PERFORCE change 137014 for review
Gabor Pali
pgj at FreeBSD.org
Thu Mar 6 18:28:47 UTC 2008
http://perforce.freebsd.org/chv.cgi?CH=137014
Change 137014 by pgj at disznohal on 2008/03/06 18:28:24
(audit) MFen: 1.31 --> 1.33, including some minor language and
format fixes.
Affected files ...
.. //depot/projects/docproj_hu/books/handbook/audit/chapter.sgml#5 edit
Differences ...
==== //depot/projects/docproj_hu/books/handbook/audit/chapter.sgml#5 (text+ko) ====
@@ -1,11 +1,11 @@
<!--
The FreeBSD Documentation Project
- $FreeBSD: doc/en_US.ISO8859-1/books/handbook/audit/chapter.sgml,v 1.31 2007/11/28 11:55:25 rwatson Exp $
+ $FreeBSD: doc/en_US.ISO8859-1/books/handbook/audit/chapter.sgml,v 1.33 2008/01/22 11:07:11 brueffer Exp $
-->
<!-- The FreeBSD Hungarian Documentation Project
Translated by: PALI, Gabor <pgj at FreeBSD.org>
- Original Revision: r1.31 -->
+ Original Revision: r1.33 -->
<chapter id="audit" lang="hu">
<chapterinfo>
@@ -33,55 +33,62 @@
<see>MAC</see>
</indexterm>
- <para>A &os; 6.2-RELEASE és az azóta megjelent verziók
- támogatják a biztonsági események
- aprólékos vizsgálatát. Ezzel egy
- megbízható, részletes és jól
- konfigurálható naplózási rendszert
- társítanak a rendszerben található
- biztonságot igénylõ események széles
- köréhez, beleértve a bejelentkezéseket, a
- konfigurációs állományokban
- bekövetkezõ változásokat, állomány-
- és hálózati hozzáféréseket. Az
- így létrehozott naplóbejegyzések
- felbecsülhetetlen értékûnek bizonyulhatnak egy
- élõ rendszer felügyelete során, vagy egy
- hálózati támadás
- észleléséhez, esetleg egy összeomlás
- okainak kielemezéséhez. A &os; ehhez a &sun; által
- kifejlesztett <acronym>BSM</acronym> technológia API-ját
- és állományformátumát
+ <para>A &os; 6.2-RELEASE és az azóta megjelent
+ verziók támogatják a biztonsági
+ események aprólékos
+ vizsgálatát. Ezzel egy megbízható,
+ részletes és jól konfigurálható
+ naplózási rendszert társítanak a
+ rendszerben található biztonságot
+ igénylõ események széles
+ köréhez, beleértve a bejelentkezéseket,
+ a konfigurációs állományokban
+ bekövetkezõ változásokat,
+ állomány- és hálózati
+ hozzáféréseket. Az így
+ létrehozott naplóbejegyzések
+ felbecsülhetetlen értékûnek bizonyulhatnak
+ egy élõ rendszer felügyelete során, vagy
+ egy hálózati támadás
+ észleléséhez, esetleg egy
+ összeomlás okainak kielemezéséhez. A
+ &os; ehhez a &sun; által kifejlesztett
+ <acronym>BSM</acronym> technológia API-ját és
+ állományformátumát
valósítja meg, és így képes
együttmûködni a &sun; &solaris; valamint az &apple;
&macos; X bizonsági rendszereivel egyaránt.</para>
<para>Ebben a fejezetben a biztonsági események
- vizsgálatának telepítéséhez és
- beállításához szükséges ismeretek
- tekintjük át. Ennek keretében szó esik a
- vizsgálati házirendekrõl, valamint mutatunk egy
+ vizsgálatának telepítéséhez
+ és beállításához
+ szükséges ismeretek tekintjük át. Ennek
+ keretében szó esik a vizsgálati
+ házirendekrõl, valamint mutatunk egy
példát a vizsgálatok
beállítására.</para>
- <para>A fejezet elolvasása során megismerjük:</para>
+ <para>A fejezet elolvasása során
+ megismerjük:</para>
<itemizedlist>
<listitem>
- <para>mit jelent az események vizsgálata és hogyan
- mûködik.</para>
+ <para>mit jelent az események vizsgálata és
+ hogyan mûködik</para>
</listitem>
<listitem>
<para>hogyan kell beállítani az események
- vizsgálatát &os;-n a különbözõ
- felhasználók és programok esetén.</para>
+ vizsgálatát &os;-n a
+ különbözõ felhasználók
+ és programok esetén</para>
</listitem>
<listitem>
- <para>hogyan értelmezzük egy vizsgálati nyomokat a
- vizsgálatot szûkítõ és -elemzõ
- segédprogramok segítségével.</para>
+ <para>hogyan értelmezzük egy vizsgálati
+ nyomokat a vizsgálatot szûkítõ és
+ -elemzõ segédprogramok
+ segítségével</para>
</listitem>
</itemizedlist>
@@ -89,56 +96,61 @@
<itemizedlist>
<listitem>
- <para>alapvetõ &unix;-os és &os;-s ismeretek
- (<xref linkend="basics">).</para>
+ <para>alapvetõ &unix;-os és &os;-s ismeretek (<xref
+ linkend="basics">)</para>
</listitem>
<listitem>
- <para>a rendszermag konfigurálásával és
- fordításával kapcsolatos tudnivalók
- alapszintû ismerete (<xref linkend="kernelconfig">).</para>
+ <para>a rendszermag konfigurálásával
+ és fordításával kapcsolatos
+ tudnivalók alapszintû ismerete (<xref
+ linkend="kernelconfig">)</para>
</listitem>
<listitem>
- <para>az informatikai biztonság alapfogalmainak és annak
- a &os;-re vonatkozó részleteinek minimális
- ismerete (<xref linkend="security">).</para>
+ <para>az informatikai biztonság alapfogalmainak és
+ annak a &os;-re vonatkozó részleteinek
+ minimális ismerete (<xref linkend="security">)</para>
</listitem>
</itemizedlist>
<warning>
- <para>A &os; 6.2-es verziójában jelenlevõ
- biztonsági vizsgálat még csak
- kísérleti jelleggel szerepel, éles
+ <para>A &os; 6.<replaceable>X</replaceable> verziójaiban
+ jelenlevõ biztonsági vizsgálat még
+ csak kísérleti jelleggel szerepel, éles
környezetben kizárólag csak az ilyen fajta
- szoftverekkel kapcsolatos kockázatok tudatában és
- elfogadásával javasolt használni. Ismert
- korlátozások: nem mindegyik biztonságot
- érintõ esemény vizsgálható, mint
- mondjuk az egyes bejelentkezési típusok, mivel azok nem
+ szoftverekkel kapcsolatos kockázatok tudatában
+ és elfogadásával javasolt használni.
+ Ismert korlátozások: nem mindegyik
+ biztonságot érintõ esemény
+ vizsgálható, mint mondjuk az egyes
+ bejelentkezési típusok, mivel azok nem
megfelelõen hitelesítik a belépõ
felhasználókat. Ilyenek például az
- X11-alapú felületek és az egyéb, erre a
- célra alkalmas, más által fejlesztett daemonok.
+ X11-alapú felületek és az egyéb, erre
+ a célra alkalmas, más által fejlesztett
+ démonok.</para>
</warning>
<warning>
- <para>A biztonsági események vizsgálata során
- a rendszer képes nagyon részletes naplókat
- készíteni az érintett
- tevékenységekrõl. Így egy kellõen
- forgalmas rendszeren az állománymozgások alapos
- nyomonkövetése bizonyos konfigurációkon
- akár gigabyte-okat is kitehet hetente. A
- rendszergazdáknak ezért mindig javasolt számolniuk
- a nagy forgalmú események biztonsági
- vizsgálatának tárigényével.
- Például, emiatt érdemes lehet egy egész
+ <para>A biztonsági események vizsgálata
+ során a rendszer képes nagyon részletes
+ naplókat készíteni az érintett
+ tevékenységekrõl. Így egy
+ kellõen forgalmas rendszeren az
+ állománymozgások alapos
+ nyomonkövetése bizonyos
+ konfigurációkon akár gigabájtokat is
+ kitehet hetente. A rendszergazdáknak ezért mindig
+ javasolt számolniuk a nagy forgalmú
+ események biztonsági vizsgálatának
+ tárigényével. Például,
+ emiatt érdemes lehet egy egész
állományrendszert szánni erre a feladatra a
- <filename>/var/audit</filename> könyvtárban, és
- így a többi állományrendszer nem látja
- kárát, ha véletlenül betelne ez a
- terület.</para>
+ <filename>/var/audit</filename> könyvtárban,
+ és így a többi állományrendszer
+ nem látja kárát, ha véletlenül
+ betelne ez a terület.</para>
</warning>
</sect1>
@@ -150,21 +162,24 @@
<itemizedlist>
<listitem>
- <para><emphasis>esemény:</emphasis> Vizsgálható
- eseménynek azt az eseményt nevezzük, amely egy
- vizsgálati alrendszerben naplózható.
- Biztonsági események lehetnek például:
- egy állomány létrehozása, egy
- hálózati kapcsolat felépítése,
- vagy egy felhasználó bejelentkezése. Egy
+ <para><emphasis>esemény:</emphasis>
+ Vizsgálható eseménynek azt az
+ eseményt nevezzük, amely egy vizsgálati
+ alrendszerben naplózható. Biztonsági
+ események lehetnek például: egy
+ állomány létrehozása, egy
+ hálózati kapcsolat
+ felépítése, vagy egy
+ felhasználó bejelentkezése. Egy
esemény <quote>jellegzetes</quote>, ha
visszakövethetõ valamelyik hitelesített
- felhasználóhoz, vagy <quote>nem jellegzetes</quote>,
- ha ez nem lehetséges. Nem jellegzetes események lehet
- például minden olyan esemény, amely egy
- bejelentkezési folyamat hitelesítési
- lépése elõtt történik, ilyenek a
- hibás jelszóval történõ
+ felhasználóhoz, vagy <quote>nem
+ jellegzetes</quote>, ha ez nem lehetséges. Nem
+ jellegzetes események lehet például
+ minden olyan esemény, amely egy bejelentkezési
+ folyamat hitelesítési lépése
+ elõtt történik, ilyenek a hibás
+ jelszóval történõ
belépési kísérletek.</para>
</listitem>
@@ -172,24 +187,26 @@
<para><emphasis>osztály:</emphasis>
Eseményosztálynak az összefüggõ
események névvel ellátott halmazát
- tekintjük, és szûrési feltételekben
- használjuk õket. Általában alkalmazott
- osztályok: <quote>file creation</quote> (fc,
- állománylétrehozás), <quote>exec</quote>
- (ex, programindítás), és
- <quote>login_logout</quote> (lo, ki- és
+ tekintjük, és szûrési
+ feltételekben használjuk õket.
+ Általában alkalmazott osztályok:
+ <quote>file creation</quote> (fc,
+ állománylétrehozás),
+ <quote>exec</quote> (ex, programindítás),
+ és <quote>login_logout</quote> (lo, ki- és
bejelentkezés).</para>
</listitem>
<listitem>
<para><emphasis>rekord:</emphasis> Rekordnak nevezzük a
biztonsági eseményeket leíró
- biztonsági naplóbejegyzéseket. A rekordok
- tartalmazhatják a feljegyzett esemény
- típusát, az eseményt kiváltó
- tevékenységet (felhasználót), a
- dátumot és az idõt, tetszõleges objektum
- vagy paraméter értékét, feltételek
+ biztonsági naplóbejegyzéseket. A
+ rekordok tartalmazhatják a feljegyzett esemény
+ típusát, az eseményt
+ kiváltó tevékenységet
+ (felhasználót), a dátumot és az
+ idõt, tetszõleges objektum vagy paraméter
+ értékét, feltételek
teljesülését vagy
meghiúsulását.</para>
</listitem>
@@ -197,57 +214,63 @@
<listitem>
<para><emphasis>nyom:</emphasis> Vizsgálati nyomnak vagy
naplóállománynak nevezzük a
- különféle biztonsági eseményeket
- leíró vizsgálati rekordok sorozatát. A
- nyomok többnyire nagyjából az események
- bekövetkezése szerinti idõrendben következnek.
- Csak és kizárólag az erre felhatalmazott
- programok hozhatnak létre rekordokat a vizsgálati
- nyomban.</para>
+ különféle biztonsági
+ eseményeket leíró vizsgálati
+ rekordok sorozatát. A nyomok többnyire
+ nagyjából az események
+ bekövetkezése szerinti idõrendben
+ következnek. Csak és kizárólag az
+ erre felhatalmazott programok hozhatnak létre
+ rekordokat a vizsgálati nyomban.</para>
</listitem>
<listitem>
<para><emphasis>szûrési feltétel:</emphasis>
Szûrési feltételnek nevezünk egy olyan
- sztringet, amelyet események szûrésére
- használunk, és módosítókat
- valamint eseményosztályok neveit tartalmazza.</para>
+ sztringet, amelyet események
+ szûrésére használunk, és
+ módosítókat valamint
+ eseményosztályok neveit tartalmazza.</para>
</listitem>
<listitem>
<para><emphasis>elõválogatás:</emphasis>
Elõválogatásnak nevezzük a folyamatot,
amelynek során a rendszer beazonosítja azokat az
- eseményeket, amelyek a rendszergazda számára
- fontosak. Ezáltal elkerülhetjük olyan
- vizsgálati rekordok generálását, amelyek
- számunkra érdektelen eseményekrõl
- számolnak be. Az elõválogatás
- szûrési feltételek sorát használja
- az adott felhasználókhoz tartozó adott
+ eseményeket, amelyek a rendszergazda
+ számára fontosak. Ezáltal
+ elkerülhetjük olyan vizsgálati rekordok
+ generálását, amelyek számunkra
+ érdektelen eseményekrõl számolnak
+ be. Az elõválogatás szûrési
+ feltételek sorát használja az adott
+ felhasználókhoz tartozó adott
biztonsági események vizsgálatának
beállításához, akárcsak a
- hitelesített és a nem hitelesített programokat
- értintõ globális beállítások
- meghatározásához.</para>
+ hitelesített és a nem hitelesített
+ programokat értintõ globális
+ beállítások
+ meghatározásához.</para>
</listitem>
<listitem>
<para><emphasis>leszûkítés:</emphasis>
- Leszûkítésnek nevezzük a folyamatot, amelynek
- során a már meglevõ biztonsági
- rekordokból válogatunk le tárolásra,
- nyomtatásra vagy elemzésre. Hasonlóan ez a
- folyamat, ahol a szükségtelen rekordokat
- eltávolítjuk a vizsgálatai nyomból. A
- leszûkítés segítségével a
- rendszergazdák a vizsgálati adatok
- eltárolására alakíthatnak ki
- házirendet. Például a részletesebb
- vizsgálati nyomokat érdemes egy hónapig
- megtartani, ennek lejártával viszont már
- inkább ajánlott leszûkíteni õket
- és archiválásra csak a bejelentkezési
+ Leszûkítésnek nevezzük a folyamatot,
+ amelynek során a már meglevõ
+ biztonsági rekordokból válogatunk le
+ tárolásra, nyomtatásra vagy
+ elemzésre. Hasonlóan ez a folyamat, ahol a
+ szükségtelen rekordokat eltávolítjuk
+ a vizsgálatai nyomból. A
+ leszûkítés
+ segítségével a rendszergazdák a
+ vizsgálati adatok eltárolására
+ alakíthatnak ki házirendet.
+ Például a részletesebb vizsgálati
+ nyomokat érdemes egy hónapig megtartani, ennek
+ lejártával viszont már inkább
+ ajánlott leszûkíteni õket és
+ archiválásra csak a bejelentkezési
információkat megtartani.</para>
</listitem>
</itemizedlist>
@@ -259,33 +282,36 @@
<para>A eseményvizsgálathoz szükséges
felhasználói programok a &os; alaprendszer
- részét képezik. A &os; 6.3 és
- késõbbi verzióiban az eseményvizsgálat
- támogatása alapértelmezés szerint
- megtalálható a rendszermagban, azonban a
- &os; 6.2-ben be kell kapcsolnunk a megfelelõ
+ részét képezik. A &os; 7.0 és
+ késõbbi verzióiban az
+ eseményvizsgálat támogatása
+ alapértelmezés szerint megtalálható a
+ rendszermagban, azonban a &os; 6.<replaceable>X</replaceable>
+ változataiban be kell kapcsolnunk a megfelelõ
támogatást, mégpedig a rendszermag
konfigurációs állományában az
alábbi sor hozzáadásával:</para>
<programlisting>options AUDIT</programlisting>
- <para>Fordítsuk és telepítsük újra a
- rendszermagot az <xref linkend="kernelconfig">ben ismertetett
+ <para>Fordítsuk és telepítsük újra
+ a rendszermagot az <xref linkend="kernelconfig">ben ismertetett
folyamat szerint.</para>
- <para>Ahogy a rendszermagot a bekapcsolt eseményvizsgálati
- támogatással sikerült lefordítanunk és
+ <para>Ahogy a rendszermagot a bekapcsolt
+ eseményvizsgálati támogatással
+ sikerült lefordítanunk és
telepítenünk, valamint a rendszerünk is
- újraindult, indítsuk el a vizsgáló daemont
- a következõ sor hozzáadásával a
- &man.rc.conf.5;-ban:</para>
+ újraindult, indítsuk el a vizsgáló
+ démont a következõ sor
+ hozzáadásával az &man.rc.conf.5;
+ állományban:</para>
<programlisting>auditd_enable="YES"</programlisting>
<para>A vizsgálatot innentõl ténylegesen egy
ismételt újraindítással vagy pedig az
- elõbb említett daemon manuális
+ elõbb említett démon manuális
elindításával aktiválhatjuk:</para>
<programlisting>/etc/rc.d/auditd start</programlisting>
@@ -297,9 +323,10 @@
<para>A vizsgálatok beállításához
szükséges összes konfigurációs
állomány a <filename
- class="directory">/etc/security</filename> könyvtárban
- található. A következõ állományok
- vannak itt a daemon indítása elõtt:</para>
+ class="directory">/etc/security</filename>
+ könyvtárban található. A
+ következõ állományok vannak itt a
+ démon indítása elõtt:</para>
<itemizedlist>
<listitem>
@@ -310,67 +337,73 @@
<listitem>
<para><filename>audit_control</filename> - a vizsgálati
alrendszer különbözõ területei
- vezérli, többek közt az alapértelmezett
- vizsgálati osztályokat, az vizsgálati adatok
- tárhelyén meghagyandó minimális
- lemezterület, a vizsgálati nyom maximális
- mérete, stb.</para>
+ vezérli, többek közt az
+ alapértelmezett vizsgálati osztályokat,
+ az vizsgálati adatok tárhelyén
+ meghagyandó minimális lemezterület, a
+ vizsgálati nyom maximális mérete,
+ stb.</para>
</listitem>
<listitem>
- <para><filename>audit_event</filename> - a rendszerben jelenlevõ
- vizsgálati események szöveges megnevezése
- és leírása, valamint a lista, hogy melyikük
- mely osztályban található.</para>
+ <para><filename>audit_event</filename> - a rendszerben
+ jelenlevõ vizsgálati események szöveges
+ megnevezése és leírása, valamint a
+ lista, hogy melyikük mely osztályban
+ található.</para>
</listitem>
<listitem>
<para><filename>audit_user</filename> -
felhasználónként változó
vizsgálati elvárások, kombinálva a
- bejelentkezéskor érvényes globálisan
- alapértelmezett beállításokkal.</para>
+ bejelentkezéskor érvényes
+ globálisan alapértelmezett
+ beállításokkal.</para>
</listitem>
<listitem>
<para><filename>audit_warn</filename> - az
<application>auditd</application> által használt
testreszabható shell szkript, aminek
- segítségével a szélsõséges
- helyzetekben figyelmeztetõ üzeneteket tudunk
- generálni, mint mondjuk amikor a rekordok
- számára fenntartott hely elfogyóban van, vagy
- amikor a nyomokat tartalmazó állományt
+ segítségével a
+ szélsõséges helyzetekben figyelmeztetõ
+ üzeneteket tudunk generálni, mint mondjuk amikor a
+ rekordok számára fenntartott hely
+ elfogyóban van, vagy amikor a nyomokat
+ tartalmazó állományt
archiváltuk.</para>
</listitem>
</itemizedlist>
<warning>
- <para>Az eseményvizsgálat konfigurációs
- állományait alapos körültekintés
- mellett szabad szerkeszteni és karbantartani, mivel a
- bennük keletkezõ hibák az események
- helytelen naplózását
- eredményezhetik.</para>
+ <para>Az eseményvizsgálat
+ konfigurációs állományait alapos
+ körültekintés mellett szabad szerkeszteni
+ és karbantartani, mivel a bennük keletkezõ
+ hibák az események helytelen
+ naplózását eredményezhetik.</para>
</warning>
<sect2>
<title>Eseményszûrési feltételek</title>
- <para>Az eseményvizsgálati beállítások
- során számtalan helyen felbukkanak a vizsgálni
- kívánt eseményeket meghatározó
- szûrési feltételek. Ezen feltételek
+ <para>Az eseményvizsgálati
+ beállítások során számtalan
+ helyen felbukkanak a vizsgálni kívánt
+ eseményeket meghatározó szûrési
+ feltételek. Ezen feltételek
eseményosztályok felsorolását
tartalmazzák, mindegyiküket egy
- módosító vezeti be, ezzel jelezve, hogy az adott
- eseményosztályba tartozó rekordokat tartsuk meg
- vagy vessük el. Esetleg utalhatnak arra is, hogy vagy csak a
- sikerességet jelzõ rekordokat, vagy csak a
- sikertelenséget jelzõ rekordokat szûrjük ki.
- A szûrési feltételek balról jobbra
- értékelõdnek ki, és két
- kifejezés összefûzéssel
+ módosító vezeti be, ezzel jelezve, hogy az
+ adott eseményosztályba tartozó rekordokat
+ tartsuk meg vagy vessük el. Esetleg utalhatnak arra is,
+ hogy vagy csak a sikerességet jelzõ rekordokat, vagy
+ csak a sikertelenséget jelzõ rekordokat
+ szûrjük ki. A szûrési feltételek
+ balról jobbra értékelõdnek ki,
+ és két kifejezés
+ összefûzéssel
kombinálható.</para>
<para>A most következõ lista tartalmazza a
@@ -380,8 +413,8 @@
<itemizedlist>
<listitem>
- <para><literal>all</literal> - <emphasis>all (mind)</emphasis> -
- Minden eseményosztályra vonatkozik.</para>
+ <para><literal>all</literal> - <emphasis>all (mind)</emphasis>
+ - Minden eseményosztályra vonatkozik.</para>
</listitem>
<listitem>
@@ -401,8 +434,8 @@
<listitem>
<para><literal>cl</literal> - <emphasis>file close
- (állomány lezárása)</emphasis> - a
- <function>close</function> rendszerhívás
+ (állomány lezárása)</emphasis> -
+ a <function>close</function> rendszerhívás
meghívásának vizsgálata.</para>
</listitem>
@@ -410,9 +443,10 @@
<para><literal>ex</literal> - <emphasis>exec
(programindítás)</emphasis> - egy program
indításának vizsgálata. A
- parancssorban átadott paraméterek és
- a környezeti változók vizsgálatát
- a &man.audit.control.5; vezérli a <literal>policy</literal>
+ parancssorban átadott paraméterek és a
+ környezeti változók
+ vizsgálatát az &man.audit.control.5;
+ vezérli a <literal>policy</literal>
beállításhoz tartozó
<literal>argv</literal> és <literal>envv</literal>
paraméterek segítségével.</para>
@@ -421,17 +455,19 @@
<listitem>
<para><literal>fa</literal> - <emphasis>file attribute access
(állományjellemzõk
- hozzáférése)</emphasis> - a rendszerbeli
- objektumok jellemzõinek hozzáférésnek
- vizsgálata, mint pl. a &man.stat.1;, &man.pathconf.2;
- és ehhez hasonló események.</para>
+ hozzáférése)</emphasis> - a
+ rendszerbeli objektumok jellemzõinek
+ hozzáférésnek vizsgálata, mint
+ pl. a &man.stat.1;, &man.pathconf.2; és ehhez
+ hasonló események.</para>
</listitem>
<listitem>
<para><literal>fc</literal> - <emphasis>file create
- (állomány létrehozása)</emphasis> -
- állományt eredményezõ események
- vizsgálata.</para>
+ (állomány
+ létrehozása)</emphasis> -
+ állományt eredményezõ
+ események vizsgálata.</para>
</listitem>
<listitem>
@@ -446,45 +482,48 @@
(állományjellemzõk
módosítása)</emphasis> -
állományok jellemzõit
- megváltoztató események vizsgálata,
- mint mondjuk a &man.chown.8;, &man.chflags.1;, &man.flock.2;,
- stb.</para>
+ megváltoztató események
+ vizsgálata, mint mondjuk a &man.chown.8;,
+ &man.chflags.1;, &man.flock.2;, stb.</para>
</listitem>
<listitem>
- <para><literal>fr</literal> - <emphasis>file read
+ <para><literal>fr</literal> - <emphasis>file read
(állományolvasás)</emphasis> -
- állományok olvasásra történõ
- megnyitásával, olvasásával,
- stb. kapcsolatos események vizsgálata.</para>
+ állományok olvasásra
+ történõ megnyitásával,
+ olvasásával, stb. kapcsolatos
+ események vizsgálata.</para>
</listitem>
<listitem>
- <para><literal>fw</literal> - <emphasis>file write
+ <para><literal>fw</literal> - <emphasis>file write
(állományírás)</emphasis> -
állományok írásra
történõ megnyitásával,
írásával,
- módosításával, stb. kapcsolatos
+ módosításával, stb. kapcsolatos
események vizsgálata.</para>
</listitem>
<listitem>
- <para><literal>io</literal> - <emphasis>ioctl</emphasis> - a
- &man.ioctl.2; rendszerhívást használó
- események vizsgálata.</para>
+ <para><literal>io</literal> - <emphasis>ioctl</emphasis> - az
+ &man.ioctl.2; rendszerhívást
+ használó események
+ vizsgálata.</para>
</listitem>
<listitem>
- <para><literal>ip</literal> - <emphasis>ipc</emphasis> - a folyamatok
- közti kommunikáció különféle
- formáinak, beleértve a POSIX csövek és
- System V <acronym>IPC</acronym> mûveleteinek
+ <para><literal>ip</literal> - <emphasis>ipc</emphasis> - a
+ folyamatok közti kommunikáció
+ különféle formáinak,
+ beleértve a POSIX csövek és System V
+ <acronym>IPC</acronym> mûveleteinek
vizsgálata.</para>
</listitem>
<listitem>
- <para><literal>lo</literal> - <emphasis>login_logout (ki-
+ <para><literal>lo</literal> - <emphasis>login_logout (ki-
és bejelentkezés)</emphasis> - a rendszerben
megjelenõ &man.login.1; és &man.logout.1;
események vizsgálata.</para>
@@ -499,27 +538,29 @@
<listitem>
<para><literal>no</literal> - <emphasis>invalid class
(érvénytelen osztály)</emphasis> -
- egyetlen biztonsági eseményt sem tartalmaz.</para>
+ egyetlen biztonsági eseményt sem
+ tartalmaz.</para>
</listitem>
<listitem>
- <para><literal>nt</literal> - <emphasis>network
- (hálózat)</emphasis> - a hálózathoz
- tartozó események vizsgálata, mint pl. a
- &man.connect.2; és &man.accept.2;.</para>
+ <para><literal>nt</literal> - <emphasis>network
+ (hálózat)</emphasis> - a
+ hálózathoz tartozó események
+ vizsgálata, mint pl. a &man.connect.2; és
+ &man.accept.2;.</para>
</listitem>
<listitem>
- <para><literal>ot</literal> - <emphasis>other
+ <para><literal>ot</literal> - <emphasis>other
(egyéb)</emphasis> - más egyéb
események vizsgálata.</para>
</listitem>
<listitem>
- <para><literal>pc</literal> - <emphasis>process
- (folyamat)</emphasis> - a folyamatokkal kapcsolatos mûveletek,
- mint például a &man.exec.3; és &man.exit.3;
- vizsgálata.</para>
+ <para><literal>pc</literal> - <emphasis>process
+ (folyamat)</emphasis> - a folyamatokkal kapcsolatos
+ mûveletek, mint például az &man.exec.3;
+ és &man.exit.3; vizsgálata.</para>
</listitem>
</itemizedlist>
@@ -531,16 +572,16 @@
<para>A listában szereplõ minden egyes
eseményosztályhoz tartozik még egy
- módosító is, amely jelzi, hogy a sikeres vagy a
- sikertelen mûveleteket kell-e szûrnünk, valamint hogy a
- bejegyzés az adott típust vagy osztályt
- hozzáadja vagy elveszi az adott
+ módosító is, amely jelzi, hogy a sikeres
+ vagy a sikertelen mûveleteket kell-e szûrnünk,
+ valamint hogy a bejegyzés az adott típust vagy
+ osztályt hozzáadja vagy elveszi az adott
szûrésbõl.</para>
<itemizedlist>
<listitem>
- <para>(üres) az adott típusból mind a sikereseket
- és mind a sikerteleneket feljegyzi.</para>
+ <para>(üres) az adott típusból mind a
+ sikereseket és mind a sikerteleneket feljegyzi.</para>
</listitem>
<listitem>
@@ -551,24 +592,26 @@
<listitem>
<para><literal>-</literal> az eseményosztályba
- tartozó sikertelen eseményeket vizsgálja
- csak.</para>
+ tartozó sikertelen eseményeket
+ vizsgálja csak.</para>
</listitem>
<listitem>
- <para><literal>^</literal> az eseményosztályból
- sem a sikereseket, sem pedig a sikerteleneket nem
- vizsgálja.</para>
+ <para><literal>^</literal> az
+ eseményosztályból sem a sikereseket, sem
+ pedig a sikerteleneket nem vizsgálja.</para>
</listitem>
<listitem>
- <para><literal>^+</literal> az eseményosztályból
- nem vizsgálja a sikeres eseményeket.</para>
+ <para><literal>^+</literal> az
+ eseményosztályból nem vizsgálja a
+ sikeres eseményeket.</para>
</listitem>
<listitem>
- <para><literal>^-</literal> az eseményosztályból
- nem vizsgálja a sikertelen eseményeket.</para>
+ <para><literal>^-</literal> az
+ eseményosztályból nem vizsgálja a
+ sikertelen eseményeket.</para>
</listitem>
</itemizedlist>
@@ -582,7 +625,8 @@
</sect2>
<sect2>
- <title>A konfigurációs állományok</title>
+ <title>A konfigurációs
+ állományok</title>
<para>A vizsgálati rendszer
beállításához az esetek
@@ -592,18 +636,21 @@
<filename>audit_control</filename> és az
<filename>audit_user</filename>. Az elõbbi felelõs a
rendszerszintû vizsgálati jellemzõkért
- és házirendekért, míg az utóbbi az
- igények felhasználókénti
- finomhangolásához használható.</para>
+ és házirendekért, míg az
+ utóbbi az igények
+ felhasználókénti
+ finomhangolásához
+ használható.</para>
<sect3 id="audit-auditcontrol">
- <title>Az <filename>audit_control</filename>
+ <title>Az <filename>audit_control</filename>
állomány</title>
- <para>Az <filename>audit_control</filename> állomány
- határozza meg a vizsgálati alrendszer
- alapértelmezéseit. Ezt az állományt
- megnyitva a következõket láthatjuk:</para>
+ <para>Az <filename>audit_control</filename>
+ állomány határozza meg a vizsgálati
+ alrendszer alapértelmezéseit. Ezt az
+ állományt megnyitva a következõket
+ láthatjuk:</para>
<programlisting>dir:/var/audit
flags:lo
@@ -613,68 +660,74 @@
filesz:0</programlisting>
<para>A <option>dir</option> opciót használjuk a
- vizsgálati naplók tárolására
- szolgáló egy vagy több könyvtár
- megadására. Ha egynél több
- könyvtárra vonatkozó bejegyzés
- található az állományban, akkor azok a
- megadás sorrendjében kerülnek
- feltöltésre. Nagyon gyakori az a
- beállítás, ahol a vizsgálati
- naplókat egy erre a célra külön
- kialakított állományrendszeren
- tárolják, megelõzve ezzel az
- állományrendszer betelésekor keletkezõ
- problémákat a többi alrendszerben.</para>
+ vizsgálati naplók
+ tárolására szolgáló egy
+ vagy több könyvtár megadására.
+ Ha egynél több könyvtárra
+ vonatkozó bejegyzés található az
+ állományban, akkor azok a megadás
+ sorrendjében kerülnek feltöltésre.
+ Nagyon gyakori az a beállítás, ahol a
+ vizsgálati naplókat egy erre a célra
+ külön kialakított
+ állományrendszeren tárolják,
+ megelõzve ezzel az állományrendszer
+ betelésekor keletkezõ problémákat a
+ többi alrendszerben.</para>
<para>A <option>flags</option> mezõ egy rendszerszintû
- alapértelmezett elõválogatási maszkot
- határoz meg a jellegzetes események
- számára. A fenti példában a sikeres
- és sikertelen ki- és bejelentkezéseket mindegyik
- felhasználó esetén vizsgáljuk.</para>
+ alapértelmezett elõválogatási
+ maszkot határoz meg a jellegzetes események
+ számára. A fenti példában a
+ sikeres és sikertelen ki- és
+ bejelentkezéseket mindegyik felhasználó
+ esetén vizsgáljuk.</para>
<para>A <option>minfree</option> opció megszabja a
- vizsgálati nyom tárolására szánt
- állományrendszeren a minimális szabad helyet,
- a teljes kapacitás százalékában. Amint
- ezt a küszöböt túllépjük, egy
+ vizsgálati nyom tárolására
+ szánt állományrendszeren a
+ minimális szabad helyet, a teljes kapacitás
+ százalékában. Amint ezt a
+ küszöböt túllépjük, egy
figyelmeztetés fog generálódni. A fenti
példa a minimálisan szükséges
rendelkezésre álló helyet húsz
százalékra állítja.</para>
<para>A <option>naflags</option> opció megadja azokat az
- eseményosztályokat, amelyeket vizsgálni kell a
- nem jellegzetes események, mind mondjuk a
- bejelentkezési folyamatok vagy rendszerdaemonok
+ eseményosztályokat, amelyeket vizsgálni
+ kell a nem jellegzetes események, mind mondjuk a
+ bejelentkezési folyamatok vagy rendszerdémonok
esetén.</para>
<para>A <option>policy</option> opció a vizsgálat
különbözõ szempontjait
irányító házirendbeli
- beállítások vesszõvel elválasztott
- listáját tartalmazza. Az alapértelmezett
- <literal>cnt</literal> beállítás azt adja meg,
- hogy a rendszer a felmerülõ vizsgálati hibák
+ beállítások vesszõvel
+ elválasztott listáját tartalmazza. Az
+ alapértelmezett <literal>cnt</literal>
+ beállítás azt adja meg, hogy a rendszer a
+ felmerülõ vizsgálati hibák
ellenére is folytassa tovább a
mûködését (erõsen javasolt a
használata). A másik gyakorta alkalmazott
- beállítás az <literal>argv</literal>, amellyel a
- rendszer a parancsvégrehajtás részeként
- az &man.execve.2; rendszerhívás parancssori
- paramétereit is megvizsgálja.</para>
+ beállítás az <literal>argv</literal>,
+ amellyel a rendszer a parancsvégrehajtás
+ részeként az &man.execve.2;
+ rendszerhívás parancssori paramétereit is
+ megvizsgálja.</para>
- <para>A <option>filesz</option> opció meghatározza a
- vizsgálati nyom automatikus szétvágása
- és archiválása elõtti maximális
- méretét, byte-ban. Az alapértelmezett
- értéke a 0, amely kikapcsolja ezt az
- archiválást. Ha az itt megadott
- állományméret nem nulla és a
- minimálisan elvárt 512 kb alatt van, akkor a rendszer
- figyelmen kívül hagyja és errõl egy
- figyelmeztetést ad.</para>
+ <para>A <option>filesz</option> opció meghatározza
+ a vizsgálati nyom automatikus
+ szétvágása és
+ archiválása elõtti maximális
+ méretét, bájtban. Az
+ alapértelmezett értéke a 0, amely
+ kikapcsolja ezt az archiválást. Ha az itt
+ megadott állományméret nem nulla
+ és a minimálisan elvárt 512 kb alatt van,
+ akkor a rendszer figyelmen kívül hagyja és
+ errõl egy figyelmeztetést ad.</para>
</sect3>
<sect3 id="audit-audituser">
@@ -682,33 +735,38 @@
állomány</title>
<para>Az <filename>audit_user</filename> állomány
- lehetõvé teszi a rendszergazda számára,
- hogy az egyes felhasználók számára
+ lehetõvé teszi a rendszergazda
+ számára, hogy az egyes
+ felhasználók számára
további vizsgálati szigorításokat
- határozzon meg. Minden sor egy-egy felhasználó
- vizsgálatának pontosítását adja
- meg két mezõ segítségével: az
- elsõ közülük az <literal>alwaysaudit</literal>
- mezõ, mely felsorolja azokat az eseményeket, amelyeket
- minden esetben vizsgáni kell az adott
- felhasználó esetén, valamint a második a
- <literal>neveraudit</literal> mezõ, mely az adott
- felhasználó esetén a nem
+ határozzon meg. Minden sor egy-egy
+ felhasználó vizsgálatának
+ pontosítását adja meg két
+ mezõ segítségével: az elsõ
+ közülük az <literal>alwaysaudit</literal>
+ mezõ, mely felsorolja azokat az eseményeket,
+ amelyeket minden esetben vizsgáni kell az adott
+ felhasználó esetén, valamint a
+ második a <literal>neveraudit</literal> mezõ, mely
+ az adott felhasználó esetén a nem
vizsgálandó eseményeket adja meg.</para>
<para>A most következõ <filename>audit_user</filename>
- példában vizsgáljuk a <username>root</username>
- felhasználó ki/bejelentkezéseit és
- sikeres programindításait, valamint a
+ példában vizsgáljuk a
+ <username>root</username> felhasználó
+ ki/bejelentkezéseit és sikeres
+ programindításait, valamint a
+ <username>www</username> felhasználó
+ állománylétrehozásait és
+ sikeres programindításait. Ha a korábban
+ bemutatott <filename>audit_control</filename>
+ példával együtt használjuk, akkor
+ észrevehetjük, hogy a <literal>lo</literal>
+ bejegyzés a <username>root</username>
+ felhasználó esetén redundáns,
+ illetve ilyenkor a ki/bejelentkezést a
<username>www</username> felhasználó
- állománylétrehozásait és sikeres
- programindításait. Ha a korábban bemutatott
>>> TRUNCATED FOR MAIL (1000 lines) <<<
More information about the p4-projects
mailing list