MFen:
+ books/handbook/audit/chapter.xml r30208 --> r43688 PR: docs/187278 Submitted by: Vladimir Romanov <blueboar_2@rambler.ru>
This commit is contained in:
Taras Korenko
parent
f43c91b354
commit
83fd82d689
Notes:
svn2git
2020-12-08 03:00:23 +00:00
svn path=/head/; revision=44579
1 changed files with 326 additions and 288 deletions
|
|
@ -5,7 +5,7 @@
|
||||||
$FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/audit/chapter.xml,v 1.10 2007/06/26 08:38:00 den Exp $
|
$FreeBSDru: frdp/doc/ru_RU.KOI8-R/books/handbook/audit/chapter.xml,v 1.10 2007/06/26 08:38:00 den Exp $
|
||||||
$FreeBSD$
|
$FreeBSD$
|
||||||
|
|
||||||
Original revision: r30208
|
Original revision: r43688
|
||||||
-->
|
-->
|
||||||
<!-- Need more documentation on praudit, auditreduce, etc. Plus more info
|
<!-- Need more documentation on praudit, auditreduce, etc. Plus more info
|
||||||
on the triggers from the kernel (log rotation, out of space, etc).
|
on the triggers from the kernel (log rotation, out of space, etc).
|
||||||
|
|
@ -13,16 +13,43 @@ And the /dev/audit special file if we choose to support that. Could use
|
||||||
some coverage of integrating MAC with Event auditing and perhaps discussion
|
some coverage of integrating MAC with Event auditing and perhaps discussion
|
||||||
on how some companies or organizations handle auditing and auditing
|
on how some companies or organizations handle auditing and auditing
|
||||||
requirements. -->
|
requirements. -->
|
||||||
<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="audit">
|
<chapter xmlns="http://docbook.org/ns/docbook"
|
||||||
|
xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0"
|
||||||
|
xml:id="audit">
|
||||||
<info><title>Аудит событий безопасности</title>
|
<info><title>Аудит событий безопасности</title>
|
||||||
<authorgroup>
|
<authorgroup>
|
||||||
<author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><contrib>Автор </contrib></author>
|
<author>
|
||||||
|
<personname>
|
||||||
|
<firstname>Tom</firstname>
|
||||||
|
<surname>Rhodes</surname>
|
||||||
|
</personname>
|
||||||
|
<contrib>Автор </contrib>
|
||||||
|
</author>
|
||||||
|
<author>
|
||||||
|
<personname>
|
||||||
|
<firstname>Robert</firstname>
|
||||||
|
<surname>Watson</surname>
|
||||||
|
</personname>
|
||||||
|
</author>
|
||||||
</authorgroup>
|
</authorgroup>
|
||||||
<authorgroup>
|
<authorgroup>
|
||||||
<author><personname><firstname>Денис</firstname><surname>Баров</surname></personname><contrib>Перевод на русский язык: </contrib></author>
|
<author>
|
||||||
|
<personname>
|
||||||
|
<firstname>Денис</firstname>
|
||||||
|
<surname>Баров</surname>
|
||||||
|
</personname>
|
||||||
|
<contrib>Перевод на русский язык: </contrib>
|
||||||
|
</author>
|
||||||
|
<author>
|
||||||
|
<personname>
|
||||||
|
<firstname>Владимир</firstname>
|
||||||
|
<surname>Романов</surname>
|
||||||
|
</personname>
|
||||||
|
<contrib>Обновление перевода: </contrib>
|
||||||
|
</author>
|
||||||
</authorgroup>
|
</authorgroup>
|
||||||
</info>
|
</info>
|
||||||
|
|
||||||
<sect1 xml:id="audit-synopsis">
|
<sect1 xml:id="audit-synopsis">
|
||||||
<title>Краткий обзор</title>
|
<title>Краткий обзор</title>
|
||||||
<indexterm><primary>AUDIT</primary></indexterm>
|
<indexterm><primary>AUDIT</primary></indexterm>
|
||||||
|
|
@ -30,10 +57,9 @@ requirements. -->
|
||||||
<primary>Аудит событий безопасности</primary>
|
<primary>Аудит событий безопасности</primary>
|
||||||
<see>MAC</see>
|
<see>MAC</see>
|
||||||
</indexterm>
|
</indexterm>
|
||||||
<para>&os; 6.2-RELEASE и более поздние версии &os;
|
<para>Операционная система &os; включает в себя поддержку аудита
|
||||||
включают в себя поддержку аудита событий безопасности.
|
событий безопасности. Аудит событий дает надежный и точный способ
|
||||||
Аудит событий дает надежный и точный способ для
|
для протоколирования различных событий, связанных с безопасностью,
|
||||||
протоколирования различных событий, связанных с безопасностью,
|
|
||||||
включая входы в систему, изменения конфигурации, доступ к
|
включая входы в систему, изменения конфигурации, доступ к
|
||||||
файлам и сети. Эти записи могут быть незаменимы для
|
файлам и сети. Эти записи могут быть незаменимы для
|
||||||
мониторинга функционирующей системы, обнаружения вторжений
|
мониторинга функционирующей системы, обнаружения вторжений
|
||||||
|
|
@ -84,117 +110,107 @@ requirements. -->
|
||||||
</itemizedlist>
|
</itemizedlist>
|
||||||
|
|
||||||
<warning>
|
<warning>
|
||||||
<para>Реализация аудита в &os; 6.2 - экспериментальная, использование
|
<para>Реализация аудита имеет известные ограничения, например,
|
||||||
ее в реальных задачах должно производиться только после
|
не все события в настоящий момент протоколируемы.
|
||||||
внимательного ознакомления со всеми рисками, к которым приводит
|
Например, некоторые механизмы входа в систему (Основанные на X11
|
||||||
использование экспериментального программного обеспечения. К
|
оконные менеджеры, многое программное обеспечение от сторонних
|
||||||
известным ограничениям относится и тот факт, что не все события
|
производителей) не сконфигурированы для протоколирования событий
|
||||||
в настоящий момент протоколируемы. Например, некоторые механизмы
|
входа в систему через подсистему аудита.</para>
|
||||||
входа в систему (X11-основанные оконные менеджеры, многое
|
<para>Использование системы аудита может привести к генерированию
|
||||||
программное обеспечение от сторонних производителей) не
|
огромных журнальных файлов: их размер на сильно загруженных серверах
|
||||||
сконфигурированы для протоколирования событий входа в систему через
|
в некоторых конфигурациях может достигать нескольких гигабайт в неделю.
|
||||||
подсистему аудита.</para>
|
Администраторы должны принимать во внимание требования
|
||||||
</warning>
|
к дисковому пространству для нагруженных конфигураций системы
|
||||||
|
аудита. Например, рекомендуется выделить отдельный раздел для
|
||||||
<warning>
|
файловой системы аудита
|
||||||
<para>Использование системы в аудита может привести к генерированию
|
<filename>/var/audit</filename>,
|
||||||
огромных журнальных файлов: их размер на сильно загруженных серверах
|
чтобы переполнение раздела аудита не влияло на работоспособность
|
||||||
в некоторых конфигурациях может достигать нескольких гигабайт в неделю.
|
всей остальной системы.</para>
|
||||||
Администраторы должны внимательно следить за дисковым пространством
|
|
||||||
в разделе системы аудита. Например, рекомендуется выделить
|
|
||||||
отдельный раздел для файловой системы аудита
|
|
||||||
<filename>/var/audit</filename>, чтобы переполнение раздела аудита
|
|
||||||
не влияло на работоспособность всей остальной системы.</para>
|
|
||||||
</warning>
|
</warning>
|
||||||
|
|
||||||
</sect1>
|
</sect1>
|
||||||
|
|
||||||
<sect1 xml:id="audit-inline-glossary">
|
<sect1 xml:id="audit-inline-glossary">
|
||||||
<title>Ключевые понятия - краткий словарь.</title>
|
<title>Ключевые понятия в Данной Главе.</title>
|
||||||
|
|
||||||
<para>Перед чтением этой главы необходимо определить несколько
|
<para>Перед чтением этой главы необходимо определить несколько
|
||||||
ключевых понятий. Это нужно для того, чтобы предотвратить
|
ключевых понятий. В русской версии документа приводятся
|
||||||
недоразумения, которые могут возникнуть из-за разницы в трактовке
|
|
||||||
некоторых терминов. В русской версии документа приводятся
|
|
||||||
близкий по смыслу перевод и в скобках указывается оригинальный
|
близкий по смыслу перевод и в скобках указывается оригинальный
|
||||||
английский термин.</para>
|
английский термин.</para>
|
||||||
|
|
||||||
<itemizedlist>
|
<itemizedlist>
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><emphasis>событие</emphasis> (event): Событие, которое
|
<para><emphasis>событие</emphasis> (event): Событие, которое
|
||||||
может быть занесено в журнал. Администратор может выбирать,
|
может быть занесено в журнал. Примеры важных для безопасности
|
||||||
какие именно события будут журналироваться подсистемой
|
системы событий включает: создание файла, инициализацию сетевого
|
||||||
аудита. Список важных для безопасности системы
|
|
||||||
событий включает: создание файла, инициализацию сетевого
|
|
||||||
соединения, вход пользователя в систему. События
|
соединения, вход пользователя в систему. События
|
||||||
разделяются на <quote>приписываемые</quote> (attributable) -
|
разделяются на <quote>приписываемые</quote> (attributable) -
|
||||||
те, которые могут быть отнесены к конкретному пользователю -
|
те, которые могут быть отнесены к конкретному пользователю -
|
||||||
и <quote>не-приписываемые</quote> (non-attributable). Пример
|
и <quote>не-приписываемые</quote> (non-attributable), если
|
||||||
|
их нельзя отнести к конкретному пользователю. Пример
|
||||||
не-приписываемого события - любое событие, произошедшее до
|
не-приписываемого события - любое событие, произошедшее до
|
||||||
авторизации пользователя, такое, как неудачный вход пользователя
|
аутентификации пользователя, такое, например, такое, как
|
||||||
в систему.</para>
|
неудачный вход пользователя в систему.</para>
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><emphasis>Класс</emphasis> (class): События могут быть
|
<para><emphasis>Класс</emphasis> (class): Классы событий это
|
||||||
отнесены к одному или более классам, обычно основываясь
|
именованные наборы однотипных событий, которые используются
|
||||||
на категории события: <quote>создание файла</quote> (fc),
|
в выражениях выбора. Частоиспользуемые классы событий
|
||||||
<quote>доступ к файлу</quote> (fo),
|
включают <quote>создание файла</quote> (fc),
|
||||||
<quote>выполнение файла</quote> (ex), события
|
<quote>выполнение файла</quote> (ex)
|
||||||
входа в систему и выхода из нее (lo).
|
и <quote>события входа в систему и выхода из нее</quote> (lo).</para>
|
||||||
Использование классов позволяет администратору создавать
|
|
||||||
высокоуровневые правила аудита без указания конкретных
|
|
||||||
операций, отчет о которых должен добавляться в журнал.</para>
|
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><emphasis>Запись</emphasis> (record): <quote>Запись</quote> -
|
<para><emphasis>Запись</emphasis> (record): <quote>Запись</quote> -
|
||||||
это единичная запись в журнале, описывающая то или иное
|
это единичная запись в журнале, описывающая то или иное
|
||||||
событие. Запись обычно содержит информацию о типе события,
|
событие. Запись обычно содержит информацию о типе события,
|
||||||
информацию о субъекте события (пользователе), время события,
|
информацию о субъекте события (пользователе), который
|
||||||
информацию об объектах события (например, файлах) и
|
выполнил некоторое действия, дату и время события,
|
||||||
информацию об успешности выполнения операции, породившей
|
информацию об объектах и аргументах события, если они есть,
|
||||||
событие.</para>
|
а также информацию об успешности выполнения операции,
|
||||||
|
породившей событие.</para>
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><emphasis>Журнал</emphasis> (trail):
|
<para><emphasis>Журнал</emphasis> (trail):
|
||||||
<quote>журнал</quote> аудита, или лог-файл -
|
журнал аудита, или лог-файл -
|
||||||
содержит серию <quote>записей</quote> о системных событиях.
|
содержит серию записей о системных событиях.
|
||||||
Как правило, журнал содержит записи в строгом
|
Как правило, журнал содержит записи в строгом
|
||||||
хронологическом порядке по времени завершения
|
хронологическом порядке по времени завершения
|
||||||
события. Только авторизованные процессы (например,
|
события. Только авторизованные процессы могут
|
||||||
<command>auditd</command>) имеют доступ к журналу.</para>
|
добавлять записи в журнал.</para>
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><emphasis>выражение выделения</emphasis> (selection expression):
|
<para><emphasis>выражение выбора</emphasis> (selection expression):
|
||||||
Строка, содержащая список префиксов и имен классов, используемая
|
Строка, содержащая список префиксов и имен классов, используемая
|
||||||
для выделения группы событий.</para>
|
для выбора группы событий.</para>
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><emphasis>предварительное выделение</emphasis> (preselection):
|
<para><emphasis>предварительный выбор</emphasis> (preselection):
|
||||||
Процесс, во время которого система определяет, какие события имеют
|
Процесс, с помощью которого система определяет, какие события имеют
|
||||||
приоритетную важность для администратора. Это необходимо для того,
|
важность для администратора. Это необходимо для того,
|
||||||
чтобы избежать протоколирования событий, не имеющих никакой значимости.
|
чтобы избежать протоколирования событий, не имеющих никакой значимости.
|
||||||
Предварительное выделение использует ряд
|
Предварительный выбор использует ряд выражений выбора
|
||||||
<emphasis>выражений выделения</emphasis> для того, чтобы определить,
|
для того, чтобы определить, какие именно классы событий для
|
||||||
какие именно классы событий для какого пользователя необходимо вносить
|
какого пользователя необходимо вносить в журнал, а так же
|
||||||
в журнал, так же, как и для авторизованных и неавторизованных
|
глобальные настройки, которые будут применяться как для
|
||||||
процессов.</para>
|
авторизованных, так и для неавторизованных процессов.</para>
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><emphasis>Фильтрация</emphasis> (reduction):
|
<para><emphasis>Фильтрация</emphasis> (reduction):
|
||||||
Процесс, в результате которого записи из существующего журнала
|
Процесс, в результате которого записи из существующего журнала
|
||||||
выделяются для хранения, распечатки или анализа. Процесс во многом
|
выделяются для хранения, распечатки или анализа. Также, это
|
||||||
аналогичен <emphasis>предварительному выделению</emphasis>. Используя
|
процесс, в результате которого нежелательные записи удаляются
|
||||||
<emphasis>фильтрацию</emphasis> администраторы могут реализовывать
|
из журнала аудита. Используя фильтрацию, администраторы могут
|
||||||
различные политики хранения журналов аудита. Например, детализированный
|
реализовывать различные политики хранения данных аудита.
|
||||||
журнал может храниться месяц, но после этого он должен быть сокращен
|
Например, детализированный журнал может храниться месяц, но
|
||||||
чтобы хранить только информацию о входе в систему и выходе из нее
|
после этого он должен быть сокращен чтобы хранить только
|
||||||
более длительный срок.</para>
|
информацию о входе в систему и выходе из нее для целей архивации.</para>
|
||||||
</listitem>
|
</listitem>
|
||||||
</itemizedlist>
|
</itemizedlist>
|
||||||
</sect1>
|
</sect1>
|
||||||
|
|
@ -203,30 +219,31 @@ requirements. -->
|
||||||
<title>Установка системы аудита</title>
|
<title>Установка системы аудита</title>
|
||||||
|
|
||||||
<para>Пользовательская часть подсистемы аудита устанавливается как часть
|
<para>Пользовательская часть подсистемы аудита устанавливается как часть
|
||||||
базовой системы &os; начиная с версии 6.2-RELEASE. Тем не менее,
|
базовой системы &os;. Поддержка аудита событий со стороны ядра
|
||||||
поддержка аудита должна быть добавлена в ядро. Этого
|
также компилируется по умолчанию, но поддержка данной возможности
|
||||||
можно добиться, добавив следующую строку в конфигурационный файл
|
требует создания своего ядра, с добавлением следующей строки
|
||||||
вашего специального ядра:</para>
|
в конфигурационный файл ядра:</para>
|
||||||
|
|
||||||
<programlisting>options AUDIT</programlisting>
|
<programlisting>options AUDIT</programlisting>
|
||||||
|
|
||||||
<para>Процесс сборки и установки ядра подробно описан в главе
|
<para>Процесс сборки и установки ядра подробно описан в главе
|
||||||
<xref linkend="kernelconfig"/>.</para>
|
<xref linkend="kernelconfig"/>.</para>
|
||||||
|
|
||||||
<para>После этого, необходимо разрешить запуск демона аудита,
|
<para>Как только ядро с поддержкой аудита было собрано и установлено,
|
||||||
|
а система была перезагружена, необходимо разрешить запуск демона аудита,
|
||||||
добавив следующую строку в &man.rc.conf.5;:</para>
|
добавив следующую строку в &man.rc.conf.5;:</para>
|
||||||
|
|
||||||
<programlisting>auditd_enable="YES"</programlisting>
|
<programlisting>auditd_enable="YES"</programlisting>
|
||||||
|
|
||||||
<para>Для запуска демона со специфическими параметрами нужно
|
<para>Затем нужно запустить поддержку аудита либо путем
|
||||||
указать эти параметры в опции <option>auditd_flags</option>
|
перезагрузки, либо вручную, запустив демон аудита:</para>
|
||||||
файла &man.rc.conf.5;.</para>
|
|
||||||
</sect1>
|
<programlisting>service auditd start</programlisting>
|
||||||
|
</sect1>
|
||||||
|
|
||||||
<sect1 xml:id="audit-config">
|
<sect1 xml:id="audit-config">
|
||||||
<title>Настройка системы аудита</title>
|
<title>Настройка системы аудита</title>
|
||||||
|
|
||||||
|
|
||||||
<para>Все конфигурационные файлы системы аудита находятся в каталоге
|
<para>Все конфигурационные файлы системы аудита находятся в каталоге
|
||||||
<filename>/etc/security</filename>. Перед запуском
|
<filename>/etc/security</filename>. Перед запуском
|
||||||
демона аудита там должны находиться следующие файлы:</para>
|
демона аудита там должны находиться следующие файлы:</para>
|
||||||
|
|
@ -241,72 +258,80 @@ requirements. -->
|
||||||
<para><filename>audit_control</filename> - Параметры системы
|
<para><filename>audit_control</filename> - Параметры системы
|
||||||
аудита: классы по умолчанию, минимальное дисковое
|
аудита: классы по умолчанию, минимальное дисковое
|
||||||
пространство, которое должно оставаться на разделе журнала
|
пространство, которое должно оставаться на разделе журнала
|
||||||
аудита, и другие.</para>
|
аудита, максимальный размер журнала аудита и другие.</para>
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><filename>audit_event</filename> - Определяет основные
|
<para><filename>audit_event</filename> - Текстовые имена и
|
||||||
события аудита. Это, в основном, системные вызовы.</para>
|
описания событий аудита, а также список, определяющий
|
||||||
|
соответствие классов и событий, которые находятся в данных
|
||||||
|
классах.</para>
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><filename>audit_user</filename> - События аудита для
|
<para><filename>audit_user</filename> - Требования аудита, которые
|
||||||
для отдельных пользователей. Пользователи, не упоминаемые
|
отличаются для отдельных пользователей. Они соединяются с
|
||||||
в этом файле, будут рассматриваться как субъекты конфигурации
|
глобальными настройками по умолчанию при входе пользователя
|
||||||
по-умолчанию в файле <filename>audit_control</filename>.</para>
|
в систему.</para>
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><filename>audit_warn</filename> - Скрипт командного
|
<para><filename>audit_warn</filename> - Скрипт командного
|
||||||
интерпретатора Bourne Shell, который используется, чтобы
|
интерпретатора, используемый &man.auditd.8;,
|
||||||
сгенерировать предупреждающие сообщения об исключительных
|
чтобы сгенерировать предупреждающие сообщения об исключительных
|
||||||
ситуациях, например, когда заканчивается свободное дисковое
|
ситуациях, например, когда заканчивается свободное дисковое
|
||||||
пространство для записей журналов аудита.</para>
|
пространство для записей журналов аудита, либо когда произошла
|
||||||
|
ротация файла журнала аудита.</para>
|
||||||
</listitem>
|
</listitem>
|
||||||
</itemizedlist>
|
</itemizedlist>
|
||||||
|
|
||||||
|
<warning>
|
||||||
|
<para>Файлы конфигурации аудита должны редактироваться и
|
||||||
|
изменяться с осторожностью, так как ошибки в конфигурации
|
||||||
|
могут привести к неправильному логу событий</para>
|
||||||
|
</warning>
|
||||||
|
|
||||||
<sect2>
|
<sect2>
|
||||||
<title>Формат конфигурационного файла</title>
|
<title>Выражения выбора событий</title>
|
||||||
|
|
||||||
<para>Формат конфигурационного файла не очень логичен, но с ним, тем
|
<para>Выражения выбора используются в нескольких местах
|
||||||
не менее, достаточно просто работать. Однако, администраторам
|
конфигурации аудита для определения того, какие события должны
|
||||||
следует быть очень внимательными при изменении значений по
|
подвергаться аудиту. Выражения содержат список классов событий,
|
||||||
умолчанию, поскольку это создает потенциальную опасность
|
с которыми интересующее нас событие будет сравниваться. Каждое
|
||||||
неправильного сбора данных системой аудита.</para>
|
выражение имеет префикс, показывающий, нужно ли принять
|
||||||
|
или игнорировать найденное событие, и, возможно, показывающий,
|
||||||
|
интересуют ли нас успешные или неуспешные операции. Выражения
|
||||||
|
выбора рассматриваются слева направа, и два выражения
|
||||||
|
объединяются простым добавлением второго выражения к концу
|
||||||
|
первого.</para>
|
||||||
|
|
||||||
<para>В конфигурационном файле могут использоваться как полные,
|
<para>Следующий список содержит классы по умолчанию,
|
||||||
так и сокращенные параметры. Соответствия будут приведены
|
|
||||||
ниже.</para>
|
|
||||||
|
|
||||||
<para>Следующий список содержит все классы по умолчанию,
|
|
||||||
присутствующие в файле <filename>audit_class</filename>:</para>
|
присутствующие в файле <filename>audit_class</filename>:</para>
|
||||||
|
|
||||||
<itemizedlist>
|
<itemizedlist>
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><option>all</option> - <literal>all</literal> -
|
<para><literal>all</literal> - <emphasis>all</emphasis> -
|
||||||
Соответствует всем классам событий.</para>
|
Соответствует всем классам событий.</para>
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><option>ad</option> - <literal>administrative</literal>
|
<para><literal>ad</literal> - <emphasis>administrative</emphasis>
|
||||||
- Аудит административных действий, произошедших в
|
- Аудит административных действий, произошедших в
|
||||||
системе.</para>
|
системе.</para>
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><option>ap</option> - <literal>application</literal> -
|
<para><literal>ap</literal> - <emphasis>application</emphasis> -
|
||||||
Аудит события, вызванного каким-либо приложением.</para>
|
Аудит события, вызванного каким-либо приложением.</para>
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><option>cl</option> - <literal>file_close</literal>
|
<para><literal>cl</literal> - <emphasis>file close</emphasis>
|
||||||
- Аудит вызовов системной функции
|
- Аудит вызовов системной функции <function>close</function>.</para>
|
||||||
<function>close</function>.</para>
|
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><option>ex</option> - <literal>exec</literal> -
|
<para><literal>ex</literal> - <emphasis>exec</emphasis> -
|
||||||
Аудит запуска приложения. Аудит аргументов командной строки и
|
Аудит запуска приложения. Аудит аргументов командной строки и
|
||||||
переменных окружения контролируется через &man.audit.control.5;
|
переменных окружения контролируется через &man.audit.control.5;
|
||||||
используя параметры <literal>argv</literal> и <literal>envv</literal>
|
используя параметры <literal>argv</literal> и <literal>envv</literal>
|
||||||
|
|
@ -314,85 +339,85 @@ requirements. -->
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><option>fa</option> - <literal>file_attr_acc</literal>
|
<para><literal>fa</literal> - <emphasis>file attribute access</emphasis>
|
||||||
- Аудит доступа к атрибутам объектов и их изменению,
|
- Аудит доступа к атрибутам объектов,
|
||||||
например через &man.stat.1;, &man.pathconf.2;, а
|
например &man.stat.1;, &man.pathconf.2;, а
|
||||||
также подобных этим событий.</para>
|
также подобных этим событий.</para>
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><option>fc</option> - <literal>file_creation</literal>
|
<para><literal>fc</literal> - <emphasis>file create</emphasis>
|
||||||
- Аудит событий, в результате которых создаются
|
- Аудит событий, в результате которых создаются
|
||||||
файлы.</para>
|
файлы.</para>
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><option>fd</option> - <literal>file_deletion</literal>
|
<para><literal>fd</literal> - <emphasis>file delete</emphasis>
|
||||||
- Аудит событий, в результате которых удаляются
|
- Аудит событий, в результате которых удаляются
|
||||||
файлы.</para>
|
файлы.</para>
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><option>fm</option> - <literal>file_attr_mod</literal>
|
<para><literal>fm</literal> - <emphasis>file attribute modify</emphasis>
|
||||||
- Аудит событий, в результате которых изменяются
|
- Аудит событий, в результате которых изменяются
|
||||||
атрибуты файлов, например, &man.chown.8;,
|
атрибуты файлов, например, &man.chown.8;,
|
||||||
&man.chflags.1;, &man.flock.2;.</para>
|
&man.chflags.1;, &man.flock.2;.</para>
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><option>fr</option> - <literal>file_read</literal>
|
<para><literal>fr</literal> - <emphasis>file read</emphasis>
|
||||||
- Аудит событий, в результате которых происходит
|
- Аудит событий, в результате которых происходит
|
||||||
чтение данных, открываются файлы на чтение и т.п.</para>
|
чтение данных, открываются файлы на чтение и т.п.</para>
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><option>fw</option> - <literal>file_write</literal> -
|
<para><literal>fw</literal> - <emphasis>file write</emphasis> -
|
||||||
- Аудит событий, в результате которых происходит
|
- Аудит событий, в результате которых происходит
|
||||||
запись данных, изменение файлов и так далее.</para>
|
запись данных, запись или изменение файлов и так далее.</para>
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><option>io</option> - <literal>ioctl</literal> -
|
<para><literal>io</literal> - <emphasis>ioctl</emphasis> -
|
||||||
Аудит вызовов системной функции &man.ioctl.2;.</para>
|
Аудит вызовов системной функции &man.ioctl.2;.</para>
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><option>ip</option> - <literal>ipc</literal> -
|
<para><literal>ip</literal> - <emphasis>ipc</emphasis> -
|
||||||
Аудит различных видов взаимодействия процессов,
|
Аудит различных видов взаимодействия процессов,
|
||||||
включая создание не-именованных каналов (pipe) и
|
включая создание не-именованных каналов (POSIX pipe) и
|
||||||
взаимодействие процессов в стиле System V
|
взаимодействие процессов в стиле System V
|
||||||
<acronym>IPC</acronym>.</para>
|
<acronym>IPC</acronym>.</para>
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><option>lo</option> - <literal>login_logout</literal> -
|
<para><literal>lo</literal> - <emphasis>login_logout</emphasis> -
|
||||||
Аудит событий &man.login.1; и &man.logout.1;.</para>
|
Аудит событий &man.login.1; и &man.logout.1;,
|
||||||
|
происходящих в системе.</para>
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><option>na</option> - <literal>non_attrib</literal> -
|
<para><literal>na</literal> - <emphasis>non attributable</emphasis> -
|
||||||
Аудит не-приписываемых событий.</para>
|
Аудит не-приписываемых событий.</para>
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><option>no</option> - <literal>no_class</literal> -
|
<para><literal>no</literal> - <emphasis>invalid class</emphasis> -
|
||||||
Пустой класс, используется для отключения
|
Не соответствует никаким событиям аудита.</para>
|
||||||
аудита.</para>
|
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><option>nt</option> - <literal>network</literal> -
|
<para><literal>nt</literal> - <emphasis>network</emphasis> -
|
||||||
Аудит событий, связанных с сетевыми подключениями,
|
Аудит событий, связанных с сетевыми подключениями,
|
||||||
например &man.connect.2; и &man.accept.2;.</para>
|
например &man.connect.2; и &man.accept.2;.</para>
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><option>ot</option> - <literal>other</literal> -
|
<para><literal>ot</literal> - <emphasis>other</emphasis> -
|
||||||
Аудит событий, не вошедших в другие классы.</para>
|
Аудит различных событий.</para>
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><option>pc</option> - <literal>process</literal> -
|
<para><literal>pc</literal> - <emphasis>process</emphasis> -
|
||||||
Аудит действий процессов, таких как &man.exec.3; и
|
Аудит действий процессов, таких как &man.exec.3; и
|
||||||
&man.exit.3;.</para>
|
&man.exit.3;.</para>
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
@ -402,40 +427,40 @@ requirements. -->
|
||||||
файлов <filename>audit_class</filename> и
|
файлов <filename>audit_class</filename> и
|
||||||
<filename>audit_event</filename>.</para>
|
<filename>audit_event</filename>.</para>
|
||||||
|
|
||||||
<para>Каждый класс комбинируется с префиксом, показывающим удачное
|
<para>Каждый класс аудита комбинируется с префиксом, показывающим,
|
||||||
или неудачное завершение операции.</para>
|
какие операции будут учитываться - удачные или неудачные,
|
||||||
|
а также то, включает ли данная запись аудит для данного
|
||||||
|
класса и типа, либо отключает его.</para>
|
||||||
|
|
||||||
<itemizedlist>
|
<itemizedlist>
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><literal>[пустой префикс]</literal> - Аудит проводится как для
|
<para><literal>[пустой префикс]</literal> - Аудит проводится как для
|
||||||
успешного, так и для ошибочного события. Например, просто
|
успешного, так и для ошибочного события.</para>
|
||||||
указание класса без префикса приведет к занесению события
|
|
||||||
в журнал при любом результате операции.</para>
|
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><literal>+</literal> - Аудит только успешных
|
<para><literal>+</literal> - Аудит только успешных
|
||||||
событий.</para>
|
событий в данном классе.</para>
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><literal>-</literal> - Аудит только ошибочных
|
<para><literal>-</literal> - Аудит только ошибочных
|
||||||
событий.</para>
|
событий в данном классе.</para>
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><literal>^</literal> - Отключение аудита как успешных, так и
|
<para><literal>^</literal> - Отключение аудита как успешных, так и
|
||||||
ошибочных событий.</para>
|
ошибочных событий в данном классе.</para>
|
||||||
|
</listitem>
|
||||||
|
|
||||||
|
<listitem>
|
||||||
|
<para><literal>^+</literal> - Отключение аудита успешных
|
||||||
|
событий в данном классе.</para>
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
<listitem>
|
<listitem>
|
||||||
<para><literal>^-</literal> - Отключение аудита ошибочных
|
<para><literal>^-</literal> - Отключение аудита ошибочных
|
||||||
событий.</para>
|
событий в данном классе.</para>
|
||||||
</listitem>
|
|
||||||
|
|
||||||
<listitem>
|
|
||||||
<para><literal>^+</literal> - Включение аудита успешных
|
|
||||||
событий.</para>
|
|
||||||
</listitem>
|
</listitem>
|
||||||
|
|
||||||
</itemizedlist>
|
</itemizedlist>
|
||||||
|
|
@ -454,16 +479,14 @@ requirements. -->
|
||||||
изменения только в два конфигурационных файла системы аудита:
|
изменения только в два конфигурационных файла системы аудита:
|
||||||
<filename>audit_control</filename> и
|
<filename>audit_control</filename> и
|
||||||
<filename>audit_user</filename>. Первый из них содержит
|
<filename>audit_user</filename>. Первый из них содержит
|
||||||
общие настройки системы аудита и установки по умолчанию как
|
общие настройки системы аудита, второй может использоваться
|
||||||
для приписываемых, так и для не-приписываемых событий. Второй
|
для более тонкой настройки аудита пользователем.</para>
|
||||||
используется для настройки аудита пользовательских событий.</para>
|
|
||||||
|
|
||||||
<sect3 xml:id="audit-auditcontrol">
|
<sect3 xml:id="audit-auditcontrol">
|
||||||
<title>Файл <filename>audit_control</filename></title>
|
<title>Файл <filename>audit_control</filename></title>
|
||||||
|
|
||||||
<para>Файл <filename>audit_control</filename> содержит
|
<para>Некоторые настройки по умолчанию для подсистемы
|
||||||
настройки по умолчанию, которые, возможно, потребуется
|
аудита содержатся в файле <filename>audit_control</filename>:</para>
|
||||||
изменить. Содержимое этого файла:</para>
|
|
||||||
|
|
||||||
<programlisting>dir:/var/audit
|
<programlisting>dir:/var/audit
|
||||||
flags:lo
|
flags:lo
|
||||||
|
|
@ -472,115 +495,120 @@ naflags:lo
|
||||||
policy:cnt
|
policy:cnt
|
||||||
filesz:0</programlisting>
|
filesz:0</programlisting>
|
||||||
|
|
||||||
<para>Параметр <option>dir</option> указывает каталог, в
|
<para>Запись <option>dir</option> используется для
|
||||||
котором будет сохраняться журнал системы аудита. Как
|
установки одного или более каталогов, в
|
||||||
|
которых будет сохраняться журнал системы аудита. Если
|
||||||
|
указан более чем один каталог, то указанные каталоги
|
||||||
|
будут использоваться по очереди, по мере заполнения. Как
|
||||||
правило, система аудита конфигурируется таким образом, что
|
правило, система аудита конфигурируется таким образом, что
|
||||||
журнал аудита хранится на отдельном разделе, чтобы
|
журнал аудита хранится на отдельном разделе, чтобы
|
||||||
предотвратить сбои в работе операционной системы, если
|
предотвратить пересечение подсистемы аудита и остальных
|
||||||
свободное месте на разделе системы аудита будет
|
подсистем в случае, если свободное месте на разделе
|
||||||
исчерпано.</para>
|
системы аудита будет исчерпано.</para>
|
||||||
|
|
||||||
<para>Параметр <option>flags</option> используется для
|
<para>Запись <option>flags</option> используется для
|
||||||
установки глобальных опций. Значение этого параметра
|
установки глобальной маски предварительного выбора
|
||||||
<option>lo</option> настраивает аудит для всех событий
|
для приписываемых событий. В примере выше, будут подвергаться
|
||||||
&man.login.1; и &man.logout.1;. Более подробный
|
аудиту как успешные, так и неудачные попытки входа в
|
||||||
пример:</para>
|
систему и выхода из нее для всех пользователей</para>
|
||||||
|
|
||||||
<programlisting>dir:/var/audit
|
<para>Запись <option>minfree</option> определяет минимальное
|
||||||
flags:lo,ad,-all,^-fa,^-fc,^-cl
|
|
||||||
minfree:20
|
|
||||||
naflags:lo</programlisting>
|
|
||||||
|
|
||||||
<para>Такое значение параметра <option>flags</option>
|
|
||||||
приведет к аудиту всех событий &man.login.1; и
|
|
||||||
&man.logout.1;, всех административных событий, всех ошибочных
|
|
||||||
системных событий и, наконец, отключает аудит всех ошибочных
|
|
||||||
событий классов <option>fa</option>, <option>fc</option> и
|
|
||||||
<option>cl</option>. Несмотря на то, что параметр
|
|
||||||
<option>-all</option> указывает на необходимость аудита
|
|
||||||
всех системных событий, префикс <option>^-</option> отменяет
|
|
||||||
это поведение для всех последующих опций.</para>
|
|
||||||
|
|
||||||
<para>Заметьте, что значения считываются слева направо.
|
|
||||||
Поэтому находящиеся справа значения переопределяют значения,
|
|
||||||
находящиеся слева.</para>
|
|
||||||
|
|
||||||
<para>Параметр <option>minfree</option> определяет минимальное
|
|
||||||
значение свободного дискового пространства на разделе, в
|
значение свободного дискового пространства на разделе, в
|
||||||
который сохраняются файлы журналов аудита. Например, если
|
который сохраняются файлы журналов аудита. Когда данная
|
||||||
значение параметра <option>dir</option> установлено в
|
граница будет превышена, будет сгенерировано предупреждение.
|
||||||
<filename>/var/audit</filename>, а параметр
|
Вышеприведенный пример устанавливает минимальное свободное
|
||||||
<option>minfree</option> равен двадцати (20), то предупреждающее
|
пространство в двадцать процентов.</para>
|
||||||
сообщение будет выдано, когда раздел <filename>/var</filename> будет заполнен на
|
|
||||||
восемьдесят (80%) процентов.</para>
|
|
||||||
|
|
||||||
<para>Параметр <option>naflags</option> определяет классы
|
<para>Запись <option>naflags</option> определяет классы
|
||||||
аудита для не-приписываемых событий, то есть событий,
|
аудита для не-приписываемых событий, например, процессов
|
||||||
для которых не определён конкретный пользователь.</para>
|
входа в систему и системных демонов.</para>
|
||||||
|
|
||||||
|
<para>Запись <option>policy</option> определяет список
|
||||||
|
флагов политики, определяющей различные аспекты поведения
|
||||||
|
аудита. Элементы списка отделяются друг от друга запятыми.
|
||||||
|
По умолчанию, флаг <literal>cnt</literal> указывает, что
|
||||||
|
система должна продолжать работать, несмотря на ошибки
|
||||||
|
аудита (данный флаг очень сильно рекомендуется использовать).
|
||||||
|
Другой частоиспользуемый флаг - <literal>argv</literal>,
|
||||||
|
который заставляет подвергать аудиту аргументы командной
|
||||||
|
строки при вызове системного вызова &man.execve.2;, как
|
||||||
|
часть выполнения команды.</para>
|
||||||
|
|
||||||
|
<para>Запись <option>filesz</option> определяет
|
||||||
|
максимальный размер в байтах, до которого может расти
|
||||||
|
журнал событий аудита, прежде чем он будет автоматически
|
||||||
|
закончен и подвергнут ротации. По умолчанию, значение 0
|
||||||
|
запрещает автоматическую ротацию логов. Если требуемый
|
||||||
|
размер файла ненулевой, но ниже минимального значения в
|
||||||
|
512К, то он будет проигнорирован, и будет сгенерировано
|
||||||
|
предупреждающее сообщение в логах.</para>
|
||||||
</sect3>
|
</sect3>
|
||||||
|
|
||||||
<sect3 xml:id="audit-audituser">
|
<sect3 xml:id="audit-audituser">
|
||||||
<title>Файл <filename>audit_user</filename></title>
|
<title>Файл <filename>audit_user</filename></title>
|
||||||
|
|
||||||
<para>Файл <filename>audit_user</filename> позволяет
|
<para>Администратор может определить дополнительные
|
||||||
администратору определить классы событий, аудит которых будет
|
требования к аудиту для конкретных пользователей
|
||||||
производиться для каждого пользователя системы.</para>
|
в файле <filename>audit_user</filename>.
|
||||||
|
Каждая строка конфигурирует аудит для пользователя
|
||||||
|
с использованием двух полей: первое поле
|
||||||
|
<literal>alwaysaudit</literal>, которое определяет
|
||||||
|
набор событий, которые должны всегда подвергаться
|
||||||
|
аудиту для данного пользователя, а второе - поле
|
||||||
|
<literal>neveraudit</literal>, которое определяет
|
||||||
|
набор событий, которые никогда не должны подвергаться
|
||||||
|
аудиту для пользователя.</para>
|
||||||
|
|
||||||
<para>По умолчанию файл <filename>audit_user</filename>
|
<para>Нижеследующий пример <filename>audit_user</filename>
|
||||||
содержит:</para>
|
проводит аудит всех событий входа в систему и выхода из
|
||||||
|
системы для пользователя <systemitem class="username">root</systemitem>,
|
||||||
|
а также проводит аудит всех событий, связанных с созданием
|
||||||
|
файлов и успешным выполнением команд для пользователя
|
||||||
|
<systemitem class="username">www</systemitem>. При использовании с
|
||||||
|
вышеприведенным примером файла <filename>audit_control</filename>,
|
||||||
|
запись <literal>lo</literal> для <systemitem class="username">root</systemitem>
|
||||||
|
является лишней, кроме того, события входа в систему и выхода
|
||||||
|
из системы будут подвергаться аудиту и для пользователя
|
||||||
|
<systemitem class="username">www</systemitem>.</para>
|
||||||
|
|
||||||
<programlisting>root:lo:no
|
<programlisting>root:lo,+ex:no
|
||||||
audit:fc:no</programlisting>
|
www:fc,+ex:no</programlisting>
|
||||||
|
|
||||||
<para>Обратите внимание: по умолчанию производится аудит всех
|
|
||||||
<command>login</command>/<command>logout</command> событий и
|
|
||||||
отключается аудит всех других событий для пользователя
|
|
||||||
<systemitem class="username">root</systemitem>. Эта конфигурация также включает
|
|
||||||
аудит всех событий, связанных с созданием файлов и отключает
|
|
||||||
аудит всех других событий для пользователя
|
|
||||||
<systemitem class="username">audit</systemitem>. Хотя использование системы
|
|
||||||
аудита не требует наличия в системе специального
|
|
||||||
пользователя, в некоторых конфигурациях, особенно
|
|
||||||
использующих <acronym>MAC</acronym> (Mandatory Access
|
|
||||||
Control), это может быть необходимо.</para>
|
|
||||||
|
|
||||||
</sect3>
|
</sect3>
|
||||||
</sect2>
|
</sect2>
|
||||||
</sect1>
|
</sect1>
|
||||||
|
|
||||||
<sect1 xml:id="audit-administration">
|
<sect1 xml:id="audit-administration">
|
||||||
<title>Администрирование системы аудита</title>
|
<title>Администрирование подсистемы аудита</title>
|
||||||
|
|
||||||
<sect2>
|
<sect2>
|
||||||
<title>Просмотр журнала аудита</title>
|
<title>Просмотр журнала аудита</title>
|
||||||
|
|
||||||
<para>Журнал аудита хранится в бинарном формате BSM, поэтому для
|
<para>Журнал аудита хранится в бинарном формате BSM, поэтому для
|
||||||
его изменения и конвертации в текстовый формат понадобятся специальные
|
его изменения и конвертации в текстовый формат понадобятся специальные
|
||||||
утилиты. Команда <command>praudit</command> преобразует журнал аудита
|
утилиты. Команда &man.praudit.1; преобразует журнал аудита
|
||||||
в текстовый формат; команда <command>auditreduce</command> может быть
|
в текстовый формат; команда &man.auditreduce.1; может быть
|
||||||
использована для ротации и фильтрации журнала в целях анализа,
|
использована для ротации и фильтрации журнала в целях анализа,
|
||||||
архивирования или распечатки. Команда <command>auditreduce</command>
|
архивирования или распечатки. Множество параметров выборки
|
||||||
поддерживает множество параметров выборки, включая типы событий, классы
|
поддерживаются командой &man.auditreduce.1;, включая типы
|
||||||
событий, пользовательские события, дату и время событий и пути файлов,
|
событий, классы событий, конкретного пользователя, дату и
|
||||||
к которым относятся события.</para>
|
время событий,а также пути файлов, к которым относятся события.</para>
|
||||||
|
|
||||||
<para>Например, утилита <command>praudit</command> выведет все содержимое
|
<para>Например, утилита &man.praudit.1; выведет все содержимое
|
||||||
журнала аудита в текстовом формате:</para>
|
журнала аудита в текстовом формате:</para>
|
||||||
|
|
||||||
<screen>&prompt.root; <userinput>praudit /var/audit/AUDITFILE</userinput></screen>
|
<screen>&prompt.root; <userinput>praudit /var/audit/AUDITFILE</userinput></screen>
|
||||||
|
|
||||||
<para>В данном примере <replaceable>AUDITFILE</replaceable> - журнал,
|
<para>В данном примере <filename>AUDITFILE</filename> - журнал,
|
||||||
который будет выведен в текстовом формате.</para>
|
который будет выведен в текстовом формате.</para>
|
||||||
|
|
||||||
<para>Журнал аудита состоит из серии записей, которые, в свою
|
<para>Журнал аудита состоит из серии записей, которые, в свою
|
||||||
очередь состоят из элементов. Эти элементы команда
|
очередь состоят из элементов, которые команда &man.praudit.1;
|
||||||
<command>praudit</command> выводит последовательно - по одному на строку.
|
выводит последовательно - по одному на строку. Каждый элемент
|
||||||
Каждый элемент имеет специфический тип, например
|
имеет специфический тип, например
|
||||||
<literal>заголовок</literal> (header) содержит заголовок pfgbcb, a
|
<literal>заголовок</literal> (header) содержит заголовок записи, a
|
||||||
<literal>путь</literal> (path) - путь к файлу, к которому относится запись.
|
<literal>путь</literal> (path) - путь к файлу, к которому относится запись.
|
||||||
lookup. Следующий пример показывает запись для события выполнения
|
Следующий пример показывает запись для события <literal>execve</literal>:</para>
|
||||||
(execve):</para>
|
|
||||||
|
|
||||||
<programlisting>header,133,10,execve(2),0,Mon Sep 25 15:58:03 2006, + 384 msec
|
<programlisting>header,133,10,execve(2),0,Mon Sep 25 15:58:03 2006, + 384 msec
|
||||||
exec arg,finger,doug
|
exec arg,finger,doug
|
||||||
|
|
@ -590,27 +618,33 @@ subject,robert,root,wheel,root,wheel,38439,38032,42086,128.232.9.100
|
||||||
return,success,0
|
return,success,0
|
||||||
trailer,133</programlisting>
|
trailer,133</programlisting>
|
||||||
|
|
||||||
<para>Эта запись является результатом успешного выполнения системного
|
<para>Эта запись отражает результат успешного выполнения системного
|
||||||
вызова <literal>execve</literal>, который стал результатом выполнения
|
вызова <literal>execve</literal>, который стал результатом выполнения
|
||||||
команды <literal>finger doug</literal>. Элемент <literal>exec</literal> содержит и
|
команды <literal>finger doug</literal>. В элементах записи есть и
|
||||||
команду, которую оболочка передала ядру, и ее аргументы. Элемент
|
командная строка, которую оболочка передала ядру. Элемент
|
||||||
<literal>путь</literal> (path) содержит путь к исполняемому файлу в
|
<literal>путь</literal> (path) содержит путь к исполняемому файлу в
|
||||||
представлении ядра. Элемент <literal>атрибут</literal> (attribute)
|
представлении ядра. Элемент <literal>атрибут</literal> (attribute)
|
||||||
описывает исполняемый файл, и, в частности, права доступа к файлу.
|
описывает исполняемый файл, и, в частности, режим файла, что
|
||||||
Элемент <literal>субъект</literal> (subject) описывает процесс, вызвавший
|
можно использовать для определения, использовало ли приложение
|
||||||
выполнение и сохраняет его в виде ряда значений, представляющих собой
|
setuid. Элемент <literal>субъект</literal> (subject) описывает процесс, вызвавший
|
||||||
UID аудируемого пользователя, исполняющие (effective) UID и GID,
|
и сохраняет его в виде ряда значений, представляющих собой
|
||||||
реальные (real) UID и GID, идентификатор процесса, идентификатор сессии,
|
ID аудируемого пользователя, исполняющие (effective) UID и GID,
|
||||||
порт и адрес, с которого был осуществлен вход в систему.
|
реальные ID пользователя и группы, идентификатор процесса,
|
||||||
Обратите внимание - идентификатор аудируемого пользователя и реальный
|
идентификатор сессии, порт и адрес, с которого был осуществлен
|
||||||
идентификатор пользователя отличаются: это значит, что пользователь
|
вход в систему. Обратите внимание - идентификатор аудируемого
|
||||||
<literal>robert</literal> повысил привилегии до пользователя
|
пользователя и реальный идентификатор пользователя отличаются:
|
||||||
<literal>root</literal> перед выполнением команды, но система аудита
|
это значит, что пользователь <systemitem class="username">robert</systemitem> повысил
|
||||||
занесла его действия в журнал используя изначальный идентификатор.
|
привилегии до пользователя <systemitem class="username">root</systemitem> перед
|
||||||
Наконец, элемент <literal>возврат</literal> (return) описывает успешное
|
выполнением команды, но система аудита занесла его действия в
|
||||||
|
журнал используя изначальный идентификатор. Наконец, элемент
|
||||||
|
<literal>возврат</literal> (return) описывает успешное
|
||||||
завершение операции с кодом завершения 0, а элемент
|
завершение операции с кодом завершения 0, а элемент
|
||||||
<literal>trailer</literal> завершает запись.</para>
|
<literal>trailer</literal> завершает запись.</para>
|
||||||
|
|
||||||
|
<para>Данные в формате <acronym>XML</acronym> также можно
|
||||||
|
вывести с помощью команды &man.praudit.1;, используя аргумент
|
||||||
|
<option>-x</option>.</para>
|
||||||
|
|
||||||
</sect2>
|
</sect2>
|
||||||
|
|
||||||
<sect2>
|
<sect2>
|
||||||
|
|
@ -622,8 +656,8 @@ trailer,133</programlisting>
|
||||||
|
|
||||||
<screen>&prompt.root; <userinput>auditreduce -u trhodes /var/audit/AUDITFILE | praudit</userinput></screen>
|
<screen>&prompt.root; <userinput>auditreduce -u trhodes /var/audit/AUDITFILE | praudit</userinput></screen>
|
||||||
|
|
||||||
<para>Эта команда выделит все записи, относящиеся к пользователю
|
<para>Эта команда выделит все записи, относящиеся к
|
||||||
<systemitem class="username">trhodes</systemitem>, которые хранятся в файле
|
<systemitem class="username">trhodes</systemitem>, которые хранятся в
|
||||||
<filename>AUDITFILE</filename>.</para>
|
<filename>AUDITFILE</filename>.</para>
|
||||||
</sect2>
|
</sect2>
|
||||||
|
|
||||||
|
|
@ -631,50 +665,55 @@ trailer,133</programlisting>
|
||||||
<title>Делегирование прав просмотра журнала</title>
|
<title>Делегирование прав просмотра журнала</title>
|
||||||
|
|
||||||
<para>Члены группы <systemitem class="groupname">audit</systemitem> имеют доступ на чтение
|
<para>Члены группы <systemitem class="groupname">audit</systemitem> имеют доступ на чтение
|
||||||
к журналу аудита, находящемуся в <filename>/var/audit</filename>;
|
к журналу аудита, находящемуся в
|
||||||
|
<filename>/var/audit</filename>;
|
||||||
по умолчанию эта группа пуста, и только <systemitem class="username">root</systemitem>
|
по умолчанию эта группа пуста, и только <systemitem class="username">root</systemitem>
|
||||||
имеет к ним доступ. Для того, что бы передать пользователю права на
|
имеет к ним доступ. Для того, что бы передать пользователю права на
|
||||||
чтение журнала, его необходимо добавить в группу <systemitem class="groupname">audit</systemitem>.
|
чтение журнала, его необходимо добавить в группу <systemitem class="groupname">audit</systemitem>.
|
||||||
Право на чтение журнала аудита позволяет получить множество
|
Право на чтение журнала аудита позволяет получить множество
|
||||||
информации о поведении пользователей и процессов, что может привести к
|
информации о поведении пользователей и процессов, поэтому,
|
||||||
раскрытию конфиденциальных данных. Поэтому, рекомендуется делегировать
|
рекомендуется делегировать права на чтение журнала аудита
|
||||||
права на чтение журнала аудита с большой осторожностью.</para>
|
с большой осторожностью.</para>
|
||||||
</sect2>
|
</sect2>
|
||||||
|
|
||||||
<sect2>
|
<sect2>
|
||||||
<title>Мониторинг системы в реальном времени</title>
|
<title>Мониторинг системы в реальном времени с использованием потоков аудита</title>
|
||||||
|
|
||||||
<para>Потоки системы аудита - клонированные псевдо-устройства,
|
<para>Потоки системы аудита - клонированные псевдо-устройства в
|
||||||
используя которые, приложения могут получать информацию о системных
|
файловой системе устройств, используя которые, приложения могут
|
||||||
событиях в реальном времени. В первую очередь, это должно
|
получать информацию о системных событиях в реальном времени.
|
||||||
заинтересовать авторов программ для мониторинга и определения
|
В первую очередь, это должно заинтересовать авторов программ
|
||||||
вторжений в систему. Тем не менее, для администратора потоки
|
для мониторинга и определения вторжений в систему. Тем не
|
||||||
системы аудита могут стать удобным инструментом для мониторинга
|
менее, для администратора потоки системы аудита могут стать
|
||||||
в реальном времени без того, чтобы вдаваться в детали обеспечения
|
удобным инструментом для мониторинга в реальном времени без
|
||||||
безопасности при передачи прав на чтение журнала аудита. Для того,
|
проблем, свзяанных с правами файла аудита, и возможностью
|
||||||
чтобы получить поток событий в реальном времени используйте
|
процесса ротации, что приведет к обрыву потока событий.
|
||||||
|
Для того, чтобы получить поток событий в реальном времени используйте
|
||||||
следующую команду:</para>
|
следующую команду:</para>
|
||||||
|
|
||||||
<screen>&prompt.root; <userinput>praudit /dev/auditpipe</userinput></screen>
|
<screen>&prompt.root; <userinput>praudit /dev/auditpipe</userinput></screen>
|
||||||
|
|
||||||
<para>По умолчанию, потоки доступны только пользователю <systemitem class="username">root</systemitem>. Чтобы
|
<para>По умолчанию, потоки доступны только пользователю <systemitem class="username">root</systemitem>.
|
||||||
сделать их доступными членам группы <systemitem class="groupname">audit</systemitem> добавьте
|
Чтобы сделать их доступными членам группы <systemitem class="groupname">audit</systemitem> добавьте
|
||||||
правило <literal>devfs</literal> в файл
|
правило <literal>devfs</literal> в файл
|
||||||
<filename>devfs.rules</filename>:</para>
|
<filename>devfs.rules</filename>:</para>
|
||||||
|
|
||||||
<programlisting>add path 'auditpipe*' mode 0440 group audit</programlisting>
|
<programlisting>add path 'auditpipe*' mode 0440 group audit</programlisting>
|
||||||
|
|
||||||
<para>Смотрите страницу справочника &man.devfs.rules.5; для более полной
|
<para>Смотрите &man.devfs.rules.5; для более полной
|
||||||
информации о настройке файловой системы devfs.</para>
|
информации о настройке файловой системы devfs.</para>
|
||||||
|
|
||||||
<warning>
|
<warning>
|
||||||
<para>При неосторожном использовании возможно возникновение бесконечных
|
<para>При неосторожном использовании возможно возникновение бесконечных
|
||||||
циклов событий. Например, если аудиту подвергаются все операции
|
циклов событий. Например, если аудиту подвергаются все операции
|
||||||
сетевого ввода-вывода, и команда <command>praudit</command>
|
сетевого ввода-вывода, и команда &man.praudit.1;
|
||||||
запущена во время SSH-сессии, то любое событие породит вывод
|
запущена во время SSH-сессии, то будет сгенерирован
|
||||||
сообщения, которое в свою очередь тоже будет событием и так до
|
постоянный поток сообщений аудита, так как каждое событие
|
||||||
бесконечности. Разумнее будет не запускать <command>praudit</command>
|
вызовет еще ондо событие, и так до бесконечности.
|
||||||
на потоке событий из сессии, которая детально журналируется.</para>
|
Разумнее будет запускать &man.praudit.1;
|
||||||
|
на устройстве потока только из сессий, в которых
|
||||||
|
нет большого аудита ввода-вывода, чтобы избежать такого
|
||||||
|
поведения.</para>
|
||||||
</warning>
|
</warning>
|
||||||
</sect2>
|
</sect2>
|
||||||
|
|
||||||
|
|
@ -682,20 +721,20 @@ trailer,133</programlisting>
|
||||||
<title>Ротация журнальных файлов аудита</title>
|
<title>Ротация журнальных файлов аудита</title>
|
||||||
|
|
||||||
<para>Журнал аудита пишется только ядром и управляется только демоном
|
<para>Журнал аудита пишется только ядром и управляется только демоном
|
||||||
аудита <application>auditd</application>. Администраторы не должны пытаться
|
аудита &man.auditd.8;. Администраторы не должны пытаться
|
||||||
использовать &man.newsyslog.conf.5; или другие инструменты для
|
использовать &man.newsyslog.conf.5; или другие инструменты для
|
||||||
прямой ротации логов. Вместо этого, для прекращения аудита,
|
прямой ротации логов. Вместо этого, для прекращения аудита,
|
||||||
реконфигурации и ротации журнальных файлов должна использоваться
|
реконфигурации и ротации журнальных файлов должна использоваться
|
||||||
команда <command>audit</command>. Следующая команда приведет к
|
команда &man.audit.8;. Следующая команда приведет к
|
||||||
созданию нового журнального файла и даст команду ядру переключиться
|
созданию нового журнального файла и даст команду ядру переключиться
|
||||||
на запись в этот файл. Протоколирование в старый файл будет прекращено, а
|
на запись в этот файл. Протоколирование в старый файл будет прекращено, а
|
||||||
сам файл - переименован. Это рекомендованный способ ротации
|
сам файл - переименован, в результате чего с ним можно будет
|
||||||
журнальных файлов.</para>
|
работать администратору.</para>
|
||||||
|
|
||||||
<screen>&prompt.root; <userinput>audit -n</userinput></screen>
|
<screen>&prompt.root; <userinput>audit -n</userinput></screen>
|
||||||
|
|
||||||
<warning>
|
<warning>
|
||||||
<para>Если демон <application>auditd</application> не запущен, то эта команда
|
<para>Если &man.auditd.8; не запущен, то эта команда
|
||||||
окончится неудачей и будет выведено сообщение об ошибке.</para>
|
окончится неудачей и будет выведено сообщение об ошибке.</para>
|
||||||
</warning>
|
</warning>
|
||||||
|
|
||||||
|
|
@ -708,10 +747,10 @@ trailer,133</programlisting>
|
||||||
<para>Изменения вступят в силу после сохранения файла
|
<para>Изменения вступят в силу после сохранения файла
|
||||||
<filename>/etc/crontab</filename>.</para>
|
<filename>/etc/crontab</filename>.</para>
|
||||||
|
|
||||||
<para>Автоматическая ротация журнальных файлов возможна при использовании
|
<para>Автоматическая ротация журнальных файлов на основании
|
||||||
опции <option>filesz</option> в файле
|
их размера возможна при использовании опции <option>filesz</option>
|
||||||
&man.audit.control.5;, и описан в секции
|
в файле &man.audit.control.5;, и описана в разделе
|
||||||
"Формат конфигурационного файла".</para>
|
"Формат конфигурационного файла" данной главы.</para>
|
||||||
</sect2>
|
</sect2>
|
||||||
|
|
||||||
<sect2>
|
<sect2>
|
||||||
|
|
@ -719,10 +758,10 @@ trailer,133</programlisting>
|
||||||
|
|
||||||
<para>Поскольку журнальные файлы могут достигать очень больших размеров,
|
<para>Поскольку журнальные файлы могут достигать очень больших размеров,
|
||||||
может возникнуть необходимость сжимать их в целях хранения сразу же
|
может возникнуть необходимость сжимать их в целях хранения сразу же
|
||||||
после закрытия их демоном <command>auditd</command>. Для выполнения
|
после закрытия их демоном аудита. Для выполнения
|
||||||
определенных пользователем действий соответствующих разнообразным
|
определенных пользователем действий, соответствующих разнообразным
|
||||||
событиям системы аудита, включая нормальное завершение работы системы
|
событиям системы аудита, включая нормальное завершение журналов
|
||||||
аудита и фильтрацию журнальных файлов, может быть использован скрипт
|
аудита при их ротации, может быть использован скрипт
|
||||||
<filename>audit_warn</filename>. Например, добавление следующих строк
|
<filename>audit_warn</filename>. Например, добавление следующих строк
|
||||||
в файл <filename>audit_warn</filename> приведет к сжатию файла
|
в файл <filename>audit_warn</filename> приведет к сжатию файла
|
||||||
после его закрытия:</para>
|
после его закрытия:</para>
|
||||||
|
|
@ -734,13 +773,12 @@ if [ "$1" = closefile ]; then
|
||||||
gzip -9 $2
|
gzip -9 $2
|
||||||
fi</programlisting>
|
fi</programlisting>
|
||||||
|
|
||||||
<para>Примерами других действий могут быть, например, копирование файлов в место их
|
<para>Примерами других действий могут быть, например, копирование файлов
|
||||||
последующего хранения, удаление старых журнальных файлов, фильтрация
|
аудита на централизованный сервер, удаление старых журнальных файлов,
|
||||||
журнальных файлов для удаления ненужных записей. Скрипт
|
фильтрация журнальных файлов для удаления ненужных записей. Скрипт
|
||||||
<filename>audit_warn</filename> будет запущен только только при
|
будет запущен только только при корректном закрытии журнала системой
|
||||||
корректном закрытии журнала системой аудита и не запустится
|
аудита и не запустится для журнальных файлов, запись в которые была
|
||||||
для журнальных файлов, запись в которые была прекращена в
|
прекращена в результате некорректного завершения.</para>
|
||||||
результате некорректного завершения.</para>
|
|
||||||
</sect2>
|
</sect2>
|
||||||
</sect1>
|
</sect1>
|
||||||
</chapter>
|
</chapter>
|
||||||
|
|
|
||||||
Loading…
Reference in a new issue