Das FreeBSD-Betriebssystem unterstützt ein feingranuliertes Sicherheits-Auditing. Ereignis-Auditing erlaubt die zuverlässige, feingranulierte und konfigurierbare Aufzeichnung einer Vielzahl von sicherheitsrelevanten Systemereignissen einschliesslich Benutzereingaben, Konfigurationsänderungen sowie Datei- und Netzwerkzugriffen. Diese Log-Datensätze können unschätzbar wertvoll sein für direkte Systemüberwachung, Einbruchserkennung und Post-Mortem-Analyse. FreeBSD implementiert Sun™s öffentlich zugängliche BSM API und Dateiformat. Die FreeBSD-Implementierung kann mit den Audit-Implementierungen von Sun™ Solaris™ und Apple® Mac OS® X zusammenarbeiten.
Dieses Kapitel konzentriert sich auf die Installation und Konfiguration des Ereignis-Auditings. Es erklärt Audit-Richtlinien und stellt ein Beispiel einer Audit-Konfiguration vor.
Nach dem Lesen dieses Kapitels werden Sie Folgendes wissen:
Was Ereignis-Auditing ist und wie es arbeitet.
Wie man Ereignis-Auditing in FreeBSD für Benutzer und Prozesse konfiguriert.
Wie man den Audit-Pfad mittels Audit-Reduktion und Revisionswerkzeugen überprüft.
Vor dem Lesen dieses Kapitels sollten Sie:
Sowohl UNIX® als auch FreeBSD-Basismechanismen beherrschen (Kapitel 4, Grundlagen des UNIX Betriebssystems).
Mit den grundlegenden Mechanismen der Kernel-Konfiguration und -Kompilierung vertraut sein (Kapitel 9, Konfiguration des FreeBSD-Kernels).
Mit den Maßnahmen zur Sicherung von FreeBSD vertraut sein (Kapitel 15, Sicherheit).
Die Audit-Funktionalität in FreeBSD besitzt die Einschränkungen, dass zur Zeit nicht alle sicherheitsrelevanten System-Ereignisse auditierbar sind und dass einige Anmelde-Mechanismen, wie z.B. X11-basierte Bildschirm-Manager und Daemonen von Drittanbietern, das Auditing für Benutzeranmeldungen nicht korrekt konfigurieren.
Das Sicherheits-Auditing ist in der Lage, sehr
detaillierte Log-Dateien von Systemaktivitäten zu
erzeugen. Auf einem ausgelasteten System kann die Pfad-Datei
sehr groß werden, wenn sie für hohe Auflösung
konfiguriert ist, und im Extremfall pro Woche um mehrere
Gigabyte anwachsen. Administratoren sollten daher den
benötigten Plattenplatz in Verbindung mit umfangreichen
Audit-Konfigurationen berücksichtigen. So kann es
wünschenswert sein, ein eigenes
Dateisystem für /var/audit
einzusetzen, damit andere Dateisysteme nicht betoffen sind,
wenn das Dateisystem des Audit voll läuft.
Wenn Sie Fragen zu FreeBSD haben, schicken Sie eine E-Mail an
<de-bsd-questions@de.FreeBSD.org>.
Wenn Sie Fragen zu dieser Dokumentation haben, schicken Sie eine E-Mail an
<de-bsd-translators@de.FreeBSD.org>.