os/doc
3
0
Fork 0
Code Issues Pull requests Projects Releases Wiki Activity

Update to r44377:

Browse source 
Editorial review of first 1/2 of Security Event Auditing.
Add 2 tables.
Still need to research additional entries which are not described
in this section.
More commits to come.

Approved by:	bcr (mentor)
This commit is contained in:
Bjoern Heidotting 2015-08-14 15:04:49 +00:00
parent 07901e03d9
commit 83d8425e75
Notes: svn2git 2020-12-08 03:00:23 +00:00 
svn path=/head/; revision=47224
1 changed files with 288 additions and 259 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

547
de_DE.ISO8859-1/books/handbook/audit/chapter.xml
View file

@ -5,7 +5,7 @@
$FreeBSD$
$FreeBSDde: de-docproj/books/handbook/audit/chapter.xml,v 1.14 2012/02/16 20:28:26 bcr Exp $
basiert auf: r44231
basiert auf: r44377
-->
<!-- Need more documentation on praudit, auditreduce, etc. Plus more info
on the triggers from the kernel (log rotation, out of space, etc).
@ -35,19 +35,18 @@ requirements. -->
<see>MAC</see>
</indexterm>
<para>Das &os;-Betriebssystem unterstützt
ein feingranuliertes Sicherheits-Auditing.
Ereignis-Auditing erlaubt die
zuverlässige, feingranulierte und konfigurierbare
Aufzeichnung einer Vielzahl von sicherheitsrelevanten
Systemereignissen einschliesslich Benutzereingaben,
Konfigurationsänderungen sowie Datei- und
<para>&os; bietet Unterstützung für Sicherheits-Auditing.
Ereignis-Auditing bietet zuverlässige, feingranulierte und
konfigurierbare Aufzeichnung einer Vielzahl von
sicherheitsrelevanten Systemereignissen einschliesslich
Benutzereingaben, Konfigurationsänderungen sowie Datei- und
Netzwerkzugriffen. Diese Log-Datensätze können
unschätzbar wertvoll sein für direkte
Systemüberwachung, Einbruchserkennung und
Post-Mortem-Analyse. &os; implementiert &sun;s öffentlich
zugängliche <acronym>BSM</acronym> API und Dateiformat. Die
&os;-Implementierung kann mit den Audit-Implementierungen von
zugängliches Basic Security Module (<acronym>BSM</acronym>)
Application Programming Interface (<acronym>API</acronym>) und
Dateiformat, und kann mit den Audit-Implementierungen von
&sun; &solaris; und &apple; &macos; X zusammenarbeiten.</para>
<para>Dieses Kapitel konzentriert sich auf die Installation
@ -60,7 +59,8 @@ requirements. -->
<itemizedlist>
<listitem>
<para>Was Ereignis-Auditing ist und wie es arbeitet.</para>
<para>Was Ereignis-Auditing ist und wie es
funktioniert.</para>
</listitem>
<listitem>
@ -94,13 +94,14 @@ requirements. -->
</itemizedlist>
<warning>
<para>Die Audit-Funktionalität in &os; besitzt die
Einschränkungen, dass zur Zeit nicht alle
sicherheitsrelevanten System-Ereignisse auditierbar sind und
dass einige Anmelde-Mechanismen, wie z.B. X11-basierte
Bildschirm-Manager und Daemonen von Drittanbietern, das
Auditing für Benutzeranmeldungen nicht korrekt
konfigurieren.</para>
<para>Die Audit-Funktionalität in &os; hat einige bekannte
Einschränkungen. Nicht alle sicherheitsrelevanten
System-Ereignisse sind auditierbar, und einige
Anmelde-Mechanismen, wie beispielsweise
<application>Xorg</application>-basierte
Bildschirm-Manager und Dienste von Drittanbietern,
konfigurieren das Auditing für Benutzeranmeldungen nicht
korrekt.</para>
<para>Das Sicherheits-Auditing ist in der Lage, sehr
detaillierte Log-Dateien von Systemaktivitäten zu erzeugen.
@ -110,8 +111,7 @@ requirements. -->
Administratoren sollten daher den benötigten Plattenplatz in
Verbindung mit umfangreichen Audit-Konfigurationen
berücksichtigen. So kann es wünschenswert sein, ein eigenes
Dateisystem für <filename
class="directory">/var/audit</filename> einzusetzen, damit
Dateisystem für <filename>/var/audit</filename> einzusetzen, damit
andere Dateisysteme nicht betoffen sind, wenn das Dateisystem
des Audit voll läuft.</para>
</warning>
@ -120,30 +120,28 @@ requirements. -->
<sect1 xml:id="audit-inline-glossary">
<title>Schlüsselbegriffe</title>
<para>Vor dem Lesen dieses Kapitels müssen einige
Audit-bezogene Schlüsselbegriffe erläutert
werden:</para>
<para>Die folgenden Begriffe stehen im Zusammenhang mit
Ereignis-Auditing:</para>
<itemizedlist>
<listitem>
<para><emphasis>event</emphasis>: Ein auditierbares Ereignis
ist ein Ereignis, das mit dem Audit-Subsystem
<para><emphasis>event</emphasis>: ein auditierbares Ereignis
ist jedes Ereignis, das mit dem Audit-Subsystem
aufgezeichnet werden kann. Beispiele für
sicherheitsrelevante Systemereignisse sind etwa das Anlegen
von Dateien, das Erstellen einer Netzwerkverbindung oder
eine Benutzeranmeldung. Ereignisse sind entweder
<quote>attributierbar</quote>, können also zu einen
authentifizierten Benutzer zurückverfolgt werden, oder
sind <quote>nicht-attributierbar</quote>, falls dies nicht
möglich ist. Nicht-attributierbare Ereignisse erfolgen
sind <quote>nicht-attributierbar</quote>. Nicht-attributierbare Ereignisse erfolgen
daher vor der Authentifizierung im Anmeldeprozess
(beispielsweise die Eingabe eines falschen Passworts).</para>
</listitem>
<listitem>
<para><emphasis>class</emphasis>: Ereignisklassen sind
benannte Zusammenstellungen von zusammengehörenden
Ereignissen und werden in Auswahl-Ausdrücken benutzt.
<para><emphasis>class</emphasis>: benannte Zusammenstellungen
von zusammengehörenden Ereignissen, die in
Auswahl-Ausdrücken benutzt werden.
Häufig genutzte Klassen von Ereignissen schließen
<quote>file creation</quote> (fc, Anlegen von Dateien),
<quote>exec</quote> (ex, Ausführung) und
@ -152,8 +150,8 @@ requirements. -->
</listitem>
<listitem>
<para><emphasis>record</emphasis>: Ein Datensatz ist ein
Audit-Logeintrag, welcher ein Sicherheitsereignis
<para><emphasis>record</emphasis>: ein
Audit-Logeintrag, der ein Sicherheitsereignis
enthält. Jeder Datensatz enthält einen
Ereignistyp, Informationen über den Gegenstand
(Benutzer), welcher die Aktion durchführt, Datums- und
@ -163,10 +161,9 @@ requirements. -->
</listitem>
<listitem>
<para><emphasis>trail</emphasis>: Ein Audit-Pfad (audit
trail) oder eine Log-Datei besteht aus einer Reihe von
<para><emphasis>trail</emphasis>: eine Log-Datei bestehend aus einer Reihe von
Audit-Datensätzen, die Sicherheitsereignisse
beschreiben. Normalerweise sind die Pfade in grober
beschreiben. Pfade sind in grober
zeitlicher Reihenfolge bezüglich des Zeitpunktes,
an welchem ein Ereignis beendet wurde. Nur authorisierte
Prozesse dürfen Datensätze zum Audit-Pfad
@ -174,15 +171,15 @@ requirements. -->
</listitem>
<listitem>
<para><emphasis>selection expression</emphasis>: Ein
Auswahlausdruck ist eine Zeichenkette, welche eine Liste von
<para><emphasis>selection expression</emphasis>: eine
Zeichenkette, welche eine Liste von
Präfixen und Audit-Ereignisklassennamen enthält,
um Ereignisse abzugleichen.</para>
</listitem>
<listitem>
<para><emphasis>preselection</emphasis>: Die Vorauswahl ist
der Prozess, durch den das System erkennt, welche Ereignisse
<para><emphasis>preselection</emphasis>: der Prozess, durch
den das System erkennt, welche Ereignisse
von Interesse für den Administrator sind, um die
Erzeugung von Datensätze zu verhindern, welche nicht
von Belang sind. Die Konfiguration der Vorauswahl benutzt
@ -210,86 +207,25 @@ requirements. -->
</itemizedlist>
</sect1>
<sect1 xml:id="audit-install">
<title>Installation der Audit-Unterstützung</title>
<sect1 xml:id="audit-config">
<title>Audit Konfiguration</title>
<para>Die Unterstützung des Ereignis-Auditings für den
Benutzerbereich wird bereits als Teil des Basissystems installiert.
Die Audit-Unterstützung ist bereits im &os;-Standardkernel
enthalten, jedoch müssen Sie die folgende Zeile explizit in
Ihre Kernelkonfigurationsdatei aufnehmen und den Kernel neu bauen:</para>
<programlisting>options AUDIT</programlisting>
<para>Bauen und installieren Sie den Kernel wie in
<xref linkend="kernelconfig"/> beschrieben ist.</para>
<para>Nachdem der Kernel mit Audit-Unterstützung
gebaut und installiert ist und das System neu gestartet wurde,
aktivieren Sie den Audit-Daemon
durch das Einfügen der folgenden Zeile in die Datei
&man.rc.conf.5;:</para>
<para>Userspace-Untersützung für Ereignis-Auditing ist Bestandteil
des &os;-Betriebssystems. Kernel-Unterstützung kann durch
Hinzufügen der folgenden Zeile in
<filename>/etc/rc.conf</filename> aktiviert werden:</para>
<programlisting>auditd_enable="YES"</programlisting>
<para>Die Audit-Unterstützung kann nun durch einen
Neustart des Systems oder durch das manuelle Starten
des Audit-Daemon aktiviert werden:</para>
<para>Starten Sie anschließend den Audit-Daemon:</para>
<screen>&prompt.root; <userinput>service auditd start</userinput></screen>
<programlisting>service auditd start</programlisting>
</sect1>
<para>Benutzer, die es bevorzugen einen angepassten Kernel zu
kompilieren, müssen folgende Zeile in die
Kernelkonfigurationsdatei aufnehmen:</para>
<sect1 xml:id="audit-config">
<title>Die Konfiguration des Audit</title>
<para>Alle Konfigurationsdateien für das Sicherheits-Audit
finden sich unter
<filename>/etc/security</filename>.
Die folgenden Dateien müssen vorhanden sein, bevor
der Audit-Daemon gestartet wird:</para>
<itemizedlist>
<listitem>
<para><filename>audit_class</filename>&nbsp;&ndash;&nbsp;Enthält
die Definitionen der Audit-Klassen.</para>
</listitem>
<listitem>
<para><filename>audit_control</filename>&nbsp;&ndash;&nbsp;Steuert
Teile des Audit-Subsystems wie Audit-Klassen, minimaler
Plattenplatz auf dem Audit-Log-Datenträger, maximale
Größe des Audit-Pfades usw.</para>
</listitem>
<listitem>
<para><filename>audit_event</filename>&nbsp;&ndash;&nbsp;Wörtliche
Namen und Beschreibungen von System-Audit-Ereignissen sowie
eine Liste, welche Klassen welches Ereignis
aufzeichnen.</para>
</listitem>
<listitem>
<para><filename>audit_user</filename>&nbsp;&ndash;&nbsp;Benutzerspezifische
Audit-Erfordernisse, welche mit den globalen Vorgaben bei
der Anmeldung kombiniert werden.</para>
</listitem>
<listitem>
<para><filename>audit_warn</filename>&nbsp;&ndash;&nbsp;Ein
anpassbares Shell-Skript, welches von
<application>auditd</application> benutzt wird, um
Warnhinweise in aussergewöhnlichen Situationen zu
erzeugen, z.B. wenn der Platz für die
Audit-Datensätze knapp wird oder wenn die Datei des
Audit-Pfades rotiert wurde.</para>
</listitem>
</itemizedlist>
<warning>
<para>Audit-Konfigurationsdateien sollten vorsichtig gewartet und
bearbeitet werden, da Fehler in der Konfiguration zu falscher
Aufzeichnung von Ereignissen führen könnten.</para>
</warning>
<programlisting>options AUDIT</programlisting>
<sect2>
<title>Ereignis-Auswahlausdrücke</title>
@ -306,174 +242,220 @@ requirements. -->
rechts ausgewertet und zwei Ausdrücke werden durch
Aneinanderhängen miteinander kombiniert.</para>
<para>Die folgende Liste enthält die
Standard-Ereignisklassen für das Audit und ist in
<filename>audit_class</filename> festgehalten:</para>
<para><xref linkend="event-selection"/> fasst die
Audit-Ereignisklassen zusammen:</para>
<itemizedlist>
<listitem>
<para><literal>all</literal>&nbsp;&ndash;&nbsp;<emphasis>all</emphasis>&nbsp;&ndash;&nbsp;Vergleiche
alle Ereignisklassen.</para>
</listitem>
<table xml:id="event-selection" frame="none" pgwide="1">
<title>Audit-Ereignisklassen</title>
<listitem>
<para><literal>ad</literal>&nbsp;&ndash;&nbsp;<emphasis>administrative</emphasis>&nbsp;&ndash;&nbsp;Administrative
Aktionen ausgeführt auf dem System als Ganzes.</para>
</listitem>
<tgroup cols="3">
<thead>
<row>
<entry>Name der Klasse</entry>
<entry>Beschreibung</entry>
<entry>Aktion</entry>
</row>
</thead>
<listitem>
<para><literal>ap</literal>&nbsp;&ndash;&nbsp;<emphasis>application</emphasis>&nbsp;&ndash;&nbsp;Aktionen
definiert für Applikationen.</para>
</listitem>
<tbody>
<row>
<entry>all</entry>
<entry>all</entry>
<entry>Vergleicht alle Ereisnisklassen.</entry>
</row>
<listitem>
<para><literal>cl</literal>&nbsp;&ndash;&nbsp;<emphasis>file
close</emphasis>&nbsp;&ndash;&nbsp;Audit-Aufrufe für
den Systemaufruf <function>close</function>.</para>
</listitem>
<row>
<entry>ad</entry>
<entry>administrative</entry>
<entry>Administrative Aktionen, ausgeführt auf dem System
als Ganzes.</entry>
</row>
<listitem>
<para><literal>ex</literal>&nbsp;&ndash;&nbsp;<emphasis>exec</emphasis>&nbsp;&ndash;&nbsp;Ausführung
des Audit-Programms. Auditierung von
Befehlszeilen-Argumenten und Umgebungsvariablen wird
gesteuert durch &man.audit.control.5; mittels der
<literal>argv</literal> und
<literal>envv</literal>-Parametergemäss der
<literal>Richtlinien</literal>-Einstellungen.</para>
</listitem>
<row>
<entry>ap</entry>
<entry>application</entry>
<entry>Aktionen definiert für Applikationen.</entry>
</row>
<listitem>
<para><literal>fa</literal>&nbsp;&ndash;&nbsp;<emphasis>file
attribute access</emphasis>&nbsp;&ndash;&nbsp;Auditierung
des Zugriffs auf Objektattribute wie &man.stat.1;,
&man.pathconf.2; und ähnlichen Ereignissen.</para>
</listitem>
<row>
<entry>cl</entry>
<entry>file close</entry>
<entry>Audit-Aufrufe für den Systemaufruf
<function>close</function>.</entry>
</row>
<listitem>
<para><literal>fc</literal>&nbsp;&ndash;&nbsp;<emphasis>file
create</emphasis>&nbsp;&ndash;&nbsp;Audit-Ereignisse,
bei denen eine Datei als Ergebnis angelegt wird.</para>
</listitem>
<row>
<entry>ex</entry>
<entry>exec</entry>
<entry>Ausführung des Audit-Programms. Auditierung von
Befehlszeilen-Argumenten und Umgebungsvariablen wird
gesteuert durch &man.audit.control.5; mittels der
<literal>argv</literal> und
<literal>envv</literal>-Parameter gemäß der
<literal>Richtlinien</literal>-Einstellungen.</entry>
</row>
<listitem>
<para><literal>fd</literal>&nbsp;&ndash;&nbsp;<emphasis>file
delete</emphasis>&nbsp;&ndash;&nbsp;Audit-Ereignisse,
bei denen Dateilöschungen vorkommen.</para>
</listitem>
<row>
<entry>fa</entry>
<entry>file attribute access</entry>
<entry>Auditierung des Zugriffs auf Objektattribute wie
&man.stat.1; und &man.pathconf.2;.</entry>
</row>
<listitem>
<para><literal>fm</literal>&nbsp;&ndash;&nbsp;<emphasis>file
attribute modify</emphasis>&nbsp;&ndash;&nbsp;Audit-Ereignisse,
bei welchen Dateiattribute geändert werden, wie
&man.chown.8;, &man.chflags.1;, &man.flock.2; etc.</para>
</listitem>
<row>
<entry>fc</entry>
<entry>file create</entry>
<entry>Audit-Ereignisse, bei denen eine Datei als
Ergebnis angelegt wird.</entry>
</row>
<listitem>
<para><literal>fr</literal>&nbsp;&ndash;&nbsp;<emphasis>file
read</emphasis>&nbsp;&ndash;&nbsp;Audit-Ereignisse, bei
denen Daten gelesen oder Dateien zum lesen geöffnet
werden usw.</para>
</listitem>
<row>
<entry>fd</entry>
<entry>file delete</entry>
<entry>Audit-Ereignisse, bei denen Dateilöschungen
vorkommen.</entry>
</row>
<listitem>
<para><literal>fw</literal>&nbsp;&ndash;&nbsp;<emphasis>file write</emphasis>&nbsp;&ndash;&nbsp;Audit-Ereignisse,
bei welchen Daten geschrieben oder Dateien geschrieben
oder verändert werden usw.</para>
</listitem>
<row>
<entry>fm</entry>
<entry>file attribute modify</entry>
<entry>Audit-Ereignisse, bei denen Dateiattribute geändert
werden, wie &man.chown.8;, &man.chflags.1; und
&man.flock.2;.</entry>
</row>
<listitem>
<para><literal>io</literal>&nbsp;&ndash;&nbsp;<emphasis>ioctl</emphasis>&nbsp;&ndash;&nbsp;Nutzung
des Systemaufrufes &man.ioctl.2; durch Audit.</para>
</listitem>
<row>
<entry>fr</entry>
<entry>file read</entry>
<entry>Audit-Ereignisse, bei denen Daten gelesen oder
Dateien zum lesen geöffnet werden.</entry>
</row>
<listitem>
<para><literal>ip</literal>&nbsp;&ndash;&nbsp;<emphasis>ipc</emphasis>&nbsp;&ndash;&nbsp;Auditierung
verschiedener Formen von Inter-Prozess-Kommunikation
einschliesslich POSIX-Pipes und System V
<acronym>IPC</acronym>-Operationen.</para>
</listitem>
<row>
<entry>fw</entry>
<entry>file write</entry>
<entry>Audit-Ereignisse, bei denen Daten geschrieben oder
Dateien geschrieben oder verändert werden.</entry>
</row>
<listitem>
<para><literal>lo</literal>&nbsp;&ndash;&nbsp;<emphasis>login_logout</emphasis>&nbsp;&ndash;&nbsp;Audit-Ereignisse
betreffend &man.login.1; und &man.logout.1;, welche auf
dem System auftreten.</para>
</listitem>
<row>
<entry>io</entry>
<entry>ioctl</entry>
<entry>Nutzung des Systemaufrufes
<function>ioctl</function> durch Audit.</entry>
</row>
<listitem>
<para><literal>na</literal>&nbsp;&ndash;&nbsp;<emphasis>non
attributable</emphasis>&nbsp;&ndash;&nbsp;Auditierung
nicht-attributierbarer Ereignisse (Ereignisse, die nicht auf
einen bestimmten Benutzer zurückgeführt werden
können).</para>
</listitem>
<row>
<entry>ip</entry>
<entry>ipc</entry>
<entry>Auditierung verschiedener Formen von
Inter-Prozess-Kommunikation einschließlich POSIX-Pipes
und System V <acronym>IPC</acronym>-Operationen.</entry>
</row>
<listitem>
<para><literal>no</literal>&nbsp;&ndash;&nbsp;<emphasis>invalid
class</emphasis>&nbsp;&ndash;&nbsp;Kein Abgleich von
Audit-Ereignissen.</para>
</listitem>
<row>
<entry>lo</entry>
<entry>login_logout</entry>
<entry>Audit-Ereignisse von &man.login.1; und
&man.logout.1;.</entry>
</row>
<listitem>
<para><literal>nt</literal>&nbsp;&ndash;&nbsp;<emphasis>network</emphasis>&nbsp;&ndash;&nbsp;Audit-Ereignisse
in Zusammenhang mit Netzwerkaktivitäten wie
z.B. &man.connect.2; und &man.accept.2;.</para>
</listitem>
<row>
<entry>na</entry>
<entry>non attributable</entry>
<entry>Auditierung nicht-attributierbarer
Ereignisse.</entry>
</row>
<listitem>
<para><literal>ot</literal>&nbsp;&ndash;&nbsp;<emphasis>other</emphasis>&nbsp;&ndash;&nbsp;Auditierung
verschiedener Ereignisse.</para>
</listitem>
<row>
<entry>no</entry>
<entry>invalid class</entry>
<entry>Kein Abgleich von Audit-Ereignissen.</entry>
</row>
<listitem>
<para><literal>pc</literal>&nbsp;&ndash;&nbsp;<emphasis>process</emphasis>&nbsp;&ndash;&nbsp;Auditierung
von Prozess-Operationen wie &man.exec.3; und
&man.exit.3;.</para>
</listitem>
</itemizedlist>
<row>
<entry>nt</entry>
<entry>network</entry>
<entry>Audit-Ereignisse in Zusammenhang mit
Netzwerkaktivitäten wie &man.connect.2; und
&man.accept.2;</entry>
</row>
<row>
<entry>ot</entry>
<entry>other</entry>
<entry>Auditierung verschiedener Ereignisse.</entry>
</row>
<row>
<entry>pc</entry>
<entry>process</entry>
<entry>Auditierung von Prozess-Operationen wie
&man.exec.3; und &man.exit.3;.</entry>
</row>
</tbody>
</tgroup>
</table>
<para>Diese Ereignisklassen können angepasst werden durch
Modifizierung der Konfigurationsdateien
<filename>audit_class</filename> und
<filename>audit_event</filename>.</para>
<para>Jede Audit-Klasse in dieser Liste ist kombiniert mit
<para>Jede Audit-Klasse ist kombiniert mit
einem Präfix, welches anzeigt, ob
erfolgreiche/gescheiterte Operationen abgebildet werden, und
ob der Eintrag den Abgleich hinzufügt oder entfernt
für die Klasse und den Typ.</para>
für die Klasse und den Typ. <xref linkend="event-prefixes"/>
fasst die verfügbaren Präfixe zusammen.</para>
<itemizedlist>
<listitem>
<para>(none) Kein Präfix, sowohl erfolgreiche als
auch gescheiterte Vorkommen eines Ereignisses werden
auditiert.</para>
</listitem>
<table xml:id="event-prefixes" frame="none" pgwide="1">
<title>Präfixe für Audit-Ereignisklassen</title>
<listitem>
<para><literal>+</literal> Auditiere nur erfolgreiche
Ereignisse in dieser Klasse.</para>
</listitem>
<tgroup cols="2">
<thead>
<row>
<entry>Präfix</entry>
<entry>Aktion</entry>
</row>
</thead>
<listitem>
<para><literal>-</literal> Auditiere nur gescheiterte
Operationen in dieser Klasse.</para>
</listitem>
<tbody>
<row>
<entry>+</entry>
<entry>Auditiert erfolgreiche Ereignisse in dieser
Klasse.</entry>
</row>
<listitem>
<para><literal>^</literal> Auditiere weder erfolgreiche
noch gescheiterte Ereignisse in dieser Klasse.</para>
</listitem>
<row>
<entry>-</entry>
<entry>Auditiert fehlgeschlagene Ereignisse in dieser
Klasse.</entry>
</row>
<listitem>
<para><literal>^+</literal> Auditiere keine erfolgreichen
Ereignisse in dieser Klasse.</para>
</listitem>
<row>
<entry>^</entry>
<entry>Auditiert weder erfolgreiche noch fehlgeschlagene
Ereignisse.</entry>
</row>
<listitem>
<para><literal>^-</literal> Auditiere keine gescheiterten
Ereignisse in dieser Klasse.</para>
</listitem>
</itemizedlist>
<row>
<entry>^+</entry>
<entry>Auditiert keine erfolgreichen Ereignisse in dieser
Klasse.</entry>
</row>
<row>
<entry>^-</entry>
<entry>Auditiert keine fehlgeschlagenen Ereignisse in
dieser Klasse.</entry>
</row>
</tbody>
</tgroup>
</table>
<para>Wenn kein Präfix vorhanden ist, werden sowohl erfolgreiche
als auch fehlgeschlagene Ereignisse auditiert.</para>
<para>Das folgende Beispiel einer Auswahl-Zeichenkette
wählt erfolgreiche und gescheiterte
@ -486,13 +468,58 @@ requirements. -->
<sect2>
<title>Konfigurationsdateien</title>
<para>In den meisten Fällen müssen Administratoren
nur zwei Dateien ändern, wenn sie das Audit-System
konfigurieren: <filename>audit_control</filename> und
<filename>audit_user</filename>. Die erste Datei steuert
systemweite Audit-Eigenschaften und -Richtlinien; die zweite
Datei kann für die Feinanpassung der Auditierung von
Benutzern verwendet werden.</para>
<para>Die folgenden Konfigurationsdateien für
Sicherheits-Auditing befinden sich in
<filename>/etc/security</filename>.</para>
<itemizedlist>
<listitem>
<para><filename>audit_class</filename>: enthält die
Definitionen der Audit-Klassen.</para>
</listitem>
<listitem>
<para><filename>audit_control</filename>: steuert die
Eigenschaften des Audit-Subsystems, wie
Standard-Audit-Klassen, Mindestfestplattenspeicher auf
dem Audit-Log-Volume und die maximale Größe des
Audit-Trails.</para>
</listitem>
<listitem>
<para><filename>audit_event</filename>: Namen und
Beschreibungen der Audit-Ereignisse, und eine Liste
von Klassen mit den dazugehörigen Ereignissen.</para>
</listitem>
<listitem>
<para><filename>audit_user</filename>: benutzerspezifische
Audit-Anforderungen, kombinierbar mit den globalen
Standardeinstellungen bei der Anmeldung.</para>
</listitem>
<listitem>
<para><filename>audit_warn</filename>: ein anpassbares
Skript, das von &man.auditd.8; verwendet wird, um in
bestimmten Situationen Warnmeldungen zu generieren,
z.B. wenn der Platz für Audit-Protokolle knapp wird, oder
wenn die Datei des Audit-Trails rotiert wurde.</para>
</listitem>
</itemizedlist>
<warning>
<para>Konfigurationsdateien von Audit sollten sorgfältig
bearbeitet und gepflegt werden, da Fehler in der
Konfiguration zu einer fehlerhaften Protokollierung der
Ereignisse führen können.</para>
</warning>
<para>In den meisten Fällen werden Administratoren nur
<filename>audit_control</filename> und
<filename>audit_user</filename> änpassen müssen. Die erste
Datei steuert systemweite Audit-Eigenschaften, sowie
Richtlinien. Die zweite Datei kann für die Feinabstimmung bei
der Auditierung von Benutzern verwendet werden.</para>
<sect3 xml:id="audit-auditcontrol">
<title>Die <filename>audit_control</filename>-Datei</title>
@ -501,11 +528,13 @@ requirements. -->
Anzahl Vorgabewerte fest:</para>
<programlisting>dir:/var/audit
flags:lo
minfree:20
naflags:lo
policy:cnt
filesz:0</programlisting>
dist:off
flags:lo,aa
minfree:5
naflags:lo,aa
policy:cnt,argv
filesz:2M
expire-after:10M</programlisting>
<para>Die Option <option>dir</option> wird genutzt, um eines
oder mehrere Verzeichnisse festzulegen, in welchen