aboutsummaryrefslogtreecommitdiff
path: root/nl_NL.ISO8859-1/books/handbook/audit/chapter.xml
diff options
context:
space:
mode:
Diffstat (limited to 'nl_NL.ISO8859-1/books/handbook/audit/chapter.xml')
-rw-r--r--nl_NL.ISO8859-1/books/handbook/audit/chapter.xml777
1 files changed, 0 insertions, 777 deletions
diff --git a/nl_NL.ISO8859-1/books/handbook/audit/chapter.xml b/nl_NL.ISO8859-1/books/handbook/audit/chapter.xml
deleted file mode 100644
index 74feaaf648..0000000000
--- a/nl_NL.ISO8859-1/books/handbook/audit/chapter.xml
+++ /dev/null
@@ -1,777 +0,0 @@
-<?xml version="1.0" encoding="iso-8859-1"?>
-<!--
- The FreeBSD Dutch Documentation Project
- $FreeBSD$
-
- %SOURCE% en_US.ISO8859-1/books/handbook/audit/chapter.xml
- %SRCID% 41645
--->
-<!-- Need more documentation on praudit, auditreduce, etc. Plus more info
-on the triggers from the kernel (log rotation, out of space, etc).
-And the /dev/audit special file if we choose to support that. Could use
-some coverage of integrating MAC with Event auditing and perhaps discussion
-on how some companies or organizations handle auditing and auditing
-requirements. -->
-<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="audit">
- <info><title>Security Event Auditing</title>
- <authorgroup>
- <author><personname><firstname>Tom</firstname><surname>Rhodes</surname></personname><contrib>Geschreven door </contrib></author>
- <author><personname><firstname>Robert</firstname><surname>Watson</surname></personname></author>
- </authorgroup>
- <authorgroup>
- <author><personname><firstname>Remko</firstname><surname>Lodder</surname></personname><contrib>Vertaald door </contrib></author>
- </authorgroup>
- </info>
-
-
-
- <sect1 xml:id="audit-synopsis">
- <title>Overzicht</title>
-
- <indexterm><primary>AUDIT</primary></indexterm>
- <indexterm>
- <primary>Security Event Auditing</primary>
- <see>MAC</see>
- </indexterm>
-
- <para>Het besturingssysteem &os; heeft ondersteuning voor diepgaande
- beveiligingsauditing van evenementen. Evenement auditing maakt
- het mogelijk dat er diepgaande en configureerbare logging van
- een variateit aan beveiligings-gerelateerde systeem evenementen,
- waaronder logins, configuratie wijzigingen, bestands- en
- netwerk toegang. Deze log regels kunnen erg belangrijk
- zijn voor live systeem monitoring, intrusion detection en
- postmortem analyse. &os; implementeert &sun;'s gepubliceerde
- <acronym>BSM</acronym> API en bestandsformaat en is uitwisselbaar
- met zowel &sun;'s &solaris; als &apple;'s &macos; X audit
- implementaties.</para>
-
- <para>Dit hoofdstuk richt zich op de installatie en configuratie van
- evenement auditing. Het legt audit policies uit en geeft
- voorbeelden van audit configuraties.</para>
-
- <para>Na het lezen van dit hoofdstuk weet de lezer:</para>
-
- <itemizedlist>
- <listitem>
- <para>Wat evenement auditing is en hoe het werkt.</para>
- </listitem>
-
- <listitem>
- <para>Hoe evenement auditing geconfigureerd kan worden voor
- &os; voor gebruikers en processen.</para>
- </listitem>
-
- <listitem>
- <para>Hoe de audittrail bekeken kan worden door gebruik te maken
- van de audit reduction en onderzoek programma's.</para>
- </listitem>
- </itemizedlist>
-
- <para>Voordat verder gegaan wordt moet het volgende bekend
- zijn:</para>
-
- <itemizedlist>
- <listitem>
- <para>&unix; en &os; basishandelingen begrijpen
- (<xref linkend="basics"/>).</para>
- </listitem>
-
- <listitem>
- <para>Bekend zijn met de basishandelingen van kernel
- configuratie/compilatie
- (<xref linkend="kernelconfig"/>).</para>
- </listitem>
-
- <listitem>
- <para>Bekend zijn met beveiliging en hoe dat relateert aan
- &os; (<xref linkend="security"/>).</para>
- </listitem>
- </itemizedlist>
-
- <warning>
- <para>De audit-faciliteiten hebben enkele bekende beperkingen
- waaronder dat niet alle beveiligings-relevante systeemevenementen
- geaudit kunnen worden en dat sommige login-mechanismes, zoals
- X11-gebaseerde display managers en programma's van erde partijen
- geen (goede) ondersteuning bieden voor het auditen van login-sessies
- van gebruikers.</para>
-
- <para>De beveiligings evenement auditing faciliteit is in staat om
- erg gedetailleerde logs van systeem activiteiten op een druk
- systeem te genereren, trail bestands data kan erg groot worden
- wanneer er erg precieze details worden gevraagd, wat enkele
- gigabytes per week kan behalen in sommige configuraties.
- Beheerders moeten rekening houden met voldoende schijfruimte voor
- grote audit configuraties. Bijvoorbeeld het kan gewenst zijn om eigen
- bestandsysteem aan <filename>/var/audit</filename>
- toe te wijzen zo dat andere bestandssystemen geen hinder
- ondervinden als het audit bestandssysteem onverhoopt vol
- raakt.</para>
- </warning>
- </sect1>
-
- <sect1 xml:id="audit-inline-glossary">
- <title>Sleutelwoorden in dit hoofdstuk</title>
-
- <para>Voordat dit hoofdstuk gelezen kan worden, moeten er een
- aantal audit gerelateerde termen uitgelegd worden:</para>
-
- <itemizedlist>
- <listitem>
- <para><emphasis>evenement</emphasis>: Een auditbaar evenement is
- elk evenement dat gelogged kan worden door het audit
- subsysteem. Voorbeelden van beveiligings gerelateerde
- evenementen zijn het creëeren van een bestand, het
- opzetten van een netwerk verbinding, of van een gebruiker die
- aanlogt. Evenementen zijn ofwel <quote>attributable</quote>
- wat betekend dat ze getraceerd kunnen worden naar een
- geauthoriseerde gebruiker, of <quote>non-attributable</quote>
- voor situaties waarin dat niet mogelijk is. Voorbeelden van
- non-attributable evenementen zijn elk evenement dat gebeurd
- voordat authorisatie plaatsvind in het login proces, zoals bij
- foutieve inlog pogingen.</para>
- </listitem>
-
- <listitem>
- <para><emphasis>class</emphasis>: Evenement klassen zijn benoemde
- sets van gerelateerde evenementen en worden gebruikt in
- selectie expressies. Veel gebruikte klassen van evenementen
- zijn <quote>bestands creatie</quote> (fc), <quote>exec</quote>
- (ex) en <quote>login_logout</quote> (lo).</para>
- </listitem>
-
- <listitem>
- <para><emphasis>record</emphasis>: Een record is een audit log
- regel die het beveiligings evenement beschrijft. Records
- bevatten een record evenement type, informatie over het
- onderwerp (de gebruiker) welke de actie uitvoerd, de datum en
- de tijd, informatie over de objecten of argumenten, en een
- conditie die aangeeft of de actie geslaagd of mislukt is.</para>
- </listitem>
-
- <listitem>
- <para><emphasis>trail</emphasis>: Een audit trail, of log
- bestand bestaat uit een serie van audit records welke
- beveiligings evenementen beschrijft. Meestal lopen deze
- trails in chronologische orde, gebaseerd op de tijd dat
- het evenement optrad. Alleen geauthoriseerde processen
- mogen records toevoegen aan de audit trail.</para>
- </listitem>
-
- <listitem>
- <para><emphasis>selection expression</emphasis>: Een selectie
- expressie is een string welke een lijst bevat van prefixes
- en audit evenement klasse namen die overeenkomen met
- evenementen.</para>
- </listitem>
-
- <listitem>
- <para><emphasis>preselection</emphasis>: Het proces waarbij het
- systeem bepaald welke evenementen interessant zijn voor de
- beheerder, zodat wordt voorkomen dat er audit records
- worden gegenereerd voor evenementen die niet interessant zijn.
- De <quote>preselection</quote> configuratie gebruikt een serie
- van selectie expressies om te identificeren welke klassen van
- evenementen van toepassing zijn op gebruikers en globale
- instellingen voor zowel geauthoriseerde als ongeauthoriseerde
- processen.</para>
- </listitem>
-
- <listitem>
- <para><emphasis>reduction</emphasis>: Het proces waarbij records
- van bestaande audit trails worden geselecteerd voor bewaring,
- uitprinten of analyse. Ook is dit het proces waarbij ongewenste
- audit records worden verwijderd uit het audit trail. Door
- gebruik te maken van reduction kunnen beheerders policies
- implementeren die het bewaren van audit data verzorgen.
- Bijvoorbeeld gedetailleerde audit trails kunnen één
- maand bewaard worden maar erna worden trails gereduceerd zodat
- alleen login informatie bewaard worden voor archiverings
- redenen.</para>
- </listitem>
- </itemizedlist>
- </sect1>
-
- <sect1 xml:id="audit-install">
- <title>Installeren van audit ondersteuning.</title>
-
- <para>Ondersteuning in de gebruikersomgeving voor evenement auditing wordt
- geïnstalleerd als onderdeel van het basis &os; besturingssysteem.
- Kernel-ondersteuning voor evenement-auditing wordt standaard meegenomen
- tijdens compilatie, maar moet expliciet in de kernel gecompileerd worden
- door de volgende regel toe te voegen aan het configuratiebestand van de
- kernel:</para>
-
- <programlisting>options AUDIT</programlisting>
-
- <para>Bouw en herinstalleer de kernel volgens het normale
- proces zoals beschreven in <xref linkend="kernelconfig"/>.</para>
-
- <para>Zodra een audit ondersteunende kernel is gebouwd en
- geïnstalleerd en deze is opgestart kan de audit daemon
- aangezet worden door de volgende regel aan &man.rc.conf.5; toe te
- voegen:</para>
-
- <programlisting>auditd_enable="YES"</programlisting>
-
- <para>Audit ondersteuning moet daarna aangezet worden door een
- herstart van het systeem of door het handmatig starten van de audit
- daemon:</para>
-
- <programlisting>service auditd start</programlisting>
- </sect1>
-
- <sect1 xml:id="audit-config">
- <title>Audit Configuratie</title>
-
- <para>Alle configuratie bestanden voor beveiligings audit kunnen
- worden gevonden in
- <filename>/etc/security</filename>. De volgende
- bestanden moeten aanwezig zijn voor de audit daemon wordt
- gestart:</para>
-
- <itemizedlist>
- <listitem>
- <para><filename>audit_class</filename> - Bevat de definities
- van de audit klasses.</para>
- </listitem>
-
- <listitem>
- <para><filename>audit_control</filename> - Controleert aspecten
- van het audit subsysteem, zoals de standaard audit klassen,
- minimale hoeveelheid diskruimte die moet overblijven op de
- audit log schijf, de maximale audit trail grootte, etc.</para>
- </listitem>
-
- <listitem>
- <para><filename>audit_event</filename> - Tekst namen en
- beschrijvingen van systeem audit evenementen, evenals een
- lijst van klassen waarin elk evenement zich bevind.</para>
- </listitem>
-
- <listitem>
- <para><filename>audit_user</filename> - Gebruiker specifieke
- audit benodigdheden welke gecombineerd worden met de globale
- standaarden tijdens het inloggen.</para>
- </listitem>
-
- <listitem>
- <para><filename>audit_warn</filename> - Een bewerkbaar shell
- script gebruikt door de <application>auditd</application>
- applicatie welke waarschuwings berichten genereert in
- bijzondere situaties zoals wanneer de ruimte voor audit
- records te laagis of wanneer het audit trail bestand is
- geroteerd.</para>
- </listitem>
- </itemizedlist>
-
- <warning>
- <para>Audit configuratie bestanden moeten voorzichtig worden
- bewerkt en onderhouden, omdat fouten in de configuratie kunnen
- resulteren in het verkeerd loggen van evenementen.</para>
- </warning>
-
- <sect2>
- <title>Evenement selectie expressies</title>
-
- <para>Selectie expressies worden gebruikt op een aantal plaatsen
- in de audit configuratie om te bepalen welke evenementen er
- geaudit moeten worden. Expressies bevatten een lijst van
- evenement klassen welke gelijk zijn aan een prefix welke
- aangeeft of gelijke records geaccepteerd moeten worden of
- genegeerd en optioneel om aan te geven of de regel is bedoeld
- om succesvolle of mislukte operaties te matchen. Selectie
- expressies worden geevalueerd van links naar rechts en twee
- expressies worden gecombineerd door de één aan de
- ander toe te voegen.</para>
-
- <para>De volgende lijst bevat de standaard audit evenement klassen
- welke aanwezig zijn in het <filename>audit_class</filename>
- bestand:</para>
-
- <itemizedlist>
- <listitem>
- <para><literal>all</literal> - <emphasis>all</emphasis> -
- Matched alle evenement klasses.</para>
- </listitem>
-
- <listitem>
- <para><literal>ad</literal> -
- <emphasis>administrative</emphasis> - Administratieve acties
- welke uitgevoerd worden op het gehele systeem.</para>
- </listitem>
-
- <listitem>
- <para><literal>ap</literal> - <emphasis>application</emphasis> -
- Applicatie gedefinieerde acties.</para>
- </listitem>
-
- <listitem>
- <para><literal>cl</literal> - <emphasis>file close</emphasis> -
- Audit aanroepen naar de <function>close</function> systeem
- aanroep.</para>
- </listitem>
-
- <listitem>
- <para><literal>ex</literal> - <emphasis>exec</emphasis> - Audit
- programma uitvoer. Het auditen van command line argumenten
- en omgevings variabelen wordt gecontroleerd via
- &man.audit.control.5; door gebruik te maken van de
- <literal>argv</literal> en <literal>envv</literal> parameters
- in de <literal>policy</literal> setting.</para>
- </listitem>
-
- <listitem>
- <para><literal>fa</literal> -
- <emphasis>file attribute access</emphasis> - Audit de
- toevoeging van object attributen zoals &man.stat.1;,
- &man.pathconf.2; en gelijkwaardige evenementen.</para>
- </listitem>
-
- <listitem>
- <para><literal>fc</literal> - <emphasis>file create</emphasis>
- - Audit evenementen waar een bestand wordt gecreëerd als
- resultaat.</para>
- </listitem>
-
- <listitem>
- <para><literal>fd</literal> - <emphasis>file delete</emphasis>
- - Audit evenementen waarbij bestanden verwijderd
- worden.</para>
- </listitem>
-
- <listitem>
- <para><literal>fm</literal> -
- <emphasis>file attribute modify</emphasis> - Audit
- evenementen waarbij bestandsattribuut wijzigingen
- plaatsvinden zoals bij &man.chown.8;, &man.chflags.1;,
- &man.flock.2;, etc.</para>
- </listitem>
-
- <listitem>
- <para><literal>fr</literal> - <emphasis>file read</emphasis>
- - Audit evenementen waarbij data wordt gelezen, bestanden
- worden geopend voor lezen etc.</para>
- </listitem>
-
- <listitem>
- <para><literal>fw</literal> - <emphasis>file write</emphasis>
- - Audit evenementen waarbij data wordt geschreven, bestanden
- worden geschreven of gewijzigd, etc.</para>
- </listitem>
-
- <listitem>
- <para><literal>io</literal> - <emphasis>ioctl</emphasis> -
- Audit het gebruik van de &man.ioctl.2; systeem aanroep.</para>
- </listitem>
-
- <listitem>
- <para><literal>ip</literal> - <emphasis>ipc</emphasis> - Audit
- verschillende vormen van Inter-Process Communication, zoals
- POSIX pipes en System V <acronym>IPC</acronym> operaties.</para>
- </listitem>
-
- <listitem>
- <para><literal>lo</literal> - <emphasis>login_logout</emphasis> -
- Audit &man.login.1; en &man.logout.1; evenementen die
- plaatsvinden op het systeem.</para>
- </listitem>
-
- <listitem>
- <para><literal>na</literal> -
- <emphasis>non attributable</emphasis> - Audit
- non-attributable evenementen.</para>
- </listitem>
-
- <listitem>
- <para><literal>no</literal> -
- <emphasis>invalid class</emphasis> - Matched geen enkel
- audit evenement.</para>
- </listitem>
-
- <listitem>
- <para><literal>nt</literal> - <emphasis>network</emphasis> -
- Audit evenementen die gerelateerd zijn aan netwerk acties
- zoals &man.connect.2; en &man.accept.2;.</para>
- </listitem>
-
- <listitem>
- <para><literal>ot</literal> - <emphasis>other</emphasis> -
- Audit diverse evenementen.</para>
- </listitem>
-
- <listitem>
- <para><literal>pc</literal> - <emphasis>process</emphasis> -
- Audit process operaties zoals &man.exec.3; en
- &man.exit.3;</para>
- </listitem>
- </itemizedlist>
-
- <para>Deze audit evenement klassen kunnen veranderd worden door
- het wijzigingen van de <filename>audit_class</filename> en
- <filename>audit_event</filename> configuratie bestanden.</para>
-
- <para>Elke audit klasse in de lijst wordt gecombineerd met een
- voorzetsel welke aangeeft of er succesvolle of mislukte
- operaties hebben plaatsgevonden en of de regel wordt toegevoegd
- of verwijderd van het matchen van de klasse en het type.</para>
-
- <itemizedlist>
- <listitem>
- <para>(none) Audit zowel succesvolle als mislukte informatie
- van het evenement.</para>
- </listitem>
-
- <listitem>
- <para><literal>+</literal> Audit succesvolle evenementen in
- deze klasse.</para>
- </listitem>
-
- <listitem>
- <para><literal>-</literal> Audit mislukte evenementen in deze
- klasse.</para>
- </listitem>
-
- <listitem>
- <para><literal>^</literal> Audit geen enkele succesvolle of
- mislukte evenementen in deze klasse.</para>
- </listitem>
-
- <listitem>
- <para><literal>^+</literal> Audit geen succesvolle evenementen
- in deze klasse.</para>
- </listitem>
-
- <listitem>
- <para><literal>^-</literal> Audit geen mislukte evenementen
- in deze klasse.</para>
- </listitem>
-
- </itemizedlist>
-
- <para>De volgende voorbeeld selectie strings selecteren zowel
- succesvolle als mislukte login/logout evenementen, maar alleen
- succesvolle uitvoer evenementen:</para>
-
- <programlisting>lo,+ex</programlisting>
- </sect2>
-
- <sect2>
- <title>Configuratie bestanden</title>
-
- <para>In de meeste gevallen moet een beheerder twee bestanden
- wijzigingen wanneer het audit systeem wordt geconfigureerd:
- <filename>audit_control</filename> en
- <filename>audit_user</filename>. Het eerste controleert systeem
- brede audit eigenschappen en policies, het tweede kan gebruikt
- worden om diepgaande auditing per gebruiker uit te voeren.</para>
-
- <sect3 xml:id="audit-auditcontrol">
- <title>Het <filename>audit_control</filename> bestand</title>
-
- <para>Het <filename>audit_control</filename> bestand specificeert
- een aantal standaarden van het audit subsysteem. Als de inhoud
- bekeken wordt van dit bestand is het volgende te zien:</para>
-
- <programlisting>dir:/var/audit
-flags:lo
-minfree:20
-naflags:lo
-policy:cnt
-filesz:0</programlisting>
-
- <para>De <option>dir</option> optie wordt gebruikt om
- één of meerdere directories te specificeren die
- gebruikt worden voor de opslag van audit logs. Als er meer
- dan één directory wordt gespecificeerd, worden ze
- op volgorde gebruikt naarmate ze gevuld worden. Het is
- standaard dat audit geconfigureerd wordt dat audit logs
- worden bewaard op een eigen bestandssysteem, om te
- voorkomen dat het audit subsysteem en andere subsystemen met
- elkaar botsen als het bestandssysteem volraakt.</para>
-
- <para>Het <option>flags</option> veld stelt de systeem brede
- standaard preselection maskers voor attributable evenementen
- in. In het voorbeeld boven worden succesvolle en mislukte
- login en logout evenementen geaudit voor alle gebruikers.</para>
-
- <para>De <option>minfree</option> optie definieerd het minimale
- percentage aan vrije ruimte voor dit bestandssysteem waar de
- audit trails worden opgeslagen. Wanneer deze limiet wordt
- overschreven wordt er een waarschuwing gegenereerd. In het
- bovenstaande voorbeeld wordt de minimale vrije ruimte ingesteld
- op 20 procent.</para>
-
- <para>De<option>naflags</option> optie specificeerd audit klasses
- welke geaudit moeten worden voor non-attributed evenementen
- zoals het login proces en voor systeem daemons.</para>
-
- <para>De<option>policy</option> optie specificeert een komma
- gescheiden lijst van policy vlaggen welke diverse aspecten
- van het audit proces beheren. De standaard
- <literal>cnt</literal> vlag geeft aan dat het systeem moet
- blijven draaien ook al treden er audit fouten op (deze vlag
- wordt sterk aangeraden). Een andere veel gebruikte vlag is
- <literal>argv</literal>, wat het mogelijk maakt om command
- line argumenten aan de &man.execve.2; systeem aanroep te
- auditen als onderdeel van het uitvoeren van commando's.</para>
-
- <para>De <option>filesz</option> optie specificeert de maximale
- grootte in bytes hoeveel een audit trail bestand mag groeien
- voordat het automatisch getermineerd en geroteerd wordt. De
- standaard, 0, schakelt automatische log rotatie uit. Als de
- gevraagde bestands grootte niet nul is en onder de minimale
- 512k zit, wordt de optie genegeerd en wordt er een log bericht
- gegenereerd.</para>
- </sect3>
-
- <sect3 xml:id="audit-audituser">
- <title>Het <filename>audit_user</filename> bestand</title>
-
- <para>Het <filename>audit_user</filename> bestand staat de
- beheerder toe om verdere audit benodigdheden te
- specificeren voor gebruikers. Elke regel configureert
- auditing voor een gebruiker via twee velden, het eerste is het
- <literal>alwaysaudit</literal> veld, welke een set van
- evenementen specificeert welke altijd moet worden geaudit voor
- de gebruiker, en de tweede is het <literal>neveraudit</literal>
- veld, welke een set van evenementen specificeerd die nooit
- geaudit moeten worden voor de gebruiker.</para>
-
- <para>Het volgende voorbeeld <filename>audit_user</filename>
- bestand audit login/logout evenementen en succesvolle commando
- uitvoer voor de <systemitem class="username">root</systemitem> gebruiker, en audit
- bestands creatie en succesvolle commando uitvoer voor de
- <systemitem class="username">www</systemitem> gebruiker. Als dit gebruikt wordt
- in combinatie met het voorbeeld
- <filename>audit_control</filename> bestand hierboven, is de
- <systemitem class="username">root</systemitem> regel dubbelop en zullen login/logout
- evenementen ook worden geaudit voor de
- <systemitem class="username">www</systemitem> gebruiker.</para>
-
- <programlisting>root:lo,+ex:no
-www:fc,+ex:no</programlisting>
-
- </sect3>
- </sect2>
- </sect1>
-
- <sect1 xml:id="audit-administration">
- <title>Het audit subsysteem beheren.</title>
-
- <sect2>
- <title>Audit trails inzien</title>
-
- <para>Audit trails worden opgeslagen in het BSM binaire formaat,
- dus ondersteunende programma's moeten worden gebruikt om de
- informatie te wijzigen of converteren naar tekst. Het
- &man.praudit.1; commando converteert trail bestanden naar een
- simpel tekst formaat; het &man.auditreduce.1; commando kan
- gebruikt worden om de audit trail te reduceren voor analyse,
- archivering of voor het uitprinten van de data.
- <command>auditreduce</command> ondersteund een variateit aan
- selectie parameters, zoals evenement type, evenement klasse,
- gebruiker, datum of tijd van het evenement en het bestandspad
- of object dat gebruikt wordt.</para>
-
- <para>Bijvoorbeeld, het <command>praudit</command> programma zal
- een dump maken van de volledige inhoud van een gespecificeerd
- audit log bestand in normale tekst:</para>
-
- <screen>&prompt.root; <userinput>praudit /var/audit/AUDITFILE</userinput></screen>
-
- <para>Waar
- <filename>AUDITFILE</filename> het
- audit bestand is dat ingelezen moet worden.</para>
-
- <para>Audit trails bestaan uit een serie van audit records die
- gevormd worden door tokens, welke <command>praudit</command>
- sequentieel print één per regel. Elke token is van
- een specifiek type, zoals een <literal>header</literal> welke
- de audit record header bevat, of <literal>path</literal> welke
- het bestandspad bevat van een lookup. Het volgende is een
- voorbeeld van een <literal>execve</literal> evenement:</para>
-
- <programlisting>header,133,10,execve(2),0,Mon Sep 25 15:58:03 2006, + 384 msec
-exec arg,finger,doug
-path,/usr/bin/finger
-attribute,555,root,wheel,90,24918,104944
-subject,robert,root,wheel,root,wheel,38439,38032,42086,128.232.9.100
-return,success,0
-trailer,133</programlisting>
-
- <para>Deze audit representeert een succesvolle
- <literal>execve</literal> aanroep, waarbij het commando
- <literal>finger doug</literal> is aangeroepen. Het argument
- token bevat beide commando's gerepresenteerd door de shell aan
- de kernel. Het <literal>path</literal> token bevat het pad
- naar het uitvoerbare bestand zoals opgezocht door de kernel.
- Het <literal>attribute</literal> token beschrijft de binary en
- om precies te zijn bevat het de bestands mode welke gebruikt
- kan worden om te zien of het bestand setuid was. Het
- <literal>subject</literal> token beschrijft het onderwerp
- proces en bevat sequentieel het audit gebruikers ID, effectieve
- gebruikers ID en groep ID, echte gebruikers ID, groep ID,
- proces ID, sessie ID, port ID en login adres. Let op dat het
- audit gebruikers ID en het echte gebruikers ID van elkaar
- verschillen omdat de gebruiker <systemitem class="username">robert</systemitem>
- veranderd is naar de <systemitem class="username">root</systemitem> gebruiker voordat
- het commando werd uitgevoerd, maar welke geaudit wordt als de
- originele geauthoriseerde gebruiker. Als laatste wordt de
- <literal>return</literal> token gebruikt om aan te geven dat er
- een succesvolle uitvoer is geweest en <literal>trailer</literal>
- geeft het einde aan van het record.</para>
-
- <para><command>praudit</command> ook een XML output formaat,
- welke geselecteerd kan worden door gebruik te maken van het
- <option>x</option> argument.</para>
- </sect2>
-
- <sect2>
- <title>Het reduceren van audit trails</title>
-
- <para>Omdat audit logs erg groot kunnen worden, zal de beheerder
- waarschijnlijk een subset van records willen selecteren om te
- gebruiken, zoals records die gekoppeld zijn aan een specifieke
- gebruiker:</para>
-
- <screen>&prompt.root; <userinput>auditreduce -u trhodes /var/audit/AUDITFILE | praudit</userinput></screen>
-
- <para>Dit selecteert alle audit records die geproduceert zijn
- voor de gebruiker <systemitem class="username">trhodes</systemitem> die opgeslagen
- is in het <filename>AUDITFILE</filename>
- bestand.</para>
- </sect2>
-
- <sect2>
- <title>Delegeren van audit onderzoek rechten</title>
-
- <para>Leden van de <systemitem class="groupname">audit</systemitem> groep krijgen
- permissie om de audit trails te lezen in
- <filename>/var/audit</filename>; standaard is deze
- groep leeg en kan alleen de <systemitem class="username">root</systemitem> gebruiker deze
- audit trails lezen. Gebruikers kunnen toegevoegd worden aan de
- <systemitem class="groupname">audit</systemitem> groep zodat onderzoek rechten kunnen
- worden gedelegeerd aan de geruiker. Omdat de mogelijkheid van
- het inzien van audit log inhoud significante inzicht kan geven
- in het gedrag van gebruikers en processen, wordt het aangeraden
- dat de delagatie van onderzoek rechten eerst goed overdacht
- wordt.</para>
- </sect2>
-
- <sect2>
- <title>Live monitoren door gebruik van audit pipes</title>
-
- <para>Audit pipes zijn gecloonde pseudo-devices in het device
- bestands systeem, welke applicaties toestaat om een tap te
- plaatsen in de live audit record stream. Dit is primair
- interessant voor schrijvers van intrusion detection en systeem
- monitoring applicaties. Echter, voor een beheerder is het
- audit pipe device een makkelijke manier om live monitoring toe
- te staan zonder dat er problemen kunnen ontstaan met het
- eigenaarschap van het audit trail bestand, of dat een log
- rotatie de evenementen stroom in de weg zit. Om de live audit
- evenementen stroom te kunnen inzien is het volgende commando
- benodigd:</para>
-
- <screen>&prompt.root; <userinput>praudit /dev/auditpipe</userinput></screen>
-
- <para>Standaard zijn de audit pipe device nodes alleen toegankelijk
- voor de <systemitem class="username">root</systemitem> gebruiker. Om deze
- toegankelijk te maken voor leden van de
- <systemitem class="groupname">audit</systemitem> groep, moet een
- <literal>devfs</literal> regel toegevoegd worden aan het
- <filename>devfs.rules</filename> bestand:</para>
-
- <programlisting>add path 'auditpipe*' mode 0440 group audit</programlisting>
-
- <para>Zie &man.devfs.rules.5; voor meer informatie over het
- configureren van het devfs bestands systeem.</para>
-
- <warning>
- <para>Het is makkelijk om audit evenement terugkoppeling
- cyclussen te creëeren, waarbij het tonen van elk audit
- evenement resulteert in het genereren van nog meer audit
- evenementen. Bijvoorbeeld, als alle netwerk I/O wordt geaudit
- en &man.praudit.1; wordt gestart vanuit een SSH sessie, wordt
- er een grote continue stroom aan audit evenementen gegenereert
- doordat elk getoond evenement een nieuw evenement genereert.
- Het is verstandig om <command>praudit</command> te draaien op
- een audit pipe device voor sessies zonder diepgaande I/O
- auditing om te voorkomen dat dit gebeurd.</para>
- </warning>
- </sect2>
-
- <sect2>
- <title>Het roteren van audit trail bestanden</title>
-
- <para>Audit trails worden alleen beschreven door de kernel en
- alleen beheerd worden door de audit daemon,
- <application>auditd</application>. Beheerders mogen geen
- gebruik maken van &man.newsyslog.conf.5; of soortgelijke
- programma's om de audit files te roteren. In plaats daarvan kan
- het <command>audit</command> management programma gebruikt worden
- om auditing te stoppen, het audit systeem te herconfigureren en
- log rotatie uit te voeren. Het volgende commando zorgt ervoor
- dat de audit daemon een nieuwe audit log maakt, en vervolgens
- de kernel een signaal stuurt om het nieuwe logbestand te gaan
- gebruiken. Het oude logbestand wordt getermineerd en hernoemd,
- waarna het bestand gemanipuleerd kan worden door de beheerder.</para>
-
- <screen>&prompt.root; <userinput>audit -n</userinput></screen>
-
- <warning>
- <para>Als de <application>auditd</application> daemon op dit
- moment niet actief is, zal het commando falen en
- zal er een error bericht worden geproduceerd.</para>
- </warning>
-
- <para>Als de volgende regel wordt toegevoegd aan het
- <filename>/etc/crontab</filename> bestand, zal er
- elke twaalf uur een rotatie plaatsvinden door middel
- van &man.cron.8;:</para>
-
- <programlisting>0 */12 * * * root /usr/sbin/audit -n</programlisting>
-
- <para>Deze wijziging wordt van kracht op het moment dat het
- nieuwe <filename>/etc/crontab</filename> bestand wordt
- opgeslagen.</para>
-
- <para>Automatische rotatie van het audit trail bestand gebaseerd
- op de bestand grootte is mogelijk via de <option>filesz</option>
- optie in &man.audit.control.5; en wordt beschreven in de
- configuratie bestanden sectie van dit hoofdstuk.</para>
- </sect2>
-
- <sect2>
- <title>Audit trails comprimeren</title>
-
- <para>Omdat audit trail bestanden erg groot kunnen worden, is het
- meestal gewenst om de trails te comprimeren of op een andere
- manier te archiveren zodra ze afgesloten zijn door de audit
- daemon. Het <filename>audit_warn</filename> script kan gebruikt
- worden om bewerkte operaties te doen voor een variateit aan
- audit gerelateerde evenementen inclusief een nette terminatie
- van audit trails wanneer deze geroteerd worden. Bijvoorbeeld
- het volgende kan worden toegevoegd aan het
- <filename>audit_warn</filename> script, dat de audit trails
- comprimeert zodra ze afgesloten worden:</para>
-
- <programlisting>#
-# Compress audit trail files on close.
-#
-if [ "$1" = closefile ]; then
- gzip -9 $2
-fi</programlisting>
-
- <para>Andere archiverings activiteiten kunnen zijn het kopieren van
- trail bestanden naar een gecentraliseerde server, het verwijderen
- van oude trail bestanden of het reduceren van de audit trail om
- onnodige records te verwijderen. Het script zal alleen draaien
- als audit trail bestanden netjes worden afgesloten, wat betekend
- dat het script niet uitgevoerd wordt op trails die niet netjes
- afgesloten zijn, waardoor bestanden corrupt kunnen raken.</para>
- </sect2>
- </sect1>
-</chapter>
generated by cgit v1.2.3 (git 2.25.1) at 2024-04-23 15:36:14 +0000