Update to r44378:

Finish editorial review of Event Auditing.

de_DE.ISO8859-1/books/handbook/audit/chapter.xml

@@ -5,7 +5,7 @@
 
      $FreeBSD$
      $FreeBSDde: de-docproj/books/handbook/audit/chapter.xml,v 1.14 2012/02/16 20:28:26 bcr Exp $
-     basiert auf: r44377
+     basiert auf: r44378
 -->
 <!-- Need more documentation on praudit, auditreduce, etc.  Plus more info
 on the triggers from the kernel (log rotation, out of space, etc).
@@ -264,6 +264,12 @@ requirements. -->
 	    <entry>Vergleicht alle Ereisnisklassen.</entry>
 	  </row>
 
+	  <row>
+	    <entry>aa</entry>
+	    <entry>authentifizierung und autorisierung</entry>
+	    <entry></entry>
+	  </row>
+
 	  <row>
 	    <entry>ad</entry>
 	    <entry>administrative</entry>
@@ -547,6 +553,11 @@ expire-after:10M</programlisting>
 	  dem Audit-Subsystem und anderen Subsystemen zu verhindern,
 	  falls das Dateisystem voll läuft.</para>
 
+	<para>Ist die Option <option>dist</option> auf
+	  <literal>on</literal> oder <literal>yes</literal> gesetzt,
+	  wird ein Link der Dateien des Audit-Trails in
+	  <filename>/var/audit/dist</filename> erstellt.</para>
+
 	<para>Das <option>flags</option>-Feld legt die systemweite
 	  Standard-Vorauswahl-Maske für attributierbare (direkt
 	  einem Benutzer zuordenbare) Ereignisse fest. Im
@@ -558,34 +569,34 @@ expire-after:10M</programlisting>
 	  minimalen Prozentsatz an freiem Plattenplatz für das
 	  Dateisystem, in welchem der Audit-Pfad abgespeichert wird.
 	  Wenn diese Schwelle überschritten ist, wird ein
-	  Warnhinweis erzeugt. Das obige Beispiel legt den minimalen
+	  Warnhinweis erzeugt.</para>
-	  freien Platz auf zwanzig Prozent fest.</para>
 
 	<para>Die <option>naflags</option>-Option bestimmt diejenigen
 	  Audit-Klassen, für die nicht-attributierbare Ereignisse
-	  aufgezeichnet werden sollen (beispielsweise Anmeldeprozesse
+	  aufgezeichnet werden sollen, wie beispielsweise
-	  und System-Daemonen.</para>
+	  Anmeldeprozesse, Authentifizierung und Autorisierung.</para>
 
 	<para>Die Option <option>policy</option> legt eine durch Kommata
 	  getrennte Liste von policy-Flags fest, welche verschiedene
-	  Aspekte des Audit-Verhaltens steuern. Der vorgegebene Flag
+	  Aspekte des Audit-Verhaltens steuern. Der Flag
 	  <literal>cnt</literal> zeigt an, dass das System trotz eines
 	  Audit-Fehlers weiterlaufen soll (dieses Flag wird dringend
-	  angeraten). Ein anderes, häufig genutztes Flag ist
+	  empfohlen). Ein anderes, häufig genutztes Flag ist
 	  <literal>argv</literal>, welches dazu führt, dass
 	  Befehlszeilen-Argumente für den Systemauruf
 	  &man.execve.2; als Teil der Befehlsausführung
 	  aufgezeichnet werden.</para>
 
 	<para>Die <option>filesz</option>-Option spezifiziert die
-	  maximale Größe in Bytes, welche eine
+	  maximale Größe der Audit-Datei, bevor sie automatisch
-	  Audit-Pfad-Datei wachsen darf, bevor sie automatisch beendet
+	  beendet und rotiert wird. Der Wert <literal>0</literal>
-	  und rotiert wird. Die Standardvorgabe <literal>0</literal>
 	  setzt die automatische Log-Rotation ausser Kraft. Falls die
-	  angeforderte Dateigröße größer Null
+	  angeforderte Dateigröße unterhalb des Minimums von 512K
-	  und gleichzeitig unterhalb des Minimums von 512K ist, dann
+	  ist, dann wird die Angabe verworfen und ein Log-Hinweis wird
-	  wird die Angabe verworfen und ein Log-Hinweis wird
 	  erzeugt.</para>
+
+	<para>Die Option <option>expire-after</option> legt fest, wann
+	  die Audit-Dateien verfallen und entfernt werden.</para>
       </sect3>
 
       <sect3 xml:id="audit-audituser">
@@ -594,13 +605,12 @@ expire-after:10M</programlisting>
 	<para>Die <filename>audit_user</filename>-Datei erlaubt es dem
 	  Administrator, weitere Audit-Erfordernisse für bestimmte
 	  Benutzer festzulegen. Jede Zeile konfiguriert das Auditing
-	  für einen Benutzer über zwei Felder: Das erste Feld
+	  für einen Benutzer über zwei Felder:
-	  ist <literal>alwaysaudit</literal>, welches eine Ansammlung
+	  <literal>alwaysaudit</literal> gibt eine Ansammlung von
-	  von Ereignissen vorgibt, welche immer für diesen Benutzer
+	  Ereignissen vor, welche immer für diesen Benutzer
-	  aufgezeichnet werden. Das zweite Feld
+	  aufgezeichnet werden.  <literal>neveraudit</literal> legt
-	  <literal>neveraudit</literal> legt eine Menge an Ereignissen
+	  Ereignisse fest, die niemals für diesen Benutzer auditiert
-	  fest, die niemals für diesen Benutzer auditiert werden
+	  werden sollen.</para>
-	  sollen.</para>
 
 	<para>Das folgende Beispiel einer
 	  <filename>audit_user</filename>-Datei zeichnet
@@ -608,9 +618,8 @@ expire-after:10M</programlisting>
 	  Befehlsausführungen für den Benutzer
 	  <systemitem class="username">root</systemitem>, Anlegen von Dateien und
 	  erfolgreiche Befehlsausführungen für den Benutzer
-	  <systemitem class="username">www</systemitem> auf. Falls das Beispiel zusammen
+	  <systemitem class="username">www</systemitem> auf. Falls die
-	  mit der vorstehend als Beispiel gezeigten Datei
+	  voreingestellte <filename>audit_control</filename> benutzt wird, dann ist
-	  <filename>audit_control</filename> benutzt wird, dann ist
 	  der Eintrag <literal>lo</literal> für <systemitem
 	  class="username">root</systemitem> überflüssig und
 	  Anmelde/Abmelde-Ereignisse werden für <systemitem
@@ -624,32 +633,30 @@ www:fc,+ex:no</programlisting>
   </sect1>
 
   <sect1 xml:id="audit-administration">
-    <title>Administration des Audit-Subsystems</title>
+    <title>Audit-Trails</title>
 
-    <sect2>
-      <title>Audit-Pfade betrachten</title>
 
-      <para>Audit-Pfade werden im binären BSM-Format
+      <para>Weil Audit-Trails werden im binären
-	gespeichert, daher benötigen Sie spezielle Werkzeuge, um
+	<acronym>BSM</acronym>-Format gespeichert werden, gibt es
-	derartige Dateien zu ändern oder Sie in Textdateien zu
+	verschiedene Werkzeuge, um derartige Dateien zu ändern oder
-	konvertieren. Der
+	sie in Textdateien zu konvertieren. Der
-	Befehl &man.praudit.1; wandelt alle Pfad-Dateien in ein
+	Befehl <command>praudit</command> wandelt alle Pfad-Dateien in
-	einfaches Textformat um. Der Befehl &man.auditreduce.1; kann
+	ein einfaches Textformat um. Der Befehl
-	genutzt werden, um die Pfad-Dateien für Analyse, Ausdruck,
+	<command>auditreduce</command> kann genutzt werden, um die
-	Archivierung oder andere Zwecke zu reduzieren.  Eine Reihe von
+	Pfad-Dateien für Analyse, Ausdruck, Archivierung oder andere
-	Auswahl-Parametern werden von &man.auditreduce.1; unterstützt,
+	Zwecke zu reduzieren.  Eine Reihe von Auswahl-Parametern
+	werden von &man.auditreduce.1; unterstützt,
 	einschliesslich Ereignistyp, Ereignisklasse, Benutzer, Datum
 	oder Uhrzeit des Ereignisses und den Dateipfad oder das
 	Objekt, mit dem gearbeitet wurde.</para>
 
-      <para>Das Dienstprogramm &man.praudit.1; schreibt zum Beispiel
+      <para>Der folgende Befehl schreibt den gesamten Inhalt einer
-	den gesamten Inhalt einer angegebenen Audit-Protokolldatei in
+	angegebenen Audit-Protokolldatei in eine Textdatei:</para>
-	eine simple Textdatei:</para>
 
-      <screen>&prompt.root; <userinput>praudit /var/audit/AUDITFILE</userinput></screen>
+      <screen>&prompt.root; <userinput>praudit /var/audit/<replaceable>AUDITFILE</replaceable></userinput></screen>
 
-      <para><filename><replaceable>AUDITFILE</replaceable></filename>
+      <para><replaceable>AUDITFILE</replaceable> ist hier die zu
-	ist hier die zu schreibende Protokolldatei.</para>
+	schreibende Protokolldatei.</para>
 
       <para>Audit-Pfade bestehen aus einer Reihe von Datensätzen, die
 	wiederum aus Kürzeln (token) gebildet werden, die von
@@ -670,82 +677,67 @@ trailer,133</programlisting>
 
       <para>Dieser Audit stellt einen erfolgreichen
 	<literal>execve</literal>-Aufruf dar, in welchem der Befehl
-	<literal>finger doug</literal> ausgeführt wurde. Das
+	<literal>finger doug</literal> ausgeführt wurde.
-	Kürzel des Argumentes enthält die Befehlszeile,
+	<literal>exec arg</literal> enthält die Befehlszeile,
 	welche die Shell an den Kernel weiterleitet. Das Kürzel
 	<literal>path</literal> enthält den Pfad zur
 	ausführbaren Datei (wie vom Kernel wahrgenommen). Das
 	Kürzel <literal>attribute</literal> beschreibt die
-	Binärdatei (insbesondere den Datei-Modus, der genutzt
+	Binärdatei und enthält den Datei-Modus, der genutzt
 	werden kann, um zu bestimmen, ob setuid auf die Applikation
-	angewendet wurde). Das Kürzel <literal>subject</literal>
+	angewendet wurde. Das Kürzel <literal>subject</literal>
-	beschreibt den untergeordneten Prozess und speichert daher in
+	speichert die Audit-Benutzer-ID, effektive Benutzer-ID und
-	Aufeinanderfolge Audit-Benutzer-ID, effektive Benutzer-ID und
 	Gruppen-ID, wirkliche Benutzer-ID und Grppen-ID, Process-ID,
 	Session- ID, Port-ID und Anmelde-Adresse. Beachten Sie, dass
-	Audit-Benutzer-ID und wirkliche Benutzer-ID abweichen: Der Benutzer
+	Audit-Benutzer-ID und wirkliche Benutzer-ID abweichen, da der
-	<systemitem class="username">robert</systemitem> wurde zum Benutzer
+	Benutzer <systemitem class="username">robert</systemitem> zum
-	<systemitem class="username">root</systemitem>, bevor er diesen Befehl
+	Benutzer <systemitem class="username">root</systemitem> wurde,
-	ausführte, aber er wird auditiert mit dem
+	bevor er diesen Befehl ausführte, aber er wird auditiert mit
-	ursprünglich authentifizierten Benutzer. Schließlich zeigt
+	dem ursprünglich authentifizierten Benutzer.  Das Kürzel
-	das Kürzel <literal>return</literal> die erfolgreiche
+	<literal>return</literal> zeigt die erfolgreiche Ausführung an
-	Ausführung an und <literal>trailer</literal> schließt
+	und <literal>trailer</literal> schließt den Datensatz
-	den Datensatz ab.</para>
+	ab.</para>
 
-      <para>&man.praudit.1; unterstützt auch die Ausgabe im
+      <para>Die Ausgabe im <acronym>XML</acronym>-Format wird
-	<acronym>XML</acronym>-Format (die sie über die Option
+	ebenfalls unterstützt und kann über die Option
-	<option>-x</option> auswählen können).</para>
+	<option>-x</option> ausgewählt werden.</para>
-    </sect2>
 
-    <sect2>
+      <para>Da Audit-Protokolldateien sehr groß sein können, kann mit
-      <title>Audit-Pfade reduzieren</title>
+	Hilfe von <command>auditreduce</command> auch nur eine
+	Teilmenge der Datensätze ausgewählt werden.  Dieses Beispiel
+	selektiert alle Datensätze des Benutzers <systemitem
+	  class="username">trhodes</systemitem> aus der Datei
+	<filename>AUDITFILE</filename>:</para>
 
-      <para>Da Audit-Protokolldateien sehr groß sein können,
+      <screen>&prompt.root; <userinput>auditreduce -u <replaceable>trhodes</replaceable> /var/audit/<replaceable>AUDITFILE</replaceable> | praudit</userinput></screen>
-	wird ein Administrator höchstwahrscheinlich eine Auswahl
-	an Datensätzen verwenden, wie z.B. alle Datensätze
-	zu einem bestimmten Benutzer:</para>
-
-      <screen>&prompt.root; <userinput>auditreduce -u trhodes /var/audit/AUDITFILE | praudit</userinput></screen>
-
-      <para>Dies wird alle Audit-Datensätze des Benutzers
-	<systemitem class="username">trhodes</systemitem> auswählen,
-	die in
-	<filename><replaceable>AUDITFILE</replaceable></filename>
-	gespeichert sind.</para>
-    </sect2>
-
-    <sect2>
-      <title>Delegation von Rechten für Audit-Reviews</title>
 
       <para>Mitglieder der Gruppe <systemitem
-	class="groupname">audit</systemitem> haben die Erlaubnis,
+	  class="groupname">audit</systemitem> sind berechtigt,
-	Audit-Pfade in <filename>/var/audit</filename> zu lesen;
+	Audit-Pfade in <filename>/var/audit</filename> zu lesen.  In
-	standardmässig ist diese Gruppe leer, daher
+	der Voreinstellung ist diese Gruppe leer, daher kann nur der
-	kann nur der Benutzer <systemitem class="username">root</systemitem> die Audit-Pfade
+	Benutzer <systemitem class="username">root</systemitem> die
-	lesen. Benutzer können der Gruppe
+	Audit-Pfade lesen. Benutzer können der Gruppe <systemitem
-	<systemitem class="groupname">audit</systemitem> hinzugefügt werden, um
+	  class="groupname">audit</systemitem> hinzugefügt werden, um
 	Rechte für Audit-Reviews zu gewähren. Da die
 	Fähigkeit, Inhalte von Audit-Protokolldateien zu verfolgen,
 	tiefgreifende Einblicke in das Verhalten von Benutzern und
 	Prozessen erlaubt, wird empfohlen, dass die Gewährung von
 	Rechten für Audit-Reviews mit Bedacht erfolgt.</para>
-    </sect2>
 
     <sect2>
       <title>Aktive Überwachung mittles Audit-Pipes</title>
 
       <para>Audit-Pipes sind nachgebildete (geklonte)
-	Pseudo-Geräte im Dateisystem des Gerätes, welche es
+	Pseudo-Geräte, welche es Applikationen erlauben, die
-	Applikationen erlauben, die laufenden Audit-Datensätze
+	laufenden Audit-Datensätze anzuzapfen. Dies ist vorrangig für
-	anzuzapfen. Dies ist vorrangig für Autoren von Intrusion
+	Autoren von Intrusion Detection Software und
-	Detection Software und Systemüberwachungsprogrammen von
+	Systemüberwachungsprogrammen von Bedeutung. Allerdings ist das
-	Bedeutung. Allerdings ist für den Administrator das
+	Audit-Pipe-Gerät ein angenehmer Weg für den Administrator,
-	Audit-Pipe-Gerät ein angenehmer Weg, aktive
+	aktive Überwachung zu gestatten, ohne Gefahr von Problemen
-	Überwachung zu gestatten, ohne Gefahr von Problemen durch
+	durch Besitzerrechte der Audit-Pfad-Datei oder Unterbrechung
-	Besitzerrechte der Audit-Pfad-Datei oder Unterbrechung des
+	des Stroms von Ereignissen durch Log-Rotation. Um den
-	Stroms von Ereignissen durch Log-Rotation. Um den laufenden
+	laufenden Audit-Ereignisstrom zu verfolgen, geben Sie
-	Audit-Ereignisstrom zu verfolgen, geben Sie bitte folgende
+	folgendes ein:</para>
-	Befehlszeile ein:</para>
 
       <screen>&prompt.root; <userinput>praudit /dev/auditpipe</userinput></screen>
 
@@ -755,7 +747,7 @@ trailer,133</programlisting>
 	Mitgliedern der Gruppe <systemitem class="groupname">audit</systemitem>
 	zugänglich zu machen, fügen Sie eine
 	<literal>devfs</literal>-Regel in
-	<filename>devfs.rules</filename> hinzu:</para>
+	<filename>/etc/devfs.rules</filename> hinzu:</para>
 
       <programlisting>add path 'auditpipe*' mode 0440 group audit</programlisting>
 
@@ -768,58 +760,55 @@ trailer,133</programlisting>
 	  Audit-Ereignissen hervorzurufen, in welcher das Betrachten
 	  des Resultates eines Audit-Ereignisses in die Erzeugung von
 	  mehr Audit-Ereignissen mündet. Wenn zum Beispiel der gesamte
-	  Netzwerk-I/O auditiert wird, während &man.praudit.1; in
+	  Netzwerk-<acronym>I/O</acronym> auditiert wird, während
-	  einer SSH-Sitzung gestartet wurde, dann wird ein
+	  <command>praudit</command> in einer
-	  kontinuierlicher, mächtiger Strom von Audit-Ereignissen
+	  <acronym>SSH</acronym>-Sitzung gestartet wurde, dann wird
+	  ein kontinuierlicher, mächtiger Strom von Audit-Ereignissen
 	  erzeugt, da jedes ausgegebene Ereignis wiederum neue
-	  Ereignisse erzeugt. Es ist anzuraten, &man.praudit.1; an
+	  Ereignisse erzeugt.  Daher ist anzuraten,
-	  einem Audit-Pipe-Gerät nur von Sitzungen anzuwenden (ohne
+	  <command>praudit</command> an einem Audit-Pipe-Gerät nur
-	  feingranuliertes I/O-Auditing), um dies zu vermeiden.</para>
+	  von Sitzungen anzuwenden (ohne feingranuliertes
+	  <acronym>I/O</acronym>-Auditing), um dies zu
+	  vermeiden.</para>
       </warning>
     </sect2>
 
     <sect2>
-      <title>Rotation von Audit-Pfad-Dateien</title>
+      <title>Rotation und Komprimierung von Audit-Pfad-Dateien</title>
 
-      <para>Audit-Pfade werden nur vom Kernel geschrieben und nur
+      <para>Audit-Pfade werden vom Kernel geschrieben und vom
-	vom Audit-Daemon &man.auditd.8; verwaltet.  Administratoren
+	Audit-Daemon &man.auditd.8; verwaltet.  Administratoren
 	sollten nicht versuchen, &man.newsyslog.conf.5; oder andere
 	Werkzeuge zu benutzen, um Audit-Protokolldateien direkt zu
-	rotieren. Stattdessen sollte das &man.audit.8;
+	rotieren. Stattdessen sollte <command>audit</command> benutzt
-	Management-Werkzeug benutzt werden, um die Auditierung zu
+	werden, um die Auditierung zu
 	beenden, das Audit-System neu zu konfigurieren und eine
 	Log-Rotation durchzuführen. Der folgende Befehl veranlasst den
 	Audit-Daemon, eine neue Protokolldatei anzulegen und dem
 	Kernel zu signalisieren, die neue Datei zu nutzen. Die alte
 	Datei wird beendet und umbenannt.  Ab diesem Zeitpunkt kann
-	sie vom Administrator bearbeitet werden.</para>
+	sie vom Administrator bearbeitet werden:</para>
 
       <screen>&prompt.root; <userinput>audit -n</userinput></screen>
 
-      <warning>
 	<para>Falls der &man.auditd.8;-Daemon gegenwärtig nicht läuft,
 	  wird dieser Befehl scheitern und eine Fehlermeldung wird
 	  ausgegeben.</para>
-      </warning>
 
       <para>Das Hinzufügen der folgenden Zeile in
 	<filename>/etc/crontab</filename> wird die Log-Rotation alle
-	zwölf Stunden durch &man.cron.8; erzwingen:</para>
+	zwölf Stunden durchgeführt:</para>
 
       <programlisting>0     */12       *       *       *       root    /usr/sbin/audit -n</programlisting>
 
-      <para>Die Änderung wird wirksam, sobald Sie die neue
+      <para>Die Änderung wird wirksam, sobald
-	<filename>/etc/crontab</filename> gespeichert haben.</para>
+	<filename>/etc/crontab</filename> gespeichert wird.</para>
 
       <para>Die automatische Rotation der Audit-Pfad-Datei in
 	Abhängigkeit von der Dateigröße ist möglich
 	durch die Angabe der Option <option>filesz</option> in
-	&man.audit.control.5;.  Dieser Vorgang ist im Abschnitt
+	<filename>audit.control</filename>.  Dieser Vorgang ist in
-	Konfigurationsdateien dieses Kapitels beschrieben.</para>
+	<xref linkend="audit-config"/> beschrieben.</para>
-    </sect2>
-
-    <sect2>
-      <title>Komprimierung von Audit-Pfaden</title>
 
       <para>Da Audit-Pfad-Dateien sehr groß werden können,
 	ist es oft wünschenswert, Pfade zu komprimieren oder
@@ -829,8 +818,8 @@ trailer,133</programlisting>
 	angepasste Aktionen für eine Vielzahl von audit-bezogenen
 	Ereignissen auszuführen, einschliesslich der sauberen
 	Beendigung von Audit-Pfaden, wenn diese geschlossen werden.
-	Zum Beispiel kann man die folgenden Zeilen in das
+	Zum Beispiel kann man die folgenden Zeilen in
-	<filename>audit_warn</filename>-Skript aufnehmen, um
+	<filename>/etc/security/audit_warn</filename> aufnehmen, um
 	Audit-Pfade beim Beenden zu komprimieren:</para>
 
       <programlisting>#
@@ -840,14 +829,14 @@ if [ "$1" = closefile ]; then
         gzip -9 $2
 fi</programlisting>
 
-      <para>Andere Archivierungsaktivitäten können das
+      <para>Andere Archivierungsaktivitäten können das Kopieren zu
-	Kopieren zu einem zentralen Server, die Löschung der alten
+	einem zentralen Server, die Löschung der alten Pfad-Dateien
-	Pfad-Dateien oder die Reduzierung des alten Audit-Pfades durch
+	oder die Reduzierung des alten Audit-Pfades durch Entfernung
-	Entfernung nicht benötigter Datensätze
+	nicht benötigter Datensätze einschließen.  Dieses Skript wird
-	einschliessen. Das Skript wird nur dann ausgeführt, wenn
+	nur dann ausgeführt, wenn die Audit-Pfad-Dateien sauber
-	die Audit-Pfad-Dateien sauber beendet wurden, daher wird es
+	beendet wurden, daher wird es nicht auf Pfaden laufen, welche
-	nicht auf Pfaden laufen, welche durch ein unsauberes Herunterfahren
+	durch ein unsauberes Herunterfahren des Systems nicht beendet
-	des Systems nicht beendet wurden.</para>
+	wurden.</para>
     </sect2>
   </sect1>
 </chapter>