PERFORCE change 126408 for review
Gabor Pali
pgj at FreeBSD.org
Fri Sep 14 14:33:44 PDT 2007
http://perforce.freebsd.org/chv.cgi?CH=126408
Change 126408 by pgj at disznohal on 2007/09/14 21:32:42
Submit the initial Hungarian translation of Chapter 17: Security
Event Auditing.
Affected files ...
.. //depot/projects/docproj_hu/books/handbook/audit/chapter.sgml#2 edit
Differences ...
==== //depot/projects/docproj_hu/books/handbook/audit/chapter.sgml#2 (text+ko) ====
@@ -1,22 +1,19 @@
<!--
- The FreeBSD Documentation Project
+ The FreeBSD Documentation Project
$FreeBSD: doc/en_US.ISO8859-1/books/handbook/audit/chapter.sgml,v 1.30 2007/08/23 05:12:26 chinsan Exp $
-->
-<!-- Need more documentation on praudit, auditreduce, etc. Plus more info
-on the triggers from the kernel (log rotation, out of space, etc).
-And the /dev/audit special file if we choose to support that. Could use
-some coverage of integrating MAC with Event auditing and perhaps discussion
-on how some companies or organizations handle auditing and auditing
-requirements. -->
+<!-- The FreeBSD Hungarian Documentation Project
+ Translated by: PALI, Gabor <pgj at FreeBSD.org>
+ Original Revision: r1.30 -->
-<chapter id="audit">
+<chapter id="audit" lang="hu">
<chapterinfo>
<authorgroup>
<author>
<firstname>Tom</firstname>
<surname>Rhodes</surname>
- <contrib>Written by </contrib>
+ <contrib>Írta: </contrib>
</author>
<author>
<firstname>Robert</firstname>
@@ -25,503 +22,556 @@
</authorgroup>
</chapterinfo>
- <title>Security Event Auditing</title>
+ <title>Biztonsági események vizsgálata</title>
<sect1 id="audit-synopsis">
- <title>Synopsis</title>
+ <title>Áttekintés</title>
<indexterm><primary>AUDIT</primary></indexterm>
<indexterm>
- <primary>Security Event Auditing</primary>
+ <primary>Biztonsági események vizsgálata</primary>
<see>MAC</see>
</indexterm>
- <para>FreeBSD 6.2-RELEASE and later include support for fine-grained
- security event auditing. Event auditing allows the reliable,
- fine-grained, and configurable logging of a variety of
- security-relevant system events, including logins, configuration
- changes, and file and network access. These log records can be
- invaluable for live system monitoring, intrusion detection, and
- postmortem analysis. &os; implements &sun;'s published
- <acronym>BSM</acronym> API and file format, and is interoperable with
- both &sun;'s &solaris; and &apple;'s &macos; X audit implementations.</para>
-
- <para>This chapter focuses on the installation and configuration of
- Event Auditing. It explains audit policies, and provides an example
- audit configuration.</para>
+ <para>A &os; 6.2-RELEASE és az azóta megjelent verziók támogatják a
+ biztonsági események aprólékos vizsgálatát. Ezzel egy megbízható,
+ részletes és jól konfigurálható naplózási rendszert társítanak a
+ rendszerben található biztonságot igénylõ események széles köréhez,
+ beleértve a bejelentkezéseket, a konfigurációs állományokban bekövetkezõ
+ változásokat, állomány- és hálózati hozzáféréseket. Az így létrehozott
+ naplóbejegyzések felbecsülhetetlen értékûnek bizonyulhatnak egy élõ
+ rendszer felügyelete során, vagy egy hálózati támadás észleléséhez,
+ esetleg egy összeomlás okainak kielemezéséhez. A &os; ehhez a &sun;
+ által kifejlesztett <acronym>BSM</acronym> technológia API-ját és
+ állományformátumát valósítja meg, és így képes együttmûködni a &sun;
+ &solaris; valamint az &apple; &macos; X bizonsági rendszereivel
+ egyaránt.</para>
+
+ <para>Ebben a fejezetben a biztonsági események vizsgálatának
+ telepítéséhez és beállításához szükséges ismeretek tekintjük át.
+ Ennek keretében szó esik a vizsgálati házirendekrõl, valamint
+ mutatunk egy példát a vizsgálatok beállítására.</para>
+
+ <para>A fejezet elolvasása során megismerjük:</para>
- <para>After reading this chapter, you will know:</para>
-
<itemizedlist>
<listitem>
- <para>What Event Auditing is and how it works.</para>
+ <para>mit jelent az események vizsgálata és hogyan
+ mûködik.</para>
</listitem>
<listitem>
- <para>How to configure Event Auditing on &os; for users
- and processes.</para>
+ <para>hogyan kell beállítani az események vizsgálatát &os;-n
+ a különbözõ felhasználók és programok esetén.</para>
</listitem>
<listitem>
- <para>How to review the audit trail using the audit reduction and
- review tools.</para>
+ <para>hogyan értelmezzük egy vizsgálati nyomokat a
+ vizsgálatot szûkítõ és -elemzõ segédprogramok segítségével.</para>
</listitem>
</itemizedlist>
- <para>Before reading this chapter, you should:</para>
+ <para>A fejezet elolvasásához ajánlott:</para>
<itemizedlist>
<listitem>
- <para>Understand &unix; and &os; basics
- (<xref linkend="basics">).</para>
+ <para>alapvetõ &unix;-os és &os;-s ismeretek
+ (<xref linkend="basics">).</para>
</listitem>
<listitem>
- <para>Be familiar with the basics of kernel
- configuration/compilation
- (<xref linkend="kernelconfig">).</para>
+ <para>a rendszermag konfigurálásával és fordításával kapcsolatos
+ tudnivalók alapszintû ismerete (<xref linkend="kernelconfig">).</para>
</listitem>
<listitem>
- <para>Have some familiarity with security and how it
- pertains to &os; (<xref linkend="security">).</para>
+ <para>az informatikai biztonság alapfogalmainak és annak a &os;-re
+ vonatkozó részleteinek minimális ismerete
+ (<xref linkend="security">).</para>
</listitem>
</itemizedlist>
<warning>
- <para>The audit facility in &os; 6.2 is experimental, and production
- deployment should occur only after careful consideration of the
- risks of deploying experimental software. Known limitations include
- that not all security-relevant system events are currently auditable,
- and that some login mechanisms, such as X11-based display managers
- and third party daemons, do not properly configure auditing for user
- login sessions.</para>
+ <para>A &os; 6.2-es verziójában jelenlevõ biztonsági vizsgálat még
+ csak kísérleti jelleggel szerepel, éles környezetben kizárólag csak
+ az ilyen fajta szoftverekkel kapcsolatos kockázatok tudatában és
+ elfogadásával javasolt használni. Ismert korlátozások: nem mindegyik
+ biztonságot érintõ esemény vizsgálható, mint mondjuk az egyes
+ bejelentkezési típusok, mivel azok nem megfelelõen hitelesítik
+ a belépõ felhasználókat. Ilyenek például az X11-alapú felületek és
+ az egyéb, erre a célra alkalmas, más által fejlesztett daemonok.
</warning>
<warning>
- <para>The security event auditing facility is able to generate very
- detailed logs of system activity: on a busy system, trail file
- data can be very large when configured for high detail, exceeding
- gigabytes a week in some configurations. Administrators should take
- into account disk space requirements associated with high volume
- audit configurations. For example, it may be desirable to dedicate
- a file system to the <filename>/var/audit</filename> tree so that
- other file systems are not affected if the audit file system becomes
- full.</para>
+ <para>A biztonsági események vizsgálata során a rendszer képes nagyon
+ részletes naplókat készíteni az érintett tevékenységekrõl. Így egy
+ kellõen forgalmas rendszeren az állománymozgások alapos nyomonkövetése
+ bizonyos konfigurációkon akár gigabyte-okat is kitehet hetente. A
+ rendszergazdáknak ezért mindig javasolt számolniuk a nagy forgalmú
+ események biztonsági vizsgálatának tárigényével. Például, emiatt
+ érdemes lehet egy egész állományrendszert szánni erre a feladatra a
+ <filename>/var/audit</filename> könyvtárban, és így a többi
+ állományrendszer nem látja kárát, ha véletlenül betelne ez a
+ terület.</para>
</warning>
</sect1>
<sect1 id="audit-inline-glossary">
- <title>Key Terms in this Chapter</title>
+ <title>A fejezet fontosabb fogalmai</title>
- <para>Before reading this chapter, a few key audit-related terms must be
- explained:</para>
+ <para>A fejezet elolvasása elõtt meg kell ismernünk néhány fontos
+ alapfogalmat:</para>
<itemizedlist>
<listitem>
- <para><emphasis>event</emphasis>: An auditable event is any event
- that can be logged using the audit subsystem.
- Examples of security-relevant events include the creation of
- a file, the building of a network connection, or a user logging in.
- Events are either <quote>attributable</quote>,
- meaning that they can be traced to an authenticated user, or
- <quote>non-attributable</quote> if they cannot be.
- Examples of non-attributable events are any events that occur
- before authentication in the login process, such as bad password
- attempts.</para>
+ <para><emphasis>esemény:</emphasis> Vizsgálható eseménynek azt az
+ eseményt nevezzük, amely egy vizsgálati alrendszerben naplózható.
+ Biztonsági események lehetnek például: egy állomány létrehozása,
+ egy hálózati kapcsolat felépítése, vagy egy felhasználó
+ bejelentkezése. Egy esemény <quote>jellegzetes</quote>, ha
+ visszakövethetõ valamelyik hitelesített felhasználóhoz, vagy
+ <quote>nem jellegzetes</quote>, ha ez nem lehetséges. Nem
+ jellegzetes események lehet például minden olyan esemény, amely
+ egy bejelentkezési folyamat hitelesítési lépése elõtt történik,
+ ilyenek a hibás jelszóval történõ belépési kísérletek.</para>
</listitem>
<listitem>
- <para><emphasis>class</emphasis>: Event classes are named sets of
- related events, and are used in selection expressions. Commonly
- used classes of events include <quote>file creation</quote> (fc),
- <quote>exec</quote> (ex) and <quote>login_logout</quote>
- (lo).</para>
+ <para><emphasis>osztály:</emphasis> Eseményosztálynak az összefüggõ
+ események névvel ellátott halmazát tekintjük, és szûrési
+ feltételekben használjuk õket. Általában alkalmazott osztályok:
+ <quote>file creation</quote> (fc, állománylétrehozás),
+ <quote>exec</quote> (ex, programindítás), és
+ <quote>login_logout</quote> (lo, ki- és bejelentkezés).</para>
</listitem>
<listitem>
- <para><emphasis>record</emphasis>: A record is an audit log entry
- describing a security event. Records contain a record event type,
- information on the subject (user) performing the action,
- date and time information, information on any objects or
- arguments, and a success or failure condition.</para>
+ <para><emphasis>rekord:</emphasis> Rekordnak nevezzük a biztonsági
+ eseményeket leíró biztonsági naplóbejegyzéseket. A rekordok
+ tartalmazhatják a feljegyzett esemény típusát, az eseményt kiváltó
+ tevékenységet (felhasználót), a dátumot és az idõt, tetszõleges
+ objektum vagy paraméter értékét, feltételek teljesülését vagy
+ meghiúsulását.</para>
</listitem>
<listitem>
- <para><emphasis>trail</emphasis>: An audit trail, or log file,
- consists of a series of audit records describing security
- events. Typically, trails are in roughly chronological
- order with respect to the time events completed. Only
- authorized processes are allowed to commit records to the
- audit trail.</para>
+ <para><emphasis>nyom:</emphasis> Vizsgálati nyomnak vagy
+ naplóállománynak nevezzük a különféle biztonsági eseményeket
+ leíró vizsgálati rekordok sorozatát. A nyomok többnyire nagyjából
+ az események bekövetkezése szerinti idõrendben következnek. Csak
+ és kizárólag az erre felhatalmazott programok hozhatnak létre
+ rekordokat a vizsgálati nyomban.</para>
</listitem>
<listitem>
- <para><emphasis>selection expression</emphasis>: A selection
- expression is a string containing a list of prefixes and audit
- event class names used to match events.</para>
+ <para><emphasis>szûrési feltétel:</emphasis> Szûrési
+ feltételnek nevezünk egy olyan sztringet, amelyet események
+ szûrésére használunk, és módosítókat valamint eseményosztályok
+ neveit tartalmazza.</para>
</listitem>
<listitem>
- <para><emphasis>preselection</emphasis>: The process by which the
- system identifies which events are of interest to the administrator
- in order to avoid generating audit records describing events that
- are not of interest. The preselection configuration
- uses a series of selection expressions to identify which classes
- of events to audit for which users, as well as global settings
- that apply to both authenticated and unauthenticated
- processes.</para>
+ <para><emphasis>elõválogatás:</emphasis> Elõválogatásnak nevezzük
+ a folyamatot, amelynek során a rendszer beazonosítja azokat az
+ eseményeket, amelyek a rendszergazda számára fontosak. Ezáltal
+ elkerülhetjük olyan vizsgálati rekordok generálását, amelyek
+ számunkra érdektelen eseményekrõl számolnak be. Az elõválogatás
+ szûrési feltételek sorát használja az adott felhasználókhoz
+ tartozó adott biztonsági események vizsgálatának beállításához,
+ akárcsak a hitelesített és a nem hitelesített programokat
+ értintõ globális beállítások meghatározásához.</para>
</listitem>
<listitem>
- <para><emphasis>reduction</emphasis>: The process by which records
- from existing audit trails are selected for preservation, printing,
- or analysis. Likewise, the process by which undesired audit
- records are removed from the audit trail. Using reduction,
- administrators can implement policies for the preservation of audit
- data. For example, detailed audit trails might be kept for one
- month, but after that, trails might be reduced in order to preserve
- only login information for archival purposes.</para>
+ <para><emphasis>leszûkítés:</emphasis> Leszûkítésnek nevezzük a
+ folyamatot, amelynek során a már meglevõ biztonsági rekordokból
+ válogatunk le tárolásra, nyomtatásra vagy elemzésre. Hasonlóan
+ ez a folyamat, ahol a szükségtelen rekordokat eltávolítjuk a
+ vizsgálatai nyomból. A leszûkítés segítségével a rendszergazdák
+ a vizsgálati adatok eltárolására alakíthatnak ki házirendet.
+ Például a részletesebb vizsgálati nyomokat érdemes egy hónapig
+ megtartani, ennek lejártával viszont már inkább ajánlott
+ leszûkíteni õket és archiválásra csak a bejelentkezési információkat
+ megtartani.</para>
</listitem>
</itemizedlist>
</sect1>
<sect1 id="audit-install">
- <title>Installing Audit Support</title>
-
- <para>User space support for Event Auditing is installed as part of the
- base &os; operating system as of 6.2-RELEASE. However, Event Auditing
- support must be explicitly compiled into the kernel by adding the
- following lines to the kernel configuration file:</para>
-
+ <title>A vizsgálat támogatásának telepítése</title>
+
+ <para>A eseményvizsgálathoz szükséges felhasználói programok a &os;
+ 6.2-RELEASE kiadásától kezdõdõen az alap operációs rendszer részét
+ képezik. Azonban az eseményvizsgálat használatához a rendszermagban is
+ be kell kapcsolnunk a megfelelõ támogatást, mégpedig a rendszermag
+ konfigurációs állományában az alábbi sor hozzáadásával:</para>
+
<programlisting>options AUDIT</programlisting>
-
- <para>Rebuild and reinstall
- the kernel via the normal process explained in
- <xref linkend="kernelconfig">.</para>
-
- <para>Once the kernel is built, installed, and the system has been
- rebooted, enable the audit daemon by adding the following line to
- &man.rc.conf.5;:</para>
-
+
+ <para>Fordítsuk és telepítsük újra a rendszermagot az
+ <xref linkend="kernelconfig">ben ismertetett folyamat szerint.</para>
+
+ <para>Ahogy a rendszermagot sikerült lefordítanunk és telepítenünk,
+ valamint a rendszerünk is újraindult, indítsuk el a vizsgáló daemont
+ a következõ sor hozzáadásával a &man.rc.conf.5;-ban:</para>
+
<programlisting>auditd_enable="YES"</programlisting>
-
- <para>Audit support must then be started by a reboot, or by manually
- starting the audit daemon:</para>
-
+
+ <para>A vizsgálatot innentõl ténylegesen egy ismételt újraindítással vagy
+ pedig az elõbb említett daemon manuális elindításával
+ aktiválhatjuk:</para>
+
<programlisting>/etc/rc.d/auditd start</programlisting>
</sect1>
<sect1 id="audit-config">
- <title>Audit Configuration</title>
+ <title>A vizsgálat beállítása</title>
- <para>All configuration files for security audit are found in
- <filename class="directory">/etc/security</filename>. The following
- files must be present before the audit daemon is started:</para>
+ <para>A vizsgálatok beállításához szükséges összes konfigurációs állomány
+ a <filename class="directory">/etc/security</filename> könyvtárban
+ található. A következõ állományok vannak itt a daemon indítása
+ elõtt:</para>
<itemizedlist>
<listitem>
- <para><filename>audit_class</filename> - Contains the
- definitions of the audit classes.</para>
- </listitem>
+ <para><filename>audit_class</filename> - a vizsgálati osztályok
+ definícióit tartalmazza.</para>
+ </listitem>
<listitem>
- <para><filename>audit_control</filename> - Controls aspects
- of the audit subsystem, such as default audit classes,
- minimum disk space to leave on the audit log volume,
- maximum audit trail size, etc.</para>
+ <para><filename>audit_control</filename> - a vizsgálati alrendszer
+ különbözõ területei vezérli, többek közt az alapértelmezett
+ vizsgálati osztályokat, az vizsgálati adatok tárhelyén meghagyandó
+ minimális lemezterület, a vizsgálati nyom maximális mérete
+ stb.</para>
</listitem>
<listitem>
- <para><filename>audit_event</filename> - Textual names and
- descriptions of system audit events, as well as a list of which
- classes each event in.</para>
+ <para><filename>audit_event</filename> - a rendszerben jelenlevõ
+ vizsgálati események szöveges megnevezése és leírása, valamint a
+ lista, hogy melyikük mely osztályban található.</para>
</listitem>
<listitem>
- <para><filename>audit_user</filename> - User-specific audit
- requirements, which are combined with the global defaults at
- login.</para>
+ <para><filename>audit_user</filename> - felhasználónként változó
+ vizsgálati elvárások, kombinálva a bejelentkezéskor érvényes
+ globálisan alapértelmezett beállításokkal.</para>
</listitem>
<listitem>
- <para><filename>audit_warn</filename> - A customizable shell script
- used by <application>auditd</application> to generate warning messages in exceptional
- situations, such as when space for audit records is running low or
- when the audit trail file has been rotated.</para>
+ <para><filename>audit_warn</filename> - az
+ <application>auditd</application> által használt testreszabható
+ shell szkript, aminek segítségével a szélsõséges helyzetekben
+ figyelmeztetõ üzeneteket tudunk generálni, mint mondjuk amikor
+ a rekordok számára fenntartott hely elfogyóban van, vagy amikor a
+ nyomokat tartalmazó állományt archiváltuk.</para>
</listitem>
</itemizedlist>
<warning>
- <para>Audit configuration files should be edited and maintained
- carefully, as errors in configuration may result in improper
- logging of events.</para>
+ <para>Az eseményvizsgálat konfigurációs állományait alapos körültekintés
+ mellett szabad szerkeszteni és karbantartani, mivel a bennük keletkezõ
+ hibák az események helytelen naplózását eredményezhetik.</para>
</warning>
<sect2>
- <title>Event Selection Expressions</title>
+ <title>Eseményszûrési feltételek</title>
- <para>Selection expressions are used in a number of places in the
- audit configuration to determine which events should be audited.
- Expressions contain a list of event classes to match, each with
- a prefix indicating whether matching records should be accepted
- or ignored, and optionally to indicate if the entry is intended
- to match successful or failed operations. Selection expressions
- are evaluated from left to right, and two expressions are
- combined by appending one onto the other.</para>
+ <para>Az eseményvizsgálati beállítások során számtalan helyen felbukkanak
+ a vizsgálni kívánt eseményeket meghatározó szûrési feltételek. Ezen
+ feltételek eseményosztályok felsorolását tartalmazzák, mindegyiküket
+ egy módosító vezeti be, ezzel jelezve, hogy az adott eseményosztályba
+ tartozó rekordokat tartsuk meg vagy vessük el. Esetleg utalhatnak arra
+ is, hogy vagy csak a sikerességet jelzõ rekordokat, vagy csak a
+ sikertelenséget jelzõ rekordokat szûrjük ki. A szûrési feltételek
+ balról jobbra értékelõdnek ki, és két kifejezés összefûzéssel
+ kombinálható.</para>
+
+ <para>A most következõ lista tartalmazza a
+ <filename>audit_class</filename> állományban található alapértelmezett
+ eseményvizsgálati osztályokat:</para>
- <para>The following list contains the default audit event classes
- present in <filename>audit_class</filename>:</para>
-
<itemizedlist>
- <listitem>
- <para><literal>all</literal> - <emphasis>all</emphasis> - Match all
- event classes.</para>
- </listitem>
+ <listitem>
+ <para><literal>all</literal> - <emphasis>all (mind)</emphasis> -
+ Minden eseményosztályra vonatkozik.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>ad</literal> -
+ <emphasis>administrive (adminisztrációs)</emphasis> - olyan
+ adminisztrációs tevékenységek, amelyek egyben az egész rendszeren
+ végrehajtódnak.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>ap</literal> -
+ <emphasis>application (alkalmazás)</emphasis> - az alkalmazások
+ által meghatározott tevékenység.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>cl</literal> -
+ <emphasis>file close (állomány lezárása)</emphasis> - a
+ <function>close</function> rendszerhívás meghívásának
+ vizsgálata.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>ex</literal> -
+ <emphasis>exec (programindítás)</emphasis> - egy program
+ indításának vizsgálata. A parancssorban átadott paraméterek és
+ a környezeti változók vizsgálatát a &man.audit.control.5;
+ vezérli a <literal>policy</literal> beállításhoz tartozó
+ <literal>argv</literal> és <literal>envv</literal>
+ paraméterek segítségével.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>fa</literal> -
+ <emphasis>file attribute access
+ (állományjellemzõk hozzáférése)</emphasis> - a rendszerbeli
+ objektumok jellemzõinek hozzáférésnek vizsgálata, mint pl. a
+ &man.stat.1;, &man.pathconf.2; és ehhez hasonló események.</para>
+ </listitem>
- <listitem>
- <para><literal>ad</literal> - <emphasis>administrative</emphasis>
- - Administrative actions performed on the system as a
- whole.</para>
- </listitem>
-
- <listitem>
- <para><literal>ap</literal> - <emphasis>application</emphasis> -
- Application defined action.</para>
- </listitem>
+ <listitem>
+ <para><literal>fc</literal> -
+ <emphasis>file create (állomány létrehozása)</emphasis> -
+ állományt eredményezõ események vizsgálata.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>fd</literal> -
+ <emphasis>file delete (állomány törlése)</emphasis> -
+ állományt törlõ események vizsgálata.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>fm</literal> -
+ <emphasis>file attribute modify (állományjellemzõk
+ módosítása)</emphasis> - állományok jellemzõit megváltoztató
+ események vizsgálata, mint mondjuk a &man.chown.8;,
+ &man.chflags.1;, &man.flock.2; stb.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>fr</literal> -
+ <emphasis>file read (állományolvasás)</emphasis> -
+ állományok olvasásra történõ megnyitásával, olvasásával
+ stb. kapcsolatos események vizsgálata.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>fw</literal> -
+ <emphasis>file write (állományírás)</emphasis> -
+ állományok írásra történõ megnyitásával, írásával,
+ módosításával stb. kapcsolatos események vizsgálata.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>io</literal> -
+ <emphasis>ioctl</emphasis> - a &man.ioctl.2; rendszerhívást
+ használó események vizsgálata.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>ip</literal> -
+ <emphasis>ipc</emphasis> - a folyamatok közti kommunikáció
+ különféle formáinak, beleértve a POSIX csövek és System V
+ <acronym>IPC</acronym> mûveleteinek vizsgálata.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>lo</literal> -
+ <emphasis>login_logout (ki- és bejelentkezés)</emphasis> -
+ a rendszerben megjelenõ &man.login.1; és &man.logout.1;
+ események vizsgálata.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>na</literal> -
+ <emphasis>non attributable (nem jellegzetes)</emphasis> -
+ a nem jellegzetes események vizsgálata.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>no</literal> -
+ <emphasis>invalid class (érvénytelen osztály)</emphasis> -
+ egyetlen biztonsági eseményt sem tartalmaz.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>nt</literal> -
+ <emphasis>network (hálózat)</emphasis> -
+ a hálózathoz tartozó események vizsgálata, mint pl. a
+ &man.connect.2; és &man.accept.2;.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>ot</literal> -
+ <emphasis>other (egyéb)</emphasis> -
+ más egyéb események vizsgálata.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>pc</literal> -
+ <emphasis>process (folyamat)</emphasis> - a folyamatokkal
+ kapcsolatos mûveletek, mint például a &man.exec.3; és
+ &man.exit.3; vizsgálata.</para>
+ </listitem>
- <listitem>
- <para><literal>cl</literal> - <emphasis>file close</emphasis> -
- Audit calls to the <function>close</function> system
- call.</para>
- </listitem>
-
- <listitem>
- <para><literal>ex</literal> - <emphasis>exec</emphasis> - Audit
- program execution. Auditing of command line arguments and
- environmental variables is controlled via &man.audit.control.5;
- using the <literal>argv</literal> and <literal>envv</literal>
- parameters to the <literal>policy</literal> setting.</para>
- </listitem>
-
- <listitem>
- <para><literal>fa</literal> - <emphasis>file attribute access</emphasis>
- - Audit the access of object attributes such as
- &man.stat.1;, &man.pathconf.2; and similar events.</para>
- </listitem>
-
- <listitem>
- <para><literal>fc</literal> - <emphasis>file create</emphasis>
- - Audit events where a file is created as a result.</para>
- </listitem>
-
- <listitem>
- <para><literal>fd</literal> - <emphasis>file delete</emphasis>
- - Audit events where file deletion occurs.</para>
- </listitem>
-
- <listitem>
- <para><literal>fm</literal> - <emphasis>file attribute modify</emphasis>
- - Audit events where file attribute modification occurs,
- such as &man.chown.8;, &man.chflags.1;, &man.flock.2;,
- etc.</para>
- </listitem>
-
- <listitem>
- <para><literal>fr</literal> - <emphasis>file read</emphasis>
- - Audit events in which data is read, files are opened for
- reading, etc.</para>
- </listitem>
-
- <listitem>
- <para><literal>fw</literal> - <emphasis>file write</emphasis> -
- Audit events in which data is written, files are written
- or modified, etc.</para>
- </listitem>
-
- <listitem>
- <para><literal>io</literal> - <emphasis>ioctl</emphasis> - Audit
- use of the &man.ioctl.2; system call.</para>
- </listitem>
-
- <listitem>
- <para><literal>ip</literal> - <emphasis>ipc</emphasis> - Audit
- various forms of Inter-Process Communication, including POSIX
- pipes and System V <acronym>IPC</acronym> operations.</para>
- </listitem>
-
- <listitem>
- <para><literal>lo</literal> - <emphasis>login_logout</emphasis> -
- Audit &man.login.1; and &man.logout.1; events occurring
- on the system.</para>
- </listitem>
-
- <listitem>
- <para><literal>na</literal> - <emphasis>non attributable</emphasis> -
- Audit non-attributable events.</para>
- </listitem>
-
- <listitem>
- <para><literal>no</literal> - <emphasis>invalid class</emphasis> -
- Match no audit events.</para>
- </listitem>
-
- <listitem>
- <para><literal>nt</literal> - <emphasis>network</emphasis> -
- Audit events related to network actions, such as
- &man.connect.2; and &man.accept.2;.</para>
- </listitem>
-
- <listitem>
- <para><literal>ot</literal> - <emphasis>other</emphasis> -
- Audit miscellaneous events.</para>
- </listitem>
-
- <listitem>
- <para><literal>pc</literal> - <emphasis>process</emphasis> -
- Audit process operations, such as &man.exec.3; and
- &man.exit.3;.</para>
- </listitem>
-
</itemizedlist>
+
+ <para>Az imént felsorolt eseményosztályok az
+ <filename>audit_class</filename> és <filename>audit_event</filename>
+ állományok módosításával igény szerint testreszabhatóak.</para>
+
+ <para>A listában szereplõ minden egyes eseményosztályhoz tartozik
+ még egy módosító is, amely jelzi, hogy a sikeres vagy a sikertelen
+ mûveleteket kell-e szûrnünk, valamint hogy a bejegyzés az adott
+ típust vagy osztályt hozzáadja vagy elveszi az adott
+ szûrésbõl.</para>
- <para>These audit event classes may be customized by modifying the
- <filename>audit_class</filename> and
- <filename>audit_event</filename> configuration files.</para>
-
- <para>Each audit class in the list is combined with a prefix
- indicating whether successful/failed operations are matched, and
- whether the entry is adding or removing matching for the class
- and type.</para>
-
<itemizedlist>
- <listitem>
- <para>(none) Audit both successful and failed instances of the
- event.</para>
- </listitem>
-
- <listitem>
- <para><literal>+</literal> Audit successful events in this
- class.</para>
- </listitem>
-
- <listitem>
- <para><literal>-</literal> Audit failed events in this
- class.</para>
- </listitem>
+
+ <listitem>
+ <para>(üres) az adott típusból mind a sikereseket és mind a
+ sikerteleneket feljegyzi.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>+</literal> az eseményosztályba tartozó sikeres
+ eseményeket vizsgálja csak.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>-</literal> az eseményosztályba tartozó sikertelen
+ eseményeket vizsgálja csak.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>^</literal> az eseményosztályból sem a sikereseket,
+ sem pedig a sikerteleneket nem vizsgálja.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>^+</literal> az eseményosztályból nem vizsgálja a
+ sikeres eseményeket.</para>
+ </listitem>
+
+ <listitem>
+ <para><literal>^-</literal> az eseményosztályból nem vizsgálja a
+ sikertelen eseményeket.</para>
+ </listitem>
- <listitem>
- <para><literal>^</literal> Audit neither successful nor failed
- events in this class.</para>
- </listitem>
-
- <listitem>
- <para><literal>^+</literal> Do not audit successful events in this
- class.</para>
- </listitem>
-
- <listitem>
- <para><literal>^-</literal> Do not audit failed events in this
- class.</para>
- </listitem>
-
</itemizedlist>
+
+ <para>Az alábbi példa egy olyan szûrési feltételt mutat be, amely
+ a ki/bejelentkezések közül megadja a sikereset és a sikerteleneket,
+ viszont a programindítások közül csak a sikereseket:</para>
- <para>The following example selection string selects both successful
- and failed login/logout events, but only successful execution
- events:</para>
-
<programlisting>lo,+ex</programlisting>
</sect2>
<sect2>
- <title>Configuration Files</title>
-
- <para>In most cases, administrators will need to modify only two files
- when configuring the audit system: <filename>audit_control</filename>
- and <filename>audit_user</filename>. The first controls system-wide
- audit properties and policies; the second may be used to fine-tune
- auditing by user.</para>
+ <title>A konfigurációs állományok</title>
+
+ <para>A vizsgálati rendszer beállításához az esetek túlnyomó részében
+ a rendszergazdáknak csupán két állományt kell módosítaniuk: ezek az
+ <filename>audit_control</filename> és az
+ <filename>audit_user</filename>. Az elõbbi felelõs a rendszerszintû
+ vizsgálati jellemzõkért és házirendekért, míg az utóbbi az igények
+ felhasználókénti finomhangolásához használható.</para>
<sect3 id="audit-auditcontrol">
- <title>The <filename>audit_control</filename> File</title>
+ <title>Az <filename>audit_control</filename> állomány</title>
+
+ <para>Az <filename>audit_control</filename> állomány határozza meg a
+ vizsgálati alrendszer alapértelmezéseit. Ezt az állományt
+ megnyitva a következõket láthatjuk:</para>
- <para>The <filename>audit_control</filename> file specifies a number
- of defaults for the audit subsystem. Viewing the contents of this
- file, we see the following:</para>
-
- <programlisting>dir:/var/audit
+ <programlisting>dir:/var/audit
flags:lo
minfree:20
naflags:lo
policy:cnt
filesz:0</programlisting>
- <para>The <option>dir</option> option is used to set one or more
- directories where audit logs will be stored. If more than one
- directory entry appears, they will be used in order as they fill.
- It is common to configure audit so that audit logs are stored on
- a dedicated file system, in order to prevent interference between
- the audit subsystem and other subsystems if the file system fills.
- </para>
-
- <para>The <option>flags</option> field sets the system-wide default
- preselection mask for attributable events. In the example above,
- successful and failed login and logout events are audited for all
- users.</para>
-
- <para>The <option>minfree</option> option defines the minimum
- percentage of free space for the file system where the audit trail
- is stored. When this threshold is exceeded, a warning will be
- generated. The above example sets the minimum free space to
- twenty percent.</para>
+ <para>A <option>dir</option> opciót használjuk a vizsgálati naplók
+ tárolására szolgáló egy vagy több könyvtár megadására. Ha egynél
+ több könyvtárra vonatkozó bejegyzés található az állományban, akkor
+ azok a megadás sorrendjében kerülnek feltöltésre. Nagyon gyakori
+ az a beállítás, ahol a vizsgálati naplókat egy erre a célra külön
+ kialakított állományrendszeren tárolják, megelõzve ezzel az
+ állományrendszer betelésekor keletkezõ problémákat a többi
+ alrendszerben.</para>
+
+ <para>A <option>flags</option> mezõ egy rendszerszintû
+ alapértelmezett elõválogatási maszkot határoz meg a jellegzetes
+ események számára. A fenti példában a sikeres és sikertelen ki-
+ és bejelentkezéseket mindegyik felhasználó esetén
+ vizsgáljuk.</para>
+
+ <para>A <option>minfree</option> opció megszabja a vizsgálati nyom
+ tárolására szánt állományrendszeren a minimális szabad helyet,
+ a teljes kapacitás százalékában. Amint ezt a küszöböt túllépjük,
+ egy figyelmeztetés fog generálódni. A fenti példa a minimálisan
+ szükséges rendelkezésre álló helyet húsz százalékra
+ állítja.</para>
+
+ <para>A <option>naflags</option> opció megadja azokat az
+ eseményosztályokat, amelyeket vizsgálni kell a nem jellegzetes
+ események, mind mondjuk a bejelentkezési folyamatok vagy
+ rendszerdaemonok esetén.</para>
+
+ <para>A <option>policy</option> opció a vizsgálat különbözõ
+ szempontjait irányító házirendbeli beállítások vesszõvel
+ elválasztott listáját tartalmazza. Az alapértelmezett
+ <literal>cnt</literal> beállítás azt adja meg, hogy a rendszer
+ a felmerülõ vizsgálati hibák ellenére is folytassa tovább a
+ mûködését (erõsen javasolt a használata). A másik gyakorta
+ alkalmazott beállítás az <literal>argv</literal>, amellyel a
+ rendszer a parancsvégrehajtás részeként az &man.execve.2;
+ rendszerhívás parancssori paramétereit is megvizsgálja.</para>
+
+ <para>A <option>filesz</option> opció meghatározza a
+ vizsgálati nyom automatikus szétvágása és archiválása elõtti
+ maximális méretét, byte-ban. Az alapértelmezett értéke a 0,
+ amely kikapcsolja ezt az archiválást. Ha az itt megadott
+ állományméret nem nulla és a minimálisan elvárt 512 kb alatt
+ van, akkor a rendszer figyelmen kívül hagyja és errõl egy
+ figyelmeztetést ad.</para>
- <para>The <option>naflags</option> option specifies audit classes to
- be audited for non-attributed events, such as the login process
- and system daemons.</para>
-
- <para>The <option>policy</option> option specifies a comma-separated
- list of policy flags controlling various aspects of audit
- behavior. The default <literal>cnt</literal> flag indicates that
- the system should continue running despite an auditing failure
- (this flag is highly recommended). Another commonly used flag is
- <literal>argv</literal>, which causes command line arguments to
- the &man.execve.2; system call to be audited as part of command
- execution.</para>
-
- <para>The <option>filesz</option> option specifies the maximum size
- in bytes to allow an audit trail file to grow to before
- automatically terminating and rotating the trail file. The
- default, 0, disables automatic log rotation. If the requested
- file size is non-zero and below the minimum 512k, it will be
- ignored and a log message will be generated.</para>
</sect3>
<sect3 id="audit-audituser">
- <title>The <filename>audit_user</filename> File</title>
+ <title>Az <filename>audit_user</filename> állomány</title>
+
+ <para>Az <filename>audit_user</filename> állomány lehetõvé teszi a
+ rendszergazda számára, hogy az egyes felhasználók számára további
+ vizsgálati szigorításokat határozzon meg. Minden sor egy-egy
+ felhasználó vizsgálatának pontosítását adja meg két mezõ
+ segítségével: az elsõ közülük az <literal>alwaysaudit</literal>
+ mezõ, mely felsorolja azokat az eseményeket, amelyeket minden
+ esetben vizsgáni kell az adott felhasználó esetén, valamint a
+ második a <literal>neveraudit</literal> mezõ, mely az adott
+ felhasználó esetén a nem vizsgálandó eseményeket adja meg.</para>
+
+ <para>A most következõ <filename>audit_user</filename> példában
+ vizsgáljuk a <username>root</username> felhasználó
+ ki/bejelentkezéseit és sikeres programindításait, valamint
+ a <username>www</username> felhasználó
+ állománylétrehozásait és sikeres programindításait. Ha a korábban
+ bemutatott <filename>audit_control</filename> példával együtt
+ használjuk, akkor észrevehetjük, hogy a <literal>lo</literal>
+ bejegyzés a <username>root</username> felhasználó esetén
+ redundáns, illetve ilyenkor a ki/bejelentkezést a
+ <username>www</username> felhasználó esetén is vizsgáljuk.</para>
- <para>The <filename>audit_user</filename> file permits the
- administrator to specify further audit requirements for specific
- users.
- Each line configures auditing for a user via two fields: the
- first is the <literal>alwaysaudit</literal> field, which specifies
- a set of events that should always be audited for the user, and
- the second is the <literal>neveraudit</literal> field, which
- specifies a set of events that should never be audited for the
- user.</para>
-
- <para>The following example <filename>audit_user</filename> file
- audits login/logout events and successful command execution for
- the <username>root</username> user, and audits file creation and successful command
- execution for the <username>www</username> user.
- If used with the example <filename>audit_control</filename> file
- above, the <literal>lo</literal> entry for <username>root</username>
- is redundant, and login/logout events will also be audited for the
- <username>www</username> user.</para>
-
- <programlisting>root:lo,+ex:no
+ <programlisting>root:lo,+ex:no
www:fc,+ex:no</programlisting>
</sect3>
@@ -529,36 +579,40 @@
</sect1>
<sect1 id="audit-administration">
- <title>Administering the Audit Subsystem</title>
+ <title>A vizsgálati alrendszer használata</title>
<sect2>
- <title>Viewing Audit Trails</title>
-
- <para>Audit trails are stored in the BSM binary format, so tools must
- be used to modify or convert to text. The &man.praudit.1;
- command converts trail files to a simple text format; the
- &man.auditreduce.1; command may be used to reduce the
- audit trail file for analysis, archiving, or printing purposes.
- <command>auditreduce</command> supports a variety of selection
- parameters, including event type, event class, user, date or time of
- the event, and the file path or object acted on.</para>
+ <title>A vizsgálati nyomok megtekintése</title>
+
+ <para>A vizsgálati nyomok a BSM bináris formátumban tárolódnak,
+ ezért a tartalmának konvertálásához és módosításához külön
+ segédprogramokra van szükség. A &man.praudit.1; parancs a
+ nyomállományokat egyszerû szöveges formátumra alakítja, a
+ &man.auditreduce.1; parancs pedig a nyomok elemzéséhez,
+ archiválásához vagy nyomtatásához szükséges leszûkítéséket
+ végzi el. Az <command>auditreduce</command> a szûrési feltételek
+ paramétereinek széles skáláját kezeli, beleértve az eseménytípusokat,
+ -osztályokat, felhasználókat, események dátumát vagy idõpontját,
+ állományok elérési útvonalát vagy az általuk érintett
>>> TRUNCATED FOR MAIL (1000 lines) <<<
More information about the p4-projects
mailing list