[[:tightgate-pro|{{ back_to_menu.jpg}}]] ====== Benutzerkontrolle durch den Revisor ====== Der Benutzer //revision// ist eine speziell für den Datenschutzbeauftragten geschaffene Rolle. Um den Status des Rivisors zu erlangen, müssen sie sich bei der Anmeldung auf dem TightGate(tm)-Pro mit dem Benutzernamen //revision// und dem zugehörigen Passwort anmelden. Das Passwort für den Benutzer //revision// wird vom Administrator //maint// in der [[:tightgate-pro:benutzerverwaltung:benutzer_anlegen|Benutzerverwaltung]] vergeben. Nach der Anmeldung hat der Benutzer //revison// ein zusätzliches Programm (REVISIONS-MENÜ) auf seiner Arbeitsoberfläche. Ansonsten gleicht die Arbeitsoberfläche der von normalen Benutzern. **Funktionen im Revisions-Menü** \\ Durch Anklicken des Symbols REVISIONS-MENÜ öffnet sich ein Menü, welches es ermöglicht die Aufgaben des Revisiors/Datenschutzbeauftragten wahrzunehmen. Folgende Aufgaben können durchgeführt werden: **Benutzer Überprüfen** \\ //Revision// gibt die Möglichkeit die Arbeitsumgebung, inklusive aller Daten eines Benutzers zu kopieren, um sie anschließend einer Prüfung zu unterziehen. Um einen Benutzer zu kopieren wird der betreffende Benutzer aus der Liste ausgewählt und dann über die Funktion //Kopieren// eine lokale Kopie des Benutzerverzeichnisses im Arbeitsbereich von //revision// angelegt. Es gibt folgende Möglichkeiten die Daten des kopierten Benutzers in den jeweiligen Programmen anzusehen: ^Programm^Beschreibung^ |Dateimanager|Mit diesem Menüpunkt haben Sie Zugriff auf das Benutzerverzeichnis. Die von Benutzer angelegten Ordner werden (ohne grafische Symbole) in einem Verzeichnisfenster angezeigt.| |Mozilla / Firefox|Durch den Aufruf ist es möglich den jeweiligen Browser mit den Einstellungen des Benutzers zu starten. Sie haben vollen Zugriff auf die Voreinstellungen des Benutzers, sowie dessen Bookmarks, History und den Verlaufspeicher. ACHTUNG: Sie haben weiterhin keinen Zugriff auf das Netzwerk!| |KMail|Wenn Sie den Menüpunkt KMail aufrufen, starten Sie das KMail-Programm des Benutzers und haben vollen Zugriff auf alle vom Benutzer gespeicherten (erstellten und empfangenen) E-Mails. Sie können weiterhin alle Konfigurations-Einstellungen kontrollieren. Achtung: Es ist keine Kontrolle von IMAP-Postfächern möglich, da sich diese E-Mails auf einem anderen Mailserver befinden. \\ Hat der Benutzer das KMail-Programm nicht benutzt schlägt der Versuch das Programm als Revisor zu öffnen fehl.| **Protokolle ansehen** \\ Der Benutzer //revision// bietet die Möglichkeit verschiedene Protokolle des Systems, für die Firewall-Regeln und die Benutzeranmeldung auszuwerten. Um diese Protokolle anzusehen klicken Sie bitte auf den Knopf //Protokolle// im Hauptteil des Revisions-Menüs. Sie haben nun folgende Optionen, um eine Protokollauswerung vorzunehmen: **Firewall** \\ Über die Firewall-Protokolle erhalten Sie eine Übersicht über von der Firewall blockierte Pakete. Die Protokolle sind grafisch und textlich nach verschiedenen Kriterien aufbereitet, so gibt es Protokolle zu: * Bericht über blockierte Pakete * Paket-Quell-Host-Bericht * Organisationsbericht * Domänen-Bericht * Viertelstündlicher-Bericht * Tageszeit-Übersicht * Paketgrößen-Übersicht * Netzwerkschnittstellen-Bericht * Quellport-Bericht Sie können sich diese Protokolle für den Vortag, die gesamte Woche oder für die Laufzeit des Systems ansehen. Wählen Sie dazu bitte den jeweiligen Knopf aus. **Benutzer** \\ Zur Auswertung der Anmeldevorgänge einzelner Benutzer steht das //Benutzer-Protokoll// zur Verfügung. Sie haben wieder die Möglichkeit sich verschiedene Zeiträume anzeigen zu lassen oder den gesamten Inhalt der Datei. Die Datei über Benutzeranmeldungen wird als Textdatei ausgegeben und hat folgenden Aufbau: Beispiel: \\ ^Monat^Tag^Zeit^Server-Name^Protokoll^Authentifikation^Benutzer^ |Jan|31|12:44:53|tgpro-12|riv:|(pam_rsbac_de)|session opened for user revision by *unknown*(uid=0)| |Januar|31|12:44:53|tgpro-12|riv (per VNC)|pam|revision| **Andere Protokolle** \\ Unter den anderen Protokollen können Sie sich Systemprotokolle für verschiedene Bereiche anzeigen lassen. Diese können statisch oder fortlaufend angezeigt werden. Nachfolgend wird eine kurze Übersicht dargestellt, welche Protokolle zu Verfügung stehen, von welchen Diensten sie beschrieben werden und ob sie statisch und/oder fortlaufend angesehen werden können. ^Protokoll^Dienst^statisch^fortlaufend^ |auth.log|Alle Authorisierungsvorgänge, Anmeldung von Benutzern und Diensten am System.| x | x | |btmp|Anzeiger fehlgeschlagener Login-Versuche| x | - | |cups/error_log|Alle Fehlermeldungen im Zusammenhang mit dem cups-Drucksystem| x | x | |kern.log|Alle Meldungen die vom Linux-Kern erstellt werden, insbesondere die RSBAC Fehlermeldungen| x | x | |lastlog|Anzeige der letzen Anmeldungen auf dem System| x | - | |mail.log|Alle Meldungen, die im Zusammenhang mit dem Mail-System erstellt wurden| x | x | |syslog|Meldungen einzelner Systemdienste wie dem Proxy, dem cronjobs etc.| x | x | |useradd|Meldungen über neu angelegte Benutzer| x | x | |userdel|Meldungen über gelöschte Benutzer| x | x | **Pseudonyme in Log-Dateien auflösen** \\ In den RSBAC-Logs können die Benutzernamen pseudonymisiert abgelegt werden. Auch die Anzeige der Logs erfolgt mit pseudonymisierten Benutzernamen, wenn dies eingestellt wurde. Die Auflösung der Pseudonyme ist nur manuell durch den Administrator//security// oder den Benutzer //revision// möglich. Wurde ein Pseudonym aufgelöst und ist die Vergabe eines neuen Pseudonyms für einen Benutzer nötig, so kann der Systembenutzer //revision// einzelnen Benutzern neue Pseudonyme vergeben. Sollen für alle Benutzer neue Pseudonyme vergeben werden, so kann der Benutzer //config// durch ein ab- und wieder anschalten der Pseudonymisierung dies veranlassen. Wird ein Pseudonym geändert, so wird die Liste der alten Pseudonyme in das Verzeichnis ///home/revision/pseudos// geschrieben und ist damit auch für die Auswertung älterer Logs verfügbar. [[:tightgate-pro|{{ back_to_menu.jpg}}]]