PERFORCE change 142000 for review
John Birrell
jb at FreeBSD.org
Wed May 21 23:18:43 UTC 2008
http://perforce.freebsd.org/chv.cgi?CH=142000
Change 142000 by jb at freebsd3 on 2008/05/21 23:17:43
IFC
Affected files ...
.. //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/dialup-firewall/Makefile#2 integrate
.. //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/dialup-firewall/article.sgml#2 integrate
.. //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/laptop/Makefile#2 integrate
.. //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/laptop/article.sgml#2 integrate
.. //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/multi-os/Makefile#2 integrate
.. //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/multi-os/article.sgml#2 integrate
.. //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/version-guide/Makefile#2 integrate
.. //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/version-guide/article.sgml#3 integrate
.. //depot/projects/dtrace/doc/hu_HU.ISO8859-2/books/handbook/introduction/chapter.sgml#2 integrate
.. //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/Makefile#5 integrate
.. //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/audit/chapter.sgml#3 integrate
.. //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/book.sgml#5 integrate
.. //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/chapters.ent#4 integrate
.. //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/jails/Makefile#1 branch
.. //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/jails/chapter.sgml#1 branch
.. //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/mac/chapter.sgml#3 integrate
.. //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/virtualization/Makefile#1 branch
.. //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/virtualization/chapter.sgml#1 branch
.. //depot/projects/dtrace/ports/MOVED#89 integrate
.. //depot/projects/dtrace/src/sys/Makefile#12 integrate
.. //depot/projects/dtrace/src/sys/dev/em/if_em.c#22 integrate
.. //depot/projects/dtrace/src/sys/fs/devfs/devfs_int.h#6 integrate
.. //depot/projects/dtrace/src/sys/fs/devfs/devfs_vnops.c#19 integrate
.. //depot/projects/dtrace/src/sys/i386/conf/GENERIC#40 integrate
.. //depot/projects/dtrace/src/sys/ia64/ia64/machdep.c#23 integrate
.. //depot/projects/dtrace/src/sys/kern/kern_conf.c#12 integrate
.. //depot/projects/dtrace/src/sys/kern/kern_descrip.c#28 integrate
.. //depot/projects/dtrace/src/sys/netinet/sctp_output.c#16 integrate
.. //depot/projects/dtrace/src/sys/netinet/sctputil.c#19 integrate
.. //depot/projects/dtrace/src/sys/powerpc/conf/GENERIC#17 integrate
.. //depot/projects/dtrace/src/sys/security/audit/audit_worker.c#13 integrate
.. //depot/projects/dtrace/src/sys/sun4v/conf/GENERIC#21 integrate
.. //depot/projects/dtrace/src/sys/sys/conf.h#10 integrate
.. //depot/projects/dtrace/src/sys/sys/file.h#9 integrate
.. //depot/projects/dtrace/src/sys/sys/proc.h#45 integrate
Differences ...
==== //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/dialup-firewall/Makefile#2 (text+ko) ====
@@ -1,4 +1,4 @@
-# $FreeBSD: doc/hu_HU.ISO8859-2/articles/dialup-firewall/Makefile,v 1.1 2007/09/03 11:11:43 gabor Exp $
+# $FreeBSD: doc/hu_HU.ISO8859-2/articles/dialup-firewall/Makefile,v 1.2 2008/05/21 04:14:48 pgj Exp $
#
# Article: Dialup firewalling with FreeBSD
@@ -8,7 +8,7 @@
NO_TIDY= yes
-MAINTAINER= pali.gabor at gmail.com
+MAINTAINER= pgj at FreeBSD.org
DOC?= article
==== //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/dialup-firewall/article.sgml#2 (text+ko) ====
@@ -4,8 +4,8 @@
]>
<!-- The FreeBSD Hungarian Documentation Project
- Translated by: PALI, Gabor <pali.gabor at gmail.com>
- Original Revision: r1.42 -->
+ Translated by: PALI, Gabor <pgj at FreeBSD.org>
+ Original Revision: 1.42 -->
<article lang="hu">
<articleinfo>
@@ -23,7 +23,7 @@
</author>
</authorgroup>
- <pubdate>$FreeBSD: doc/hu_HU.ISO8859-2/articles/dialup-firewall/article.sgml,v 1.1 2007/09/03 11:11:43 gabor Exp $</pubdate>
+ <pubdate>$FreeBSD: doc/hu_HU.ISO8859-2/articles/dialup-firewall/article.sgml,v 1.2 2008/05/21 04:14:48 pgj Exp $</pubdate>
<legalnotice id="trademarks" role="trademarks">
&tm-attrib.freebsd;
==== //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/laptop/Makefile#2 (text+ko) ====
@@ -1,4 +1,4 @@
-# $FreeBSD: doc/hu_HU.ISO8859-2/articles/laptop/Makefile,v 1.1 2007/09/03 11:13:12 gabor Exp $
+# $FreeBSD: doc/hu_HU.ISO8859-2/articles/laptop/Makefile,v 1.2 2008/05/21 04:14:48 pgj Exp $
#
# Article: FreeBSD on Laptops
@@ -8,7 +8,7 @@
NO_TIDY= yes
-MAINTAINER= pali.gabor at gmail.com
+MAINTAINER= pgj at FreeBSD.org
DOC?= article
==== //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/laptop/article.sgml#2 (text+ko) ====
@@ -4,14 +4,14 @@
]>
<!-- The FreeBSD Hungarian Documentation Project
- Translated by: PALI, Gabor <pali.gabor at gmail.com>
- Original Revision: r1.25 -->
+ Translated by: PALI, Gabor <pgj at FreeBSD.org>
+ Original Revision: 1.25 -->
<article lang="hu">
<articleinfo>
<title>&os; laptopon</title>
- <pubdate>$FreeBSD: doc/hu_HU.ISO8859-2/articles/laptop/article.sgml,v 1.2 2007/09/03 17:47:43 gabor Exp $</pubdate>
+ <pubdate>$FreeBSD: doc/hu_HU.ISO8859-2/articles/laptop/article.sgml,v 1.3 2008/05/21 04:14:48 pgj Exp $</pubdate>
<abstract>
<para>A &os; néhány buktatótól eltekintve
==== //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/multi-os/Makefile#2 (text+ko) ====
@@ -1,4 +1,4 @@
-# $FreeBSD: doc/hu_HU.ISO8859-2/articles/multi-os/Makefile,v 1.1 2007/09/03 11:17:06 gabor Exp $
+# $FreeBSD: doc/hu_HU.ISO8859-2/articles/multi-os/Makefile,v 1.2 2008/05/21 04:14:49 pgj Exp $
#
# Article: Installing and Using FreeBSD With Other Operating Systems
@@ -8,7 +8,7 @@
NO_TIDY= yes
-MAINTAINER= pali.gabor at gmail.com
+MAINTAINER= pgj at FreeBSD.org
DOC?= article
==== //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/multi-os/article.sgml#2 (text+ko) ====
@@ -1,12 +1,12 @@
-<!-- $FreeBSD: doc/hu_HU.ISO8859-2/articles/multi-os/article.sgml,v 1.2 2007/09/03 19:19:03 gabor Exp $ -->
+<!-- $FreeBSD: doc/hu_HU.ISO8859-2/articles/multi-os/article.sgml,v 1.3 2008/05/21 04:14:49 pgj Exp $ -->
<!DOCTYPE ARTICLE PUBLIC "-//FreeBSD//DTD DocBook V4.1-Based Extension//EN" [
<!ENTITY % articles.ent PUBLIC "-//FreeBSD//ENTITIES DocBook FreeBSD Articles Entity Set//HU">
%articles.ent;
]>
<!-- The FreeBSD Hungarian Documentation Project
- Translated by: PALI, Gabor <pali.gabor at gmail.com>
- Original Revision: r1.39 -->
+ Translated by: PALI, Gabor <pgj at FreeBSD.org>
+ Original Revision: 1.39 -->
<article lang="hu">
<articleinfo>
==== //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/version-guide/Makefile#2 (text+ko) ====
@@ -1,4 +1,4 @@
-# $FreeBSD: doc/hu_HU.ISO8859-2/articles/version-guide/Makefile,v 1.1 2007/09/03 11:18:56 gabor Exp $
+# $FreeBSD: doc/hu_HU.ISO8859-2/articles/version-guide/Makefile,v 1.2 2008/05/21 04:14:49 pgj Exp $
#
# Article: FreeBSD Version Guide
@@ -8,7 +8,7 @@
NO_TIDY= yes
-MAINTAINER= pali.gabor at gmail.com
+MAINTAINER= pgj at FreeBSD.org
DOC?= article
==== //depot/projects/dtrace/doc/hu_HU.ISO8859-2/articles/version-guide/article.sgml#3 (text+ko) ====
@@ -7,8 +7,8 @@
]>
<!-- The FreeBSD Hungarian Documentation Project
- Translated by: PALI, Gabor <pali.gabor at gmail.com>
- Original Revision: r1.11 -->
+ Translated by: PALI, Gabor <pgj at FreeBSD.org>
+ Original Revision: 1.11 -->
<article lang="hu">
<title>Válasszuk ki a nekünk igazán megfelelõ &os;
@@ -21,7 +21,7 @@
</author>
</authorgroup>
- <pubdate>$FreeBSD: doc/hu_HU.ISO8859-2/articles/version-guide/article.sgml,v 1.4 2007/11/27 23:01:47 gabor Exp $</pubdate>
+ <pubdate>$FreeBSD: doc/hu_HU.ISO8859-2/articles/version-guide/article.sgml,v 1.5 2008/05/21 04:14:49 pgj Exp $</pubdate>
<legalnotice id="trademarks" role="trademarks">
&tm-attrib.freebsd;
==== //depot/projects/dtrace/doc/hu_HU.ISO8859-2/books/handbook/introduction/chapter.sgml#2 (text+ko) ====
@@ -1,7 +1,7 @@
<!--
The FreeBSD Documentation Project
- $FreeBSD: doc/hu_HU.ISO8859-2/books/handbook/introduction/chapter.sgml,v 1.1 2008/05/14 16:54:16 pgj Exp $
+ $FreeBSD: doc/hu_HU.ISO8859-2/books/handbook/introduction/chapter.sgml,v 1.2 2008/05/21 04:06:56 pgj Exp $
-->
<!--
The FreeBSD Hungarian Documentation Project
@@ -725,9 +725,10 @@
és egy gyors internetkapcsolatot is a Projekt
számára bocsátott. A Walnut Creek szinte
példátlan mértékû, egy
- akkoriban teljesen ismeretlen projektbe vetett hitével
- nagyon nehezen lenne elképzelhetõ, hogy a &os; olyan
- messzire jutott volna el, ahol ma is tart.</para>
+ akkoriban teljesen ismeretlen projektbe vetett hite
+ nélkül nagyon nehezen lenne
+ elképzelhetõ, hogy a &os; olyan messzire és
+ olyan gyorsan jutott volna el, ahol ma tart.</para>
<indexterm><primary>4.3BSD-Lite</primary></indexterm>
<indexterm><primary>Net/2</primary></indexterm>
==== //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/Makefile#5 (text+ko) ====
@@ -1,5 +1,5 @@
#
-# $FreeBSD: doc/nl_NL.ISO8859-1/books/handbook/Makefile,v 1.10 2007/06/28 02:46:38 chinsan Exp $
+# $FreeBSD: doc/nl_NL.ISO8859-1/books/handbook/Makefile,v 1.11 2008/05/21 20:35:08 remko Exp $
# $FreeBSDnl: doc/nl_NL.ISO8859-1/books/handbook/Makefile,v 1.19 2006/01/03 21:17:07 siebrand Exp $
# Gebaseerd op: 1.97
#
@@ -136,6 +136,44 @@
IMAGES_EN+= vinum/vinum-simple-vol.pic
IMAGES_EN+= vinum/vinum-striped-vol.pic
IMAGES_EN+= vinum/vinum-striped.pic
+IMAGES_EN+= virtualization/parallels-freebsd1.png
+IMAGES_EN+= virtualization/parallels-freebsd2.png
+IMAGES_EN+= virtualization/parallels-freebsd3.png
+IMAGES_EN+= virtualization/parallels-freebsd4.png
+IMAGES_EN+= virtualization/parallels-freebsd5.png
+IMAGES_EN+= virtualization/parallels-freebsd6.png
+IMAGES_EN+= virtualization/parallels-freebsd7.png
+IMAGES_EN+= virtualization/parallels-freebsd8.png
+IMAGES_EN+= virtualization/parallels-freebsd9.png
+IMAGES_EN+= virtualization/parallels-freebsd10.png
+IMAGES_EN+= virtualization/parallels-freebsd11.png
+IMAGES_EN+= virtualization/parallels-freebsd12.png
+IMAGES_EN+= virtualization/parallels-freebsd13.png
+IMAGES_EN+= virtualization/virtualpc-freebsd1.png
+IMAGES_EN+= virtualization/virtualpc-freebsd2.png
+IMAGES_EN+= virtualization/virtualpc-freebsd3.png
+IMAGES_EN+= virtualization/virtualpc-freebsd4.png
+IMAGES_EN+= virtualization/virtualpc-freebsd5.png
+IMAGES_EN+= virtualization/virtualpc-freebsd6.png
+IMAGES_EN+= virtualization/virtualpc-freebsd7.png
+IMAGES_EN+= virtualization/virtualpc-freebsd8.png
+IMAGES_EN+= virtualization/virtualpc-freebsd9.png
+IMAGES_EN+= virtualization/virtualpc-freebsd10.png
+IMAGES_EN+= virtualization/virtualpc-freebsd11.png
+IMAGES_EN+= virtualization/virtualpc-freebsd12.png
+IMAGES_EN+= virtualization/virtualpc-freebsd13.png
+IMAGES_EN+= virtualization/vmware-freebsd01.png
+IMAGES_EN+= virtualization/vmware-freebsd02.png
+IMAGES_EN+= virtualization/vmware-freebsd03.png
+IMAGES_EN+= virtualization/vmware-freebsd04.png
+IMAGES_EN+= virtualization/vmware-freebsd05.png
+IMAGES_EN+= virtualization/vmware-freebsd06.png
+IMAGES_EN+= virtualization/vmware-freebsd07.png
+IMAGES_EN+= virtualization/vmware-freebsd08.png
+IMAGES_EN+= virtualization/vmware-freebsd09.png
+IMAGES_EN+= virtualization/vmware-freebsd10.png
+IMAGES_EN+= virtualization/vmware-freebsd11.png
+IMAGES_EN+= virtualization/vmware-freebsd12.png
# Images from the cross-document image library
IMAGES_LIB= callouts/1.png
@@ -172,6 +210,7 @@
SRCS+= geom/chapter.sgml
SRCS+= install/chapter.sgml
SRCS+= introduction/chapter.sgml
+SRCS+= jails/chapter.sgml
SRCS+= kernelconfig/chapter.sgml
SRCS+= l10n/chapter.sgml
SRCS+= linuxemu/chapter.sgml
@@ -189,6 +228,7 @@
SRCS+= serialcomms/chapter.sgml
SRCS+= users/chapter.sgml
SRCS+= vinum/chapter.sgml
+SRCS+= virtualization/chapter.sgml
SRCS+= x11/chapter.sgml
# Entities
==== //depot/projects/dtrace/doc/nl_NL.ISO8859-1/books/handbook/audit/chapter.sgml#3 (text+ko) ====
@@ -1,20 +1,10 @@
<!--
The FreeBSD Dutch Documentation Project
-
- $FreeBSD: doc/nl_NL.ISO8859-1/books/handbook/audit/chapter.sgml,v 1.1 2005/08/22 21:11:57 remko Exp $
- $FreeBSDnl: nl_NL.ISO8859-1/books/handbook/audit/chapter.sgml,v 1.2 2005/08/15 20:23:13 siebrand Exp $
- Gebaseerd op: 1.5
+ $FreeBSD: doc/nl_NL.ISO8859-1/books/handbook/audit/chapter.sgml,v 1.3 2008/05/21 14:00:49 remko Exp $
+ Gebaseerd op: 1.33
-->
-<!--
-This version of the document assumes that the Audit system needs to be
-installed as part of the trustedbsd/audit project. When/if audit becomes
-part of FreeBSD proper, then these sections should be removed, or at least
-reworded. The sections in question are marked with 'PROTOTYPE' labels in
-commentary.
--->
-
-<!-- Need more documenation on praudit, audtreduce, etc. Plus more info
+<!-- Need more documentation on praudit, auditreduce, etc. Plus more info
on the triggers from the kernel (log rotation, out of space, etc).
And the /dev/audit special file if we choose to support that. Could use
some coverage of integrating MAC with Event auditing and perhaps discussion
@@ -29,79 +19,775 @@
<surname>Rhodes</surname>
<contrib>Written by </contrib>
</author>
+ <author>
+ <firstname>Robert</firstname>
+ <surname>Watson</surname>
+ </author>
</authorgroup>
<authorgroup>
<author>
- <firstname>Siebrand</firstname>
- <surname>Mazeland</surname>
+ <firstname>Remko</firstname>
+ <surname>Lodder</surname>
<contrib>Vertaald door </contrib>
</author>
</authorgroup>
</chapterinfo>
- <title>Kernelgebeurtenissen auditen</title>
+ <title>Security Event Auditing</title>
<sect1 id="audit-synopsis">
- <title>* Overzicht</title>
+ <title>Overzicht</title>
<indexterm><primary>AUDIT</primary></indexterm>
-
<indexterm>
- <primary>kernelgebeurtenissen auditen</primary>
-
+ <primary>Security Event Auditing</primary>
<see>MAC</see>
</indexterm>
- <para>Wordt vertaald</para>
+ <para>&os; 6.2 en later heeft ondersteuning voor diepgaande
+ beveiligingsauditing van evenementen. Evenement auditing maakt
+ het mogelijk dat er diepgaande en configureerbare logging van
+ een variateit aan beveiligings-gerelateerde systeem evenementen,
+ waaronder logins, configuratie wijzigingen, bestands- en
+ netwerk toegang. Deze log regels kunnen erg belangrijk
+ zijn voor live systeem monitoring, intrusion detection en
+ postmortem analyse. &os; implementeert &sun;'s gepubliceerde
+ <acronym>BSM</acronym> API en bestandsformaat en is uitwisselbaar
+ met zowel &sun;'s &solaris; als &apple;'s &macos; X audit
+ implementaties.</para>
+
+ <para>Dit hoofdstuk richt zich op de installatie en configuratie van
+ evenement auditing. Het legt audit policies uit en geeft
+ voorbeelden van audit configuraties.</para>
+
+ <para>Na het lezen van dit hoofdstuk weet de lezer:</para>
+
+ <itemizedlist>
+ <listitem>
+ <para>Wat evenement auditing is en hoe het werkt.</para>
+ </listitem>
+
+ <listitem>
+ <para>Hoe evenement auditing geconfigureerd kan worden voor
+ &os; voor gebruikers en processen.</para>
+ </listitem>
+
+ <listitem>
+ <para>Hoe de audittrail bekeken kan worden door gebruik te maken
+ van de audit reduction en onderzoek programma's.</para>
+ </listitem>
+ </itemizedlist>
+
+ <para>Voordat verder gegaan wordt moet het volgende bekend
+ zijn:</para>
+
+ <itemizedlist>
+ <listitem>
+ <para>&unix; en &os; basishandelingen begrijpen
+ (<xref linkend="basics">).</para>
+ </listitem>
+
+ <listitem>
+ <para>Bekend zijn met de basishandelingen van kernel
+ configuratie/compilatie
+ (<xref linkend="kernelconfig">).</para>
+ </listitem>
+
+ <listitem>
+ <para>Bekend zijn met beveiliging en hoe dat relateert aan
+ &os; (<xref linkend="security">).</para>
+ </listitem>
+ </itemizedlist>
+
+ <warning>
+ <para>De audit faciliteiten in &os; 6.<replaceable>X</replaceable>
+ zijn experimenteel en het gebruik in productie mag alleen
+ gebeuren na zorgvuldig onderzoek van de risico's van het in
+ gebruik nemen van experimentele software. Bekende limitaties
+ zijn dat niet alle beveiligings-relevante systeem evenementen
+ geaudit kunnen worden en dat sommige login mechanismes, zoals
+ X11 gebaseerde display managers en derde partij programma's
+ geen (goede) ondersteuning bieden voor het auditen login sessies
+ van gebruikers.</para>
+ </warning>
+
+ <warning>
+ <para>De beveiligings evenement auditing faciliteit is in staat om
+ erg gedetailleerde logs van systeem activiteiten op een druk
+ systeem te genereren, trail bestands data kan erg groot worden
+ wanneer er erg precieze details worden gevraagd, wat enkele
+ gigabytes per week kan behalen in sommige configuraties.
+ Beheerders moeten rekening houden met voldoende schijfruimte
+ voor grote audit configuraties. Bijvoorbeeld het kan gewenst
+ zijn om eigen bestandsysteem aan <filename>/var/audit</filename>
+ toe te wijzen zo dat andere bestandssystemen geen hinder
+ ondervinden als het audit bestandssysteem onverhoopt vol
+ raakt.</para>
+ </warning>
</sect1>
<sect1 id="audit-inline-glossary">
- <title>* Sleutelbegrippen - Woordenlijst</title>
+ <title>Sleutelwoorden in dit hoofdstuk</title>
+
+ <para>Voordat dit hoofdstuk gelezen kan worden, moeten er een
+ aantal audit gerelateerde termen uitgelegd worden:</para>
+
+ <itemizedlist>
+ <listitem>
+ <para><emphasis>evenement</emphasis>: Een auditbaar evenement is
+ elk evenement dat gelogged kan worden door het audit
+ subsysteem. Voorbeelden van beveiligings gerelateerde
+ evenementen zijn het creëeren van een bestand, het
+ opzetten van een netwerk verbinding, of van een gebruiker die
+ aanlogt. Evenementen zijn ofwel <quote>attributable</quote>
+ wat betekend dat ze getraceerd kunnen worden naar een
+ geauthoriseerde gebruiker, of <quote>non-attributable</quote>
+ voor situaties waarin dat niet mogelijk is. Voorbeelden van
+ non-attributable evenementen zijn elk evenement dat gebeurd
+ voordat authorisatie plaatsvind in het login proces, zoals bij
+ foutieve inlog pogingen.</para>
+ </listitem>
+
+ <listitem>
+ <para><emphasis>class</emphasis>: Evenement klassen zijn benoemde
+ sets van gerelateerde evenementen en worden gebruikt in
+ selectie expressies. Veel gebruikte klassen van evenementen
+ zijn <quote>bestands creatie</quote> (fc), <quote>exec</quote>
+ (ex) en <quote>login_logout</quote> (lo).</para>
+ </listitem>
+
+ <listitem>
+ <para><emphasis>record</emphasis>: Een record is een audit log
+ regel die het beveiligings evenement beschrijft. Records
+ bevatten een record evenement type, informatie over het
+ onderwerp (de gebruiker) welke de actie uitvoerd, de datum en
+ de tijd, informatie over de objecten of argumenten, en een
+ conditie die aangeeft of de actie geslaagd of mislukt is.</para>
+ </listitem>
+
+ <listitem>
+ <para><emphasis>trail</emphasis>: Een audit trail, of log
+ bestand bestaat uit een serie van audit records welke
+ beveiligings evenementen beschrijft. Meestal lopen deze
+ trails in chronologische orde, gebaseerd op de tijd dat
+ het evenement optrad. Alleen geauthoriseerde processen
+ mogen records toevoegen aan de audit trail.</para>
+ </listitem>
+
+ <listitem>
+ <para><emphasis>selection expression</emphasis>: Een selectie
+ expressie is een string welke een lijst bevat van prefixes
+ en audit evenement klasse namen die overeenkomen met
+ evenementen.</para>
+ </listitem>
+
+ <listitem>
+ <para><emphasis>preselection</emphasis>: Het proces waarbij het
+ systeem bepaald welke evenementen interessant zijn voor de
+ beheerder, zodat wordt voorkomen dat er audit records
+ worden gegenereerd voor evenementen die niet interessant zijn.
+ De <quote>preselection</quote> configuratie gebruikt een serie
+ van selectie expressies om te identificeren welke klassen van
+ evenementen van toepassing zijn op gebruikers en globale
+ instellingen voor zowel geauthoriseerde als ongeauthoriseerde
+ processen.</para>
+ </listitem>
- <para>Wordt vertaald</para>
+ <listitem>
+ <para><emphasis>reduction</emphasis>: Het proces waarbij records
+ van bestaande audit trails worden geselecteerd voor bewaring,
+ uitprinten of analyse. Ook is dit het proces waarbij ongewenste
+ audit records worden verwijderd uit het audit trail. Door
+ gebruik te maken van reduction kunnen beheerders policies
+ implementeren die het bewaren van audit data verzorgen.
+ Bijvoorbeeld gedetailleerde audit trails kunnen één
+ maand bewaard worden maar erna worden trails gereduceerd zodat
+ alleen login informatie bewaard worden voor archiverings
+ redenen.</para>
+ </listitem>
+ </itemizedlist>
</sect1>
<sect1 id="audit-install">
- <title>* Auditondersteuning installeren</title>
+ <title>Installeren van audit ondersteuning.</title>
+
+ <para>Ondersteuning in de gebruikersomgeving voor evenement auditing
+ wordt geïnstalleerd als onderdeel van het basis &os; besturings
+ systeem. In &os; 7.0 en later wordt kernel ondersteuning
+ voor evenement auditing standaard meegenomen tijdens compilatie.
+ In &os; 6.<replaceable>X</replaceable>, moet ondersteuning
+ expliciet in de kernel gecompileerd worden door de volgende regel
+ toe te voegen aan het kernel configuratie bestand:</para>
+
+ <programlisting>options AUDIT</programlisting>
+
+ <para>Bouw en herinstalleer de kernel volgens het normale
+ proces zoals beschreven in <xref linkend="kernelconfig">.</para>
+
+ <para>Zodra een audit ondersteunende kernel is gebouwd en
+ geïnstalleerd en deze is opgestart kan de audit daemon
+ aangezet worden door de volgende regel aan &man.rc.conf.5; toe te
+ voegen:</para>
+
+ <programlisting>auditd_enable="YES"</programlisting>
+
+ <para>Audit ondersteuning moet daarna aangezet worden door een
+ herstart van het systeem of door het handmatig starten van de audit
+ daemon:</para>
- <para>Wordt vertaald</para>
+ <programlisting>/etc/rc.d/auditd start</programlisting>
</sect1>
<sect1 id="audit-config">
- <title>* Auditen instellen</title>
+ <title>Audit Configuratie</title>
+
+ <para>Alle configuratie bestanden voor beveiligings audit kunnen
+ worden gevonden in
+ <filename class="directory">/etc/security</filename>. De volgende
+ bestanden moeten aanwezig zijn voor de audit daemon wordt
+ gestart:</para>
+
+ <itemizedlist>
+ <listitem>
+ <para><filename>audit_class</filename> - Bevat de definities
+ van de audit klasses.</para>
+ </listitem>
+
+ <listitem>
+ <para><filename>audit_control</filename> - Controleert aspecten
+ van het audit subsysteem, zoals de standaard audit klassen,
+ minimale hoeveelheid diskruimte die moet overblijven op de
+ audit log schijf, de maximale audit trail grootte, etc.</para>
+ </listitem>
+
+ <listitem>
+ <para><filename>audit_event</filename> - Tekst namen en
+ beschrijvingen van systeem audit evenementen, evenals een
+ lijst van klassen waarin elk evenement zich bevind.</para>
+ </listitem>
+
+ <listitem>
+ <para><filename>audit_user</filename> - Gebruiker specifieke
+ audit benodigdheden welke gecombineerd worden met de globale
+ standaarden tijdens het inloggen.</para>
+ </listitem>
+
+ <listitem>
+ <para><filename>audit_warn</filename> - Een bewerkbaar shell
+ script gebruikt door de <application>auditd</application>
+ applicatie welke waarschuwings berichten genereert in
+ bijzondere situaties zoals wanneer de ruimte voor audit
+ records te laagis of wanneer het audit trail bestand is
+ geroteerd.</para>
+ </listitem>
+ </itemizedlist>
+
+ <warning>
+ <para>Audit configuratie bestanden moeten voorzichtig worden
+ bewerkt en onderhouden, omdat fouten in de configuratie kunnen
+ resulteren in het verkeerd loggen van evenementen.</para>
+ </warning>
<sect2>
- <title>* Auditen bestandssyntaxis</title>
+ <title>Evenement selectie expressies</title>
+
+ <para>Selectie expressies worden gebruikt op een aantal plaatsen
+ in de audit configuratie om te bepalen welke evenementen er
+ geaudit moeten worden. Expressies bevatten een lijst van
+ evenement klassen welke gelijk zijn aan een prefix welke
+ aangeeft of gelijke records geaccepteerd moeten worden of
+ genegeerd en optioneel om aan te geven of de regel is bedoeld
+ om succesvolle of mislukte operaties te matchen. Selectie
+ expressies worden geevalueerd van links naar rechts en twee
+ expressies worden gecombineerd door de één aan de
+ ander toe te voegen.</para>
+
+ <para>De volgende lijst bevat de standaard audit evenement klassen
+ welke aanwezig zijn in het <filename>audit_class</filename>
+ bestand:</para>
+
+ <itemizedlist>
+ <listitem>
+ <para><literal>all</literal> - <emphasis>all</emphasis> -
+ Matched alle evenement klasses.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>ad</literal> -
+ <emphasis>administrative</emphasis> - Administratieve acties
+ welke uitgevoerd worden op het gehele systeem.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>ap</literal> - <emphasis>application</emphasis> -
+ Applicatie gedefinieerde acties.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>cl</literal> - <emphasis>file close</emphasis> -
+ Audit aanroepen naar de <function>close</function> systeem
+ aanroep.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>ex</literal> - <emphasis>exec</emphasis> - Audit
+ programma uitvoer. Het auditen van command line argumenten
+ en omgevings variabelen wordt gecontroleerd via
+ &man.audit.control.5; door gebruik te maken van de
+ <literal>argv</literal> en <literal>envv</literal> parameters
+ in de <literal>policy</literal> setting.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>fa</literal> -
+ <emphasis>file attribute access</emphasis> - Audit de
+ toevoeging van object attributen zoals &man.stat.1;,
+ &man.pathconf.2; en gelijkwaardige evenementen.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>fc</literal> - <emphasis>file create</emphasis>
+ - Audit evenementen waar een bestand wordt gecreëerd als
+ resultaat.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>fd</literal> - <emphasis>file delete</emphasis>
+ - Audit evenementen waarbij bestanden verwijderd
+ worden.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>fm</literal> -
+ <emphasis>file attribute modify</emphasis> - Audit
+ evenementen waarbij bestandsattribuut wijzigingen
+ plaatsvinden zoals bij &man.chown.8;, &man.chflags.1;,
+ &man.flock.2;, etc.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>fr</literal> - <emphasis>file read</emphasis>
+ - Audit evenementen waarbij data wordt gelezen, bestanden
+ worden geopend voor lezen etc.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>fw</literal> - <emphasis>file write</emphasis>
+ - Audit evenementen waarbij data wordt geschreven, bestanden
+ worden geschreven of gewijzigd, etc.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>io</literal> - <emphasis>ioctl</emphasis> -
+ Audit het gebruik van de &man.ioctl.2; systeem aanroep.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>ip</literal> - <emphasis>ipc</emphasis> - Audit
+ verschillende vormen van Inter-Process Communication, zoals
+ POSIX pipes en System V <acronym>IPC</acronym> operaties.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>lo</literal> - <emphasis>login_logout</emphasis> -
+ Audit &man.login.1; en &man.logout.1; evenementen die
+ plaatsvinden op het systeem.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>na</literal> -
+ <emphasis>non attributable</emphasis> - Audit
+ non-attributable evenementen.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>no</literal> -
+ <emphasis>invalid class</emphasis> - Matched geen enkel
+ audit evenement.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>nt</literal> - <emphasis>network</emphasis> -
+ Audit evenementen die gerelateerd zijn aan netwerk acties
+ zoals &man.connect.2; en &man.accept.2;.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>ot</literal> - <emphasis>other</emphasis> -
+ Audit diverse evenementen.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>pc</literal> - <emphasis>process</emphasis> -
+ Audit process operaties zoals &man.exec.3; en
+ &man.exit.3;</para>
+ </listitem>
+ </itemizedlist>
+
+ <para>Deze audit evenement klassen kunnen veranderd worden door
+ het wijzigingen van de <filename>audit_class</filename> en
+ <filename>audit_event</filename> configuratie bestanden.</para>
+
+ <para>Elke audit klasse in de lijst wordt gecombineerd met een
+ voorzetsel welke aangeeft of er succesvolle of mislukte
+ operaties hebben plaatsgevonden en of de regel wordt toegevoegd
+ of verwijderd van het matchen van de klasse en het type.</para>
+
+ <itemizedlist>
+ <listitem>
+ <para>(none) Audit zowel succesvolle als mislukte informatie
+ van het evenement.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>+</literal> Audit succesvolle evenementen in
+ deze klasse.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>-</literal> Audit mislukte evenementen in deze
+ klasse.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>^</literal> Audit geen enkele succesvolle of
+ mislukte evenementen in deze klasse.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>^+</literal> Audit geen succesvolle evenementen
+ in deze klasse.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>^-</literal> Audit geen mislukte evenementen
+ in deze klasse.</para>
+ </listitem>
+
+ </itemizedlist>
+
+ <para>De volgende voorbeeld selectie strings selecteren zowel
+ succesvolle als mislukte login/logout evenementen, maar alleen
+ succesvolle uitvoer evenementen:</para>
- <para>Wordt vertaald</para>
+ <programlisting>lo,+ex</programlisting>
</sect2>
<sect2>
- <title>* Instellingenbestanden</title>
+ <title>Configuratie bestanden</title>
+
+ <para>In de meeste gevallen moet een beheerder twee bestanden
+ wijzigingen wanneer het audit systeem wordt geconfigureerd:
+ <filename>audit_control</filename> en
+ <filename>audit_user</filename>. Het eerste controleert systeem
+ brede audit eigenschappen en policies, het tweede kan gebruikt
+ worden om diepgaande auditing per gebruiker uit te voeren.</para>
<sect3 id="audit-auditcontrol">
- <title>* Bestand <filename>audit_control</filename></title>
+ <title>Het <filename>audit_control</filename> bestand</title>
+
+ <para>Het <filename>audit_control</filename> bestand specificeert
+ een aantal standaarden van het audit subsysteem. Als de inhoud
+ bekeken wordt van dit bestand is het volgende te zien:</para>
+
+ <programlisting>dir:/var/audit
+flags:lo
+minfree:20
+naflags:lo
+policy:cnt
+filesz:0</programlisting>
+
+ <para>De <option>dir</option> optie wordt gebruikt om
+ één of meerdere directories te specificeren die
+ gebruikt worden voor de opslag van audit logs. Als er meer
+ dan één directory wordt gespecificeerd, worden ze
+ op volgorde gebruikt naarmate ze gevuld worden. Het is
+ standaard dat audit geconfigureerd wordt dat audit logs
+ worden bewaard op een eigen bestandssysteem, om te
+ voorkomen dat het audit subsysteem en andere subsystemen met
+ elkaar botsen als het bestandssysteem volraakt.</para>
+
+ <para>Het <option>flags</option> veld stelt de systeem brede
+ standaard preselection maskers voor attributable evenementen
+ in. In het voorbeeld boven worden succesvolle en mislukte
+ login en logout evenementen geaudit voor alle gebruikers.</para>
+
+ <para>De <option>minfree</option> optie definieerd het minimale
+ percentage aan vrije ruimte voor dit bestandssysteem waar de
+ audit trails worden opgeslagen. Wanneer deze limiet wordt
+ overschreven wordt er een waarschuwing gegenereerd. In het
+ bovenstaande voorbeeld wordt de minimale vrije ruimte ingesteld
+ op 20 procent.</para>
+
+ <para>De<option>naflags</option> optie specificeerd audit klasses
+ welke geaudit moeten worden voor non-attributed evenementen
+ zoals het login proces en voor systeem daemons.</para>
+
+ <para>De<option>policy</option> optie specificeert een komma
+ gescheiden lijst van policy vlaggen welke diverse aspecten
+ van het audit proces beheren. De standaard
+ <literal>cnt</literal> vlag geeft aan dat het systeem moet
+ blijven draaien ook al treden er audit fouten op (deze vlag
+ wordt sterk aangeraden). Een andere veel gebruikte vlag is
+ <literal>argv</literal>, wat het mogelijk maakt om command
+ line argumenten aan de &man.execve.2; systeem aanroep te
+ auditen als onderdeel van het uitvoeren van commando's.</para>
- <para>Wordt vertaald</para>
+ <para>De <option>filesz</option> optie specificeert de maximale
+ grootte in bytes hoeveel een audit trail bestand mag groeien
+ voordat het automatisch getermineerd en geroteerd wordt. De
+ standaard, 0, schakelt automatische log rotatie uit. Als de
+ gevraagde bestands grootte niet nul is en onder de minimale
+ 512k zit, wordt de optie genegeerd en wordt er een log bericht
+ gegenereerd.</para>
</sect3>
<sect3 id="audit-audituser">
- <title>* Bestand <filename>audit_user</filename></title>
+ <title>Het <filename>audit_user</filename> bestand</title>
+
+ <para>Het <filename>audit_user</filename> bestand staat de
+ beheerder toe om verdere audit benodigdheden te
+ specificeren voor gebruikers. Elke regel configureert
+ auditing voor een gebruiker via twee velden, het eerste is het
+ <literal>alwaysaudit</literal> veld, welke een set van
+ evenementen specificeert welke altijd moet worden geaudit voor
+ de gebruiker, en de tweede is het <literal>neveraudit</literal>
+ veld, welke een set van evenementen specificeerd die nooit
+ geaudit moeten worden voor de gebruiker.</para>
+
+ <para>Het volgende voorbeeld <filename>audit_user</filename>
+ bestand audit login/logout evenementen en succesvolle commando
+ uitvoer voor de <username>root</username> gebruiker, en audit
+ bestands creatie en succesvolle commando uitvoer voor de
+ <username>www</username> gebruiker. Als dit gebruikt wordt
+ in combinatie met het voorbeeld
+ <filename>audit_control</filename> bestand hierboven, is de
+ <username>root</username> regel dubbelop en zullen login/logout
+ evenementen ook worden geaudit voor de
+ <username>www</username> gebruiker.</para>
+
+ <programlisting>root:lo,+ex:no
+www:fc,+ex:no</programlisting>
- <para>Wordt vertaald</para>
</sect3>
</sect2>
</sect1>
<sect1 id="audit-administration">
- <title>* Gebeurtenisaudit beheer</title>
+ <title>Het audit subsysteem beheren.</title>
+
+ <sect2>
+ <title>Audit trails inzien</title>
+
+ <para>Audit trails worden opgeslagen in het BSM binaire formaat,
+ dus ondersteunende programma's moeten worden gebruikt om de
+ informatie te wijzigen of converteren naar tekst. Het
+ &man.praudit.1; commando converteert trail bestanden naar een
+ simpel tekst formaat; het &man.auditreduce.1; commando kan
+ gebruikt worden om de audit trail te reduceren voor analyse,
+ archivering of voor het uitprinten van de data.
+ <command>auditreduce</command> ondersteund een variateit aan
+ selectie parameters, zoals evenement type, evenement klasse,
+ gebruiker, datum of tijd van het evenement en het bestandspad
+ of object dat gebruikt wordt.</para>
+
+ <para>Bijvoorbeeld, het <command>praudit</command> programma zal
+ een dump maken van de volledige inhoud van een gespecificeerd
+ audit log bestand in normale tekst:</para>
+
+ <screen>&prompt.root; <userinput>praudit /var/audit/AUDITFILE</userinput></screen>
+
+ <para>Waar
+ <filename><replaceable>AUDITFILE</replaceable></filename> het
+ audit bestand is dat ingelezen moet worden.</para>
+
+ <para>Audit trails bestaan uit een serie van audit records die
+ gevormd worden door tokens, welke <command>praudit</command>
+ sequentieel print één per regel. Elke token is van
+ een specifiek type, zoals een <literal>header</literal> welke
+ de audit record header bevat, of <literal>path</literal> welke
+ het bestandspad bevat van een lookup. Het volgende is een
+ voorbeeld van een <literal>execve</literal> evenement:</para>
+
+ <programlisting>header,133,10,execve(2),0,Mon Sep 25 15:58:03 2006, + 384 msec
+exec arg,finger,doug
+path,/usr/bin/finger
+attribute,555,root,wheel,90,24918,104944
+subject,robert,root,wheel,root,wheel,38439,38032,42086,128.232.9.100
+return,success,0
+trailer,133</programlisting>
+
+ <para>Deze audit representeert een succesvolle
+ <literal>execve</literal> aanroep, waarbij het commando
+ <literal>finger doug</literal> is aangeroepen. Het argument
+ token bevat beide commando's gerepresenteerd door de shell aan
+ de kernel. Het <literal>path</literal> token bevat het pad
+ naar het uitvoerbare bestand zoals opgezocht door de kernel.
+ Het <literal>attribute</literal> token beschrijft de binary en
+ om precies te zijn bevat het de bestands mode welke gebruikt
+ kan worden om te zien of het bestand setuid was. Het
+ <literal>subject</literal> token beschrijft het onderwerp
+ proces en bevat sequentieel het audit gebruikers ID, effectieve
+ gebruikers ID en groep ID, echte gebruikers ID, groep ID,
+ proces ID, sessie ID, port ID en login adres. Let op dat het
+ audit gebruikers ID en het echte gebruikers ID van elkaar
+ verschillen omdat de gebruiker <username>robert</username>
+ veranderd is naar de <username>root</username> gebruiker voordat
+ het commando werd uitgevoerd, maar welke geaudit wordt als de
+ originele geauthoriseerde gebruiker. Als laatste wordt de
+ <literal>return</literal> token gebruikt om aan te geven dat er
+ een succesvolle uitvoer is geweest en <literal>trailer</literal>
+ geeft het einde aan van het record.</para>
+
+ <para>In &os; 6.3 en later ondersteund <command>praudit</command>
+ ook een XML output formaat, welke geselecteerd kan worden door
+ gebruik te maken van het <option>x</option> argument.</para>
+ </sect2>
+
+ <sect2>
+ <title>Het reduceren van audit trails</title>
+
+ <para>Omdat audit logs erg groot kunnen worden, zal de beheerder
+ waarschijnlijk een subset van records willen selecteren om te
+ gebruiken, zoals records die gekoppeld zijn aan een specifieke
+ gebruiker:</para>
+
+ <screen>&prompt.root; <userinput>auditreduce -u trhodes /var/audit/AUDITFILE | praudit</userinput></screen>
+
+ <para>Dit selecteert alle audit records die geproduceert zijn
+ voor de gebruiker <username>trhodes</username> die opgeslagen
+ is in het <filename><replaceable>AUDITFILE</replaceable></filename>
+ bestand.</para>
+ </sect2>
+
+ <sect2>
+ <title>Delegeren van audit onderzoek rechten</title>
+
+ <para>Leden van de <groupname>audit</groupname> groep krijgen
+ permissie om de audit trails te lezen in
+ <filename>/var/audit</filename>; standaard is deze groep leeg en
+ kan alleen de <username>root</username> gebruiker deze
+ audit trails lezen. Gebruikers kunnen toegevoegd worden aan de
+ <groupname>audit</groupname> groep zodat onderzoek rechten kunnen
>>> TRUNCATED FOR MAIL (1000 lines) <<<
More information about the p4-projects
mailing list