Protokollierbare Ereignisse

Zugriffskontrolle

Bei den folgenden Ereignissen werden Aktionen wie Dateizugriff, -kontrolle und -erstellung aufgezeichnet. Diese Ereignisse treten während des normalen Systembetriebs auf. Sollten sie in ungewöhnlichen Mustern auftreten, könnte eine Verletzung der Systemsicherheit vorliegen. Beispielsweise könnten mehrere Änderungen der Zugriffsberechtigungen auf dasselbe Objekt darauf hindeuten, dass zwei Prozesse sich basierend auf der Zugänglichkeit einer Datei gegenseitig Signale senden.

Beachten Sie, dass die Systemsicherheit größtenteils vom ordnungsgemäßen Einsatz der Zugriffskontrollfunktionen abhängt. Wenn die Zugriffsberechtigungen nicht richtig eingestellt sind, ist es möglich, dass Benutzer auf vertrauliche Daten zugreifen können. Es ist daher ratsam, alle Ereignisse in dieser Gruppe zu protokollieren, um sicherzustellen, dass die Zugriffsberechtigungen immer richtig eingestellt sind.

Erweiterte Zugriffskontrolle (DAC)

Bei den Ereignissen in der folgenden Tabelle werden Änderungen in den DAC-Berechtigungen für Objekte aufgezeichnet (Dateiberechtigungen). Die Zugriffsberechtigungen werden vom Besitzer des Objekts eingestellt. Die Ereignisse file_acl und ipc_acl werden nur auf Systemen protokolliert, auf denen die Zugriffskontrollisten (ACL)-Dienstprogramme installiert sind.

Erweiterte Zugriffskontrolle - Ereignisse

Ereignis Beschreibung Manualseite Objektrevision

dac_mode Objektmodus ändern chmod(2), fchmod(2) J

dac_own_grp Objektbesitzer oder -gruppe ändern chown(2), fchown(2), lchown(2), chgrp(1), chown(1) J

fd_acl Dateizugriffskontrollisten über Dateideskriptor ändern facl(2) J

file_acl Dateizugriffskontrolllisten über Pfadname ändern acl(2) J

ipc_acl IPC-Zugriffskontrolllisten ändern aclipc(2) J

Ereignis	Beschreibung	Manualseite	Objektrevision
dac_mode	Objektmodus ändern	chmod(2), fchmod(2)	J
dac_own_grp	Objektbesitzer oder -gruppe ändern	chown(2), fchown(2), lchown(2), chgrp(1), chown(1)	J
fd_acl	Dateizugriffskontrollisten über Dateideskriptor ändern	facl(2)	J
file_acl	Dateizugriffskontrolllisten über Pfadname ändern	acl(2)	J
ipc_acl	IPC-Zugriffskontrolllisten ändern	aclipc(2)	J

Verzeichnis- und Dateizugriffsereignisse

Diese Ereignisse sind Teil des normalen Systembetriebs. Sollten sie jedoch in ungewöhnlichen Mustern auftreten, könnte ein Problem vorliegen. Beispielsweise können zwei Prozesse sich basierend auf der Zugänglichkeit einer Datei gegenseitig Signale zusenden. Diese Signale werden verwendet, um die Daten zwischen den Prozessen weiterzugeben, die Zugriffkontrollberechtigungen verletzen. In einem solchen Fall würde für einen Prozess eine ungewöhnlich große Anzahl des Ereignisses access für dasselbe Projekt erscheinen, und das Ergebnis würde zwischen Erfolg und Fehlschlag wechseln.

Verzeichnis- und Dateizugriffsereignisse

Ereignis Beschreibung Manualseite Objektrevision

access Zugänglichkeit einer Datei bestimmen access(2) J

chg_times Dateizugriffs- und Änderungszeiten ändern utime(2) J

open_rd Objekt zum Lesen öffnen open(2) J

open_wr Objekt zum Schreiben öffnen open(2) J

recvfd Datei-Deskriptor laden entf. J

status Dateistatus laden stat(2), fstat(2) J

Ereignis	Beschreibung	Manualseite	Objektrevision
access	Zugänglichkeit einer Datei bestimmen	access(2)	J
chg_times	Dateizugriffs- und Änderungszeiten ändern	utime(2)	J
open_rd	Objekt zum Lesen öffnen	open(2)	J
open_wr	Objekt zum Schreiben öffnen	open(2)	J
recvfd	Datei-Deskriptor laden	entf.	J
status	Dateistatus laden	stat(2), fstat(2)	J

Verzeichnis- und Dateierstellung

Diese Ereignisse sind Teil des normalen Systembetriebs. Sollten sie jedoch in ungewöhnlichen Mustern auftreten, könnte ein Problem vorliegen.

Verzeichnis- und Dateierstellung

Ereignis Beschreibung Manualseite Objektrevision

create neues Dateisystemobjekt erstellen creat(2) J

link Verknüpfung zu Objekt erstellen link(2) J

mk_dir Verzeichnis erstellen mkdir(2) J

rm_dir Verzeichnis entfernen rmdir(2) J

unlink Objektverknüpfung aufheben unlink(2) J

Ereignis	Beschreibung	Manualseite	Objektrevision
create	neues Dateisystemobjekt erstellen	creat(2)	J
link	Verknüpfung zu Objekt erstellen	link(2)	J
mk_dir	Verzeichnis erstellen	mkdir(2)	J
rm_dir	Verzeichnis entfernen	rmdir(2)	J
unlink	Objektverknüpfung aufheben	unlink(2)	J

Symbolische Verknüpfungen

Bei den folgenden Ereignissen werden Aktionen aufgezeichnet, die mit symbolischen Verknüpfungen verknüpft sind. Symbolische Verknüpfungen sind I-Nodes, die den Pfadnamen eines anderen Dateisystemobjekts enthalten. Verweise auf die symbolische Verknüpfung verweisen somit auch auf das entsprechende Objekt. Mit Hilfe von symbolischen Verknüpfungen können Sie Verbindungen zwischen Objekten herstellen, die sich in verschiedenen Dateisystemen befinden.

Symbolische Verknüpfungen

Ereignis Beschreibung Manualseite Objektrevision

sym_create Symbolische Verknüpfung erstellen symlink(2) J

sym_status Status der symbolischen Verknüpfung laden lstat(2) J

Ereignis	Beschreibung	Manualseite	Objektrevision
sym_create	Symbolische Verknüpfung erstellen	symlink(2)	J
sym_status	Status der symbolischen Verknüpfung laden	lstat(2)	J

Pfadänderungen

Bei den folgenden Ereignissen werden Aktionen aufgezeichnet, die mit Pfadänderungen verknüpft sind.

Pfadänderungen

Ereignis Beschreibung Manualseite Objektrevision

chg_dir Arbeitsverzeichnis ändern chdir(2), fchdir(2) J

chg_root Root-Verzeichnis ändern chroot(2) J

chg_nm Dateiname ändern rename(2) J

Ereignis	Beschreibung	Manualseite	Objektrevision
chg_dir	Arbeitsverzeichnis ändern	chdir(2), fchdir(2)	J
chg_root	Root-Verzeichnis ändern	chroot(2)	J
chg_nm	Dateiname ändern	rename(2)	J