PERFORCE change 141971 for review
Remko Lodder
remko at FreeBSD.org
Wed May 21 13:04:36 UTC 2008
http://perforce.freebsd.org/chv.cgi?CH=141971
Change 141971 by remko at remko_guardian on 2008/05/21 13:04:16
Reviewed version for the audit chapter, prepare to import this
into CVS.
Facilitated by: Snow B.V.
Affected files ...
.. //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/audit/chapter.sgml#6 edit
Differences ...
==== //depot/projects/docproj_nl/nl_NL.ISO8859-1/books/handbook/audit/chapter.sgml#6 (text+ko) ====
@@ -44,19 +44,19 @@
</indexterm>
<para>&os; 6.2 en later heeft ondersteuning voor diepgaande
- beveiligings evenementen auditing. Evenement auditing maakt
+ beveiligingsauditing van evenementen. Evenement auditing maakt
het mogelijk dat er diepgaande en configureerbare logging van
een variateit aan beveiligings-gerelateerde systeem evenementen,
waaronder logins, configuratie wijzigingen, bestands- en
netwerk toegang. Deze log regels kunnen erg belangrijk
zijn voor live systeem monitoring, intrusion detection en
- postmortem analyse. &os; implementeert ∑'s gepubliceerde
- <acronym>BSM</acronym> API en bestandsformaat en uitwisselbaar
- met zowel &sun;'s &solaris; en &apple;'s &macos; X audit
+ postmortem analyse. &os; implementeert &sun;'s gepubliceerde
+ <acronym>BSM</acronym> API en bestandsformaat en is uitwisselbaar
+ met zowel &sun;'s &solaris; als &apple;'s &macos; X audit
implementaties.</para>
<para>Dit hoofdstuk richt zich op de installatie en configuratie van
- evenement auditing. Het legt audit policies uit en levert
+ evenement auditing. Het legt audit policies uit en geeft
voorbeelden van audit configuraties.</para>
<para>Na het lezen van dit hoofdstuk weet de lezer:</para>
@@ -77,8 +77,8 @@
</listitem>
</itemizedlist>
- <para>Voordat verder gegaan wordt moet het volgende gedaan
- worden:</para>
+ <para>Voordat verder gegaan wordt moet het volgende bekend
+ zijn:</para>
<itemizedlist>
<listitem>
@@ -100,28 +100,28 @@
<warning>
<para>De audit faciliteiten in &os; 6.<replaceable>X</replaceable>
- zijn experimenteel en het gebruik in productie zou alleen moeten
+ zijn experimenteel en het gebruik in productie mag alleen
gebeuren na zorgvuldig onderzoek van de risico's van het in
gebruik nemen van experimentele software. Bekende limitaties
zijn dat niet alle beveiligings-relevante systeem evenementen
geaudit kunnen worden en dat sommige login mechanismes, zoals
X11 gebaseerde display managers en derde partij programma's
- geen goede ondersteuning bieden voor het auditen van gebruiker
- login sessies.</para>
+ geen (goede) ondersteuning bieden voor het auditen login sessies
+ van gebruikers.</para>
</warning>
<warning>
<para>De beveiligings evenement auditing faciliteit is in staat om
erg gedetailleerde logs van systeem activiteiten op een druk
- systeem te genereren, trail bestand data kan erg groot worden
+ systeem te genereren, trail bestands data kan erg groot worden
wanneer er erg precieze details worden gevraagd, wat enkele
- gigabytes per week kan overschrijden in sommige configuraties.
- Administrators moeten goed overwegen genoeg diskruimte te
- alloceren aan grote audit configuraties. Bijvoorbeeld het kan
- gewenst zijn om een volledig bestandsysteem aan
- <filename>/var/audit</filename> toe te wijzen zo dat andere
- bestandssystemen niet geraakt worden als het audit
- bestandssysteem vol raakt.</para>
+ gigabytes per week kan behalen in sommige configuraties.
+ Beheerders moeten rekening houden met voldoende schijfruimte
+ voor grote audit configuraties. Bijvoorbeeld het kan gewenst
+ zijn om eigen bestandsysteem aan <filename>/var/audit</filename>
+ toe te wijzen zo dat andere bestandssystemen geen hinder
+ ondervinden als het audit bestandssysteem onverhoopt vol
+ raakt.</para>
</warning>
</sect1>
@@ -129,22 +129,22 @@
<title>Sleutelwoorden in dit hoofdstuk</title>
<para>Voordat dit hoofdstuk gelezen kan worden, moeten er een
- aantal audit gerelateerde termenen uitgelegd worden:</para>
+ aantal audit gerelateerde termen uitgelegd worden:</para>
<itemizedlist>
<listitem>
<para><emphasis>evenement</emphasis>: Een auditbaar evenement is
- elk evenement dat geloogged kan worden door het audit
+ elk evenement dat gelogged kan worden door het audit
subsysteem. Voorbeelden van beveiligings gerelateerde
- evenementen zijn het creeëren van een bestand, het
+ evenementen zijn het creëeren van een bestand, het
opzetten van een netwerk verbinding, of van een gebruiker die
aanlogt. Evenementen zijn ofwel <quote>attributable</quote>
wat betekend dat ze getraceerd kunnen worden naar een
geauthoriseerde gebruiker, of <quote>non-attributable</quote>
- als dat niet mogelijk is. Voorbeelden van non-attributable
- evenementen zijn elk evenement dat gebeurd voordat
- authorisatie plaatsvind in het login proces, zoals foutieve
- inlog pogingen.</para>
+ voor situaties waarin dat niet mogelijk is. Voorbeelden van
+ non-attributable evenementen zijn elk evenement dat gebeurd
+ voordat authorisatie plaatsvind in het login proces, zoals bij
+ foutieve inlog pogingen.</para>
</listitem>
<listitem>
@@ -159,15 +159,15 @@
<para><emphasis>record</emphasis>: Een record is een audit log
regel die het beveiligings evenement beschrijft. Records
bevatten een record evenement type, informatie over het
- onderwerp (gebruiker) welke de actie uitvoerd, de datum en de
- tijd, informatie over elke objecten of argumenten, en conditie
- die aangeeft of de actie geslaagd of mislukt is.</para>
+ onderwerp (de gebruiker) welke de actie uitvoerd, de datum en
+ de tijd, informatie over de objecten of argumenten, en een
+ conditie die aangeeft of de actie geslaagd of mislukt is.</para>
</listitem>
<listitem>
<para><emphasis>trail</emphasis>: Een audit trail, of log
bestand bestaat uit een serie van audit records welke
- beveiligings evenementen beschrijven. Meestal lopen deze
+ beveiligings evenementen beschrijft. Meestal lopen deze
trails in chronologische orde, gebaseerd op de tijd dat
het evenement optrad. Alleen geauthoriseerde processen
mogen records toevoegen aan de audit trail.</para>
@@ -176,14 +176,14 @@
<listitem>
<para><emphasis>selection expression</emphasis>: Een selectie
expressie is een string welke een lijst bevat van prefixes
- en audit evenement klasse namen overeenkomen met
+ en audit evenement klasse namen die overeenkomen met
evenementen.</para>
</listitem>
<listitem>
<para><emphasis>preselection</emphasis>: Het proces waarbij het
systeem bepaald welke evenementen interessant zijn voor de
- administrator, zodat wordt voorkomen dat er audit records
+ beheerder, zodat wordt voorkomen dat er audit records
worden gegenereerd voor evenementen die niet interessant zijn.
De <quote>preselection</quote> configuratie gebruikt een serie
van selectie expressies om te identificeren welke klassen van
@@ -195,13 +195,13 @@
<listitem>
<para><emphasis>reduction</emphasis>: Het proces waarbij records
van bestaande audit trails worden geselecteerd voor bewaring,
- printen of analyse. Ook is dit het proces waarbij ongewenste
+ uitprinten of analyse. Ook is dit het proces waarbij ongewenste
audit records worden verwijderd uit het audit trail. Door
- gebruik te maken van reduction kunnen administrators policies
+ gebruik te maken van reduction kunnen beheerders policies
implementeren die het bewaren van audit data verzorgen.
- Bijvoorbeeld gedetailleerde audit trails kunnen ëën
+ Bijvoorbeeld gedetailleerde audit trails kunnen één
maand bewaard worden maar erna worden trails gereduceerd zodat
- alleen login informatie bewaard worden voor archief
+ alleen login informatie bewaard worden voor archiverings
redenen.</para>
</listitem>
</itemizedlist>
@@ -210,12 +210,12 @@
<sect1 id="audit-install">
<title>Installeren van audit ondersteuning.</title>
- <para>Gebruikers ruimte ondersteuning voor evenement auditing wordt
- geïnstalleerd als onderdeel van het basis &os; besturings
+ <para>Ondersteuning in de gebruikersomgeving voor evenement auditing
+ wordt geïnstalleerd als onderdeel van het basis &os; besturings
systeem. In &os; 7.0 en later wordt kernel ondersteuning
- voor evenement auditing standaard meegenomen tijdens compliatie.
+ voor evenement auditing standaard meegenomen tijdens compilatie.
In &os; 6.<replaceable>X</replaceable>, moet ondersteuning
- expliciet in de kernel gecompileerd worden door de volgende regels
+ expliciet in de kernel gecompileerd worden door de volgende regel
toe te voegen aan het kernel configuratie bestand:</para>
<programlisting>options AUDIT</programlisting>
@@ -224,14 +224,14 @@
proces zoals beschreven in <xref linkend="kernelconfig">.</para>
<para>Zodra een audit ondersteunende kernel is gebouwd en
- geïnstalleerd, en opgestart kan de audit daemon aangezet
- worden door de volgende regel an &man.rc.conf.5; toe te
+ geïnstalleerd en deze is opgestart kan de audit daemon
+ aangezet worden door de volgende regel aan &man.rc.conf.5; toe te
voegen:</para>
<programlisting>auditd_enable="YES"</programlisting>
<para>Audit ondersteuning moet daarna aangezet worden door een
- herstart of door het handmatig starten van de audit
+ herstart van het systeem of door het handmatig starten van de audit
daemon:</para>
<programlisting>/etc/rc.d/auditd start</programlisting>
@@ -267,23 +267,24 @@
<listitem>
<para><filename>audit_user</filename> - Gebruiker specifieke
- audit benodigdheden welke gecombieerd worden met de globale
+ audit benodigdheden welke gecombineerd worden met de globale
standaarden tijdens het inloggen.</para>
</listitem>
<listitem>
<para><filename>audit_warn</filename> - Een bewerkbaar shell
script gebruikt door de <application>auditd</application>
- welke waarschuwings berichten genereert in bijzondere situaties
- zoals wanneer de ruimte voor audit records weinig is of
- wanneer het audit trail bestand is geroteerd.</para>
+ applicatie welke waarschuwings berichten genereert in
+ bijzondere situaties zoals wanneer de ruimte voor audit
+ records te laagis of wanneer het audit trail bestand is
+ geroteerd.</para>
</listitem>
</itemizedlist>
<warning>
<para>Audit configuratie bestanden moeten voorzichtig worden
bewerkt en onderhouden, omdat fouten in de configuratie kunnen
- resulteren in het foutief loggen van evenementen.</para>
+ resulteren in het verkeerd loggen van evenementen.</para>
</warning>
<sect2>
@@ -293,11 +294,11 @@
in de audit configuratie om te bepalen welke evenementen er
geaudit moeten worden. Expressies bevatten een lijst van
evenement klassen welke gelijk zijn aan een prefix welke
- aangeeft of het gelijke records geaccepteerd moeten worden of
+ aangeeft of gelijke records geaccepteerd moeten worden of
genegeerd en optioneel om aan te geven of de regel is bedoeld
om succesvolle of mislukte operaties te matchen. Selectie
- expressies worden gevalueerd van links naar rechts en twee
- expressies worden gecombineerd door de ëën aan de
+ expressies worden geevalueerd van links naar rechts en twee
+ expressies worden gecombineerd door de één aan de
ander toe te voegen.</para>
<para>De volgende lijst bevat de standaard audit evenement klassen
@@ -345,7 +346,7 @@
<listitem>
<para><literal>fc</literal> - <emphasis>file create</emphasis>
- - Audit evenementen waar een bestand wordt gecreeerd als
+ - Audit evenementen waar een bestand wordt gecreëerd als
resultaat.</para>
</listitem>
@@ -358,7 +359,7 @@
<listitem>
<para><literal>fm</literal> -
<emphasis>file attribute modify</emphasis> - Audit
- evenementen waarbij bestands attributen wijzigingen
+ evenementen waarbij bestandsattribuut wijzigingen
plaatsvinden zoals bij &man.chown.8;, &man.chflags.1;,
&man.flock.2;, etc.</para>
</listitem>
@@ -474,7 +475,7 @@
<sect2>
<title>Configuratie bestanden</title>
- <para>In de meeste gevallen moet een administrator twee bestanden
+ <para>In de meeste gevallen moet een beheerder twee bestanden
wijzigingen wanneer het audit systeem wordt geconfigureerd:
<filename>audit_control</filename> en
<filename>audit_user</filename>. Het eerste controleert systeem
@@ -496,9 +497,9 @@
filesz:0</programlisting>
<para>De <option>dir</option> optie wordt gebruikt om
- ëën of meerdere directories te specificeren die
+ &eactute;&eactute;n of meerdere directories te specificeren die
gebruikt worden voor de opslag van audit logs. Als er meer
- dan ëën directory wordt gespecificeerd, worden ze
+ dan &eactute;&eactute;n directory wordt gespecificeerd, worden ze
op volgorde gebruikt naarmate ze gevuld worden. Het is
standaard dat audit geconfigureerd wordt dat audit logs
worden bewaard op een eigen bestandssysteem, om te
@@ -525,7 +526,7 @@
gescheiden lijst van policy vlaggen welke diverse aspecten
van het audit proces beheren. De standaard
<literal>cnt</literal> vlag geeft aan dat het systeem moet
- blijven draaien ook al treden er audit fouten op (Deze vlag
+ blijven draaien ook al treden er audit fouten op (deze vlag
wordt sterk aangeraden). Een andere veel gebruikte vlag is
<literal>argv</literal>, wat het mogelijk maakt om command
line argumenten aan de &man.execve.2; systeem aanroep te
@@ -534,9 +535,9 @@
<para>De <option>filesz</option> optie specificeert de maximale
grootte in bytes hoeveel een audit trail bestand mag groeien
voordat het automatisch getermineerd en geroteerd wordt. De
- standaard, 9, schakelt automatische log rotatie uit. Als de
+ standaard, 0, schakelt automatische log rotatie uit. Als de
gevraagde bestands grootte niet nul is en onder de minimale
- 512k, wordt de optie genegeerd en wordt er een log bericht
+ 512k zit, wordt de optie genegeerd en wordt er een log bericht
gegenereerd.</para>
</sect3>
@@ -544,7 +545,7 @@
<title>Het <filename>audit_user</filename> bestand</title>
<para>Het <filename>audit_user</filename> bestand staat de
- administrator toe om verdere audit benodigdheden te
+ beheerder toe om verdere audit benodigdheden te
specificeren voor gebruikers. Elke regel configureert
auditing voor een gebruiker via twee velden, het eerste is het
<literal>alwaysaudit</literal> veld, welke een set van
@@ -558,9 +559,10 @@
uitvoer voor de <username>root</username> gebruiker, en audit
bestands creatie en succesvolle commando uitvoer voor de
<username>www</username> gebruiker. Als dit gebruikt wordt
- met het voorbeeld <filename>audit_control</filename> bestand
- hierboven, is de <username>root</username> regel dubbelop en
- zullen login/logout evenementen ook worden geaudit voor de
+ in combinatie met het voorbeeld
+ <filename>audit_control</filename> bestand hierboven, is de
+ <username>root</username> regel dubbelop en zullen login/logout
+ evenementen ook worden geaudit voor de
<username>www</username> gebruiker.</para>
<programlisting>root:lo,+ex:no
@@ -577,16 +579,16 @@
<title>Audit trails inzien</title>
<para>Audit trails worden opgeslagen in het BSM binaire formaat,
- dus ondersteuning programma's moeten worden gebruikt om de
+ dus ondersteunende programma's moeten worden gebruikt om de
informatie te wijzigen of converteren naar tekst. Het
&man.praudit.1; commando converteert trail bestanden naar een
simpel tekst formaat; het &man.auditreduce.1; commando kan
gebruikt worden om de audit trail te reduceren voor analyse,
- archivering of voor het printen. <command>auditreduce</command>
- ondersteund een variateit van selectie parameters, zoals
- evenement type, evenement klasse, gebruiker, datum of tijd van
- het evenement en het bestandspad of object dat gebruikt
- wordt.</para>
+ archivering of voor het uitprinten van de data.
+ <command>auditreduce</command> ondersteund een variateit aan
+ selectie parameters, zoals evenement type, evenement klasse,
+ gebruiker, datum of tijd van het evenement en het bestandspad
+ of object dat gebruikt wordt.</para>
<para>Bijvoorbeeld, het <command>praudit</command> programma zal
een dump maken van de volledige inhoud van een gespecificeerd
@@ -596,11 +598,11 @@
<para>Waar
<filename><replaceable>AUDITFILE</replaceable></filename> het
- audit bestand is dat gedumpt moet worden.</para>
+ audit bestand is dat ingelezen moet worden.</para>
<para>Audit trails bestaan uit een serie van audit records die
gevormd worden door tokens, welke <command>praudit</command>
- sequentieel print ëën per regel. Elke token is van
+ sequentieel print &eactute;&eactute;n per regel. Elke token is van
een specifiek type, zoals een <literal>header</literal> welke
de audit record header bevat, of <literal>path</literal> welke
het bestandspad bevat van een lookup. Het volgende is een
@@ -617,20 +619,20 @@
<para>Deze audit representeert een succesvolle
<literal>execve</literal> aanroep, waarbij het commando
<literal>finger doug</literal> is aangeroepen. Het argument
- token bevat beide behandelde command line gepresendeerd door
- de shell aan de kernel. Het <literal>path</literal> token
- bevat het pad naar het uitvoerbare bestand zoals opgezocht door
- de kernel. Het <literal>attribute</literal> token beschrijft
- de binary en om precies te zijn bevat het de bestands mode
- welke gebruikt kan worden om te zien of het bestand setuid was.
- Het <literal>subject</literal> token beschrijft het onderwerp
+ token bevat beide commando's gerepresenteerd door de shell aan
+ de kernel. Het <literal>path</literal> token bevat het pad
+ naar het uitvoerbare bestand zoals opgezocht door de kernel.
+ Het <literal>attribute</literal> token beschrijft de binary en
+ om precies te zijn bevat het de bestands mode welke gebruikt
+ kan worden om te zien of het bestand setuid was. Het
+ <literal>subject</literal> token beschrijft het onderwerp
proces en bevat sequentieel het audit gebruikers ID, effectieve
gebruikers ID en groep ID, echte gebruikers ID, groep ID,
proces ID, sessie ID, port ID en login adres. Let op dat het
audit gebruikers ID en het echte gebruikers ID van elkaar
verschillen omdat de gebruiker <username>robert</username>
- gewisseld is naar de <username>root</username> gebruiker voordat
- het commando werd uitgevoerd, maar dat het geaudit wordt als de
+ veranderd is naar de <username>root</username> gebruiker voordat
+ het commando werd uitgevoerd, maar welke geaudit wordt als de
originele geauthoriseerde gebruiker. Als laatste wordt de
<literal>return</literal> token gebruikt om aan te geven dat er
een succesvolle uitvoer is geweest en <literal>trailer</literal>
@@ -644,14 +646,14 @@
<sect2>
<title>Het reduceren van audit trails</title>
- <para>Omdat audit logs erg groot kunnen zijn, zal de administrator
+ <para>Omdat audit logs erg groot kunnen worden, zal de beheerder
waarschijnlijk een subset van records willen selecteren om te
gebruiken, zoals records die gekoppeld zijn aan een specifieke
gebruiker:</para>
<screen>&prompt.root; <userinput>auditreduce -u trhodes /var/audit/AUDITFILE | praudit</userinput></screen>
- <para>Dit selecteert alle audit records die geprduceert zijn
+ <para>Dit selecteert alle audit records die geproduceert zijn
voor de gebruiker <username>trhodes</username> die opgeslagen
is in het <filename><replaceable>AUDITFILE</replaceable></filename>
bestand.</para>
@@ -664,13 +666,13 @@
permissie om de audit trails te lezen in
<filename>/var/audit</filename>; standaard is deze groep leeg en
kan alleen de <username>root</username> gebruiker deze
- audit trails lezen. Gebrukers kunnen toegevoegd worden aan de
+ audit trails lezen. Gebruikers kunnen toegevoegd worden aan de
<groupname>audit</groupname> groep zodat onderzoek rechten kunnen
worden gedelegeerd aan de geruiker. Omdat de mogelijkheid van
het inzien van audit log inhoud significante inzicht kan geven
in het gedrag van gebruikers en processen, wordt het aangeraden
- dat de delagatie van onderzoek rechten wordt uitgevoerd met
- zorg.</para>
+ dat de delagatie van onderzoek rechten eerst goed overdacht
+ wordt.</para>
</sect2>
<sect2>
@@ -680,7 +682,7 @@
bestands systeem, welke applicaties toestaat om een tap te
plaatsen in de live audit record stream. Dit is primair
interessant voor schrijvers van intrusion detection en systeem
- monitoring applicaties. Echter, voor een administrator is het
+ monitoring applicaties. Echter, voor een beheerder is het
audit pipe device een makkelijke manier om live monitoring toe
te staan zonder dat er problemen kunnen ontstaan met het
eigenaarschap van het audit trail bestand, of dat een log
@@ -704,7 +706,7 @@
<warning>
<para>Het is makkelijk om audit evenement terugkoppeling
- cyclussen te creeëren, waarbij het tonen van elk audit
+ cyclussen te creëeren, waarbij het tonen van elk audit
evenement resulteert in het genereren van nog meer audit
evenementen. Bijvoorbeeld, als alle netwerk I/O wordt geaudit
en &man.praudit.1; wordt gestart vanuit een SSH sessie, wordt
@@ -721,22 +723,22 @@
<para>Audit trails worden alleen beschreven door de kernel en
alleen beheerd worden door de audit daemon,
- <application>auditd</application>. Administrators mogen geen
+ <application>auditd</application>. Beheerders mogen geen
gebruik maken van &man.newsyslog.conf.5; of soortgelijke
programma's om de audit files te roteren. In plaats daarvan kan
het <command>audit</command> management programma gebruikt worden
om auditing te stoppen, het audit systeem te herconfigureren en
log rotatie uit te voeren. Het volgende commando zorgt ervoor
- dat de audit daemon een nieuwe audit log maakt, en de kernel
- een signaal stuurt om het nieuwe logbestand te gebruiken. Het
- oude logbestand wordt getermineerd en hernoemd, en vanaf dan kan
- het gemanipuleerd worden door de administrator.</para>
+ dat de audit daemon een nieuwe audit log maakt, en vervolgens
+ de kernel een signaal stuurt om het nieuwe logbestand te gaan
+ gebruiken. Het oude logbestand wordt getermineerd en hernoemd,
+ waarna het bestand gemanipuleerd kan worden door de beheerder.</para>
<screen>&prompt.root; <userinput>audit -n</userinput></screen>
<warning>
<para>Als de <application>auditd</application> daemon op dit
- moment niet draait op dit moment, zal het commando falen en
+ moment niet actief is, zal het commando falen en
zal er een error bericht worden geproduceerd.</para>
</warning>
@@ -765,7 +767,7 @@
manier te archiveren zodra ze afgesloten zijn door de audit
daemon. Het <filename>audit_warn</filename> script kan gebruikt
worden om bewerkte operaties te doen voor een variateit aan
- audit gerelateerde evenementen inclusief een schone terminatie
+ audit gerelateerde evenementen inclusief een nette terminatie
van audit trails wanneer deze geroteerd worden. Bijvoorbeeld
het volgende kan worden toegevoegd aan het
<filename>audit_warn</filename> script, dat de audit trails
@@ -782,9 +784,9 @@
trail bestanden naar een gecentraliseerde server, het verwijderen
van oude trail bestanden of het reduceren van de audit trail om
onnodige records te verwijderen. Het script zal alleen draaien
- als audit trail bestanden netjes worden afgesloten, dus het zal
- niet gedraaid worden op trails die niet netjes afgesloten zijn
- waardoor een foutieve afsluiting plaatsvind.</para>
+ als audit trail bestanden netjes worden afgesloten, wat betekend
+ dat het script niet uitgevoerd wordt op trails die niet netjes
+ afgesloten zijn, waardoor bestanden corrupt kunnen raken.</para>
</sect2>
</sect1>
</chapter>
More information about the p4-projects
mailing list