PERFORCE change 141099 for review
Gabor Pali
pgj at FreeBSD.org
Sat May 3 19:48:01 UTC 2008
http://perforce.freebsd.org/chv.cgi?CH=141099
Change 141099 by pgj at disznohal on 2008/05/03 19:47:40
Cleanup in Chapter 17.
Affected files ...
.. //depot/projects/docproj_hu/books/handbook/audit/chapter.sgml#8 edit
Differences ...
==== //depot/projects/docproj_hu/books/handbook/audit/chapter.sgml#8 (text+ko) ====
@@ -5,7 +5,7 @@
<!-- The FreeBSD Hungarian Documentation Project
Translated by: PALI, Gabor <pgj at FreeBSD.org>
- Original Revision: r1.33 -->
+ Original Revision: 1.33 -->
<chapter id="audit" lang="hu">
<chapterinfo>
@@ -34,7 +34,7 @@
<see>MAC</see>
</indexterm>
- <para>A &os; 6.2-RELEASE és az azóta megjelent
+ <para>A &os; 6.2-RELEASE és az azóta megjelent
verziók támogatják a biztonsági
események aprólékos
vizsgálatát. Ezzel egy megbízható,
@@ -58,7 +58,7 @@
állományformátumát
valósítja meg, és így képes
együttmûködni a &sun; &solaris; valamint az &apple;
- &macos; X bizonsági rendszereivel egyaránt.</para>
+ &macos; X bizonsági rendszereivel egyaránt.</para>
<para>Ebben a fejezetben a biztonsági események
vizsgálatának telepítéséhez
@@ -75,21 +75,21 @@
<itemizedlist>
<listitem>
<para>mit jelent az események vizsgálata és
- hogyan mûködik</para>
+ hogyan mûködik;</para>
</listitem>
<listitem>
<para>hogyan kell beállítani az események
vizsgálatát &os;-n a
különbözõ felhasználók
- és programok esetén</para>
+ és programok esetén;</para>
</listitem>
<listitem>
<para>hogyan értelmezzük a vizsgálati
nyomokat a vizsgálatot szûkítõ
és -elemzõ segédprogramok
- segítségével</para>
+ segítségével.</para>
</listitem>
</itemizedlist>
@@ -98,38 +98,40 @@
<itemizedlist>
<listitem>
<para>alapvetõ &unix;-os és &os;-s ismeretek (<xref
- linkend="basics">)</para>
+ linkend="basics">);</para>
</listitem>
<listitem>
<para>a rendszermag konfigurálásával
és fordításával kapcsolatos
tudnivalók alapszintû ismerete (<xref
- linkend="kernelconfig">)</para>
+ linkend="kernelconfig">);</para>
</listitem>
<listitem>
<para>az informatikai biztonság alapfogalmainak és
annak a &os;-re vonatkozó részleteinek
- minimális ismerete (<xref linkend="security">)</para>
+ minimális ismerete (<xref linkend="security">).</para>
</listitem>
</itemizedlist>
<warning>
- <para>A &os; 6.<replaceable>X</replaceable> verziójaiban
- jelenlevõ biztonsági vizsgálat még
- csak kísérleti jelleggel szerepel, éles
- környezetben kizárólag csak az ebbõl
- eredõ kockázatok tudatában és
+ <para>A &os; 6.<replaceable>X</replaceable>
+ verziójaiban jelenlevõ biztonsági
+ vizsgálat még csak kísérleti
+ jelleggel szerepel, éles környezetben
+ kizárólag csak az ebbõl eredõ
+ kockázatok tudatában és
elfogadásával javasolt használni. Ismert
korlátozások: nem mindegyik biztonságot
érintõ esemény vizsgálható,
- mint mondjuk az egyes bejelentkezési típusok,
- mivel azok nem megfelelõen hitelesítik a
- belépõ felhasználókat. Ilyenek
- például az X11-alapú felületek
- és az egyéb, erre a célra alkalmas,
- más által fejlesztett démonok.</para>
+ mint például az egyes bejelentkezési
+ típusok, mivel azok nem megfelelõen
+ hitelesítik a belépõ
+ felhasználókat. Ilyenek például az
+ X11-alapú felületek és az egyéb, erre
+ a célra alkalmas, más által fejlesztett
+ démonok.</para>
</warning>
<warning>
@@ -140,7 +142,7 @@
kellõen forgalmas rendszeren az
állománymozgások alapos
nyomonkövetése bizonyos
- konfigurációkon akár gigabájtokat is
+ konfigurációkon akár gigabyte-okat is
kitehet hetente. A rendszergazdáknak ezért mindig
javasolt számolniuk a nagy forgalmú
események biztonsági vizsgálatának
@@ -175,12 +177,12 @@
visszakövethetõ valamelyik hitelesített
felhasználóhoz, vagy <quote>nem
jellegzetes</quote>, ha ez nem lehetséges. Nem
- jellegzetes esemény lehet például
- minden olyan esemény, amely egy bejelentkezési
- folyamat hitelesítési lépése
- elõtt történik, ilyenek a hibás
- jelszóval történõ
- belépési kísérletek.</para>
+ jellegzetes esemény lehet minden olyan esemény,
+ amely egy bejelentkezési folyamat
+ hitelesítési lépése elõtt
+ történik, például egy
+ belépési kísérlet hibás
+ jelszóval.</para>
</listitem>
<listitem>
@@ -188,7 +190,7 @@
Eseményosztálynak az összefüggõ
események névvel ellátott halmazát
tekintjük, és szûrési
- feltételekben használjuk õket.
+ feltételekben használjuk ezeket.
Általában alkalmazott osztályok:
<quote>file creation</quote> (fc,
állománylétrehozás),
@@ -269,7 +271,7 @@
Például a részletesebb vizsgálati
nyomokat érdemes egy hónapig megtartani, ennek
lejártával viszont már inkább
- ajánlott leszûkíteni õket és
+ ajánlott leszûkíteni ezeket és
archiválásra csak a bejelentkezési
információkat megtartani.</para>
</listitem>
@@ -315,6 +317,7 @@
elindításával aktiválhatjuk:</para>
<programlisting>/etc/rc.d/auditd start</programlisting>
+
</sect1>
<sect1 id="audit-config">
@@ -323,10 +326,10 @@
<para>A vizsgálatok beállításához
szükséges összes konfigurációs
állomány a <filename
- class="directory">/etc/security</filename>
- könyvtárban található. A
- következõ állományok vannak itt a
- démon indítása elõtt:</para>
+ class="directory">/etc/security</filename> könyvtárban
+ található. A következõ
+ állományok vannak itt a démon
+ indítása elõtt:</para>
<itemizedlist>
<listitem>
@@ -347,10 +350,10 @@
<listitem>
<para><filename>audit_event</filename> - a rendszerben
- jelenlevõ vizsgálati események szöveges
- megnevezése és leírása, valamint a
- lista, hogy melyikük mely osztályban
- található.</para>
+ jelenlevõ vizsgálati események
+ szöveges megnevezése és
+ leírása, valamint a lista, hogy melyikük
+ mely osztályban található.</para>
</listitem>
<listitem>
@@ -368,10 +371,11 @@
testreszabható shell szkript, aminek
segítségével a
szélsõséges helyzetekben figyelmeztetõ
- üzeneteket tudunk generálni, mint mondjuk amikor a
- rekordok számára fenntartott hely hamarosan
- elfogy, vagy amikor a nyomokat tartalmazó
- állományt archiváltuk.</para>
+ üzeneteket tudunk generálni, mint
+ például amikor a rekordok számára
+ fenntartott hely hamarosan elfogy, vagy amikor a nyomokat
+ tartalmazó állományt
+ archiváltuk.</para>
</listitem>
</itemizedlist>
@@ -457,8 +461,8 @@
hozzáférése)</emphasis> - a
rendszerbeli objektumok jellemzõinek
hozzáférésnek vizsgálata, mint
- pl. a &man.stat.1;, &man.pathconf.2; és ehhez
- hasonló események.</para>
+ például a &man.stat.1;, &man.pathconf.2;
+ és ehhez hasonló események.</para>
</listitem>
<listitem>
@@ -482,25 +486,23 @@
módosítása)</emphasis> -
állományok jellemzõit
megváltoztató események
- vizsgálata, mint mondjuk a &man.chown.8;,
- &man.chflags.1;, &man.flock.2;, stb.</para>
+ vizsgálata, mint például a
+ &man.chown.8;, &man.chflags.1;, &man.flock.2;, stb.</para>
</listitem>
<listitem>
<para><literal>fr</literal> - <emphasis>file read
(állományolvasás)</emphasis> -
- állományok olvasásra
- történõ megnyitásával,
- olvasásával, stb. kapcsolatos
- események vizsgálata.</para>
+ állományok megnyitásával
+ olvasásra, olvasásával, stb.
+ kapcsolatos események vizsgálata.</para>
</listitem>
<listitem>
<para><literal>fw</literal> - <emphasis>file write
(állományírás)</emphasis> -
- állományok írásra
- történõ megnyitásával,
- írásával,
+ állományok megnyitásával
+ írásra, írásával,
módosításával, stb. kapcsolatos
események vizsgálata.</para>
</listitem>
@@ -545,8 +547,8 @@
<para><literal>nt</literal> - <emphasis>network
(hálózat)</emphasis> - a
hálózathoz tartozó események
- vizsgálata, mint pl. a &man.connect.2; és az
- &man.accept.2;.</para>
+ vizsgálata, mint például a
+ &man.connect.2; és az &man.accept.2;.</para>
</listitem>
<listitem>
@@ -580,7 +582,8 @@
<itemizedlist>
<listitem>
<para>(üres) az adott típusból mind a
- sikereseket és mind a sikerteleneket feljegyzi.</para>
+ sikereseket és mind a sikerteleneket
+ feljegyzi.</para>
</listitem>
<listitem>
@@ -597,30 +600,32 @@
<listitem>
<para><literal>^</literal> az
- eseményosztályból sem a sikereseket, sem
- pedig a sikerteleneket nem vizsgálja.</para>
+ eseményosztályból sem a sikereseket,
+ sem pedig a sikerteleneket nem vizsgálja.</para>
</listitem>
<listitem>
<para><literal>^+</literal> az
- eseményosztályból nem vizsgálja a
- sikeres eseményeket.</para>
+ eseményosztályból nem vizsgálja
+ a sikeres eseményeket.</para>
</listitem>
<listitem>
<para><literal>^-</literal> az
- eseményosztályból nem vizsgálja a
- sikertelen eseményeket.</para>
+ eseményosztályból nem vizsgálja
+ a sikertelen eseményeket.</para>
</listitem>
</itemizedlist>
<para>Az alábbi példa egy olyan szûrési
- feltételt mutat be, amely a ki- és bejelentkezések
- közül megadja a sikereset és a sikerteleneket,
- viszont a programindítások közül csak a
+ feltételt mutat be, amely a ki- és
+ bejelentkezések közül megadja a sikereset
+ és a sikerteleneket, viszont a
+ programindítások közül csak a
sikereseket:</para>
<programlisting>lo,+ex</programlisting>
+
</sect2>
<sect2>
@@ -646,10 +651,10 @@
állomány</title>
<para>Az <filename>audit_control</filename>
- állomány határozza meg a vizsgálati
- alrendszer alapértelmezéseit. Ezt az
- állományt megnyitva a következõket
- láthatjuk:</para>
+ állomány határozza meg a
+ vizsgálati alrendszer alapértelmezéseit.
+ Ezt az állományt megnyitva a
+ következõket láthatjuk:</para>
<programlisting>dir:/var/audit
flags:lo
@@ -695,9 +700,9 @@
<para>A <option>naflags</option> opció megadja azokat az
eseményosztályokat, amelyeket vizsgálni
- kell a nem jellegzetes események, mind mondjuk a
- bejelentkezési folyamatok vagy rendszerdémonok
- esetén.</para>
+ kell a nem jellegzetes események, mind
+ például a bejelentkezési folyamatok vagy
+ rendszerdémonok esetén.</para>
<para>A <option>policy</option> opció a vizsgálat
különbözõ szempontjait
@@ -716,17 +721,18 @@
rendszerhívás parancssori paramétereit is
megvizsgálja.</para>
- <para>A <option>filesz</option> opció határozza meg
- a vizsgálati nyom automatikus
+ <para>A <option>filesz</option> opció határozza
+ meg a vizsgálati nyom automatikus
szétvágása és
archiválása elõtti maximális
- méretét, bájtban. Az
- alapértelmezett értéke a 0, amely
- kikapcsolja ezt az archiválást. Ha az itt
- megadott állományméret nem nulla
- és a minimálisan elvárt 512 KB alatt van,
- akkor a rendszer figyelmen kívül hagyja és
+ méretét, byte-ban. Az alapértelmezett
+ értéke a 0, amely kikapcsolja ezt az
+ archiválást. Ha az itt megadott
+ állományméret nem nulla és a
+ minimálisan elvárt 512 KB alatt van, akkor
+ a rendszer figyelmen kívül hagyja és
errõl egy figyelmeztetést ad.</para>
+
</sect3>
<sect3 id="audit-audituser">
@@ -752,8 +758,8 @@
<para>A most következõ <filename>audit_user</filename>
példában vizsgáljuk a
- <username>root</username> felhasználó
- ki- és bejelentkezéseit és sikeres
+ <username>root</username> felhasználó ki-
+ és bejelentkezéseit és sikeres
programindításait, valamint a
<username>www</username> felhasználó
állománylétrehozásait és
@@ -769,6 +775,7 @@
<programlisting>root:lo,+ex:no
www:fc,+ex:no</programlisting>
+
</sect3>
</sect2>
</sect1>
@@ -805,7 +812,7 @@
szövegesen egy adott vizsgálati napló teljes
tartalmát:</para>
- <screen>&prompt.root; <userinput>praudit /var/audit/AUDITFILE</userinput></screen>
+ <screen>&prompt.root; <userinput>praudit /var/audit/<replaceable>AUDITFILE</replaceable></userinput></screen>
<para>ahol az
<filename><replaceable>AUDITFILE</replaceable></filename> a
@@ -815,9 +822,10 @@
összeállított vizsgálati rekordok,
amelyeket a <command>praudit</command> egymás után
soronként megjelenít. Minden token adott
- típusú, pl. a <literal>header</literal> egy
- vizsgálati rekord fejlécét tartalmazza,
- vagy a <literal>path</literal>, amely a
+ típusú, például a
+ <literal>header</literal> egy vizsgálati rekord
+ fejlécét tartalmazza, vagy a
+ <literal>path</literal>, amely a
névfeloldásból származó
elérési utat tartalmaz. A következõ
példa egy <literal>execve</literal> eseményt mutat
@@ -869,6 +877,7 @@
Végezetül a <literal>return</literal> token jelzi a
sikeres végrehajtást, és a
<literal>trailer</literal> pedig zárja a rekordot.</para>
+
</sect2>
<sect2>
@@ -882,13 +891,14 @@
adott felhasználóhoz tartozó rekordok
kiválogatására:</para>
- <screen>&prompt.root; <userinput>auditreduce -u trhodes /var/audit/AUDITFILE | praudit</userinput></screen>
+ <screen>&prompt.root; <userinput>auditreduce -u trhodes <replaceable>/var/audit/AUDITFILE</replaceable> | praudit</userinput></screen>
<para>Ezzel ki tudjuk szûrni a <username>trhodes</username>
nevû felhasználóhoz tartozó
összes vizsgálati rekordot az
<filename><replaceable>AUDITFILE</replaceable></filename>
állományból.</para>
+
</sect2>
<sect2>
@@ -911,6 +921,7 @@
és folyamatok viselkedésére,
ajánlott körültekintõen kiosztani az
olvasási jogokat.</para>
+
</sect2>
<sect2>
@@ -926,8 +937,8 @@
Ez az elsõdleges célja a
különbözõ betörésfigyelõ
és rendszerfelügyeleti eszközök
- készítõinek. Azonban a rendszergazda
- számára a vizsgálati csövek
+ készítõinek. A rendszergazda
+ számára azonban a vizsgálati csövek
megkönnyítik az élõ megfigyelést,
mert itt nem merülnek fel a nyomok
jogosultságaiból vagy az archiválás
@@ -952,8 +963,8 @@
<programlisting>add path 'auditpipe*' mode 0440 group audit</programlisting>
<para>A devfs állományrendszer
- beállításárõl bõvebben ld.
- a &man.devfs.rules.5; oldalt.</para>
+ beállításárõl bõvebben
+ lásd a &man.devfs.rules.5; oldalt.</para>
<warning>
<para>Könnyen gerjedést lehet elõidézni
@@ -961,19 +972,20 @@
megfigyelésével, amikor is az egyes
események megtekintése újabb
vizsgálandó események sorozatát
- indítják el. Mondjuk, ha az összes
- hálózati forgalmat egyszerre vizsgáljuk
- és a &man.praudit.1; egy SSH-munkameneten
- keresztül fut, akkor a vizsgálati események
- töméntelen áradata indul meg, mivel minden
- kiírandó esemény egy újabb
- eseményt indukál. Ennek elkerülése
- érdekében ajánlott a
- <command>praudit</command> parancsot részletes
+ indítják el. Például, ha az
+ összes hálózati forgalmat egyszerre
+ vizsgáljuk és a &man.praudit.1; egy
+ SSH-munkameneten keresztül fut, akkor a vizsgálati
+ események töméntelen áradata indul
+ meg, mivel minden kiírandó esemény egy
+ újabb eseményt indukál. Ennek
+ elkerülése érdekében ajánlott
+ a <command>praudit</command> parancsot részletes
forgalmat nem figyelõ vizsgálati csõvel
ellátott munkameneten keresztül
elindítani.</para>
</warning>
+
</sect2>
<sect2>
@@ -981,7 +993,7 @@
archiválása</title>
<para>A vizsgálati nyomokat egyedül a rendszermag
- képes írni, ill. csak a vizsgálati
+ képes írni, illetve csak a vizsgálati
démon, az <application>auditd</application> képes
felügyelni. A rendszergazdáknak ebben az esetben
tehát nem szabad használniuk a
@@ -1033,6 +1045,7 @@
is találhatunk ebben a fejezetben, a
konfigurációs állományok
beállításánál.</para>
+
</sect2>
<sect2>
@@ -1080,6 +1093,7 @@
formátumot is támogat, amely az
<option>-x</option> kapcsolóval érhetõ
el.</para>
+
</sect2>
</sect1>
</chapter>
More information about the p4-projects
mailing list