenden Zeile in die Datei
- &man.rc.conf.5;:</para>
-
- <programlisting>auditd_enable="YES"</programlisting>
-
- <para>Die Audit-Unterstützung kann nun durch einen
- Neustart des Systems oder durch das manuelle Starten
- des Audit-Daemon aktiviert werden:</para>
-
- <programlisting>service auditd start</programlisting>
- </sect1>
-
<sect1 xml:id="audit-config">
- <title>Die Konfiguration des Audit</title>
-
- <para>Alle Konfigurationsdateien für das Sicherheits-Audit
- finden sich unter
- <filename>/etc/security</filename>.
- Die folgenden Dateien müssen vorhanden sein, bevor
- der Audit-Daemon gestartet wird:</para>
-
- <itemizedlist>
- <listitem>
- <para><filename>audit_class</filename> – Enthält
- die Definitionen der Audit-Klassen.</para>
- </listitem>
-
- <listitem>
- <para><filename>audit_control</filename> – Steuert
- Teile des Audit-Subsystems wie Audit-Klassen, minimaler
- Plattenplatz auf dem Audit-Log-Datenträger, maximale
- Größe des Audit-Pfades usw.</para>
- </listitem>
+ <title>Audit Konfiguration</title>
- <listitem>
- <para><filename>audit_event</filename> – Wörtliche
- Namen und Beschreibungen von System-Audit-Ereignissen sowie
- eine Liste, welche Klassen welches Ereignis
- aufzeichnen.</para>
- </listitem>
+ <para>Userspace-Untersützung für Ereignis-Auditing ist Bestandteil
+ des &os;-Betriebssystems. Kernel-Unterstützung kann durch
+ Hinzufügen der folgenden Zeile in
+ <filename>/etc/rc.conf</filename> aktiviert werden:</para>
- <listitem>
- <para><filename>audit_user</filename> – Benutzerspezifische
- Audit-Erfordernisse, welche mit den globalen Vorgaben bei
- der Anmeldung kombiniert werden.</para>
- </listitem>
+ <programlisting>auditd_enable="YES"</programlisting>
- <listitem>
- <para><filename>audit_warn</filename> – Ein
- anpassbares Shell-Skript, welches von
- <application>auditd</application> benutzt wird, um
- Warnhinweise in aussergewöhnlichen Situationen zu
- erzeugen, z.B. wenn der Platz für die
- Audit-Datensätze knapp wird oder wenn die Datei des
- Audit-Pfades rotiert wurde.</para>
- </listitem>
- </itemizedlist>
+ <para>Starten Sie anschließend den Audit-Daemon:</para>
+
+ <screen>&prompt.root; <userinput>service auditd start</userinput></screen>
+
+ <para>Benutzer, die es bevorzugen einen angepassten Kernel zu
+ kompilieren, müssen folgende Zeile in die
+ Kernelkonfigurationsdatei aufnehmen:</para>
- <warning>
- <para>Audit-Konfigurationsdateien sollten vorsichtig gewartet und
- bearbeitet werden, da Fehler in der Konfiguration zu falscher
- Aufzeichnung von Ereignissen führen könnten.</para>
- </warning>
+ <programlisting>options AUDIT</programlisting>
<sect2>
<title>Ereignis-Auswahlausdrücke</title>
@@ -306,193 +242,284 @@ requirements. -->
rechts ausgewertet und zwei Ausdrücke werden durch
Aneinanderhängen miteinander kombiniert.</para>
- <para>Die folgende Liste enthält die
- Standard-Ereignisklassen für das Audit und ist in
- <filename>audit_class</filename> festgehalten:</para>
-
- <itemizedlist>
- <listitem>
- <para><literal>all</literal> – <emphasis>all</emphasis> – Vergleiche
- alle Ereignisklassen.</para>
- </listitem>
-
- <listitem>
- <para><literal>ad</literal> – <emphasis>administrative</emphasis> – Administrative
- Aktionen ausgeführt auf dem System als Ganzes.</para>
- </listitem>
-
- <listitem>
- <para><literal>ap</literal> – <emphasis>application</emphasis> – Aktionen
- definiert für Applikationen.</para>
- </listitem>
-
- <listitem>
- <para><literal>cl</literal> – <emphasis>file
- close</emphasis> – Audit-Aufrufe für
- den Systemaufruf <function>close</function>.</para>
- </listitem>
-
- <listitem>
- <para><literal>ex</literal> – <emphasis>exec</emphasis> – Ausführung
- des Audit-Programms. Auditierung von
- Befehlszeilen-Argumenten und Umgebungsvariablen wird
- gesteuert durch &man.audit.control.5; mittels der
- <literal>argv</literal> und
- <literal>envv</literal>-Parametergemäss der
- <literal>Richtlinien</literal>-Einstellungen.</para>
- </listitem>
-
- <listitem>
- <para><literal>fa</literal> – <emphasis>file
- attribute access</emphasis> – Auditierung
- des Zugriffs auf Objektattribute wie &man.stat.1;,
- &man.pathconf.2; und ähnlichen Ereignissen.</para>
- </listitem>
-
- <listitem>
- <para><literal>fc</literal> – <emphasis>file
- create</emphasis> – Audit-Ereignisse,
- bei denen eine Datei als Ergebnis angelegt wird.</para>
- </listitem>
-
- <listitem>
- <para><literal>fd</literal> – <emphasis>file
- delete</emphasis> – Audit-Ereignisse,
- bei denen Dateilöschungen vorkommen.</para>
- </listitem>
-
- <listitem>
- <para><literal>fm</literal> – <emphasis>file
- attribute modify</emphasis> – Audit-Ereignisse,
- bei welchen Dateiattribute geändert werden, wie
- &man.chown.8;, &man.chflags.1;, &man.flock.2; etc.</para>
- </listitem>
-
- <listitem>
- <para><literal>fr</literal> – <emphasis>file
- read</emphasis> – Audit-Ereignisse, bei
- denen Daten gelesen oder Dateien zum lesen geöffnet
- werden usw.</para>
- </listitem>
-
- <listitem>
- <para><literal>fw</literal> – <emphasis>file write</emphasis> – Audit-Ereignisse,
- bei welchen Daten geschrieben oder Dateien geschrieben
- oder verändert werden usw.</para>
- </listitem>
-
- <listitem>
- <para><literal>io</literal> – <emphasis>ioctl</emphasis> – Nutzung
- des Systemaufrufes &man.ioctl.2; durch Audit.</para>
- </listitem>
-
- <listitem>
- <para><literal>ip</literal> – <emphasis>ipc</emphasis> – Auditierung
- verschiedener Formen von Inter-Prozess-Kommunikation
- einschliesslich POSIX-Pipes und System V
- <acronym>IPC</acronym>-Operationen.</para>
- </listitem>
-
- <listitem>
- <para><literal>lo</literal> – <emphasis>login_logout</emphasis> – Audit-Ereignisse
- betreffend &man.login.1; und &man.logout.1;, welche auf
- dem System auftreten.</para>
- </listitem>
-
- <listitem>
- <para><literal>na</literal> – <emphasis>non
- attributable</emphasis> – Auditierung
- nicht-attributierbarer Ereignisse (Ereignisse, die nicht auf
- einen bestimmten Benutzer zurückgeführt werden
- können).</para>
- </listitem>
-
- <listitem>
- <para><literal>no</literal> – <emphasis>invalid
- class</emphasis> – Kein Abgleich von
- Audit-Ereignissen.</para>
- </listitem>
-
- <listitem>
- <para><literal>nt</literal> – <emphasis>network</emphasis> – Audit-Ereignisse
- in Zusammenhang mit Netzwerkaktivitäten wie
- z.B. &man.connect.2; und &man.accept.2;.</para>
- </listitem>
+ <para><xref linkend="event-selection"/> fasst die
+ Audit-Ereignisklassen zusammen:</para>
- <listitem>
- <para><literal>ot</literal> – <emphasis>other</emphasis> – Auditierung
- verschiedener Ereignisse.</para>
- </listitem>
+ <table xml:id="event-selection" frame="none" pgwide="1">
+ <title>Audit-Ereignisklassen</title>
- <listitem>
- <para><literal>pc</literal> – <emphasis>process</emphasis> – Auditierung
- von Prozess-Operationen wie &man.exec.3; und
- &man.exit.3;.</para>
- </listitem>
- </itemizedlist>
+ <tgroup cols="3">
+ <thead>
+ <row>
+ <entry>Name der Klasse</entry>
+ <entry>Beschreibung</entry>
+ <entry>Aktion</entry>
+ </row>
+ </thead>
+
+ <tbody>
+ <row>
+ <entry>all</entry>
+ <entry>all</entry>
+ <entry>Vergleicht alle Ereisnisklassen.</entry>
+ </row>
+
+ <row>
+ <entry>ad</entry>
+ <entry>administrative</entry>
+ <entry>Administrative Aktionen, ausgeführt auf dem System
+ als Ganzes.</entry>
+ </row>
+
+ <row>
+ <entry>ap</entry>
+ <entry>application</entry>
+ <entry>Aktionen definiert für Applikationen.</entry>
+ </row>
+
+ <row>
+ <entry>cl</entry>
+ <entry>file close</entry>
+ <entry>Audit-Aufrufe für den Systemaufruf
+ <function>close</function>.</entry>
+ </row>
+
+ <row>
+ <entry>ex</entry>
+ <entry>exec</entry>
+ <entry>Ausführung des Audit-Programms. Auditierung von
+ Befehlszeilen-Argumenten und Umgebungsvariablen wird
+ gesteuert durch &man.audit.control.5; mittels der
+ <literal>argv</literal> und
+ <literal>envv</literal>-Parameter gemäß der
+ <literal>Richtlinien</literal>-Einstellungen.</entry>
+ </row>
+
+ <row>
+ <entry>fa</entry>
+ <entry>file attribute access</entry>
+ <entry>Auditierung des Zugriffs auf Objektattribute wie
+ &man.stat.1; und &man.pathconf.2;.</entry>
+ </row>
+
+ <row>
+ <entry>fc</entry>
+ <entry>file create</entry>
+ <entry>Audit-Ereignisse, bei denen eine Datei als
+ Ergebnis angelegt wird.</entry>
+ </row>
+
+ <row>
+ <entry>fd</entry>
+ <entry>file delete</entry>
+ <entry>Audit-Ereignisse, bei denen Dateilöschungen
+ vorkommen.</entry>
+ </row>
+
+ <row>
+ <entry>fm</entry>
+ <entry>file attribute modify</entry>
+ <entry>Audit-Ereignisse, bei denen Dateiattribute geändert
+ werden, wie &man.chown.8;, &man.chflags.1; und
+ &man.flock.2;.</entry>
+ </row>
+
+ <row>
+ <entry>fr</entry>
+ <entry>file read</entry>
+ <entry>Audit-Ereignisse, bei denen Daten gelesen oder
+ Dateien zum lesen geöffnet werden.</entry>
+ </row>
+
+ <row>
+ <entry>fw</entry>
+ <entry>file write</entry>
+ <entry>Audit-Ereignisse, bei denen Daten geschrieben oder
+ Dateien geschrieben oder verändert werden.</entry>
+ </row>
+
+ <row>
+ <entry>io</entry>
+ <entry>ioctl</entry>
+ <entry>Nutzung des Systemaufrufes
+ <function>ioctl</function> durch Audit.</entry>
+ </row>
+
+ <row>
+ <entry>ip</entry>
+ <entry>ipc</entry>
+ <entry>Auditierung verschiedener Formen von
+ Inter-Prozess-Kommunikation einschließlich POSIX-Pipes
+ und System V <acronym>IPC</acronym>-Operationen.</entry>
+ </row>
+
+ <row>
+ <entry>lo</entry>
+ <entry>login_logout</entry>
+ <entry>Audit-Ereignisse von &man.login.1; und
+ &man.logout.1;.</entry>
+ </row>
+
+ <row>
+ <entry>na</entry>
+ <entry>non attributable</entry>
+ <entry>Auditierung nicht-attributierbarer
+ Ereignisse.</entry>
+ </row>
+
+ <row>
+ <entry>no</entry>
+ <entry>invalid class</entry>
+ <entry>Kein Abgleich von Audit-Ereignissen.</entry>
+ </row>
+
+ <row>
+ <entry>nt</entry>
+ <entry>network</entry>
+ <entry>Audit-Ereignisse in Zusammenhang mit
+ Netzwerkaktivitäten wie &man.connect.2; und
+ &man.accept.2;</entry>
+ </row>
+
+ <row>
+ <entry>ot</entry>
+ <entry>other</entry>
+ <entry>Auditierung verschiedener Ereignisse.</entry>
+ </row>
+
+ <row>
+ <entry>pc</entry>
+ <entry>process</entry>
+ <entry>Auditierung von Prozess-Operationen wie
+ &man.exec.3; und &man.exit.3;.</entry>
+ </row>
+ </tbody>
+ </tgroup>
+ </table>
<para>Diese Ereignisklassen können angepasst werden durch
Modifizierung der Konfigurationsdateien
<filename>audit_class</filename> und
<filename>audit_event</filename>.</para>
- <para>Jede Audit-Klasse in dieser Liste ist kombiniert mit
+ <para>Jede Audit-Klasse ist kombiniert mit
einem Präfix, welches anzeigt, ob
erfolgreiche/gescheiterte Operationen abgebildet werden, und
ob der Eintrag den Abgleich hinzufügt oder entfernt
- für die Klasse und den Typ.</para>
+ für die Klasse und den Typ. <xref linkend="event-prefixes"/>
+ fasst die verfügbaren Präfixe zusammen.</para>
- <itemizedlist>
- <listitem>
- <para>(none) Kein Präfix, sowohl erfolgreiche als
- auch gescheiterte Vorkommen eines Ereignisses werden
- auditiert.</para>
- </listitem>
+ <table xml:id="event-prefixes" frame="none" pgwide="1">
+ <title>Präfixe für Audit-Ereignisklassen</title>
+
+ <tgroup cols="2">
+ <thead>
+ <row>
+ <entry>Präfix</entry>
+ <entry>Aktion</entry>
+ </row>
+ </thead>
+
+ <tbody>
+ <row>
+ <entry>+</entry>
+ <entry>Auditiert erfolgreiche Ereignisse in dieser
+ Klasse.</entry>
+ </row>
+
+ <row>
+ <entry>-</entry>
+ <entry>Auditiert fehlgeschlagene Ereignisse in dieser
+ Klasse.</entry>
+ </row>
+
+ <row>
+ <entry>^</entry>
+ <entry>Auditiert weder erfolgreiche noch fehlgeschlagene
+ Ereignisse.</entry>
+ </row>
+
+ <row>
+ <entry>^+</entry>
+ <entry>Auditiert keine erfolgreichen Ereignisse in dieser
+ Klasse.</entry>
+ </row>
+
+ <row>
+ <entry>^-</entry>
+ <entry>Auditiert keine fehlgeschlagenen Ereignisse in
+ dieser Klasse.</entry>
+ </row>
+ </tbody>
+ </tgroup>
+ </table>
+
+ <para>Wenn kein Präfix vorhanden ist, werden sowohl erfolgreiche
+ als auch fehlgeschlagene Ereignisse auditiert.</para>
+
+ <para>Das folgende Beispiel einer Auswahl-Zeichenkette
+ wählt erfolgreiche und gescheiterte
+ Anmelde/Abmelde-Ereignisse aus, aber nur erfolgreich beendete
+ Ausführungs-Ereignisse:</para>
+
+ <programlisting>lo,+ex</programlisting>
+ </sect2>
+
+ <sect2>
+ <title>Konfigurationsdateien</title>
+ <para>Die folgenden Konfigurationsdateien für
+ Sicherheits-Auditing befinden sich in
+ <filename>/etc/security</filename>.</para>
+
+ <itemizedlist>
<listitem>
- <para><literal>+</literal> Auditiere nur erfolgreiche
- Ereignisse in dieser Klasse.</para>
+ <para><filename>audit_class</filename>: enthält die
+ Definitionen der Audit-Klassen.</para>
</listitem>
<listitem>
- <para><literal>-</literal> Auditiere nur gescheiterte
- Operationen in dieser Klasse.</para>
+ <para><filename>audit_control</filename>: steuert die
+ Eigenschaften des Audit-Subsystems, wie
+ Standard-Audit-Klassen, Mindestfestplattenspeicher auf
+ dem Audit-Log-Volume und die maximale Größe des
+ Audit-Trails.</para>
</listitem>
<listitem>
- <para><literal>^</literal> Auditiere weder erfolgreiche
- noch gescheiterte Ereignisse in dieser Klasse.</para>
+ <para><filename>audit_event</filename>: Namen und
+ Beschreibungen der Audit-Ereignisse, und eine Liste
+ von Klassen mit den dazugehörigen Ereignissen.</para>
</listitem>
<listitem>
- <para><literal>^+</literal> Auditiere keine erfolgreichen
- Ereignisse in dieser Klasse.</para>
+ <para><filename>audit_user</filename>: benutzerspezifische
+ Audit-Anforderungen, kombinierbar mit den globalen
+ Standardeinstellungen bei der Anmeldung.</para>
</listitem>
<listitem>
- <para><literal>^-</literal> Auditiere keine gescheiterten
- Ereignisse in dieser Klasse.</para>
+ <para><filename>audit_warn</filename>: ein anpassbares
+ Skript, das von &man.auditd.8; verwendet wird, um in
+ bestimmten Situationen Warnmeldungen zu generieren,
+ z.B. wenn der Platz für Audit-Protokolle knapp wird, oder
+ wenn die Datei des Audit-Trails rotiert wurde.</para>
</listitem>
</itemizedlist>
- <para>Das folgende Beispiel einer Auswahl-Zeichenkette
- wählt erfolgreiche und gescheiterte
- Anmelde/Abmelde-Ereignisse aus, aber nur erfolgreich beendete
- Ausführungs-Ereignisse:</para>
-
- <programlisting>lo,+ex</programlisting>
- </sect2>
-
- <sect2>
- <title>Konfigurationsdateien</title>
+ <warning>
+ <para>Konfigurationsdateien von Audit sollten sorgfältig
+ bearbeitet und gepflegt werden, da Fehler in der
+ Konfiguration zu einer fehlerhaften Protokollierung der
+ Ereignisse führen können.</para>
+ </warning>
- <para>In den meisten Fällen müssen Administratoren
- nur zwei Dateien ändern, wenn sie das Audit-System
- konfigurieren: <filename>audit_control</filename> und
- <filename>audit_user</filename>. Die erste Datei steuert
- systemweite Audit-Eigenschaften und -Richtlinien; die zweite
- Datei kann für die Feinanpassung der Auditierung von
- Benutzern verwendet werden.</para>
+ <para>In den meisten Fällen werden Administratoren nur
+ <filename>audit_control</filename> und
+ <filename>audit_user</filename> änpassen müssen. Die erste
+ Datei steuert systemweite Audit-Eigenschaften, sowie
+ Richtlinien. Die zweite Datei kann für die Feinabstimmung bei
+ der Auditierung von Benutzern verwendet werden.</para>
<sect3 xml:id="audit-auditcontrol">
<title>Die <filename>audit_control</filename>-Datei</title>
@@ -501,11 +528,13 @@ requirements. -->
Anzahl Vorgabewerte fest:</para>
<programlisting>dir:/var/audit
-flags:lo
-minfree:20
-naflags:lo
-policy:cnt
-filesz:0</programlisting>
+dist:off
+flags:lo,aa
+minfree:5
+naflags:lo,aa
+policy:cnt,argv
+filesz:2M
+expire-after:10M</programlisting>
<para>Die Option <option>dir</option> wird genutzt, um eines
oder mehrere Verzeichnisse festzulegen, in welchen
More information about the svn-doc-head
mailing list