PERFORCE change 126473 for review
Gabor Kovesdan
gabor at FreeBSD.org
Sun Sep 16 06:24:21 PDT 2007
http://perforce.freebsd.org/chv.cgi?CH=126473
Change 126473 by gabor at gabor_server on 2007/09/16 13:23:54
- Cut long lines
- Correct whitespace
Affected files ...
.. //depot/projects/docproj_hu/books/handbook/audit/chapter.sgml#3 edit
Differences ...
==== //depot/projects/docproj_hu/books/handbook/audit/chapter.sgml#3 (text+ko) ====
@@ -5,7 +5,7 @@
<!-- The FreeBSD Hungarian Documentation Project
Translated by: PALI, Gabor <pgj at FreeBSD.org>
- Original Revision: r1.30 -->
+ Original Revision: r1.30 -->
<chapter id="audit" lang="hu">
<chapterinfo>
@@ -33,41 +33,55 @@
<see>MAC</see>
</indexterm>
- <para>A &os; 6.2-RELEASE és az azóta megjelent verziók támogatják a
- biztonsági események aprólékos vizsgálatát. Ezzel egy megbízható,
- részletes és jól konfigurálható naplózási rendszert társítanak a
- rendszerben található biztonságot igénylõ események széles köréhez,
- beleértve a bejelentkezéseket, a konfigurációs állományokban bekövetkezõ
- változásokat, állomány- és hálózati hozzáféréseket. Az így létrehozott
- naplóbejegyzések felbecsülhetetlen értékûnek bizonyulhatnak egy élõ
- rendszer felügyelete során, vagy egy hálózati támadás észleléséhez,
- esetleg egy összeomlás okainak kielemezéséhez. A &os; ehhez a &sun;
- által kifejlesztett <acronym>BSM</acronym> technológia API-ját és
- állományformátumát valósítja meg, és így képes együttmûködni a &sun;
- &solaris; valamint az &apple; &macos; X bizonsági rendszereivel
- egyaránt.</para>
+ <para>A &os; 6.2-RELEASE és az azóta megjelent verziók
+ támogatják a biztonsági események
+ aprólékos vizsgálatát. Ezzel egy
+ megbízható, részletes és jól
+ konfigurálható naplózási rendszert
+ társítanak a rendszerben található
+ biztonságot igénylõ események széles
+ köréhez, beleértve a bejelentkezéseket, a
+ konfigurációs állományokban
+ bekövetkezõ változásokat, állomány-
+ és hálózati hozzáféréseket. Az
+ így létrehozott naplóbejegyzések
+ felbecsülhetetlen értékûnek bizonyulhatnak egy
+ élõ rendszer felügyelete során, vagy egy
+ hálózati támadás
+ észleléséhez, esetleg egy összeomlás
+ okainak kielemezéséhez. A &os; ehhez a &sun; által
+ kifejlesztett <acronym>BSM</acronym> technológia API-ját
+ és állományformátumát
+ valósítja meg, és így képes
+ együttmûködni a &sun; &solaris; valamint az &apple;
+ &macos; X bizonsági rendszereivel egyaránt.</para>
- <para>Ebben a fejezetben a biztonsági események vizsgálatának
- telepítéséhez és beállításához szükséges ismeretek tekintjük át.
- Ennek keretében szó esik a vizsgálati házirendekrõl, valamint
- mutatunk egy példát a vizsgálatok beállítására.</para>
+ <para>Ebben a fejezetben a biztonsági események
+ vizsgálatának telepítéséhez és
+ beállításához szükséges ismeretek
+ tekintjük át. Ennek keretében szó esik a
+ vizsgálati házirendekrõl, valamint mutatunk egy
+ példát a vizsgálatok
+ beállítására.</para>
<para>A fejezet elolvasása során megismerjük:</para>
<itemizedlist>
<listitem>
- <para>mit jelent az események vizsgálata és hogyan
+ <para>mit jelent az események vizsgálata és hogyan
mûködik.</para>
</listitem>
<listitem>
- <para>hogyan kell beállítani az események vizsgálatát &os;-n
- a különbözõ felhasználók és programok esetén.</para>
+ <para>hogyan kell beállítani az események
+ vizsgálatát &os;-n a különbözõ
+ felhasználók és programok esetén.</para>
</listitem>
<listitem>
- <para>hogyan értelmezzük egy vizsgálati nyomokat a
- vizsgálatot szûkítõ és -elemzõ segédprogramok segítségével.</para>
+ <para>hogyan értelmezzük egy vizsgálati nyomokat a
+ vizsgálatot szûkítõ és -elemzõ
+ segédprogramok segítségével.</para>
</listitem>
</itemizedlist>
@@ -75,505 +89,627 @@
<itemizedlist>
<listitem>
- <para>alapvetõ &unix;-os és &os;-s ismeretek
- (<xref linkend="basics">).</para>
+ <para>alapvetõ &unix;-os és &os;-s ismeretek
+ (<xref linkend="basics">).</para>
</listitem>
<listitem>
- <para>a rendszermag konfigurálásával és fordításával kapcsolatos
- tudnivalók alapszintû ismerete (<xref linkend="kernelconfig">).</para>
+ <para>a rendszermag konfigurálásával és
+ fordításával kapcsolatos tudnivalók
+ alapszintû ismerete (<xref linkend="kernelconfig">).</para>
</listitem>
<listitem>
- <para>az informatikai biztonság alapfogalmainak és annak a &os;-re
- vonatkozó részleteinek minimális ismerete
- (<xref linkend="security">).</para>
+ <para>az informatikai biztonság alapfogalmainak és annak
+ a &os;-re vonatkozó részleteinek minimális
+ ismerete (<xref linkend="security">).</para>
</listitem>
</itemizedlist>
<warning>
- <para>A &os; 6.2-es verziójában jelenlevõ biztonsági vizsgálat még
- csak kísérleti jelleggel szerepel, éles környezetben kizárólag csak
- az ilyen fajta szoftverekkel kapcsolatos kockázatok tudatában és
- elfogadásával javasolt használni. Ismert korlátozások: nem mindegyik
- biztonságot érintõ esemény vizsgálható, mint mondjuk az egyes
- bejelentkezési típusok, mivel azok nem megfelelõen hitelesítik
- a belépõ felhasználókat. Ilyenek például az X11-alapú felületek és
- az egyéb, erre a célra alkalmas, más által fejlesztett daemonok.
+ <para>A &os; 6.2-es verziójában jelenlevõ
+ biztonsági vizsgálat még csak
+ kísérleti jelleggel szerepel, éles
+ környezetben kizárólag csak az ilyen fajta
+ szoftverekkel kapcsolatos kockázatok tudatában és
+ elfogadásával javasolt használni. Ismert
+ korlátozások: nem mindegyik biztonságot
+ érintõ esemény vizsgálható, mint
+ mondjuk az egyes bejelentkezési típusok, mivel azok nem
+ megfelelõen hitelesítik a belépõ
+ felhasználókat. Ilyenek például az
+ X11-alapú felületek és az egyéb, erre a
+ célra alkalmas, más által fejlesztett daemonok.
</warning>
<warning>
- <para>A biztonsági események vizsgálata során a rendszer képes nagyon
- részletes naplókat készíteni az érintett tevékenységekrõl. Így egy
- kellõen forgalmas rendszeren az állománymozgások alapos nyomonkövetése
- bizonyos konfigurációkon akár gigabyte-okat is kitehet hetente. A
- rendszergazdáknak ezért mindig javasolt számolniuk a nagy forgalmú
- események biztonsági vizsgálatának tárigényével. Például, emiatt
- érdemes lehet egy egész állományrendszert szánni erre a feladatra a
- <filename>/var/audit</filename> könyvtárban, és így a többi
- állományrendszer nem látja kárát, ha véletlenül betelne ez a
- terület.</para>
+ <para>A biztonsági események vizsgálata során
+ a rendszer képes nagyon részletes naplókat
+ készíteni az érintett
+ tevékenységekrõl. Így egy kellõen
+ forgalmas rendszeren az állománymozgások alapos
+ nyomonkövetése bizonyos konfigurációkon
+ akár gigabyte-okat is kitehet hetente. A
+ rendszergazdáknak ezért mindig javasolt számolniuk
+ a nagy forgalmú események biztonsági
+ vizsgálatának tárigényével.
+ Például, emiatt érdemes lehet egy egész
+ állományrendszert szánni erre a feladatra a
+ <filename>/var/audit</filename> könyvtárban, és
+ így a többi állományrendszer nem látja
+ kárát, ha véletlenül betelne ez a
+ terület.</para>
</warning>
-
</sect1>
<sect1 id="audit-inline-glossary">
<title>A fejezet fontosabb fogalmai</title>
- <para>A fejezet elolvasása elõtt meg kell ismernünk néhány fontos
- alapfogalmat:</para>
+ <para>A fejezet elolvasása elõtt meg kell ismernünk
+ néhány fontos alapfogalmat:</para>
<itemizedlist>
<listitem>
- <para><emphasis>esemény:</emphasis> Vizsgálható eseménynek azt az
- eseményt nevezzük, amely egy vizsgálati alrendszerben naplózható.
- Biztonsági események lehetnek például: egy állomány létrehozása,
- egy hálózati kapcsolat felépítése, vagy egy felhasználó
- bejelentkezése. Egy esemény <quote>jellegzetes</quote>, ha
- visszakövethetõ valamelyik hitelesített felhasználóhoz, vagy
- <quote>nem jellegzetes</quote>, ha ez nem lehetséges. Nem
- jellegzetes események lehet például minden olyan esemény, amely
- egy bejelentkezési folyamat hitelesítési lépése elõtt történik,
- ilyenek a hibás jelszóval történõ belépési kísérletek.</para>
+ <para><emphasis>esemény:</emphasis> Vizsgálható
+ eseménynek azt az eseményt nevezzük, amely egy
+ vizsgálati alrendszerben naplózható.
+ Biztonsági események lehetnek például:
+ egy állomány létrehozása, egy
+ hálózati kapcsolat felépítése,
+ vagy egy felhasználó bejelentkezése. Egy
+ esemény <quote>jellegzetes</quote>, ha
+ visszakövethetõ valamelyik hitelesített
+ felhasználóhoz, vagy <quote>nem jellegzetes</quote>,
+ ha ez nem lehetséges. Nem jellegzetes események lehet
+ például minden olyan esemény, amely egy
+ bejelentkezési folyamat hitelesítési
+ lépése elõtt történik, ilyenek a
+ hibás jelszóval történõ
+ belépési kísérletek.</para>
</listitem>
<listitem>
- <para><emphasis>osztály:</emphasis> Eseményosztálynak az összefüggõ
- események névvel ellátott halmazát tekintjük, és szûrési
- feltételekben használjuk õket. Általában alkalmazott osztályok:
- <quote>file creation</quote> (fc, állománylétrehozás),
- <quote>exec</quote> (ex, programindítás), és
- <quote>login_logout</quote> (lo, ki- és bejelentkezés).</para>
+ <para><emphasis>osztály:</emphasis>
+ Eseményosztálynak az összefüggõ
+ események névvel ellátott halmazát
+ tekintjük, és szûrési feltételekben
+ használjuk õket. Általában alkalmazott
+ osztályok: <quote>file creation</quote> (fc,
+ állománylétrehozás), <quote>exec</quote>
+ (ex, programindítás), és
+ <quote>login_logout</quote> (lo, ki- és
+ bejelentkezés).</para>
</listitem>
<listitem>
- <para><emphasis>rekord:</emphasis> Rekordnak nevezzük a biztonsági
- eseményeket leíró biztonsági naplóbejegyzéseket. A rekordok
- tartalmazhatják a feljegyzett esemény típusát, az eseményt kiváltó
- tevékenységet (felhasználót), a dátumot és az idõt, tetszõleges
- objektum vagy paraméter értékét, feltételek teljesülését vagy
- meghiúsulását.</para>
+ <para><emphasis>rekord:</emphasis> Rekordnak nevezzük a
+ biztonsági eseményeket leíró
+ biztonsági naplóbejegyzéseket. A rekordok
+ tartalmazhatják a feljegyzett esemény
+ típusát, az eseményt kiváltó
+ tevékenységet (felhasználót), a
+ dátumot és az idõt, tetszõleges objektum
+ vagy paraméter értékét, feltételek
+ teljesülését vagy
+ meghiúsulását.</para>
</listitem>
<listitem>
- <para><emphasis>nyom:</emphasis> Vizsgálati nyomnak vagy
- naplóállománynak nevezzük a különféle biztonsági eseményeket
- leíró vizsgálati rekordok sorozatát. A nyomok többnyire nagyjából
- az események bekövetkezése szerinti idõrendben következnek. Csak
- és kizárólag az erre felhatalmazott programok hozhatnak létre
- rekordokat a vizsgálati nyomban.</para>
+ <para><emphasis>nyom:</emphasis> Vizsgálati nyomnak vagy
+ naplóállománynak nevezzük a
+ különféle biztonsági eseményeket
+ leíró vizsgálati rekordok sorozatát. A
+ nyomok többnyire nagyjából az események
+ bekövetkezése szerinti idõrendben következnek.
+ Csak és kizárólag az erre felhatalmazott
+ programok hozhatnak létre rekordokat a vizsgálati
+ nyomban.</para>
</listitem>
<listitem>
- <para><emphasis>szûrési feltétel:</emphasis> Szûrési
- feltételnek nevezünk egy olyan sztringet, amelyet események
- szûrésére használunk, és módosítókat valamint eseményosztályok
- neveit tartalmazza.</para>
+ <para><emphasis>szûrési feltétel:</emphasis>
+ Szûrési feltételnek nevezünk egy olyan
+ sztringet, amelyet események szûrésére
+ használunk, és módosítókat
+ valamint eseményosztályok neveit tartalmazza.</para>
</listitem>
<listitem>
- <para><emphasis>elõválogatás:</emphasis> Elõválogatásnak nevezzük
- a folyamatot, amelynek során a rendszer beazonosítja azokat az
- eseményeket, amelyek a rendszergazda számára fontosak. Ezáltal
- elkerülhetjük olyan vizsgálati rekordok generálását, amelyek
- számunkra érdektelen eseményekrõl számolnak be. Az elõválogatás
- szûrési feltételek sorát használja az adott felhasználókhoz
- tartozó adott biztonsági események vizsgálatának beállításához,
- akárcsak a hitelesített és a nem hitelesített programokat
- értintõ globális beállítások meghatározásához.</para>
+ <para><emphasis>elõválogatás:</emphasis>
+ Elõválogatásnak nevezzük a folyamatot,
+ amelynek során a rendszer beazonosítja azokat az
+ eseményeket, amelyek a rendszergazda számára
+ fontosak. Ezáltal elkerülhetjük olyan
+ vizsgálati rekordok generálását, amelyek
+ számunkra érdektelen eseményekrõl
+ számolnak be. Az elõválogatás
+ szûrési feltételek sorát használja
+ az adott felhasználókhoz tartozó adott
+ biztonsági események vizsgálatának
+ beállításához, akárcsak a
+ hitelesített és a nem hitelesített programokat
+ értintõ globális beállítások
+ meghatározásához.</para>
</listitem>
<listitem>
- <para><emphasis>leszûkítés:</emphasis> Leszûkítésnek nevezzük a
- folyamatot, amelynek során a már meglevõ biztonsági rekordokból
- válogatunk le tárolásra, nyomtatásra vagy elemzésre. Hasonlóan
- ez a folyamat, ahol a szükségtelen rekordokat eltávolítjuk a
- vizsgálatai nyomból. A leszûkítés segítségével a rendszergazdák
- a vizsgálati adatok eltárolására alakíthatnak ki házirendet.
- Például a részletesebb vizsgálati nyomokat érdemes egy hónapig
- megtartani, ennek lejártával viszont már inkább ajánlott
- leszûkíteni õket és archiválásra csak a bejelentkezési információkat
- megtartani.</para>
+ <para><emphasis>leszûkítés:</emphasis>
+ Leszûkítésnek nevezzük a folyamatot, amelynek
+ során a már meglevõ biztonsági
+ rekordokból válogatunk le tárolásra,
+ nyomtatásra vagy elemzésre. Hasonlóan ez a
+ folyamat, ahol a szükségtelen rekordokat
+ eltávolítjuk a vizsgálatai nyomból. A
+ leszûkítés segítségével a
+ rendszergazdák a vizsgálati adatok
+ eltárolására alakíthatnak ki
+ házirendet. Például a részletesebb
+ vizsgálati nyomokat érdemes egy hónapig
+ megtartani, ennek lejártával viszont már
+ inkább ajánlott leszûkíteni õket
+ és archiválásra csak a bejelentkezési
+ információkat megtartani.</para>
</listitem>
</itemizedlist>
</sect1>
<sect1 id="audit-install">
- <title>A vizsgálat támogatásának telepítése</title>
+ <title>A vizsgálat támogatásának
+ telepítése</title>
- <para>A eseményvizsgálathoz szükséges felhasználói programok a &os;
- 6.2-RELEASE kiadásától kezdõdõen az alap operációs rendszer részét
- képezik. Azonban az eseményvizsgálat használatához a rendszermagban is
- be kell kapcsolnunk a megfelelõ támogatást, mégpedig a rendszermag
- konfigurációs állományában az alábbi sor hozzáadásával:</para>
+ <para>A eseményvizsgálathoz szükséges
+ felhasználói programok a &os; 6.2-RELEASE
+ kiadásától kezdõdõen az alap
+ operációs rendszer részét képezik.
+ Azonban az eseményvizsgálat használatához a
+ rendszermagban is be kell kapcsolnunk a megfelelõ
+ támogatást, mégpedig a rendszermag
+ konfigurációs állományában az
+ alábbi sor hozzáadásával:</para>
<programlisting>options AUDIT</programlisting>
- <para>Fordítsuk és telepítsük újra a rendszermagot az
- <xref linkend="kernelconfig">ben ismertetett folyamat szerint.</para>
+ <para>Fordítsuk és telepítsük újra a
+ rendszermagot az <xref linkend="kernelconfig">ben ismertetett
+ folyamat szerint.</para>
- <para>Ahogy a rendszermagot sikerült lefordítanunk és telepítenünk,
- valamint a rendszerünk is újraindult, indítsuk el a vizsgáló daemont
- a következõ sor hozzáadásával a &man.rc.conf.5;-ban:</para>
+ <para>Ahogy a rendszermagot sikerült lefordítanunk és
+ telepítenünk, valamint a rendszerünk is
+ újraindult, indítsuk el a vizsgáló daemont
+ a következõ sor hozzáadásával a
+ &man.rc.conf.5;-ban:</para>
<programlisting>auditd_enable="YES"</programlisting>
- <para>A vizsgálatot innentõl ténylegesen egy ismételt újraindítással vagy
- pedig az elõbb említett daemon manuális elindításával
- aktiválhatjuk:</para>
-
+ <para>A vizsgálatot innentõl ténylegesen egy
+ ismételt újraindítással vagy pedig az
+ elõbb említett daemon manuális
+ elindításával aktiválhatjuk:</para>
+
<programlisting>/etc/rc.d/auditd start</programlisting>
</sect1>
<sect1 id="audit-config">
<title>A vizsgálat beállítása</title>
- <para>A vizsgálatok beállításához szükséges összes konfigurációs állomány
- a <filename class="directory">/etc/security</filename> könyvtárban
- található. A következõ állományok vannak itt a daemon indítása
- elõtt:</para>
+ <para>A vizsgálatok beállításához
+ szükséges összes konfigurációs
+ állomány a <filename
+ class="directory">/etc/security</filename> könyvtárban
+ található. A következõ állományok
+ vannak itt a daemon indítása elõtt:</para>
<itemizedlist>
<listitem>
- <para><filename>audit_class</filename> - a vizsgálati osztályok
- definícióit tartalmazza.</para>
+ <para><filename>audit_class</filename> - a vizsgálati
+ osztályok definícióit tartalmazza.</para>
</listitem>
<listitem>
- <para><filename>audit_control</filename> - a vizsgálati alrendszer
- különbözõ területei vezérli, többek közt az alapértelmezett
- vizsgálati osztályokat, az vizsgálati adatok tárhelyén meghagyandó
- minimális lemezterület, a vizsgálati nyom maximális mérete
- stb.</para>
+ <para><filename>audit_control</filename> - a vizsgálati
+ alrendszer különbözõ területei
+ vezérli, többek közt az alapértelmezett
+ vizsgálati osztályokat, az vizsgálati adatok
+ tárhelyén meghagyandó minimális
+ lemezterület, a vizsgálati nyom maximális
+ mérete, stb.</para>
</listitem>
<listitem>
- <para><filename>audit_event</filename> - a rendszerben jelenlevõ
- vizsgálati események szöveges megnevezése és leírása, valamint a
- lista, hogy melyikük mely osztályban található.</para>
+ <para><filename>audit_event</filename> - a rendszerben jelenlevõ
+ vizsgálati események szöveges megnevezése
+ és leírása, valamint a lista, hogy melyikük
+ mely osztályban található.</para>
</listitem>
<listitem>
- <para><filename>audit_user</filename> - felhasználónként változó
- vizsgálati elvárások, kombinálva a bejelentkezéskor érvényes
- globálisan alapértelmezett beállításokkal.</para>
+ <para><filename>audit_user</filename> -
+ felhasználónként változó
+ vizsgálati elvárások, kombinálva a
+ bejelentkezéskor érvényes globálisan
+ alapértelmezett beállításokkal.</para>
</listitem>
<listitem>
- <para><filename>audit_warn</filename> - az
- <application>auditd</application> által használt testreszabható
- shell szkript, aminek segítségével a szélsõséges helyzetekben
- figyelmeztetõ üzeneteket tudunk generálni, mint mondjuk amikor
- a rekordok számára fenntartott hely elfogyóban van, vagy amikor a
- nyomokat tartalmazó állományt archiváltuk.</para>
+ <para><filename>audit_warn</filename> - az
+ <application>auditd</application> által használt
+ testreszabható shell szkript, aminek
+ segítségével a szélsõséges
+ helyzetekben figyelmeztetõ üzeneteket tudunk
+ generálni, mint mondjuk amikor a rekordok
+ számára fenntartott hely elfogyóban van, vagy
+ amikor a nyomokat tartalmazó állományt
+ archiváltuk.</para>
</listitem>
</itemizedlist>
<warning>
- <para>Az eseményvizsgálat konfigurációs állományait alapos körültekintés
- mellett szabad szerkeszteni és karbantartani, mivel a bennük keletkezõ
- hibák az események helytelen naplózását eredményezhetik.</para>
+ <para>Az eseményvizsgálat konfigurációs
+ állományait alapos körültekintés
+ mellett szabad szerkeszteni és karbantartani, mivel a
+ bennük keletkezõ hibák az események
+ helytelen naplózását
+ eredményezhetik.</para>
</warning>
<sect2>
<title>Eseményszûrési feltételek</title>
- <para>Az eseményvizsgálati beállítások során számtalan helyen felbukkanak
- a vizsgálni kívánt eseményeket meghatározó szûrési feltételek. Ezen
- feltételek eseményosztályok felsorolását tartalmazzák, mindegyiküket
- egy módosító vezeti be, ezzel jelezve, hogy az adott eseményosztályba
- tartozó rekordokat tartsuk meg vagy vessük el. Esetleg utalhatnak arra
- is, hogy vagy csak a sikerességet jelzõ rekordokat, vagy csak a
- sikertelenséget jelzõ rekordokat szûrjük ki. A szûrési feltételek
- balról jobbra értékelõdnek ki, és két kifejezés összefûzéssel
- kombinálható.</para>
+ <para>Az eseményvizsgálati beállítások
+ során számtalan helyen felbukkanak a vizsgálni
+ kívánt eseményeket meghatározó
+ szûrési feltételek. Ezen feltételek
+ eseményosztályok felsorolását
+ tartalmazzák, mindegyiküket egy
+ módosító vezeti be, ezzel jelezve, hogy az adott
+ eseményosztályba tartozó rekordokat tartsuk meg
+ vagy vessük el. Esetleg utalhatnak arra is, hogy vagy csak a
+ sikerességet jelzõ rekordokat, vagy csak a
+ sikertelenséget jelzõ rekordokat szûrjük ki.
+ A szûrési feltételek balról jobbra
+ értékelõdnek ki, és két
+ kifejezés összefûzéssel
+ kombinálható.</para>
<para>A most következõ lista tartalmazza a
- <filename>audit_class</filename> állományban található alapértelmezett
- eseményvizsgálati osztályokat:</para>
+ <filename>audit_class</filename> állományban
+ található alapértelmezett
+ eseményvizsgálati osztályokat:</para>
<itemizedlist>
- <listitem>
- <para><literal>all</literal> - <emphasis>all (mind)</emphasis> -
- Minden eseményosztályra vonatkozik.</para>
- </listitem>
-
- <listitem>
- <para><literal>ad</literal> -
- <emphasis>administrive (adminisztrációs)</emphasis> - olyan
- adminisztrációs tevékenységek, amelyek egyben az egész rendszeren
- végrehajtódnak.</para>
- </listitem>
-
- <listitem>
- <para><literal>ap</literal> -
- <emphasis>application (alkalmazás)</emphasis> - az alkalmazások
- által meghatározott tevékenység.</para>
- </listitem>
-
- <listitem>
- <para><literal>cl</literal> -
- <emphasis>file close (állomány lezárása)</emphasis> - a
- <function>close</function> rendszerhívás meghívásának
- vizsgálata.</para>
- </listitem>
-
- <listitem>
- <para><literal>ex</literal> -
- <emphasis>exec (programindítás)</emphasis> - egy program
- indításának vizsgálata. A parancssorban átadott paraméterek és
- a környezeti változók vizsgálatát a &man.audit.control.5;
- vezérli a <literal>policy</literal> beállításhoz tartozó
- <literal>argv</literal> és <literal>envv</literal>
- paraméterek segítségével.</para>
- </listitem>
-
- <listitem>
- <para><literal>fa</literal> -
- <emphasis>file attribute access
- (állományjellemzõk hozzáférése)</emphasis> - a rendszerbeli
- objektumok jellemzõinek hozzáférésnek vizsgálata, mint pl. a
- &man.stat.1;, &man.pathconf.2; és ehhez hasonló események.</para>
- </listitem>
+ <listitem>
+ <para><literal>all</literal> - <emphasis>all (mind)</emphasis> -
+ Minden eseményosztályra vonatkozik.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>ad</literal> - <emphasis>administrive
+ (adminisztrációs)</emphasis> - olyan
+ adminisztrációs tevékenységek,
+ amelyek egyben az egész rendszeren
+ végrehajtódnak.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>ap</literal> - <emphasis>application
+ (alkalmazás)</emphasis> - az alkalmazások
+ által meghatározott
+ tevékenység.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>cl</literal> - <emphasis>file close
+ (állomány lezárása)</emphasis> - a
+ <function>close</function> rendszerhívás
+ meghívásának vizsgálata.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>ex</literal> - <emphasis>exec
+ (programindítás)</emphasis> - egy program
+ indításának vizsgálata. A
+ parancssorban átadott paraméterek és
+ a környezeti változók vizsgálatát
+ a &man.audit.control.5; vezérli a <literal>policy</literal>
+ beállításhoz tartozó
+ <literal>argv</literal> és <literal>envv</literal>
+ paraméterek segítségével.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>fa</literal> - <emphasis>file attribute access
+ (állományjellemzõk
+ hozzáférése)</emphasis> - a rendszerbeli
+ objektumok jellemzõinek hozzáférésnek
+ vizsgálata, mint pl. a &man.stat.1;, &man.pathconf.2;
+ és ehhez hasonló események.</para>
+ </listitem>
- <listitem>
- <para><literal>fc</literal> -
- <emphasis>file create (állomány létrehozása)</emphasis> -
- állományt eredményezõ események vizsgálata.</para>
- </listitem>
+ <listitem>
+ <para><literal>fc</literal> - <emphasis>file create
+ (állomány létrehozása)</emphasis> -
+ állományt eredményezõ események
+ vizsgálata.</para>
+ </listitem>
- <listitem>
- <para><literal>fd</literal> -
- <emphasis>file delete (állomány törlése)</emphasis> -
- állományt törlõ események vizsgálata.</para>
- </listitem>
-
- <listitem>
- <para><literal>fm</literal> -
- <emphasis>file attribute modify (állományjellemzõk
- módosítása)</emphasis> - állományok jellemzõit megváltoztató
- események vizsgálata, mint mondjuk a &man.chown.8;,
- &man.chflags.1;, &man.flock.2; stb.</para>
- </listitem>
-
- <listitem>
- <para><literal>fr</literal> -
- <emphasis>file read (állományolvasás)</emphasis> -
- állományok olvasásra történõ megnyitásával, olvasásával
- stb. kapcsolatos események vizsgálata.</para>
- </listitem>
-
- <listitem>
- <para><literal>fw</literal> -
- <emphasis>file write (állományírás)</emphasis> -
- állományok írásra történõ megnyitásával, írásával,
- módosításával stb. kapcsolatos események vizsgálata.</para>
- </listitem>
-
- <listitem>
- <para><literal>io</literal> -
- <emphasis>ioctl</emphasis> - a &man.ioctl.2; rendszerhívást
- használó események vizsgálata.</para>
- </listitem>
-
- <listitem>
- <para><literal>ip</literal> -
- <emphasis>ipc</emphasis> - a folyamatok közti kommunikáció
- különféle formáinak, beleértve a POSIX csövek és System V
- <acronym>IPC</acronym> mûveleteinek vizsgálata.</para>
- </listitem>
-
- <listitem>
- <para><literal>lo</literal> -
- <emphasis>login_logout (ki- és bejelentkezés)</emphasis> -
- a rendszerben megjelenõ &man.login.1; és &man.logout.1;
- események vizsgálata.</para>
- </listitem>
-
- <listitem>
- <para><literal>na</literal> -
- <emphasis>non attributable (nem jellegzetes)</emphasis> -
- a nem jellegzetes események vizsgálata.</para>
- </listitem>
-
- <listitem>
- <para><literal>no</literal> -
- <emphasis>invalid class (érvénytelen osztály)</emphasis> -
- egyetlen biztonsági eseményt sem tartalmaz.</para>
- </listitem>
-
- <listitem>
- <para><literal>nt</literal> -
- <emphasis>network (hálózat)</emphasis> -
- a hálózathoz tartozó események vizsgálata, mint pl. a
- &man.connect.2; és &man.accept.2;.</para>
- </listitem>
-
- <listitem>
- <para><literal>ot</literal> -
- <emphasis>other (egyéb)</emphasis> -
- más egyéb események vizsgálata.</para>
- </listitem>
-
- <listitem>
- <para><literal>pc</literal> -
- <emphasis>process (folyamat)</emphasis> - a folyamatokkal
- kapcsolatos mûveletek, mint például a &man.exec.3; és
- &man.exit.3; vizsgálata.</para>
- </listitem>
+ <listitem>
+ <para><literal>fd</literal> - <emphasis>file delete
+ (állomány törlése)</emphasis> -
+ állományt törlõ események
+ vizsgálata.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>fm</literal> - <emphasis>file attribute modify
+ (állományjellemzõk
+ módosítása)</emphasis> -
+ állományok jellemzõit
+ megváltoztató események vizsgálata,
+ mint mondjuk a &man.chown.8;, &man.chflags.1;, &man.flock.2;,
+ stb.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>fr</literal> - <emphasis>file read
+ (állományolvasás)</emphasis> -
+ állományok olvasásra történõ
+ megnyitásával, olvasásával,
+ stb. kapcsolatos események vizsgálata.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>fw</literal> - <emphasis>file write
+ (állományírás)</emphasis> -
+ állományok írásra
+ történõ megnyitásával,
+ írásával,
+ módosításával, stb. kapcsolatos
+ események vizsgálata.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>io</literal> - <emphasis>ioctl</emphasis> - a
+ &man.ioctl.2; rendszerhívást használó
+ események vizsgálata.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>ip</literal> - <emphasis>ipc</emphasis> - a folyamatok
+ közti kommunikáció különféle
+ formáinak, beleértve a POSIX csövek és
+ System V <acronym>IPC</acronym> mûveleteinek
+ vizsgálata.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>lo</literal> - <emphasis>login_logout (ki-
+ és bejelentkezés)</emphasis> - a rendszerben
+ megjelenõ &man.login.1; és &man.logout.1;
+ események vizsgálata.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>na</literal> - <emphasis>non attributable (nem
+ jellegzetes)</emphasis> - a nem jellegzetes események
+ vizsgálata.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>no</literal> - <emphasis>invalid class
+ (érvénytelen osztály)</emphasis> -
+ egyetlen biztonsági eseményt sem tartalmaz.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>nt</literal> - <emphasis>network
+ (hálózat)</emphasis> - a hálózathoz
+ tartozó események vizsgálata, mint pl. a
+ &man.connect.2; és &man.accept.2;.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>ot</literal> - <emphasis>other
+ (egyéb)</emphasis> - más egyéb
+ események vizsgálata.</para>
+ </listitem>
+ <listitem>
+ <para><literal>pc</literal> - <emphasis>process
+ (folyamat)</emphasis> - a folyamatokkal kapcsolatos mûveletek,
+ mint például a &man.exec.3; és &man.exit.3;
+ vizsgálata.</para>
+ </listitem>
</itemizedlist>
-
- <para>Az imént felsorolt eseményosztályok az
- <filename>audit_class</filename> és <filename>audit_event</filename>
- állományok módosításával igény szerint testreszabhatóak.</para>
-
- <para>A listában szereplõ minden egyes eseményosztályhoz tartozik
- még egy módosító is, amely jelzi, hogy a sikeres vagy a sikertelen
- mûveleteket kell-e szûrnünk, valamint hogy a bejegyzés az adott
- típust vagy osztályt hozzáadja vagy elveszi az adott
- szûrésbõl.</para>
+
+ <para>Az imént felsorolt eseményosztályok az
+ <filename>audit_class</filename> és
+ <filename>audit_event</filename> állományok
+ módosításával igény szerint
+ testreszabhatóak.</para>
+
+ <para>A listában szereplõ minden egyes
+ eseményosztályhoz tartozik még egy
+ módosító is, amely jelzi, hogy a sikeres vagy a
+ sikertelen mûveleteket kell-e szûrnünk, valamint hogy a
+ bejegyzés az adott típust vagy osztályt
+ hozzáadja vagy elveszi az adott
+ szûrésbõl.</para>
<itemizedlist>
-
- <listitem>
- <para>(üres) az adott típusból mind a sikereseket és mind a
- sikerteleneket feljegyzi.</para>
- </listitem>
-
- <listitem>
- <para><literal>+</literal> az eseményosztályba tartozó sikeres
- eseményeket vizsgálja csak.</para>
- </listitem>
-
- <listitem>
- <para><literal>-</literal> az eseményosztályba tartozó sikertelen
- eseményeket vizsgálja csak.</para>
- </listitem>
-
- <listitem>
- <para><literal>^</literal> az eseményosztályból sem a sikereseket,
- sem pedig a sikerteleneket nem vizsgálja.</para>
- </listitem>
-
- <listitem>
- <para><literal>^+</literal> az eseményosztályból nem vizsgálja a
- sikeres eseményeket.</para>
- </listitem>
-
- <listitem>
- <para><literal>^-</literal> az eseményosztályból nem vizsgálja a
- sikertelen eseményeket.</para>
- </listitem>
+ <listitem>
+ <para>(üres) az adott típusból mind a sikereseket
+ és mind a sikerteleneket feljegyzi.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>+</literal> az eseményosztályba
+ tartozó sikeres eseményeket vizsgálja
+ csak.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>-</literal> az eseményosztályba
+ tartozó sikertelen eseményeket vizsgálja
+ csak.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>^</literal> az eseményosztályból
+ sem a sikereseket, sem pedig a sikerteleneket nem
+ vizsgálja.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>^+</literal> az eseményosztályból
+ nem vizsgálja a sikeres eseményeket.</para>
+ </listitem>
+ <listitem>
+ <para><literal>^-</literal> az eseményosztályból
+ nem vizsgálja a sikertelen eseményeket.</para>
+ </listitem>
</itemizedlist>
- <para>Az alábbi példa egy olyan szûrési feltételt mutat be, amely
- a ki/bejelentkezések közül megadja a sikereset és a sikerteleneket,
- viszont a programindítások közül csak a sikereseket:</para>
+ <para>Az alábbi példa egy olyan szûrési
+ feltételt mutat be, amely a ki/bejelentkezések
+ közül megadja a sikereset és a sikerteleneket,
+ viszont a programindítások közül csak a
+ sikereseket:</para>
<programlisting>lo,+ex</programlisting>
-
</sect2>
<sect2>
<title>A konfigurációs állományok</title>
- <para>A vizsgálati rendszer beállításához az esetek túlnyomó részében
- a rendszergazdáknak csupán két állományt kell módosítaniuk: ezek az
- <filename>audit_control</filename> és az
- <filename>audit_user</filename>. Az elõbbi felelõs a rendszerszintû
- vizsgálati jellemzõkért és házirendekért, míg az utóbbi az igények
- felhasználókénti finomhangolásához használható.</para>
+ <para>A vizsgálati rendszer
+ beállításához az esetek
+ túlnyomó részében a
+ rendszergazdáknak csupán két
+ állományt kell módosítaniuk: ezek az
+ <filename>audit_control</filename> és az
+ <filename>audit_user</filename>. Az elõbbi felelõs a
+ rendszerszintû vizsgálati jellemzõkért
+ és házirendekért, míg az utóbbi az
+ igények felhasználókénti
+ finomhangolásához használható.</para>
<sect3 id="audit-auditcontrol">
- <title>Az <filename>audit_control</filename> állomány</title>
-
- <para>Az <filename>audit_control</filename> állomány határozza meg a
- vizsgálati alrendszer alapértelmezéseit. Ezt az állományt
- megnyitva a következõket láthatjuk:</para>
+ <title>Az <filename>audit_control</filename>
+ állomány</title>
+
+ <para>Az <filename>audit_control</filename> állomány
+ határozza meg a vizsgálati alrendszer
+ alapértelmezéseit. Ezt az állományt
+ megnyitva a következõket láthatjuk:</para>
- <programlisting>dir:/var/audit
+ <programlisting>dir:/var/audit
flags:lo
minfree:20
naflags:lo
policy:cnt
filesz:0</programlisting>
- <para>A <option>dir</option> opciót használjuk a vizsgálati naplók
- tárolására szolgáló egy vagy több könyvtár megadására. Ha egynél
- több könyvtárra vonatkozó bejegyzés található az állományban, akkor
- azok a megadás sorrendjében kerülnek feltöltésre. Nagyon gyakori
- az a beállítás, ahol a vizsgálati naplókat egy erre a célra külön
- kialakított állományrendszeren tárolják, megelõzve ezzel az
- állományrendszer betelésekor keletkezõ problémákat a többi
- alrendszerben.</para>
-
- <para>A <option>flags</option> mezõ egy rendszerszintû
- alapértelmezett elõválogatási maszkot határoz meg a jellegzetes
- események számára. A fenti példában a sikeres és sikertelen ki-
- és bejelentkezéseket mindegyik felhasználó esetén
- vizsgáljuk.</para>
-
- <para>A <option>minfree</option> opció megszabja a vizsgálati nyom
- tárolására szánt állományrendszeren a minimális szabad helyet,
- a teljes kapacitás százalékában. Amint ezt a küszöböt túllépjük,
- egy figyelmeztetés fog generálódni. A fenti példa a minimálisan
- szükséges rendelkezésre álló helyet húsz százalékra
- állítja.</para>
-
- <para>A <option>naflags</option> opció megadja azokat az
- eseményosztályokat, amelyeket vizsgálni kell a nem jellegzetes
- események, mind mondjuk a bejelentkezési folyamatok vagy
- rendszerdaemonok esetén.</para>
-
- <para>A <option>policy</option> opció a vizsgálat különbözõ
- szempontjait irányító házirendbeli beállítások vesszõvel
- elválasztott listáját tartalmazza. Az alapértelmezett
- <literal>cnt</literal> beállítás azt adja meg, hogy a rendszer
- a felmerülõ vizsgálati hibák ellenére is folytassa tovább a
- mûködését (erõsen javasolt a használata). A másik gyakorta
- alkalmazott beállítás az <literal>argv</literal>, amellyel a
- rendszer a parancsvégrehajtás részeként az &man.execve.2;
- rendszerhívás parancssori paramétereit is megvizsgálja.</para>
-
- <para>A <option>filesz</option> opció meghatározza a
- vizsgálati nyom automatikus szétvágása és archiválása elõtti
- maximális méretét, byte-ban. Az alapértelmezett értéke a 0,
- amely kikapcsolja ezt az archiválást. Ha az itt megadott
- állományméret nem nulla és a minimálisan elvárt 512 kb alatt
- van, akkor a rendszer figyelmen kívül hagyja és errõl egy
- figyelmeztetést ad.</para>
+ <para>A <option>dir</option> opciót használjuk a
+ vizsgálati naplók tárolására
+ szolgáló egy vagy több könyvtár
+ megadására. Ha egynél több
+ könyvtárra vonatkozó bejegyzés
+ található az állományban, akkor azok a
+ megadás sorrendjében kerülnek
+ feltöltésre. Nagyon gyakori az a
+ beállítás, ahol a vizsgálati
+ naplókat egy erre a célra külön
+ kialakított állományrendszeren
+ tárolják, megelõzve ezzel az
+ állományrendszer betelésekor keletkezõ
+ problémákat a többi alrendszerben.</para>
+
+ <para>A <option>flags</option> mezõ egy rendszerszintû
+ alapértelmezett elõválogatási maszkot
+ határoz meg a jellegzetes események
>>> TRUNCATED FOR MAIL (1000 lines) <<<
More information about the p4-projects
mailing list