жит LUID нарЯду с  эффективным  и  реальным  идентификаторами
пользователЯ и группы длЯ процесса.  ‚ итоге оказываетсЯ возмож-
ным строгий учет действий пользователей.
     Џодсистема контролЯ  управлЯетсЯ  Ђдминистратором контролЯ.
Ѓудучи Ђдминистратором контролЯ,  вы обладаете полным  контролем
над событиЯми, выбранными длЯ генерации контрольных записей, над
значениЯми параметров подсистемы контролЯ и над последующей  ре-
дукцией и анализом данных контролЯ.
.
                            - 5-15 -

     Љомпоненты подсистемы контролЯ

     Џодсистема контролЯ состоит из четырех главных компонентов:
     * Њеханизм контролЯ Ядра
     * „райвер устройства контролЯ (/dev/audit)
     * „емон уплотнениЯ данных контролЯ - auditd(ADM)
     * €нтерфейс контролЯ sysadmsh
     ‘уществует несколько  надежных  системных утилит,  которые,
хотЯ на самом деле и не ЯвлЯютсЯ  собственно  частью  подсистемы
контролЯ, отвечают  за занесение контрольных записей в контроль-
ный журнал (например, login(M)).

     Њеханизм контролЯ Ядра

     Њеханизм контролЯ Ядра ЯвлЯетсЯ  центральным  в  подсистеме
контролЯ. ќтот механизм генерирует контрольные записи, исходЯ из
активности пользовательских процессов, с помощью системных вызо-
вов Ядра.  Љаждый системный вызов Ядра содержит строку в таблице
подсистемы, где указано,  свЯзан ли этот вызов с вопросами  сек-
ретности, и если это так, то какому типу событиЯ он соответству-
ет. Љроме того,  используетсЯ таблица кодов ошибок,  позволЯющаЯ
классифицировать системные вызовы на конкретные событиЯ, свЯзан-
ные с секретностью. Њеханизм контролЯ Ядра выдает внутренний вы-
зов в драйвер устройства длЯ занесениЯ записи в контрольный жур-
нал.
     Ќапример, системный вызов open(S)  классифицируетсЯ как со-
бытие ‘делать объект доступным.  …сли пользователь blf выполнЯет
open(S) длЯ /unix и делает это успешно, генерируетсЯ контрольнаЯ
запись об этом событии. Ћднако если системный вызов заканчивает-
сЯ неудачно из-за того, что blf запросил в open(S) доступ по за-
писи, не  имеЯ  разрешениЯ  на запись в этот файл,  это действие
классифицируетсЯ как событие Ћтказ  дискреционного  доступа  длЯ
blf и объекта /unix.  ‘ледовательно, системный вызов можно отоб-
разить в несколько типов событий,  в зависимости от объекта,   к
которому осуществлЯетсЯ доступ, и/или результата вызова. Џоэтому
возникает возможность выборочного контролЯ системных вызовов,  в
зависимости от типов событий, которые вы сделаете доступными.
     Ќекоторые системные вызовы не относЯтсЯ к секретности. Ќап-
ример, getpid(S) получает идентификатор процесса и не определЯет
событие, свЯзанное с секретностью. ’аким образом, этот системный
вызов не подлежит контролю.

     „райвер устройства контролЯ

     „райвер устройства контролЯ  выполнЯет  следующие  функции:
прием контрольных записей от механизма контролЯ Ядра и от надеж-
ных утилит; создание и запись промежуточных файлов  контрольного
журнала; предоставление данных контрольного журнала демону конт-
ролЯ длЯ уплотнениЯ; обеспечение выборочной генерации  контроль-
ных записей на основе типов событий, идентификаторов пользовате-
лей и идентификаторов групп.
.
                            - 5-16 -

     „райвер устройства   обеспечивает    интерфейсы    open(S),
close(S), read(S),  write(S) и ioctl(S), как и прочие символьные
устройства. Ћднако устройство контролЯ может быть открыто только
процессами, обладающими  авторизациЯми  Ядра  configaudit  и/или
writeaudit. ќто ограничивает доступ к устройству контролЯ,  раз-
решаЯ его только длЯ надежных утилит, таких как интерфейсы демо-
на контролЯ и Ђдминистратора контролЯ. ‚ устройство контролЯ мо-
гут писать несколько процессов одновременно. ќто устройство про-
изводит объединение записей  в  контрольный  журнал.   —итать  с
устройства может только один процесс - демон контролЯ.
     „райвер устройства контролЯ ведет контрольный журнал в виде
набора файлов сбора данных контролЯ.  Љаждый раз, когда вы вклю-
чаете контроль, начинаетсЯ новаЯ сессиЯ контролЯ. Џри ее запуске
подсистема создает файл сбора данных,  в который заносЯтсЯ конт-
рольные записи.  Љогда файл сбора данных достигает определенного
размера, установленного  администратором, подсистема создает но-
вый файл  сбора  данных и начинает писать в него.  Џоэтому конт-
рольный журнал можно рассматривать как постоЯнно увеличивающийсЯ
последовательный файл,   даже если используетсЯ несколько файлов
сбора данных.  €менно в таком виде контрольный журнал рассматри-
ваетсЯ демоном контролЯ, потому что он читает с устройства и по-
лучает записи из контрольного журнала. Џри достижении конца фай-
ла сбора  данных подсистема выполнЯет соответствующее переключе-
ние на новый файл сбора данных. ‚се это прозрачно длЯ демона.

     „емон контролЯ

     „емон контролЯ auditd(ADM) - это надежнаЯ утилита, выполнЯ-
ющаЯсЯ как фоновый демон-процесс при включении  контролЯ.   ќтот
демон - единственный,  кто читает с устройства контролЯ, которое
в свою очередь представлЯет демону блоки записей из файлов сбора
данных контролЯ.  „емону безразлично,   что  контрольный  журнал
расслаиваетсЯ на множество файлов сбора данных. „райвер устройс-
тва контролЯ удовлетворЯет запросы на чтение, поступающие от де-
мона, и обрабатывает переключение и удаление файлов сбора данных
по мере надобности.
     ѓлавное предназначение демона состоит в предоставлении  ме-
ханизма уплотнениЯ данных и регистрации длЯ сессии контролЯ. „е-
мон также выполнЯет функцию поддержки защищенных подсистем, поз-
волЯЯ им  писать в подсистему контрольные записи.  ‚ зависимости
от выбранного вами критериЯ формированиЯ контрольных записей,  в
системе может   быть  сгенерировано  огромное  количество данных
контролЯ. ‚ типичном случае однопользовательской системы генера-
циЯ 200 килобайтов данных контролЯ за час не будет выглЯдеть не-
обычно. Џоэтому демон предоставлЯет механизм уплотнениЯ длЯ сжа-
тиЯ данных контролЯ в упакованный формат записи,  котораЯ сохра-
нЯетсЯ в файле уплотнениЯ контролЯ.
     ‚торой функцией  демона  ЯвлЯетсЯ  обеспечение  журнального
файла, описывающего текущую сессию контролЯ. †урнальный файл со-
держит информацию о количестве контрольных записей,  доступных в
уплотненных файлах вывода в сессии;  времЯ  запуска  и  останова
сессии; а также другие индикаторы состоЯниЯ сессии контролЯ. Љак
только драйвер  устройства контролЯ переключает файлы сбора дан-
.
                            - 5-17 -

ных при достижении ими размеров,  установленных администратором,
демон может создать несколько уплотненных файлов,  чтобы не  до-
пустить увеличениЯ одного файла до размеров,  недоступных управ-
лению. ‚ы  также это контролируете. Љроме того, уплотненные фай-
лы, записанные демоном, можно разместить в любом каталоге, опре-
деленном администратором.  Џо этим причинам  ведетсЯ  журнальный
файл - чтобы иметь журнал с уплотненными файлами,  которые можно
использовать длЯ последующей редукции данных.
     ’ретьЯ функциЯ  демона  контролЯ - выполнЯть роль программы
интерфейса с драйвером устройства контролЯ длЯ  занесениЯ  конт-
рольных записей из защищенных подсистем,  не имеющих авторизации
writeaudit. ’ак как эти подсистемы не могут осуществлЯть  доступ
непосредственно к драйверу устройства контролЯ, но могут образо-
вать интерфейс с демоном с соблюдением секретности, то демон вы-
полнЯет занесение контрольной записи прикладной программы в под-
систему.

     „оступ к контролю через sysadmsh

     sysadmsh предоставлЯет  простые возможности длЯ установки и
сопровождениЯ подсистемы контролЯ.  ќто позволЯет администратору
выполнЯть установку  и  инициализацию,  модифицировать параметры
подсистемы, сопровождать  подсистему  (резервное   дублирование,
восстановление и т.д.) и выполнЯть редукцию как общих, так и вы-
борочных данных контролЯ.

     ‘редство редукции/анализа данных

     sysadmsh также включает  в  себЯ  утилиту  редукции/анализа
данных, котораЯ облегчает исследование контрольных журналов пре-
дыдущих сессий контролЯ или текущей сессии контролЯ.   €спользуЯ
журнальный файл,   созданный демоном контролЯ,  утилита редукции
может идентифицировать все уплотненные файлы,  нужные длЯ редук-
ции сессии контролЯ. ’ак как уплотненные файлы имеют сжатый фор-
мат, программа редукции содержит подпрограммы,  необходимые  длЯ
развертываниЯ файлов.
     „лЯ обеспечениЯ эффективного анализа данных контролЯ утили-
та редукции  позволЯет  задавать  длЯ выборочной редукции данных
определенные типы событий, идентификаторы пользователей, иденти-
фикаторы групп  и имена объектов.  Ѓолее того,  вы можете задать
интервал времени,  в течение которого должен производитьсЯ поиск
записей, удовлетворЯющих  выбранному  критерию.  …сли какаЯ-либо
запись не попадает в этот интервал,  она отбрасываетсЯ в  данной
редукции.
     Ќапример, вы можете выполнЯть редукцию данных,  выбираЯ со-
бытие Ћтказа DAC длЯ пользователЯ с идентификатором blf, ведуще-
го поиск объекта /unix.  Ѓудут распечатаны только те записи, ко-
торые отражают попытки доступа blf к /unix,   отвергнутые  ввиду
отсутствиЯ нужных  разрешений.  ќто образует мощный механизм длЯ
идентификации событий секретности, представлЯющих актуальный ин-
терес, без анализа всего контрольного журнала.
.
                            - 5-18 -

     ЊетодологиЯ контролЯ

     ‚ данном разделе описываетсЯ,  как функционирует подсистема
контролЯ, какие критерии используютсЯ при сборе данных,   и  как
требованиЯ контролЯ влиЯют на производительность системы.

     Ђвторизации контролЯ

     ‘ подсистемой    контролЯ    свЯзаны    три    авторизации:
configaudit, writeaudit и suspendaudit.
     ЂвторизациЯ configaudit  позволЯет  устанавливать параметры
контролЯ длЯ всех пользователей системы.
     ЂвторизациЯ writeaudit позволЯет регистрировать специфичес-
кую информацию в контрольном журнале.
     ЂвторизациЯ suspendaudit отключает всЯкий контроль.

     €сточники контрольных записей

     Љонтрольный журнал  содержит содержит информацию о событиЯх
в системе,  свЯзанных с секретностью. ќффективный контроль охва-
тывает не  только  запросы  на системные вызовы,  поступающие от
пользовательских процессов,  но и определенные событиЯ,   такие,
как вход в систему,  выход из системы, неудачные попытки регист-
рации. ќти событиЯ критичны длЯ определениЯ того,  кто  выполнЯл
доступ к системе, в какие моменты времени, с какого терминала, и
какие именно действиЯ были выполнены.  Ќеудачные попытки регист-
рации невозможно  контролировать  на уровне Ядра,  поскольку ему
неизвестно, что конкретно делает прикладнаЯ программа. ’аким об-
разом, следует  дать возможность генерировать контрольные записи
и некоторым утилитам, влиЯющих на секретность, например login.
     Љонтрольные записи  генерируютсЯ из трех источников (описы-
ваемых в последующих разделах):
     * механизм контролЯ Ядра
     * надежные прикладные процессы
     * авторизованные подсистемы

     Њеханизм контролЯ Ядра

     ‡начительнаЯ часть контрольных записей,  хранЯщихсЯ в конт-
рольном журнале,  генерируетсЯ механизмом контролЯ  Ядра.   ќтот
раздел подсистемы  контролЯ генерирует записи в ответ на систем-
ные вызовы пользовательских процессов, отображаемые  в  событиЯ,
свЯзанные с секретностью.  Ќекоторые системные вызовы,  например
open(S), отображаютсЯ в несколько событий секретности, в зависи-
мости от  аргументов  пользователЯ  и  от состоЯниЯ открываемого
файла. …сли open(S) вызываетсЯ с флагом O_CREAT, файл создаетсЯ,
если он  не  существовал.  …сли задан флаг O_TRUNC,  выполнЯетсЯ
.
                            - 5-19 -

усечение файла до нулевой длины, если он существует. ќто показы-
вает, как  вызов open(S)  может отобразитьсЯ в одно из трех раз-
личных событий:  ‘делать объект доступным,  ‘оздание объекта или
ЊодификациЯ объекта.
     ‚ажную роль в определении событиЯ играют также коды ошибок.
Ћшибки при выполнении системных вызовов, указывающие, что доступ
или разрешение отвергнуты,  равно как и проблемы потреблениЯ ре-
сурсов, отображаютсЯ в конкретные типы событий. Њеханизм контро-
лЯ Ядра в конце системного вызова определЯет,  какому классу со-
бытий принадлежит вызов,  и задали ли вы контроль этого событиЯ.
Ѓолее того, данный механизм может также применить дополнительные
критерии выбора,  например, идентификатор пользователЯ или иден-
тификатор группы. ’аким образом можно ограничить генерацию конт-
рольных записей,  задав ее только длЯ избранной группы пользова-
телей.

     Ќадежные прикладные программы

     ЌадежнаЯ вычислительнаЯ база (TCB)  содержит несколько  на-
дежных прикладных программ, необходимых длЯ обеспечениЯ безопас-
ной среды.  ‘реди них - login, su и различные команды подсистемы
контролЯ. „лЯ  сокращениЯ  объема данных контролЯ,  записанных в
контрольный журнал, и длЯ повышениЯ значимости информации в жур-
нале этим  надежным прикладным программам разрешено писать прЯмо
на устройство контролЯ. ’ем самым, например, login сможет занес-
ти контрольную  запись о регистрации в системе прЯмо в контроль-
ный журнал,  вместо того,  чтобы представлЯть эту регистрацию  в
виде набора  системных  вызовов,   требуемых длЯ завершениЯ этой
процедуры.
     Ќо недостаточно  просто позволить надежным прикладным прог-
раммам писать на устройство контролЯ.  ‚ механизме контролЯ Ядра
должен быть также предусмотрен способ подавлениЯ генерации конт-
рольных записей о системных вызовах,  чтобы избежать загроможде-
ниЯ контрольного  журнала.   „лЯ  этого  существует  авторизациЯ
suspendaudit, о которой уже шла речь.  Ќадежные прикладные прог-
раммы выполнЯютсЯ с этой авторизацией,  что позволЯет приостано-
вить контроль системных вызовов Ядра длЯ данного процесса и раз-
решить ему открывать устройство контролЯ и писать в него. ’олько
нескольким надежным прикладным программам разрешено это  делать.
Ћбычный пользовательский  процесс никогда не выполнЯетсЯ с авто-
ризацией suspendaudit.  Њеханизмом авторизации управлЯет  login,
используЯ ограниченные системные вызовы; этот механизм использу-
ет элементы базы данных защищенных паролей.

     Ђвторизованные подсистемы

     ’ретий способ генерации контрольных записей использует  ав-
торизованные подсистемы,  такие,  как lp,  cron, terminal и mem.
€ногда подсистема наталкиваетсЯ на аномалии или  проблемы,   длЯ
которых желательно  составить  информативную контрольную запись.
Ћднако подсистемы не имеют авторизации writeaudit и не могут за-
носить контрольные записи непосредственно в подсистему.
.
                            - 5-20 -

     ‚место этого подсистемы  формируют  записи,   как  надежные
прикладные программы, и представлЯют их процессу демона контролЯ
через защищенный интерфейс.  „емон контролЯ, ЯвлЯющийсЯ надежной
прикладной программой,  записывает контрольную запись в устройс-
тво контролЯ. ќто позволЯет процессам защищенных подсистем гене-
рировать осмысленные и информативные контрольные записи,  не по-
лучаЯ авторизации writeaudit.

     “читываемость в контроле

     Џодсистема контролЯ отслеживает системные событиЯ,  свЯзан-
ные с секретностью,  и сопоставлЯет их с конкретными пользовате-
лЯми. Џользователи входЯт в систему через программу login.   ќта
программа выполнЯет  аутентификацию пользователЯ,  чтобы опреде-
лить, разрешен ли ему доступ.  Џроцедура регистрации  в  системе
усовершенствована таким образом,  чтобы позволить контролировать
и успешные,  и неудачные попытки регистрации.  Љогда регистрациЯ
пользователЯ проходит  успешно,   login проставлЯет на пользова-
тельском процессе  постоЯнный  идентификатор  -  регистрационный
идентификатор пользователЯ (LUID). Ќезависимо от количества сис-
темных вызовов setuid(S)  и setgid(S), сделанных этим процессом,
LUID не изменЯетсЯ.  „лЯ процесса и длЯ пользователЯ обеспечива-
етсЯ строгаЯ учитываемость.  Џользовательский процесс может  по-
-прежнему выполнЯть системные вызовы setuid(S) и setgid(S), кото-
рые также контролируютсЯ. ‚ контрольных записЯх указываетсЯ LUID
процесса нарЯду  с эффективным и реальным идентификаторами поль-
зователЯ и группы длЯ этого процесса.
     „лЯ того,  чтобы обеспечить наличие всей требуемой информа-
ции о пользовательском процессе  в  выводе  контролЯ,   механизм
контролЯ Ядра всегда отслеживает определенные системные вызовы -
так называемые обЯзательные системные вызовы.   Ћни  существенны
длЯ сопровождениЯ состоЯниЯ процесса.  Ќапример, системный вызов
open(S) может  задать  относительное  имЯ  пути,   такое,    как
../newfile. Џолное  имЯ пути длЯ файла зависит от текущего ката-
лога процесса,  который  устанавливаетсЯ  по  системному  вызову
chdir(S). ‡апись контролЯ, содержащую имЯ пути ../newfile, нель-
зЯ подвергнуть осмысленной редукции,  не знаЯ заранее  об  имени
текущего каталога.
     ’акаЯ же проблема свЯзана и с системным  вызовом  close(S).
ќтот системный  вызов  длЯ  закрытиЯ  ранее открывавшегосЯ файла
требует в качестве аргумента только дескриптор файла.  Љонтроль-
наЯ запись close(S)  потерЯет смысл, если в ней не выводитсЯ имЯ
закрываемого объекта. Ќо если имЯ пути не было запомнено при от-
крытии файла, его невозможно предоставить длЯ закрытиЯ.
     Џо этим причинам  некоторые  системные  вызовы  объЯвлЯютсЯ
обЯзательными и  отслеживаютсЯ длЯ всех процессов при включенном
контроле. ‘писок обЯзательных системных вызовов относительно не-
велик; в него включены только те вызовы, которые обЯзательны длЯ
аккуратного сопровождениЯ   состоЯниЯ    процесса:     chdir(S),
chroot(S), open(S),   close(S),   fork(S),   exit(S),   exec(S),
setuid(S), setgid(S), dup(S) и fcntl(S).
.
                            - 5-21 -

     ЋбЯзательный контроль не ограничиваетсЯ только этой группой
системных вызовов.   ‘обытие  регистрации  ЯвлЯетсЯ единственной
обЯзательной контрольной записью длЯ надежных  прикладных  прог-
рамм. Љогда пользователь регистрируетсЯ в системе, в регистраци-
онную запись заноситсЯ индикатор терминала,  на котором была вы-
полнена регистрациЯ. …сли один и тот же пользователь зарегистри-
руетсЯ на нескольких терминалах в системе,  его  действиЯ  можно
отслеживать вплоть до конкретного терминала.

     ’ипы событий контролЯ

     ЉаждаЯ контрольнаЯ запись,  независимо от того, чем вызвано
ее поЯвление,  сопровождаетсЯ отметкой о типе событиЯ.  „лЯ сис-
темных вызовов  пользовательского процесса тип событиЯ определЯ-
етсЯ механизмом контролЯ Ядра, исходЯ из самого системного вызо-
ва и  из его результата,  как уже говорилось выше.  Џри контроле
прикладной программы или подсистемы  тип  событиЯ  устанавливает
процесс, формирующий контрольную запись. ќтот тип событиЯ не из-
менЯетсЯ ни устройством контролЯ, ни демоном контролЯ.
     ’ипы событий имеют важное значение, так как они классифици-
руют событиЯ в системе,  свЯзанные с секретностью. € генерацией,
и редукцией контрольных записей можно управлЯть,  основываЯсь на
типах событий.  Ќапример, если вы интересуетесь только пользова-
телЯми, входЯщими  в  систему и выходЯщими из нее,  можно задать
этот тип событиЯ длЯ сбора или редукции данных.  ‡аметьте,   что
если вы  запрашиваете  выборочный сбор событий,  то информациЯ о
событиЯх тех типов, которые вы исключили, не пишетсЯ в контроль-
ный журнал и, разумеетсЯ, не подлежит последующей редукции.
     ‚ подсистеме контролЯ имеетсЯ широкий диапазон типов  собы-
тий, нарушающих  равновесие между гранулЯцией и соответствующими
классами секретности. ЏоддерживаютсЯ следующие типы событий:
     * ‡апуск и останов системы
     * ‚ход в систему и выход из нее
     * ‘оздание и прекращение процесса
     * Ћтображение объектов (например,  файлов) в субъекты (нап-
ример, процессы)
     * ‘делать объект доступным
     * ‘делать объект недоступным
     * ‘оздание объекта
     * ЊодификациЯ объекта
     * “даление объекта
     * ‘вЯзь между процессами
     * €зменениЯ дискреционного доступа
     * Ћтказы дискреционного доступа
     * ЌедостаточнаЯ авторизациЯ
     * Ћтказы ресурса
     * „ействиЯ Ђдминистратора системы/оператора
     * „ействиЯ авторизованной подсистемы
.
                            - 5-22 -

     * „ействиЯ секретной базы данных
     * ‘обытиЯ подсистемы контролЯ

     ‚ы можете, используЯ эти типы событий, выполнЯть выборочный
сбор и  редукцию данных контролЯ.  €нтерфейс подсистемы контролЯ
позволЯет составлЯть список типов событий  либо  длЯ  подсистемы
контролЯ, либо длЯ программы редукции данных.
     Џодсистема контролЯ использует типы событий длЯ того, чтобы
определить, нужно  ли  заносить контрольную запись в контрольный
журнал. Ѓудучи Ђдминистратором контролЯ, вы полностью управлЯете
отбором событий длЯ контролЯ.
     „лЯ управлениЯ контролем типов событий в подсистеме контро-
лЯ имеетсЯ глобальнаЯ системнаЯ маска событий контролЯ,  котораЯ
описана ниже. Џодсистема контролЯ также обеспечивает маску типов
событий длЯ каждого процесса в системе (также описана ниже). Ћбе
эти маски ЯвлЯютсЯ битовыми представлениЯми целочисленных значе-
ний типов событий, подлежащих контролю.

     ‘истемнаЯ маска событий контролЯ

     ‘истемнаЯ маска  событий ЯвлЯетсЯ глобальной длЯ подсистемы
контролЯ. …е  можно установить с помощью sysadmsh и  изменить  в
процессе контролЯ,   если возникает необходимость выбрать другой
набор событий.  ‚ системной маске событий каждому  типу  событиЯ
соответствует один бит; он устанавливаетсЯ равным единице,  если
контроль нужен.  ќто позволЯет быстро проверЯть (с помощью бито-
вых операций), подлежит ли контролю только что созданнаЯ запись.
Џодсистема контролЯ использует системную маску событий  длЯ  вы-
числениЯ пользовательских масок, когда при регистрации в системе
создаетсЯ новый процесс.

     ЏользовательскаЯ маска событий и маска событий процесса

     ‚ы можете отменить действие общесистемной маски событий длЯ
любого пользователЯ,  установив пользовательскую маску событий в
пользовательской строке защищенного паролЯ.   Љаждый  процесс  в
системе обладает маской событий процесса, котораЯ говорит систе-
ме, что нужно контролировать длЯ данного процесса. Џри регистра-
ции пользователЯ  программа  login  анализирует пользовательскую
маску событий и устанавливает маску событий процесса длЯ команд-
ного процессора регистрации следующим образом.
     ‚ пользовательской маске событий длЯ каждого  типа  событиЯ
контролЯ предусмотрено одно из трех значений:
     * всегда контролировать это событие
     * никогда не контролировать это событие
     * использовать системную маску событий контролЯ
     „лЯ каждого  типа  событиЯ контролЯ маска контролЯ процесса
устанавливаетсЯ по пользовательской маске,  если в ней  указано,
что данное событие контролируетсЯ всегда или никогда.  ‚ против-
.
                            - 5-23 -

ном случае маска контролЯ процесса устанавливаетсЯ по  системной
маске событий контролЯ. ‚ большинстве случаев в пользовательской
маске событий будет установлено третье значение длЯ всех событий
контролЯ, в  результате чего длЯ этого пользователЯ будут приме-
нЯтьсЯ системные параметры, принЯтые по умолчанию. Џользователь-
скую маску  можно  использовать длЯ того,  чтобы увеличивать или
уменьшать контролируемый объем информации о пользователЯх, кото-
рым вы соответственно меньше или больше доверЯете по сравнению с
остальными.

     ќффективный системный контроль

     Џри использовании подсистемы контролЯ нужно следовать неко-
торым правилам.  Џодсистема спроектирована так, чтобы обеспечить
гибкую производительность  и надежность и дать возможность соби-
рать те данные контролЯ, какие вы желаете. ѓенерациЯ контрольной
записи поддерживает  предварительную  выборку  событий контролЯ,
идентификаторов пользователей и идентификаторов групп. Џредвари-
тельнаЯ выборка нужна, если вы по каким-то причинам хотите скон-
центрироватьсЯ на каком-либо конкретном пользователе или  группе
пользователей (когда отдельные пользователи имеют обычай пытать-
сЯ обращатьсЯ к файлам,  к которым им не разрешен доступ).   „лЯ
предварительной выборки  можно также использовать типы событий -
например, контроль только событий входа в систему  и  выхода  из
нее. ЏредварительнаЯ выборка,  кроме того,  дает экономию прост-
ранства на диске, так как уменьшаетсЯ число контрольных записей,
заносимых подсистемой контролЯ в файлы сбора данных.  Ќо  в  ис-
пользовании предварительной  выборки есть и отрицательнаЯ сторо-
на. …сли  произошло нарушение секретности системы, и это событие
или совершивший его пользователь не был выбран длЯ контролЯ,  то
запись об этом действии будет утерЯна.
     Џоэтому следует быть  более  консервативными  -  не  делать
предварительную выборку  событий контролЯ и пользователей/групп,
а вместо этого осуществлЯть полный контроль.  ‚ итоге любое про-
исшедшее событие,  свЯзанное с секретностью, будет зафиксировано
в контрольном журнале.  Ќедостатки полного контролЯ: он занимает
много места на диске и увеличивает накладные расходы в системе.
     ‚ы можете комбинировать полный  контроль  с  пост-выборкой,
изучаЯ только записи, представлЯющие интерес. Џост-выборка обес-
печивает выборочный анализ контрольного журнала на основе  типов
событий, идентификаторов пользователей,  идентификаторов групп и
имен объектов,  а также момента генерации записи.  ‚ общем, под-
система контролЯ  в сочетании с утилитой редукции/анализа данных
даст вам с помощью предварительной выборки гибкость  при  выборе
между системной   производительностью  и объемом пространства на
диске, а также удобство полного контролЯ в сочетании с  пост-вы-
боркой.

     Ђдминистративные аспекты

     Ђдминистративное управление   подсистемой  контролЯ  служит
ключом к эффективному контролю.  …сли тщательно установить и ак-
куратно пользоватьсЯ  подсистемой  контролЯ,   она  будет мощным
средством в деле поддержаниЯ секретности системы и идентификации
возникающих проблем.   ќта  подсистема спроектирована в довольно
завершенном виде в терминах охвата событий  контролЯ  -  как  со
стороны действий Ядра,  так и со стороны использованиЯ системных
утилит. Ћна спроектирована также длЯ  обеспечениЯ  надежности  и
длЯ минимизации влиЯниЯ на производительность системы в целом.
.
                            - 5-24 -

     Ќасколько хорошо подсистема удовлетворЯет вашим целЯм,  за-
висит от правильного административного управлениЯ системой.   ‚ы
управлЯете согласованием  надежности  и производительности,  ис-
пользуЯ параметры контролЯ. ЌеправильнаЯ установка может привес-
ти к  низкой  производительности,  потере данных контролЯ или ко
всему сразу.  Ќапример,  решающее значение имеет установка маски
событий контролЯ длЯ управлениЯ типами событий,  контролируемыми
подсистемой. ’ак,  если предварительнаЯ выборка событий не вклю-
чает событиЯ регистрации,  то проникновение в систему через ком-
мутируемую линию свЯзи  может  остатьсЯ  незамеченным.   Џоэтому
очень важно тщательно рассмотреть следующие три аспекта:
     * задачи, свЯзанные с производительностью
     * задачи, свЯзанные с надежностью
     * требованиЯ к контрольному журналу

     ‡адачи, свЯзанные с производительностью

     Џри оценке влиЯниЯ подсистемы  контролЯ  на  производитель-
ность системы  важно продумать,  какие действиЯ должна выполнЯть
подсистема. „райвер устройства подсистемы контролЯ - это главное
место сбора  контрольных  записей из всевозможных источников; он
отвечает за внесение этих записей в контрольный журнал.  „райвер
выполнЯет запись в файл сбора  данных,   совместно  используемый
всеми процессами, контролируемыми в системе. ќто напоминает сис-
тему резервированиЯ мест на самолетах, где множество клерков вы-
полнЯют доступ   к общей базе данных.  „олжны быть предусмотрены
механизмы блокировки,  чтобы не допустить смешиваниЯ контрольных
записей и обеспечить совместимость базы данных. ’о же касаетсЯ и
файлов сбора данных подсистемы контролЯ.
     Њеханизм внутренней буферизации и стратегиЯ записи  (write-
behind) пытаютсЯ  минимизировать воздействие многократной однов-
ременной записи на файлы сбора данных.  ќто позволЯет подсистеме
обслуживать контрольные   записи от процессов и прикладных прог-
рамм в то времЯ,  как параллельно идет запись в файлы сбора дан-
ных. ‚ы можете настроить этот механизм, учитываЯ, как интенсивно
используетсЯ буферизациЯ и как часто идет запись  в  файл  сбора
данных.

     ‡адачи, свЯзанные с надежностью

     ’ак же,  как и производительность системы, важна надежность
выдаваемого контрольного журнала.  ‚ традиционных системах  UNIX
нет возможности сохранить целостность файловой системы в резуль-
тате фатального сбоЯ системы.  ќто вызвано тем фактом, что ввод-
-вывод выполнЯетсЯ  с  помощью  пула  буферов,   в которые запись
(главным образом)  ведетсЯ асинхронно. ’ак, изменениЯ, внесенные
в файлы,   на  самом деле могут оказатьсЯ не записанными на диск
при фатальном сбое системы.
     ќто грустно,  так как событиЯ, приводЯщие к фатальному сбою
системы, представлЯют длЯ вас наибольший интерес с точки  зрениЯ
контролЯ. Ћчень  хотелось  бы минимизировать какую бы то ни было
потенциальную потерю данных из подсистемы контролЯ в  результате
.
                            - 5-25 -

фатального сбоЯ системы. „лЯ этого подсистема контролЯ использу-
ет механизм,  называемый синхронным вводом-выводом,  который вы-
полнЯет немедленное обновление буферов сбора данных  контролЯ  и
индексных дескрипторов  файлов сбора данных,  когда происходит их
изменение. ќто сводит к минимуму возможные потери  данных  в  ре-
зультате фатального сбоЯ системы.
     ‘уществует прЯмаЯ  свЯзь между степенью надежности данных и
производительностью подсистемы контролЯ. Љонтрольные записи, ге-
нерируемые механизмом контролЯ Ядра, надежными прикладными прог-
раммами и защищенными подсистемами,  обычно  имеют  длину  40-60
байт. …сли  каждаЯ запись пишетсЯ на диск синхронно,  как только
она передана подсистеме, результатом будет низкаЯ производитель-
ность; система ввода-вывода переполнЯетсЯ из-за высокой скорости
генерации записей. ‚ыход состоит в том, чтобы буферизовать запи-
си и писать их в контрольный журнал вместе через назначенные ин-
тервалы времени.  ќти интервалы можно  определить  по  истекшему
времени или  по  пороговой величине накопленных данных.  € здесь
также выбор зависит от вас.

     ’ребованиЯ к контрольному журналу

     €, наконец,  последнее, что важно длЯ административного уп-
равлениЯ подсистемой  контролЯ,  - определить,  что именно нужно
контролировать. Њожно использовать  возможности  предварительной
выборки при  генерации  записей,  чтобы контрольный журнал скон-
центрировалсЯ на одном или нескольких событиЯх. Ќапример, систе-
ма может использоватьсЯ всего лишь маленькой группой людей, а по
ночам простаивать.  Љроме того, в  нерабочее времЯ предоставлЯ-
ютсЯ несколько коммутируемых линий свЯзи.  ‚озможно, вас интере-
сует только учет того,  кто и когда пользуетсЯ системой.  ‚ этом
случае предварительную выборку можно использовать только длЯ от-
слеживаниЯ событий входа в систему и выхода из нее. Џопытки про-
никновениЯ в  систему  со стороны неавторизованных пользователей
будут зафиксированы как неудачные попытки регистрации.
     Љонтроль можно  также сосредоточить на конкретных пользова-
телЯх или группах пользователей.  ќто позволит вам сконцентриро-
ватьсЯ на лицах,  подозреваемых в нарушении стратегии секретнос-
ти. —ем меньше запрошено контролЯ, тем меньше подсистема контро-
лЯ влиЯет на производительность системы.  Џолный контроль приво-
дит к  созданию пространной и подробной записи о системных собы-
тиЯх, но  он требует и больше ресурсов длЯ работы.  Ћднако  чаще
оказываетсЯ удобнее   зарегистрировать  событиЯ  и  использовать
средства редукции,  чтобы потом отбросить ненужные записи,   чем
отказатьсЯ от сбора записей,  действительно необходимых длЯ ана-
лиза проблемы. ќто решение зависит от степени секретности, кото-
рую вы намерены соблюсти.
     ‚ажно понЯть  определение  сессии  контролЯ  по отношению к
подсистеме. ЏредполагаетсЯ,  что сессиЯ соответствует  интервалу
времени с момента загрузки системы до момента ее выключениЯ. „лЯ
сокращениЯ объема записываемых в контрольный журнал данных в ка-
честве одной  из  задач при проектировании подсистемы была уста-
новлена минимизациЯ размера каждой контрольной записи.  ‘ледова-
тельно, состоЯние   процесса   определЯетсЯ  последовательностью
контрольных записей,  а не указываетсЯ целиком в каждой  записи.
.
                            - 5-26 -

Џри таком  подходе  экономиЯ  места и времени оказываетсЯ значи-
тельной, но это требует аккуратного административного управлениЯ
во избежание ловушек.
     …сли отключить подсистему контролЯ во времЯ работы системы,
а затем вновь включить, будет создана новаЯ сессиЯ. ‘ессиЯ опре-
делЯетсЯ как  последовательность файлов сбора данных и уплотнен-
ных файлов,  содержащих контрольные записи, свЯзанные с конкрет-
ным интервалом   времени.  ќто может привести к созданию двух (а
возможно, и  больше)  наборов файлов контролЯ в одном  жизненном
цикле системы.  Ќекоторые процессы, контролируемые во второй или
последующей сессии,  могут оказатьсЯ созданными во времЯ  первой
сессии. ‘ледовательно,   сессиЯ может не содержать все соответс-
твующее состоЯние процесса,  нужное длЯ какого-либо процесса.  ‚
свою очередь,  это может вызвать неполную редукцию записей.  ќто
относитсЯ главным образом к именам файлов,  причем как правило -
только к   относительным именам файлов (а не абсолютным).  ќтого
можно избежать,  если выключать контроль только  после  останова
системы.

     Џроцедуры контролЯ

     ‚ данном разделе описываетсЯ,  как устанавливать, иницииро-
вать, модифицировать  и  прекращать  контроль системы.  „оступ к
каждой из этих функций осуществлЯетсЯ через sysadmsh.  ‚ыход  на
верхний уровень    функций    контролЯ    производитсЯ   выбором
System->Audit; это следующие функции:

   Enable/Disable  €нициирование и прекращение контролЯ
   Collection      ‚ыбор критериЯ контролЯ
                   ”ормирование конфигурации подсистемы и управ-
                   ление контролируемыми событиЯми и пользовате-
                   лЯми. Љроме того, можно управлЯть параметрами
                   установки, влиЯющими  на производительность и
                   надежность подсистемы и ее данные
   Report          ђедукциЯ данных контролЯ и составление отчетов
                   ‘оздание и  сохранение  выборочных файлов ре-
                   дукции, редукциЯ сессий  контролЯ  с  помощью
                   файлов сбора  данных  и  удаление сокращенных
                   файлов после того,  как они становЯтсЯ ненуж-
                   ными
   Files           ‘опровождение файла контрольных записей
                   Џроверка сессий контролЯ,  накопленных в сис-
                   теме, архивирование  сессий  контролЯ  на ре-
                   зервном носителе, восстановление ранее сохра-
                   ненных сессий  контролЯ,   удаление  ненужных
                   сессий контролЯ,  пуск и останов контролЯ  по
                   мере надобности
.
                            - 5-27 -

     Џроцедура контролЯ состоит из трех этапов, описанных в пос-
ледующих разделах:
     1. “становка схемы сбора данных
     2. ‚ключение контролЯ
     3. ѓенерациЯ контрольных отчетов

     “становка схемы сбора данных

     —тобы задать, какие данные следует собирать и где их следу-
ет хранить, сделайте в sysadmsh следующий выбор:

       System->Audit->Collection

     Ќа экране поЯвЯтсЯ следующие элементы длЯ выбора:

       Directories  Љаталоги  файлов сбора данных контролЯ и уп-
                    лотненных файлов
       Events       ‘истемнаЯ маска типов событий
       IDs          ‚ыбор контролЯ пользователЯ и группы
       Parameters   Џараметры подсистемы контролЯ
       Summary      ђаспечатка статистики текущей сессии контролЯ

     ‚ыберите, какую информацию вы хотите поставлЯть; каждый вы-
бор описан  в одном из последующих разделов.  €нформациЯ о сборе
данных, заданнаЯ вами,  записываетсЯ в файл параметров.  ‘истема
поставлЯетсЯ с файлом параметров,  заданным по умолчанию,  но вы
должны модифицировать его,  чтобы он удовлетворЯл вашим требова-
ниЯм. €нициированнаЯ подсистема контролирует событиЯ в соответс-
твии с содержимым файла параметров до тех пор, пока параметры не
будут модифицированы,  или до прекращениЯ контролЯ, или до оста-
нова системы. ‡аметим, что некоторые параметры можно модифициро-
вать в  ходе  контролЯ,   а другие действительны только в момент
инициированиЯ контролЯ.  Џо мере описаниЯ очередной области кон-
фигурации отмечаютсЯ статические и динамические величины.

     Љаталоги контролЯ

     ”айлы сбора  данных,  генерируемые подсистемой контролЯ,  и
уплотненные файлы, генерируемые демоном контролЯ, записываютсЯ в
заданные вами  каталоги.  ‘ессиЯ контролЯ может содержать файлы,
записанные во множество различных каталогов.  Љ концу сессии ос-
таютсЯ только уплотненные файлы, так как файлы сбора данных уда-
лЯютсЯ подсистемой, когда они прочитаны демоном контролЯ. ‚ам не
нужно отслеживать каталоги,  в которые записываютсЯ файлы,  пос-
кольку эта информациЯ имеетсЯ в журнальном файле сессии.
     ‚ы можете увеличить производительность  системы,   поместив
каталоги контролЯ в файловую систему, расположенную на отдельном
физическом устройстве от остальных файловых систем. ќто уменьшит
соперничество за  ресурсы  диска.  Љроме того,  контроль требует
значительного пространства, даже с учетом уплотнениЯ. Љогда мес-
.
                            - 5-28 -

та на  диске становитсЯ мало,  подсистема выдает предупреждение;
если свободного пространства в файловой системе становитсЯ слиш-
ком мало, то подсистема выключает контроль. Џо этой причине под-
система и демон поддерживают несколько каталогов.  Џри возникно-
вении ошибки  во времЯ записи в каталог или при исчерпании места
на диске подсистема и демон пытаютсЯ  воспользоватьсЯ  альтерна-
тивными каталогами, чтобы продолжить работу.
     Љаждое имЯ файла следует вводить  с  указанием  абсолютного
имени пути. —исло каталогов, которые вы можете определить, ничем
не ограничено. …сли никакие каталоги не заданы, подсистема и де-
мон создают все файлы в корневой файловой системе, используЯ за-
резервированный каталог подсистемы контролЯ /tcb/audittmp. ’акаЯ
установка файлов конфигурации контролЯ делаетсЯ по умолчанию.

     Њаска событий контролЯ

     Љак уже говорилось в разделе "’ипы событий контролЯ",  име-
етсЯ некоторое число событий контролЯ, которые можно выбрать:
                          ’аблица 5.5
                        ‘обытиЯ контролЯ
----------------------------------------------------------------
A. Startup/Shutdown                   B. Login/Logoff
C. Process Create/Delete              D. Make Object Available
E. Map Object to Subject              F. Object Modification
G. Make Object Unavailable            H. Object Creation
I. Object Deletion                    J. DAC Changes
K. DAC Denials                        L. Admin/Operator Actions
M. Insufficient Privilege             N. Resource Denials
O. IPC Functions                      P. Process Modifications
Q. Audit Subsystem Events             R. Database Events
S. Subsystem Events                   T. Use of Privilege
----------------------------------------------------------------
 A. ‡апуск/Ћстанов                   B. ‚ход/‚ыход из системы
 C. ‘оздать/“далить процесс          D. ‘делать объект доступным
 E. Ћтобразить объект в субъект      F. ЊодификациЯ объекта
 G. ‘делать объект недоступным       H. ‘оздание объекта
 I. “даление объекта                 J. €зменениЯ DAC
 K. Ћтказы DAC                       L. „ействиЯ оператора/Ђдмин.
 M. Ќедостаточные привилегии         N. Ћтказы ресурса
 O. ”ункции IPC                      P. Њодификации процесса
 Q. ‘обытиЯ подсистемы контролЯ      R. ‘обытиЯ базы данных
 S. ‘обытиЯ подсистемы               T. €спользование привилегий
----------------------------------------------------------------
     Љаждый тип событиЯ выводитсЯ на экран и соответствует  бук-
ве, находЯщейсЯ в верхней части экрана.  „лЯ событий, подлежащих
контролю, тип событиЯ следует задать вместе с символом "Y". ’ипы
событий, не подлежащие контролю, исключаютсЯ опцией "N". „лЯ пе-
реключениЯ ввода с "Y" на "N"  и  обратно  пользуйтесь  клавишей
пробела. „лЯ  перехода  от одного элемента к другому используйте
клавиши перемещениЯ курсора.  „анную маску событий можно модифи-
цировать и  динамически  изменЯть  длЯ  текущей  сессии контролЯ
и/или записывать в файл параметров длЯ использованиЯ в последую-
щих сессиЯх контролЯ.
.
                            - 5-29 -

     ‚ыбор пользователЯ и группы

     ЏолЯ User  и Group можно использовать длЯ динамического из-
менениЯ выбора  контролЯ в текущей сессии или длЯ следующих сес-
сий. ‚ыбор пользователей и групп можно производить многократно в
течение одной сессии. …сли никакие пользователи и группы не выб-
раны, в  результате все пользователи и группы будут исключены из
данного выбора.  ќто означает, что все процессы в системе подле-
жат контролю.

     Џараметры подсистемы контролЯ