|
|
Bei den folgenden Ereignissen werden Aktionen wie Dateizugriff, -kontrolle und -erstellung aufgezeichnet. Diese Ereignisse treten während des normalen Systembetriebs auf. Sollten sie in ungewöhnlichen Mustern auftreten, könnte eine Verletzung der Systemsicherheit vorliegen. Beispielsweise könnten mehrere Änderungen der Zugriffsberechtigungen auf dasselbe Objekt darauf hindeuten, dass zwei Prozesse sich basierend auf der Zugänglichkeit einer Datei gegenseitig Signale senden.
Beachten Sie, dass die Systemsicherheit größtenteils vom ordnungsgemäßen Einsatz der Zugriffskontrollfunktionen abhängt. Wenn die Zugriffsberechtigungen nicht richtig eingestellt sind, ist es möglich, dass Benutzer auf vertrauliche Daten zugreifen können. Es ist daher ratsam, alle Ereignisse in dieser Gruppe zu protokollieren, um sicherzustellen, dass die Zugriffsberechtigungen immer richtig eingestellt sind.
Bei den Ereignissen in der folgenden Tabelle werden Änderungen in den DAC-Berechtigungen für Objekte aufgezeichnet (Dateiberechtigungen). Die Zugriffsberechtigungen werden vom Besitzer des Objekts eingestellt. Die Ereignisse file_acl und ipc_acl werden nur auf Systemen protokolliert, auf denen die Zugriffskontrollisten (ACL)-Dienstprogramme installiert sind.
Erweiterte Zugriffskontrolle - Ereignisse
Ereignis | Beschreibung | Manualseite | Objektrevision |
---|---|---|---|
dac_mode | Objektmodus ändern | chmod(2), fchmod(2) | J |
dac_own_grp | Objektbesitzer oder -gruppe ändern | chown(2), fchown(2), lchown(2), chgrp(1), chown(1) | J |
fd_acl | Dateizugriffskontrollisten über Dateideskriptor ändern | facl(2) | J |
file_acl | Dateizugriffskontrolllisten über Pfadname ändern | acl(2) | J |
ipc_acl | IPC-Zugriffskontrolllisten ändern | aclipc(2) | J |
Diese Ereignisse sind Teil des normalen Systembetriebs. Sollten sie jedoch in ungewöhnlichen Mustern auftreten, könnte ein Problem vorliegen. Beispielsweise können zwei Prozesse sich basierend auf der Zugänglichkeit einer Datei gegenseitig Signale zusenden. Diese Signale werden verwendet, um die Daten zwischen den Prozessen weiterzugeben, die Zugriffkontrollberechtigungen verletzen. In einem solchen Fall würde für einen Prozess eine ungewöhnlich große Anzahl des Ereignisses access für dasselbe Projekt erscheinen, und das Ergebnis würde zwischen Erfolg und Fehlschlag wechseln.
Verzeichnis- und Dateizugriffsereignisse
Ereignis | Beschreibung | Manualseite | Objektrevision |
---|---|---|---|
access | Zugänglichkeit einer Datei bestimmen | access(2) | J |
chg_times | Dateizugriffs- und Änderungszeiten ändern | utime(2) | J |
open_rd | Objekt zum Lesen öffnen | open(2) | J |
open_wr | Objekt zum Schreiben öffnen | open(2) | J |
recvfd | Datei-Deskriptor laden | entf. | J |
status | Dateistatus laden | stat(2), fstat(2) | J |
Diese Ereignisse sind Teil des normalen Systembetriebs. Sollten sie jedoch in ungewöhnlichen Mustern auftreten, könnte ein Problem vorliegen.
Verzeichnis- und Dateierstellung
Ereignis | Beschreibung | Manualseite | Objektrevision |
---|---|---|---|
create | neues Dateisystemobjekt erstellen | creat(2) | J |
link | Verknüpfung zu Objekt erstellen | link(2) | J |
mk_dir | Verzeichnis erstellen | mkdir(2) | J |
rm_dir | Verzeichnis entfernen | rmdir(2) | J |
unlink | Objektverknüpfung aufheben | unlink(2) | J |
Bei den folgenden Ereignissen werden Aktionen aufgezeichnet, die mit symbolischen Verknüpfungen verknüpft sind. Symbolische Verknüpfungen sind I-Nodes, die den Pfadnamen eines anderen Dateisystemobjekts enthalten. Verweise auf die symbolische Verknüpfung verweisen somit auch auf das entsprechende Objekt. Mit Hilfe von symbolischen Verknüpfungen können Sie Verbindungen zwischen Objekten herstellen, die sich in verschiedenen Dateisystemen befinden.
Symbolische Verknüpfungen
Ereignis | Beschreibung | Manualseite | Objektrevision |
---|---|---|---|
sym_create | Symbolische Verknüpfung erstellen | symlink(2) | J |
sym_status | Status der symbolischen Verknüpfung laden | lstat(2) | J |
Bei den folgenden Ereignissen werden Aktionen aufgezeichnet, die mit Pfadänderungen verknüpft sind.
Pfadänderungen
Ereignis | Beschreibung | Manualseite | Objektrevision |
---|---|---|---|
chg_dir | Arbeitsverzeichnis ändern | chdir(2), fchdir(2) | J |
chg_root | Root-Verzeichnis ändern | chroot(2) | J |
chg_nm | Dateiname ändern | rename(2) | J |