os/doc
3
0
Fork 0
Code Issues Pull requests Projects Releases Wiki Activity

Update to r44377:

Browse source 
Editorial review of first 1/2 of Security Event Auditing.
Add 2 tables.
Still need to research additional entries which are not described
in this section.
More commits to come.

Approved by:	bcr (mentor)
This commit is contained in:
Bjoern Heidotting 2015-08-14 15:04:49 +00:00
parent 07901e03d9
commit 83d8425e75
Notes: svn2git 2020-12-08 03:00:23 +00:00 
svn path=/head/; revision=47224
1 changed files with 288 additions and 259 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

547
de_DE.ISO8859-1/books/handbook/audit/chapter.xml
View file

@ -5,7 +5,7 @@
$FreeBSD$ $FreeBSD$
$FreeBSDde: de-docproj/books/handbook/audit/chapter.xml,v 1.14 2012/02/16 20:28:26 bcr Exp $ $FreeBSDde: de-docproj/books/handbook/audit/chapter.xml,v 1.14 2012/02/16 20:28:26 bcr Exp $
basiert auf: r44231 basiert auf: r44377
--> -->
<!-- Need more documentation on praudit, auditreduce, etc. Plus more info <!-- Need more documentation on praudit, auditreduce, etc. Plus more info
on the triggers from the kernel (log rotation, out of space, etc). on the triggers from the kernel (log rotation, out of space, etc).
@ -35,19 +35,18 @@ requirements. -->
<see>MAC</see> <see>MAC</see>
</indexterm> </indexterm>
<para>Das &os;-Betriebssystem unterstützt <para>&os; bietet Unterstützung für Sicherheits-Auditing.
ein feingranuliertes Sicherheits-Auditing. Ereignis-Auditing bietet zuverlässige, feingranulierte und
Ereignis-Auditing erlaubt die konfigurierbare Aufzeichnung einer Vielzahl von
zuverlässige, feingranulierte und konfigurierbare sicherheitsrelevanten Systemereignissen einschliesslich
Aufzeichnung einer Vielzahl von sicherheitsrelevanten Benutzereingaben, Konfigurationsänderungen sowie Datei- und
Systemereignissen einschliesslich Benutzereingaben,
Konfigurationsänderungen sowie Datei- und
Netzwerkzugriffen. Diese Log-Datensätze können Netzwerkzugriffen. Diese Log-Datensätze können
unschätzbar wertvoll sein für direkte unschätzbar wertvoll sein für direkte
Systemüberwachung, Einbruchserkennung und Systemüberwachung, Einbruchserkennung und
Post-Mortem-Analyse. &os; implementiert &sun;s öffentlich Post-Mortem-Analyse. &os; implementiert &sun;s öffentlich
zugängliche <acronym>BSM</acronym> API und Dateiformat. Die zugängliches Basic Security Module (<acronym>BSM</acronym>)
&os;-Implementierung kann mit den Audit-Implementierungen von Application Programming Interface (<acronym>API</acronym>) und
Dateiformat, und kann mit den Audit-Implementierungen von
&sun; &solaris; und &apple; &macos; X zusammenarbeiten.</para> &sun; &solaris; und &apple; &macos; X zusammenarbeiten.</para>
<para>Dieses Kapitel konzentriert sich auf die Installation <para>Dieses Kapitel konzentriert sich auf die Installation
@ -60,7 +59,8 @@ requirements. -->
<itemizedlist> <itemizedlist>
<listitem> <listitem>
<para>Was Ereignis-Auditing ist und wie es arbeitet.</para> <para>Was Ereignis-Auditing ist und wie es
funktioniert.</para>
</listitem> </listitem>
<listitem> <listitem>
@ -94,13 +94,14 @@ requirements. -->
</itemizedlist> </itemizedlist>
<warning> <warning>
<para>Die Audit-Funktionalität in &os; besitzt die <para>Die Audit-Funktionalität in &os; hat einige bekannte
Einschränkungen, dass zur Zeit nicht alle Einschränkungen. Nicht alle sicherheitsrelevanten
sicherheitsrelevanten System-Ereignisse auditierbar sind und System-Ereignisse sind auditierbar, und einige
dass einige Anmelde-Mechanismen, wie z.B. X11-basierte Anmelde-Mechanismen, wie beispielsweise
Bildschirm-Manager und Daemonen von Drittanbietern, das <application>Xorg</application>-basierte
Auditing für Benutzeranmeldungen nicht korrekt Bildschirm-Manager und Dienste von Drittanbietern,
konfigurieren.</para> konfigurieren das Auditing für Benutzeranmeldungen nicht
korrekt.</para>
<para>Das Sicherheits-Auditing ist in der Lage, sehr <para>Das Sicherheits-Auditing ist in der Lage, sehr
detaillierte Log-Dateien von Systemaktivitäten zu erzeugen. detaillierte Log-Dateien von Systemaktivitäten zu erzeugen.
@ -110,8 +111,7 @@ requirements. -->
Administratoren sollten daher den benötigten Plattenplatz in Administratoren sollten daher den benötigten Plattenplatz in
Verbindung mit umfangreichen Audit-Konfigurationen Verbindung mit umfangreichen Audit-Konfigurationen
berücksichtigen. So kann es wünschenswert sein, ein eigenes berücksichtigen. So kann es wünschenswert sein, ein eigenes
Dateisystem für <filename Dateisystem für <filename>/var/audit</filename> einzusetzen, damit
class="directory">/var/audit</filename> einzusetzen, damit
andere Dateisysteme nicht betoffen sind, wenn das Dateisystem andere Dateisysteme nicht betoffen sind, wenn das Dateisystem
des Audit voll läuft.</para> des Audit voll läuft.</para>
</warning> </warning>
@ -120,30 +120,28 @@ requirements. -->
<sect1 xml:id="audit-inline-glossary"> <sect1 xml:id="audit-inline-glossary">
<title>Schlüsselbegriffe</title> <title>Schlüsselbegriffe</title>
<para>Vor dem Lesen dieses Kapitels müssen einige <para>Die folgenden Begriffe stehen im Zusammenhang mit
Audit-bezogene Schlüsselbegriffe erläutert Ereignis-Auditing:</para>
werden:</para>
<itemizedlist> <itemizedlist>
<listitem> <listitem>
<para><emphasis>event</emphasis>: Ein auditierbares Ereignis <para><emphasis>event</emphasis>: ein auditierbares Ereignis
ist ein Ereignis, das mit dem Audit-Subsystem ist jedes Ereignis, das mit dem Audit-Subsystem
aufgezeichnet werden kann. Beispiele für aufgezeichnet werden kann. Beispiele für
sicherheitsrelevante Systemereignisse sind etwa das Anlegen sicherheitsrelevante Systemereignisse sind etwa das Anlegen
von Dateien, das Erstellen einer Netzwerkverbindung oder von Dateien, das Erstellen einer Netzwerkverbindung oder
eine Benutzeranmeldung. Ereignisse sind entweder eine Benutzeranmeldung. Ereignisse sind entweder
<quote>attributierbar</quote>, können also zu einen <quote>attributierbar</quote>, können also zu einen
authentifizierten Benutzer zurückverfolgt werden, oder authentifizierten Benutzer zurückverfolgt werden, oder
sind <quote>nicht-attributierbar</quote>, falls dies nicht sind <quote>nicht-attributierbar</quote>. Nicht-attributierbare Ereignisse erfolgen
möglich ist. Nicht-attributierbare Ereignisse erfolgen
daher vor der Authentifizierung im Anmeldeprozess daher vor der Authentifizierung im Anmeldeprozess
(beispielsweise die Eingabe eines falschen Passworts).</para> (beispielsweise die Eingabe eines falschen Passworts).</para>
</listitem> </listitem>
<listitem> <listitem>
<para><emphasis>class</emphasis>: Ereignisklassen sind <para><emphasis>class</emphasis>: benannte Zusammenstellungen
benannte Zusammenstellungen von zusammengehörenden von zusammengehörenden Ereignissen, die in
Ereignissen und werden in Auswahl-Ausdrücken benutzt. Auswahl-Ausdrücken benutzt werden.
Häufig genutzte Klassen von Ereignissen schließen Häufig genutzte Klassen von Ereignissen schließen
<quote>file creation</quote> (fc, Anlegen von Dateien), <quote>file creation</quote> (fc, Anlegen von Dateien),
<quote>exec</quote> (ex, Ausführung) und <quote>exec</quote> (ex, Ausführung) und
@ -152,8 +150,8 @@ requirements. -->
</listitem> </listitem>
<listitem> <listitem>
<para><emphasis>record</emphasis>: Ein Datensatz ist ein <para><emphasis>record</emphasis>: ein
Audit-Logeintrag, welcher ein Sicherheitsereignis Audit-Logeintrag, der ein Sicherheitsereignis
enthält. Jeder Datensatz enthält einen enthält. Jeder Datensatz enthält einen
Ereignistyp, Informationen über den Gegenstand Ereignistyp, Informationen über den Gegenstand
(Benutzer), welcher die Aktion durchführt, Datums- und (Benutzer), welcher die Aktion durchführt, Datums- und
@ -163,10 +161,9 @@ requirements. -->
</listitem> </listitem>
<listitem> <listitem>
<para><emphasis>trail</emphasis>: Ein Audit-Pfad (audit <para><emphasis>trail</emphasis>: eine Log-Datei bestehend aus einer Reihe von
trail) oder eine Log-Datei besteht aus einer Reihe von
Audit-Datensätzen, die Sicherheitsereignisse Audit-Datensätzen, die Sicherheitsereignisse
beschreiben. Normalerweise sind die Pfade in grober beschreiben. Pfade sind in grober
zeitlicher Reihenfolge bezüglich des Zeitpunktes, zeitlicher Reihenfolge bezüglich des Zeitpunktes,
an welchem ein Ereignis beendet wurde. Nur authorisierte an welchem ein Ereignis beendet wurde. Nur authorisierte
Prozesse dürfen Datensätze zum Audit-Pfad Prozesse dürfen Datensätze zum Audit-Pfad
@ -174,15 +171,15 @@ requirements. -->
</listitem> </listitem>
<listitem> <listitem>
<para><emphasis>selection expression</emphasis>: Ein <para><emphasis>selection expression</emphasis>: eine
Auswahlausdruck ist eine Zeichenkette, welche eine Liste von Zeichenkette, welche eine Liste von
Präfixen und Audit-Ereignisklassennamen enthält, Präfixen und Audit-Ereignisklassennamen enthält,
um Ereignisse abzugleichen.</para> um Ereignisse abzugleichen.</para>
</listitem> </listitem>
<listitem> <listitem>
<para><emphasis>preselection</emphasis>: Die Vorauswahl ist <para><emphasis>preselection</emphasis>: der Prozess, durch
der Prozess, durch den das System erkennt, welche Ereignisse den das System erkennt, welche Ereignisse
von Interesse für den Administrator sind, um die von Interesse für den Administrator sind, um die
Erzeugung von Datensätze zu verhindern, welche nicht Erzeugung von Datensätze zu verhindern, welche nicht
von Belang sind. Die Konfiguration der Vorauswahl benutzt von Belang sind. Die Konfiguration der Vorauswahl benutzt
@ -210,86 +207,25 @@ requirements. -->
</itemizedlist> </itemizedlist>
</sect1> </sect1>
<sect1 xml:id="audit-install"> <sect1 xml:id="audit-config">
<title>Installation der Audit-Unterstützung</title> <title>Audit Konfiguration</title>
<para>Die Unterstützung des Ereignis-Auditings für den <para>Userspace-Untersützung für Ereignis-Auditing ist Bestandteil
Benutzerbereich wird bereits als Teil des Basissystems installiert. des &os;-Betriebssystems. Kernel-Unterstützung kann durch
Die Audit-Unterstützung ist bereits im &os;-Standardkernel Hinzufügen der folgenden Zeile in
enthalten, jedoch müssen Sie die folgende Zeile explizit in <filename>/etc/rc.conf</filename> aktiviert werden:</para>
Ihre Kernelkonfigurationsdatei aufnehmen und den Kernel neu bauen:</para>
<programlisting>options AUDIT</programlisting>
<para>Bauen und installieren Sie den Kernel wie in
<xref linkend="kernelconfig"/> beschrieben ist.</para>
<para>Nachdem der Kernel mit Audit-Unterstützung
gebaut und installiert ist und das System neu gestartet wurde,
aktivieren Sie den Audit-Daemon
durch das Einfügen der folgenden Zeile in die Datei
&man.rc.conf.5;:</para>
<programlisting>auditd_enable="YES"</programlisting> <programlisting>auditd_enable="YES"</programlisting>
<para>Die Audit-Unterstützung kann nun durch einen <para>Starten Sie anschließend den Audit-Daemon:</para>
Neustart des Systems oder durch das manuelle Starten
des Audit-Daemon aktiviert werden:</para> <screen>&prompt.root; <userinput>service auditd start</userinput></screen>
<programlisting>service auditd start</programlisting> <para>Benutzer, die es bevorzugen einen angepassten Kernel zu
</sect1> kompilieren, müssen folgende Zeile in die
Kernelkonfigurationsdatei aufnehmen:</para>
<sect1 xml:id="audit-config"> <programlisting>options AUDIT</programlisting>
<title>Die Konfiguration des Audit</title>
<para>Alle Konfigurationsdateien für das Sicherheits-Audit
finden sich unter
<filename>/etc/security</filename>.
Die folgenden Dateien müssen vorhanden sein, bevor
der Audit-Daemon gestartet wird:</para>
<itemizedlist>
<listitem>
<para><filename>audit_class</filename>&nbsp;&ndash;&nbsp;Enthält
die Definitionen der Audit-Klassen.</para>
</listitem>
<listitem>
<para><filename>audit_control</filename>&nbsp;&ndash;&nbsp;Steuert
Teile des Audit-Subsystems wie Audit-Klassen, minimaler
Plattenplatz auf dem Audit-Log-Datenträger, maximale
Größe des Audit-Pfades usw.</para>
</listitem>
<listitem>
<para><filename>audit_event</filename>&nbsp;&ndash;&nbsp;Wörtliche
Namen und Beschreibungen von System-Audit-Ereignissen sowie
eine Liste, welche Klassen welches Ereignis
aufzeichnen.</para>
</listitem>
<listitem>
<para><filename>audit_user</filename>&nbsp;&ndash;&nbsp;Benutzerspezifische
Audit-Erfordernisse, welche mit den globalen Vorgaben bei
der Anmeldung kombiniert werden.</para>
</listitem>
<listitem>
<para><filename>audit_warn</filename>&nbsp;&ndash;&nbsp;Ein
anpassbares Shell-Skript, welches von
<application>auditd</application> benutzt wird, um
Warnhinweise in aussergewöhnlichen Situationen zu
erzeugen, z.B. wenn der Platz für die
Audit-Datensätze knapp wird oder wenn die Datei des
Audit-Pfades rotiert wurde.</para>
</listitem>
</itemizedlist>
<warning>
<para>Audit-Konfigurationsdateien sollten vorsichtig gewartet und
bearbeitet werden, da Fehler in der Konfiguration zu falscher
Aufzeichnung von Ereignissen führen könnten.</para>
</warning>
<sect2> <sect2>
<title>Ereignis-Auswahlausdrücke</title> <title>Ereignis-Auswahlausdrücke</title>
@ -306,174 +242,220 @@ requirements. -->
rechts ausgewertet und zwei Ausdrücke werden durch rechts ausgewertet und zwei Ausdrücke werden durch
Aneinanderhängen miteinander kombiniert.</para> Aneinanderhängen miteinander kombiniert.</para>
<para>Die folgende Liste enthält die <para><xref linkend="event-selection"/> fasst die
Standard-Ereignisklassen für das Audit und ist in Audit-Ereignisklassen zusammen:</para>
<filename>audit_class</filename> festgehalten:</para>
<itemizedlist> <table xml:id="event-selection" frame="none" pgwide="1">
<listitem> <title>Audit-Ereignisklassen</title>
<para><literal>all</literal>&nbsp;&ndash;&nbsp;<emphasis>all</emphasis>&nbsp;&ndash;&nbsp;Vergleiche
alle Ereignisklassen.</para>
</listitem>
<listitem> <tgroup cols="3">
<para><literal>ad</literal>&nbsp;&ndash;&nbsp;<emphasis>administrative</emphasis>&nbsp;&ndash;&nbsp;Administrative <thead>
Aktionen ausgeführt auf dem System als Ganzes.</para> <row>
</listitem> <entry>Name der Klasse</entry>
<entry>Beschreibung</entry>
<entry>Aktion</entry>
</row>
</thead>
<listitem> <tbody>
<para><literal>ap</literal>&nbsp;&ndash;&nbsp;<emphasis>application</emphasis>&nbsp;&ndash;&nbsp;Aktionen <row>
definiert für Applikationen.</para> <entry>all</entry>
</listitem> <entry>all</entry>
<entry>Vergleicht alle Ereisnisklassen.</entry>
</row>
<listitem> <row>
<para><literal>cl</literal>&nbsp;&ndash;&nbsp;<emphasis>file <entry>ad</entry>
close</emphasis>&nbsp;&ndash;&nbsp;Audit-Aufrufe für <entry>administrative</entry>
den Systemaufruf <function>close</function>.</para> <entry>Administrative Aktionen, ausgeführt auf dem System
</listitem> als Ganzes.</entry>
</row>
<listitem> <row>
<para><literal>ex</literal>&nbsp;&ndash;&nbsp;<emphasis>exec</emphasis>&nbsp;&ndash;&nbsp;Ausführung <entry>ap</entry>
des Audit-Programms. Auditierung von <entry>application</entry>
Befehlszeilen-Argumenten und Umgebungsvariablen wird <entry>Aktionen definiert für Applikationen.</entry>
gesteuert durch &man.audit.control.5; mittels der </row>
<literal>argv</literal> und
<literal>envv</literal>-Parametergemäss der
<literal>Richtlinien</literal>-Einstellungen.</para>
</listitem>
<listitem> <row>
<para><literal>fa</literal>&nbsp;&ndash;&nbsp;<emphasis>file <entry>cl</entry>
attribute access</emphasis>&nbsp;&ndash;&nbsp;Auditierung <entry>file close</entry>
des Zugriffs auf Objektattribute wie &man.stat.1;, <entry>Audit-Aufrufe für den Systemaufruf
&man.pathconf.2; und ähnlichen Ereignissen.</para> <function>close</function>.</entry>
</listitem> </row>
<listitem> <row>
<para><literal>fc</literal>&nbsp;&ndash;&nbsp;<emphasis>file <entry>ex</entry>
create</emphasis>&nbsp;&ndash;&nbsp;Audit-Ereignisse, <entry>exec</entry>
bei denen eine Datei als Ergebnis angelegt wird.</para> <entry>Ausführung des Audit-Programms. Auditierung von
</listitem> Befehlszeilen-Argumenten und Umgebungsvariablen wird
gesteuert durch &man.audit.control.5; mittels der
<literal>argv</literal> und
<literal>envv</literal>-Parameter gemäß der
<literal>Richtlinien</literal>-Einstellungen.</entry>
</row>
<listitem> <row>
<para><literal>fd</literal>&nbsp;&ndash;&nbsp;<emphasis>file <entry>fa</entry>
delete</emphasis>&nbsp;&ndash;&nbsp;Audit-Ereignisse, <entry>file attribute access</entry>
bei denen Dateilöschungen vorkommen.</para> <entry>Auditierung des Zugriffs auf Objektattribute wie
</listitem> &man.stat.1; und &man.pathconf.2;.</entry>
</row>
<listitem> <row>
<para><literal>fm</literal>&nbsp;&ndash;&nbsp;<emphasis>file <entry>fc</entry>
attribute modify</emphasis>&nbsp;&ndash;&nbsp;Audit-Ereignisse, <entry>file create</entry>
bei welchen Dateiattribute geändert werden, wie <entry>Audit-Ereignisse, bei denen eine Datei als
&man.chown.8;, &man.chflags.1;, &man.flock.2; etc.</para> Ergebnis angelegt wird.</entry>
</listitem> </row>
<listitem> <row>
<para><literal>fr</literal>&nbsp;&ndash;&nbsp;<emphasis>file <entry>fd</entry>
read</emphasis>&nbsp;&ndash;&nbsp;Audit-Ereignisse, bei <entry>file delete</entry>
denen Daten gelesen oder Dateien zum lesen geöffnet <entry>Audit-Ereignisse, bei denen Dateilöschungen
werden usw.</para> vorkommen.</entry>
</listitem> </row>
<listitem> <row>
<para><literal>fw</literal>&nbsp;&ndash;&nbsp;<emphasis>file write</emphasis>&nbsp;&ndash;&nbsp;Audit-Ereignisse, <entry>fm</entry>
bei welchen Daten geschrieben oder Dateien geschrieben <entry>file attribute modify</entry>
oder verändert werden usw.</para> <entry>Audit-Ereignisse, bei denen Dateiattribute geändert
</listitem> werden, wie &man.chown.8;, &man.chflags.1; und
&man.flock.2;.</entry>
</row>
<listitem> <row>
<para><literal>io</literal>&nbsp;&ndash;&nbsp;<emphasis>ioctl</emphasis>&nbsp;&ndash;&nbsp;Nutzung <entry>fr</entry>
des Systemaufrufes &man.ioctl.2; durch Audit.</para> <entry>file read</entry>
</listitem> <entry>Audit-Ereignisse, bei denen Daten gelesen oder
Dateien zum lesen geöffnet werden.</entry>
</row>
<listitem> <row>
<para><literal>ip</literal>&nbsp;&ndash;&nbsp;<emphasis>ipc</emphasis>&nbsp;&ndash;&nbsp;Auditierung <entry>fw</entry>
verschiedener Formen von Inter-Prozess-Kommunikation <entry>file write</entry>
einschliesslich POSIX-Pipes und System V <entry>Audit-Ereignisse, bei denen Daten geschrieben oder
<acronym>IPC</acronym>-Operationen.</para> Dateien geschrieben oder verändert werden.</entry>
</listitem> </row>
<listitem> <row>
<para><literal>lo</literal>&nbsp;&ndash;&nbsp;<emphasis>login_logout</emphasis>&nbsp;&ndash;&nbsp;Audit-Ereignisse <entry>io</entry>
betreffend &man.login.1; und &man.logout.1;, welche auf <entry>ioctl</entry>
dem System auftreten.</para> <entry>Nutzung des Systemaufrufes
</listitem> <function>ioctl</function> durch Audit.</entry>
</row>
<listitem> <row>
<para><literal>na</literal>&nbsp;&ndash;&nbsp;<emphasis>non <entry>ip</entry>
attributable</emphasis>&nbsp;&ndash;&nbsp;Auditierung <entry>ipc</entry>
nicht-attributierbarer Ereignisse (Ereignisse, die nicht auf <entry>Auditierung verschiedener Formen von
einen bestimmten Benutzer zurückgeführt werden Inter-Prozess-Kommunikation einschließlich POSIX-Pipes
können).</para> und System V <acronym>IPC</acronym>-Operationen.</entry>
</listitem> </row>
<listitem> <row>
<para><literal>no</literal>&nbsp;&ndash;&nbsp;<emphasis>invalid <entry>lo</entry>
class</emphasis>&nbsp;&ndash;&nbsp;Kein Abgleich von <entry>login_logout</entry>
Audit-Ereignissen.</para> <entry>Audit-Ereignisse von &man.login.1; und
</listitem> &man.logout.1;.</entry>
</row>
<listitem> <row>
<para><literal>nt</literal>&nbsp;&ndash;&nbsp;<emphasis>network</emphasis>&nbsp;&ndash;&nbsp;Audit-Ereignisse <entry>na</entry>
in Zusammenhang mit Netzwerkaktivitäten wie <entry>non attributable</entry>
z.B. &man.connect.2; und &man.accept.2;.</para> <entry>Auditierung nicht-attributierbarer
</listitem> Ereignisse.</entry>
</row>
<listitem> <row>
<para><literal>ot</literal>&nbsp;&ndash;&nbsp;<emphasis>other</emphasis>&nbsp;&ndash;&nbsp;Auditierung <entry>no</entry>
verschiedener Ereignisse.</para> <entry>invalid class</entry>
</listitem> <entry>Kein Abgleich von Audit-Ereignissen.</entry>
</row>
<listitem> <row>
<para><literal>pc</literal>&nbsp;&ndash;&nbsp;<emphasis>process</emphasis>&nbsp;&ndash;&nbsp;Auditierung <entry>nt</entry>
von Prozess-Operationen wie &man.exec.3; und <entry>network</entry>
&man.exit.3;.</para> <entry>Audit-Ereignisse in Zusammenhang mit
</listitem> Netzwerkaktivitäten wie &man.connect.2; und
</itemizedlist> &man.accept.2;</entry>
</row>
<row>
<entry>ot</entry>
<entry>other</entry>
<entry>Auditierung verschiedener Ereignisse.</entry>
</row>
<row>
<entry>pc</entry>
<entry>process</entry>
<entry>Auditierung von Prozess-Operationen wie
&man.exec.3; und &man.exit.3;.</entry>
</row>
</tbody>
</tgroup>
</table>
<para>Diese Ereignisklassen können angepasst werden durch <para>Diese Ereignisklassen können angepasst werden durch
Modifizierung der Konfigurationsdateien Modifizierung der Konfigurationsdateien
<filename>audit_class</filename> und <filename>audit_class</filename> und
<filename>audit_event</filename>.</para> <filename>audit_event</filename>.</para>
<para>Jede Audit-Klasse in dieser Liste ist kombiniert mit <para>Jede Audit-Klasse ist kombiniert mit
einem Präfix, welches anzeigt, ob einem Präfix, welches anzeigt, ob
erfolgreiche/gescheiterte Operationen abgebildet werden, und erfolgreiche/gescheiterte Operationen abgebildet werden, und
ob der Eintrag den Abgleich hinzufügt oder entfernt ob der Eintrag den Abgleich hinzufügt oder entfernt
für die Klasse und den Typ.</para> für die Klasse und den Typ. <xref linkend="event-prefixes"/>
fasst die verfügbaren Präfixe zusammen.</para>
<itemizedlist> <table xml:id="event-prefixes" frame="none" pgwide="1">
<listitem> <title>Präfixe für Audit-Ereignisklassen</title>
<para>(none) Kein Präfix, sowohl erfolgreiche als
auch gescheiterte Vorkommen eines Ereignisses werden
auditiert.</para>
</listitem>
<listitem> <tgroup cols="2">
<para><literal>+</literal> Auditiere nur erfolgreiche <thead>
Ereignisse in dieser Klasse.</para> <row>
</listitem> <entry>Präfix</entry>
<entry>Aktion</entry>
</row>
</thead>
<listitem> <tbody>
<para><literal>-</literal> Auditiere nur gescheiterte <row>
Operationen in dieser Klasse.</para> <entry>+</entry>
</listitem> <entry>Auditiert erfolgreiche Ereignisse in dieser
Klasse.</entry>
</row>
<listitem> <row>
<para><literal>^</literal> Auditiere weder erfolgreiche <entry>-</entry>
noch gescheiterte Ereignisse in dieser Klasse.</para> <entry>Auditiert fehlgeschlagene Ereignisse in dieser
</listitem> Klasse.</entry>
</row>
<listitem> <row>
<para><literal>^+</literal> Auditiere keine erfolgreichen <entry>^</entry>
Ereignisse in dieser Klasse.</para> <entry>Auditiert weder erfolgreiche noch fehlgeschlagene
</listitem> Ereignisse.</entry>
</row>
<listitem> <row>
<para><literal>^-</literal> Auditiere keine gescheiterten <entry>^+</entry>
Ereignisse in dieser Klasse.</para> <entry>Auditiert keine erfolgreichen Ereignisse in dieser
</listitem> Klasse.</entry>
</itemizedlist> </row>
<row>
<entry>^-</entry>
<entry>Auditiert keine fehlgeschlagenen Ereignisse in
dieser Klasse.</entry>
</row>
</tbody>
</tgroup>
</table>
<para>Wenn kein Präfix vorhanden ist, werden sowohl erfolgreiche
als auch fehlgeschlagene Ereignisse auditiert.</para>
<para>Das folgende Beispiel einer Auswahl-Zeichenkette <para>Das folgende Beispiel einer Auswahl-Zeichenkette
wählt erfolgreiche und gescheiterte wählt erfolgreiche und gescheiterte
@ -486,13 +468,58 @@ requirements. -->
<sect2> <sect2>
<title>Konfigurationsdateien</title> <title>Konfigurationsdateien</title>
<para>In den meisten Fällen müssen Administratoren <para>Die folgenden Konfigurationsdateien für
nur zwei Dateien ändern, wenn sie das Audit-System Sicherheits-Auditing befinden sich in
konfigurieren: <filename>audit_control</filename> und <filename>/etc/security</filename>.</para>
<filename>audit_user</filename>. Die erste Datei steuert
systemweite Audit-Eigenschaften und -Richtlinien; die zweite <itemizedlist>
Datei kann für die Feinanpassung der Auditierung von <listitem>
Benutzern verwendet werden.</para> <para><filename>audit_class</filename>: enthält die
Definitionen der Audit-Klassen.</para>
</listitem>
<listitem>
<para><filename>audit_control</filename>: steuert die
Eigenschaften des Audit-Subsystems, wie
Standard-Audit-Klassen, Mindestfestplattenspeicher auf
dem Audit-Log-Volume und die maximale Größe des
Audit-Trails.</para>
</listitem>
<listitem>
<para><filename>audit_event</filename>: Namen und
Beschreibungen der Audit-Ereignisse, und eine Liste
von Klassen mit den dazugehörigen Ereignissen.</para>
</listitem>
<listitem>
<para><filename>audit_user</filename>: benutzerspezifische
Audit-Anforderungen, kombinierbar mit den globalen
Standardeinstellungen bei der Anmeldung.</para>
</listitem>
<listitem>
<para><filename>audit_warn</filename>: ein anpassbares
Skript, das von &man.auditd.8; verwendet wird, um in
bestimmten Situationen Warnmeldungen zu generieren,
z.B. wenn der Platz für Audit-Protokolle knapp wird, oder
wenn die Datei des Audit-Trails rotiert wurde.</para>
</listitem>
</itemizedlist>
<warning>
<para>Konfigurationsdateien von Audit sollten sorgfältig
bearbeitet und gepflegt werden, da Fehler in der
Konfiguration zu einer fehlerhaften Protokollierung der
Ereignisse führen können.</para>
</warning>
<para>In den meisten Fällen werden Administratoren nur
<filename>audit_control</filename> und
<filename>audit_user</filename> änpassen müssen. Die erste
Datei steuert systemweite Audit-Eigenschaften, sowie
Richtlinien. Die zweite Datei kann für die Feinabstimmung bei
der Auditierung von Benutzern verwendet werden.</para>
<sect3 xml:id="audit-auditcontrol"> <sect3 xml:id="audit-auditcontrol">
<title>Die <filename>audit_control</filename>-Datei</title> <title>Die <filename>audit_control</filename>-Datei</title>
@ -501,11 +528,13 @@ requirements. -->
Anzahl Vorgabewerte fest:</para> Anzahl Vorgabewerte fest:</para>
<programlisting>dir:/var/audit <programlisting>dir:/var/audit
flags:lo dist:off
minfree:20 flags:lo,aa
naflags:lo minfree:5
policy:cnt naflags:lo,aa
filesz:0</programlisting> policy:cnt,argv
filesz:2M
expire-after:10M</programlisting>
<para>Die Option <option>dir</option> wird genutzt, um eines <para>Die Option <option>dir</option> wird genutzt, um eines
oder mehrere Verzeichnisse festzulegen, in welchen oder mehrere Verzeichnisse festzulegen, in welchen