diff --git a/de_DE.ISO8859-1/books/handbook/audit/chapter.xml b/de_DE.ISO8859-1/books/handbook/audit/chapter.xml
index b8dd77ad9f..a89706daee 100644
--- a/de_DE.ISO8859-1/books/handbook/audit/chapter.xml
+++ b/de_DE.ISO8859-1/books/handbook/audit/chapter.xml
@@ -5,7 +5,7 @@
$FreeBSD$
$FreeBSDde: de-docproj/books/handbook/audit/chapter.xml,v 1.14 2012/02/16 20:28:26 bcr Exp $
- basiert auf: r44231
+ basiert auf: r44377
-->
MAC
- Das &os;-Betriebssystem unterstützt
- ein feingranuliertes Sicherheits-Auditing.
- Ereignis-Auditing erlaubt die
- zuverlässige, feingranulierte und konfigurierbare
- Aufzeichnung einer Vielzahl von sicherheitsrelevanten
- Systemereignissen einschliesslich Benutzereingaben,
- Konfigurationsänderungen sowie Datei- und
+ &os; bietet Unterstützung für Sicherheits-Auditing.
+ Ereignis-Auditing bietet zuverlässige, feingranulierte und
+ konfigurierbare Aufzeichnung einer Vielzahl von
+ sicherheitsrelevanten Systemereignissen einschliesslich
+ Benutzereingaben, Konfigurationsänderungen sowie Datei- und
Netzwerkzugriffen. Diese Log-Datensätze können
unschätzbar wertvoll sein für direkte
Systemüberwachung, Einbruchserkennung und
Post-Mortem-Analyse. &os; implementiert &sun;s öffentlich
- zugängliche BSM API und Dateiformat. Die
- &os;-Implementierung kann mit den Audit-Implementierungen von
+ zugängliches Basic Security Module (BSM)
+ Application Programming Interface (API) und
+ Dateiformat, und kann mit den Audit-Implementierungen von
&sun; &solaris; und &apple; &macos; X zusammenarbeiten.Dieses Kapitel konzentriert sich auf die Installation
@@ -60,7 +59,8 @@ requirements. -->
- Was Ereignis-Auditing ist und wie es arbeitet.
+ Was Ereignis-Auditing ist und wie es
+ funktioniert.
@@ -94,13 +94,14 @@ requirements. -->
- Die Audit-Funktionalität in &os; besitzt die
- Einschränkungen, dass zur Zeit nicht alle
- sicherheitsrelevanten System-Ereignisse auditierbar sind und
- dass einige Anmelde-Mechanismen, wie z.B. X11-basierte
- Bildschirm-Manager und Daemonen von Drittanbietern, das
- Auditing für Benutzeranmeldungen nicht korrekt
- konfigurieren.
+ Die Audit-Funktionalität in &os; hat einige bekannte
+ Einschränkungen. Nicht alle sicherheitsrelevanten
+ System-Ereignisse sind auditierbar, und einige
+ Anmelde-Mechanismen, wie beispielsweise
+ Xorg-basierte
+ Bildschirm-Manager und Dienste von Drittanbietern,
+ konfigurieren das Auditing für Benutzeranmeldungen nicht
+ korrekt.Das Sicherheits-Auditing ist in der Lage, sehr
detaillierte Log-Dateien von Systemaktivitäten zu erzeugen.
@@ -110,8 +111,7 @@ requirements. -->
Administratoren sollten daher den benötigten Plattenplatz in
Verbindung mit umfangreichen Audit-Konfigurationen
berücksichtigen. So kann es wünschenswert sein, ein eigenes
- Dateisystem für /var/audit einzusetzen, damit
+ Dateisystem für /var/audit einzusetzen, damit
andere Dateisysteme nicht betoffen sind, wenn das Dateisystem
des Audit voll läuft.
@@ -120,30 +120,28 @@ requirements. -->
Schlüsselbegriffe
- Vor dem Lesen dieses Kapitels müssen einige
- Audit-bezogene Schlüsselbegriffe erläutert
- werden:
+ Die folgenden Begriffe stehen im Zusammenhang mit
+ Ereignis-Auditing:
- event: Ein auditierbares Ereignis
- ist ein Ereignis, das mit dem Audit-Subsystem
+ event: ein auditierbares Ereignis
+ ist jedes Ereignis, das mit dem Audit-Subsystem
aufgezeichnet werden kann. Beispiele für
sicherheitsrelevante Systemereignisse sind etwa das Anlegen
von Dateien, das Erstellen einer Netzwerkverbindung oder
eine Benutzeranmeldung. Ereignisse sind entweder
attributierbar, können also zu einen
authentifizierten Benutzer zurückverfolgt werden, oder
- sind nicht-attributierbar, falls dies nicht
- möglich ist. Nicht-attributierbare Ereignisse erfolgen
+ sind nicht-attributierbar. Nicht-attributierbare Ereignisse erfolgen
daher vor der Authentifizierung im Anmeldeprozess
(beispielsweise die Eingabe eines falschen Passworts).
- class: Ereignisklassen sind
- benannte Zusammenstellungen von zusammengehörenden
- Ereignissen und werden in Auswahl-Ausdrücken benutzt.
+ class: benannte Zusammenstellungen
+ von zusammengehörenden Ereignissen, die in
+ Auswahl-Ausdrücken benutzt werden.
Häufig genutzte Klassen von Ereignissen schließen
file creation (fc, Anlegen von Dateien),
exec (ex, Ausführung) und
@@ -152,8 +150,8 @@ requirements. -->
- record: Ein Datensatz ist ein
- Audit-Logeintrag, welcher ein Sicherheitsereignis
+ record: ein
+ Audit-Logeintrag, der ein Sicherheitsereignis
enthält. Jeder Datensatz enthält einen
Ereignistyp, Informationen über den Gegenstand
(Benutzer), welcher die Aktion durchführt, Datums- und
@@ -163,10 +161,9 @@ requirements. -->
- trail: Ein Audit-Pfad (audit
- trail) oder eine Log-Datei besteht aus einer Reihe von
+ trail: eine Log-Datei bestehend aus einer Reihe von
Audit-Datensätzen, die Sicherheitsereignisse
- beschreiben. Normalerweise sind die Pfade in grober
+ beschreiben. Pfade sind in grober
zeitlicher Reihenfolge bezüglich des Zeitpunktes,
an welchem ein Ereignis beendet wurde. Nur authorisierte
Prozesse dürfen Datensätze zum Audit-Pfad
@@ -174,15 +171,15 @@ requirements. -->
- selection expression: Ein
- Auswahlausdruck ist eine Zeichenkette, welche eine Liste von
+ selection expression: eine
+ Zeichenkette, welche eine Liste von
Präfixen und Audit-Ereignisklassennamen enthält,
um Ereignisse abzugleichen.
- preselection: Die Vorauswahl ist
- der Prozess, durch den das System erkennt, welche Ereignisse
+ preselection: der Prozess, durch
+ den das System erkennt, welche Ereignisse
von Interesse für den Administrator sind, um die
Erzeugung von Datensätze zu verhindern, welche nicht
von Belang sind. Die Konfiguration der Vorauswahl benutzt
@@ -210,86 +207,25 @@ requirements. -->
-
- Installation der Audit-Unterstützung
+
+ Audit Konfiguration
- Die Unterstützung des Ereignis-Auditings für den
- Benutzerbereich wird bereits als Teil des Basissystems installiert.
- Die Audit-Unterstützung ist bereits im &os;-Standardkernel
- enthalten, jedoch müssen Sie die folgende Zeile explizit in
- Ihre Kernelkonfigurationsdatei aufnehmen und den Kernel neu bauen:
-
- options AUDIT
-
- Bauen und installieren Sie den Kernel wie in
- beschrieben ist.
-
- Nachdem der Kernel mit Audit-Unterstützung
- gebaut und installiert ist und das System neu gestartet wurde,
- aktivieren Sie den Audit-Daemon
- durch das Einfügen der folgenden Zeile in die Datei
- &man.rc.conf.5;:
+ Userspace-Untersützung für Ereignis-Auditing ist Bestandteil
+ des &os;-Betriebssystems. Kernel-Unterstützung kann durch
+ Hinzufügen der folgenden Zeile in
+ /etc/rc.conf aktiviert werden:auditd_enable="YES"
- Die Audit-Unterstützung kann nun durch einen
- Neustart des Systems oder durch das manuelle Starten
- des Audit-Daemon aktiviert werden:
+ Starten Sie anschließend den Audit-Daemon:
+
+ &prompt.root; service auditd start
- service auditd start
-
+ Benutzer, die es bevorzugen einen angepassten Kernel zu
+ kompilieren, müssen folgende Zeile in die
+ Kernelkonfigurationsdatei aufnehmen:
-
- Die Konfiguration des Audit
-
- Alle Konfigurationsdateien für das Sicherheits-Audit
- finden sich unter
- /etc/security.
- Die folgenden Dateien müssen vorhanden sein, bevor
- der Audit-Daemon gestartet wird:
-
-
-
- audit_class – Enthält
- die Definitionen der Audit-Klassen.
-
-
-
- audit_control – Steuert
- Teile des Audit-Subsystems wie Audit-Klassen, minimaler
- Plattenplatz auf dem Audit-Log-Datenträger, maximale
- Größe des Audit-Pfades usw.
-
-
-
- audit_event – Wörtliche
- Namen und Beschreibungen von System-Audit-Ereignissen sowie
- eine Liste, welche Klassen welches Ereignis
- aufzeichnen.
-
-
-
- audit_user – Benutzerspezifische
- Audit-Erfordernisse, welche mit den globalen Vorgaben bei
- der Anmeldung kombiniert werden.
-
-
-
- audit_warn – Ein
- anpassbares Shell-Skript, welches von
- auditd benutzt wird, um
- Warnhinweise in aussergewöhnlichen Situationen zu
- erzeugen, z.B. wenn der Platz für die
- Audit-Datensätze knapp wird oder wenn die Datei des
- Audit-Pfades rotiert wurde.
-
-
-
-
- Audit-Konfigurationsdateien sollten vorsichtig gewartet und
- bearbeitet werden, da Fehler in der Konfiguration zu falscher
- Aufzeichnung von Ereignissen führen könnten.
-
+ options AUDITEreignis-Auswahlausdrücke
@@ -306,174 +242,220 @@ requirements. -->
rechts ausgewertet und zwei Ausdrücke werden durch
Aneinanderhängen miteinander kombiniert.
- Die folgende Liste enthält die
- Standard-Ereignisklassen für das Audit und ist in
- audit_class festgehalten:
+ fasst die
+ Audit-Ereignisklassen zusammen:
-
-
- all – all – Vergleiche
- alle Ereignisklassen.
-
+
+ Audit-Ereignisklassen
-
- ad – administrative – Administrative
- Aktionen ausgeführt auf dem System als Ganzes.
-
+
+
+
+ Name der Klasse
+ Beschreibung
+ Aktion
+
+
-
- ap – application – Aktionen
- definiert für Applikationen.
-
+
+
+ all
+ all
+ Vergleicht alle Ereisnisklassen.
+
-
- cl – file
- close – Audit-Aufrufe für
- den Systemaufruf close.
-
+
+ ad
+ administrative
+ Administrative Aktionen, ausgeführt auf dem System
+ als Ganzes.
+
-
- ex – exec – Ausführung
- des Audit-Programms. Auditierung von
- Befehlszeilen-Argumenten und Umgebungsvariablen wird
- gesteuert durch &man.audit.control.5; mittels der
- argv und
- envv-Parametergemäss der
- Richtlinien-Einstellungen.
-
+
+ ap
+ application
+ Aktionen definiert für Applikationen.
+
-
- fa – file
- attribute access – Auditierung
- des Zugriffs auf Objektattribute wie &man.stat.1;,
- &man.pathconf.2; und ähnlichen Ereignissen.
-
+
+ cl
+ file close
+ Audit-Aufrufe für den Systemaufruf
+ close.
+
-
- fc – file
- create – Audit-Ereignisse,
- bei denen eine Datei als Ergebnis angelegt wird.
-
+
+ ex
+ exec
+ Ausführung des Audit-Programms. Auditierung von
+ Befehlszeilen-Argumenten und Umgebungsvariablen wird
+ gesteuert durch &man.audit.control.5; mittels der
+ argv und
+ envv-Parameter gemäß der
+ Richtlinien-Einstellungen.
+
-
- fd – file
- delete – Audit-Ereignisse,
- bei denen Dateilöschungen vorkommen.
-
+
+ fa
+ file attribute access
+ Auditierung des Zugriffs auf Objektattribute wie
+ &man.stat.1; und &man.pathconf.2;.
+
-
- fm – file
- attribute modify – Audit-Ereignisse,
- bei welchen Dateiattribute geändert werden, wie
- &man.chown.8;, &man.chflags.1;, &man.flock.2; etc.
-
+
+ fc
+ file create
+ Audit-Ereignisse, bei denen eine Datei als
+ Ergebnis angelegt wird.
+
-
- fr – file
- read – Audit-Ereignisse, bei
- denen Daten gelesen oder Dateien zum lesen geöffnet
- werden usw.
-
+
+ fd
+ file delete
+ Audit-Ereignisse, bei denen Dateilöschungen
+ vorkommen.
+
-
- fw – file write – Audit-Ereignisse,
- bei welchen Daten geschrieben oder Dateien geschrieben
- oder verändert werden usw.
-
+
+ fm
+ file attribute modify
+ Audit-Ereignisse, bei denen Dateiattribute geändert
+ werden, wie &man.chown.8;, &man.chflags.1; und
+ &man.flock.2;.
+
-
- io – ioctl – Nutzung
- des Systemaufrufes &man.ioctl.2; durch Audit.
-
+
+ fr
+ file read
+ Audit-Ereignisse, bei denen Daten gelesen oder
+ Dateien zum lesen geöffnet werden.
+
-
- ip – ipc – Auditierung
- verschiedener Formen von Inter-Prozess-Kommunikation
- einschliesslich POSIX-Pipes und System V
- IPC-Operationen.
-
+
+ fw
+ file write
+ Audit-Ereignisse, bei denen Daten geschrieben oder
+ Dateien geschrieben oder verändert werden.
+
-
- lo – login_logout – Audit-Ereignisse
- betreffend &man.login.1; und &man.logout.1;, welche auf
- dem System auftreten.
-
+
+ io
+ ioctl
+ Nutzung des Systemaufrufes
+ ioctl durch Audit.
+
-
- na – non
- attributable – Auditierung
- nicht-attributierbarer Ereignisse (Ereignisse, die nicht auf
- einen bestimmten Benutzer zurückgeführt werden
- können).
-
+
+ ip
+ ipc
+ Auditierung verschiedener Formen von
+ Inter-Prozess-Kommunikation einschließlich POSIX-Pipes
+ und System V IPC-Operationen.
+
-
- no – invalid
- class – Kein Abgleich von
- Audit-Ereignissen.
-
+
+ lo
+ login_logout
+ Audit-Ereignisse von &man.login.1; und
+ &man.logout.1;.
+
-
- nt – network – Audit-Ereignisse
- in Zusammenhang mit Netzwerkaktivitäten wie
- z.B. &man.connect.2; und &man.accept.2;.
-
+
+ na
+ non attributable
+ Auditierung nicht-attributierbarer
+ Ereignisse.
+
-
- ot – other – Auditierung
- verschiedener Ereignisse.
-
+
+ no
+ invalid class
+ Kein Abgleich von Audit-Ereignissen.
+
-
- pc – process – Auditierung
- von Prozess-Operationen wie &man.exec.3; und
- &man.exit.3;.
-
-
+
+ nt
+ network
+ Audit-Ereignisse in Zusammenhang mit
+ Netzwerkaktivitäten wie &man.connect.2; und
+ &man.accept.2;
+
+
+
+ ot
+ other
+ Auditierung verschiedener Ereignisse.
+
+
+
+ pc
+ process
+ Auditierung von Prozess-Operationen wie
+ &man.exec.3; und &man.exit.3;.
+
+
+
+
Diese Ereignisklassen können angepasst werden durch
Modifizierung der Konfigurationsdateien
audit_class und
audit_event.
- Jede Audit-Klasse in dieser Liste ist kombiniert mit
+ Jede Audit-Klasse ist kombiniert mit
einem Präfix, welches anzeigt, ob
erfolgreiche/gescheiterte Operationen abgebildet werden, und
ob der Eintrag den Abgleich hinzufügt oder entfernt
- für die Klasse und den Typ.
+ für die Klasse und den Typ.
+ fasst die verfügbaren Präfixe zusammen.
-
-
- (none) Kein Präfix, sowohl erfolgreiche als
- auch gescheiterte Vorkommen eines Ereignisses werden
- auditiert.
-
+
+ Präfixe für Audit-Ereignisklassen
-
- + Auditiere nur erfolgreiche
- Ereignisse in dieser Klasse.
-
+
+
+
+ Präfix
+ Aktion
+
+
-
- - Auditiere nur gescheiterte
- Operationen in dieser Klasse.
-
+
+
+ +
+ Auditiert erfolgreiche Ereignisse in dieser
+ Klasse.
+
-
- ^ Auditiere weder erfolgreiche
- noch gescheiterte Ereignisse in dieser Klasse.
-
+
+ -
+ Auditiert fehlgeschlagene Ereignisse in dieser
+ Klasse.
+
-
- ^+ Auditiere keine erfolgreichen
- Ereignisse in dieser Klasse.
-
+
+ ^
+ Auditiert weder erfolgreiche noch fehlgeschlagene
+ Ereignisse.
+
-
- ^- Auditiere keine gescheiterten
- Ereignisse in dieser Klasse.
-
-
+
+ ^+
+ Auditiert keine erfolgreichen Ereignisse in dieser
+ Klasse.
+
+
+
+ ^-
+ Auditiert keine fehlgeschlagenen Ereignisse in
+ dieser Klasse.
+
+
+
+
+
+ Wenn kein Präfix vorhanden ist, werden sowohl erfolgreiche
+ als auch fehlgeschlagene Ereignisse auditiert.Das folgende Beispiel einer Auswahl-Zeichenkette
wählt erfolgreiche und gescheiterte
@@ -486,13 +468,58 @@ requirements. -->
Konfigurationsdateien
- In den meisten Fällen müssen Administratoren
- nur zwei Dateien ändern, wenn sie das Audit-System
- konfigurieren: audit_control und
- audit_user. Die erste Datei steuert
- systemweite Audit-Eigenschaften und -Richtlinien; die zweite
- Datei kann für die Feinanpassung der Auditierung von
- Benutzern verwendet werden.
+ Die folgenden Konfigurationsdateien für
+ Sicherheits-Auditing befinden sich in
+ /etc/security.
+
+
+
+ audit_class: enthält die
+ Definitionen der Audit-Klassen.
+
+
+
+ audit_control: steuert die
+ Eigenschaften des Audit-Subsystems, wie
+ Standard-Audit-Klassen, Mindestfestplattenspeicher auf
+ dem Audit-Log-Volume und die maximale Größe des
+ Audit-Trails.
+
+
+
+ audit_event: Namen und
+ Beschreibungen der Audit-Ereignisse, und eine Liste
+ von Klassen mit den dazugehörigen Ereignissen.
+
+
+
+ audit_user: benutzerspezifische
+ Audit-Anforderungen, kombinierbar mit den globalen
+ Standardeinstellungen bei der Anmeldung.
+
+
+
+ audit_warn: ein anpassbares
+ Skript, das von &man.auditd.8; verwendet wird, um in
+ bestimmten Situationen Warnmeldungen zu generieren,
+ z.B. wenn der Platz für Audit-Protokolle knapp wird, oder
+ wenn die Datei des Audit-Trails rotiert wurde.
+
+
+
+
+ Konfigurationsdateien von Audit sollten sorgfältig
+ bearbeitet und gepflegt werden, da Fehler in der
+ Konfiguration zu einer fehlerhaften Protokollierung der
+ Ereignisse führen können.
+
+
+ In den meisten Fällen werden Administratoren nur
+ audit_control und
+ audit_user änpassen müssen. Die erste
+ Datei steuert systemweite Audit-Eigenschaften, sowie
+ Richtlinien. Die zweite Datei kann für die Feinabstimmung bei
+ der Auditierung von Benutzern verwendet werden.Die <filename>audit_control</filename>-Datei
@@ -501,11 +528,13 @@ requirements. -->
Anzahl Vorgabewerte fest:dir:/var/audit
-flags:lo
-minfree:20
-naflags:lo
-policy:cnt
-filesz:0
+dist:off
+flags:lo,aa
+minfree:5
+naflags:lo,aa
+policy:cnt,argv
+filesz:2M
+expire-after:10M
Die Option wird genutzt, um eines
oder mehrere Verzeichnisse festzulegen, in welchen