Benutzerkontrolle durch den Revisor
Der Benutzer revision ist eine speziell für den Datenschutzbeauftragten geschaffene Rolle. Um den Status des Rivisors zu erlangen, müssen sie sich bei der Anmeldung auf dem TightGate™-Pro mit dem Benutzernamen revision und dem zugehörigen Passwort anmelden. Das Passwort für den Benutzer revision wird vom Administrator maint in der Benutzerverwaltung vergeben.
Nach der Anmeldung hat der Benutzer revison ein zusätzliches Programm (REVISIONS-MENÜ) auf seiner Arbeitsoberfläche. Ansonsten gleicht die Arbeitsoberfläche der von normalen Benutzern.
Funktionen im Revisions-Menü
Durch Anklicken des Symbols REVISIONS-MENÜ öffnet sich ein Menü, welches es ermöglicht die Aufgaben des Revisiors/Datenschutzbeauftragten wahrzunehmen. Folgende Aufgaben können durchgeführt werden:
Benutzer Überprüfen
Revision gibt die Möglichkeit die Arbeitsumgebung, inklusive aller Daten eines Benutzers zu kopieren, um sie anschließend einer Prüfung zu unterziehen. Um einen Benutzer zu kopieren wird der betreffende Benutzer aus der Liste ausgewählt und dann über die Funktion Kopieren eine lokale Kopie des Benutzerverzeichnisses im Arbeitsbereich von revision angelegt. Es gibt folgende Möglichkeiten die Daten des kopierten Benutzers in den jeweiligen Programmen anzusehen:
| Programm | Beschreibung |
|---|---|
| Dateimanager | Mit diesem Menüpunkt haben Sie Zugriff auf das Benutzerverzeichnis. Die von Benutzer angelegten Ordner werden (ohne grafische Symbole) in einem Verzeichnisfenster angezeigt. |
| Mozilla / Firefox | Durch den Aufruf ist es möglich den jeweiligen Browser mit den Einstellungen des Benutzers zu starten. Sie haben vollen Zugriff auf die Voreinstellungen des Benutzers, sowie dessen Bookmarks, History und den Verlaufspeicher. ACHTUNG: Sie haben weiterhin keinen Zugriff auf das Netzwerk! |
| KMail | Wenn Sie den Menüpunkt KMail aufrufen, starten Sie das KMail-Programm des Benutzers und haben vollen Zugriff auf alle vom Benutzer gespeicherten (erstellten und empfangenen) E-Mails. Sie können weiterhin alle Konfigurations-Einstellungen kontrollieren. Achtung: Es ist keine Kontrolle von IMAP-Postfächern möglich, da sich diese E-Mails auf einem anderen Mailserver befinden. Hat der Benutzer das KMail-Programm nicht benutzt schlägt der Versuch das Programm als Revisor zu öffnen fehl. |
Protokolle ansehen
Der Benutzer revision bietet die Möglichkeit verschiedene Protokolle des Systems, für die Firewall-Regeln und die Benutzeranmeldung auszuwerten. Um diese Protokolle anzusehen klicken Sie bitte auf den Knopf Protokolle im Hauptteil des Revisions-Menüs. Sie haben nun folgende Optionen, um eine Protokollauswerung vorzunehmen:
Firewall
Über die Firewall-Protokolle erhalten Sie eine Übersicht über von der Firewall blockierte Pakete. Die Protokolle sind grafisch und textlich nach verschiedenen Kriterien aufbereitet, so gibt es Protokolle zu:
- Bericht über blockierte Pakete
- Paket-Quell-Host-Bericht
- Organisationsbericht
- Domänen-Bericht
- Viertelstündlicher-Bericht
- Tageszeit-Übersicht
- Paketgrößen-Übersicht
- Netzwerkschnittstellen-Bericht
- Quellport-Bericht
Sie können sich diese Protokolle für den Vortag, die gesamte Woche oder für die Laufzeit des Systems ansehen. Wählen Sie dazu bitte den jeweiligen Knopf aus.
Benutzer
Zur Auswertung der Anmeldevorgänge einzelner Benutzer steht das Benutzer-Protokoll zur Verfügung. Sie haben wieder die Möglichkeit sich verschiedene Zeiträume anzeigen zu lassen oder den gesamten Inhalt der Datei. Die Datei über Benutzeranmeldungen wird als Textdatei ausgegeben und hat folgenden Aufbau:
Beispiel:
| Monat | Tag | Zeit | Server-Name | Protokoll | Authentifikation | Benutzer |
|---|---|---|---|---|---|---|
| Jan | 31 | 12:44:53 | tgpro-12 | riv: | (pam_rsbac_de) | session opened for user revision by *unknown*(uid=0) |
| Januar | 31 | 12:44:53 | tgpro-12 | riv (per VNC) | pam | revision |
Andere Protokolle
Unter den anderen Protokollen können Sie sich Systemprotokolle für verschiedene Bereiche anzeigen lassen. Diese können statisch oder fortlaufend angezeigt werden. Nachfolgend wird eine kurze Übersicht dargestellt, welche Protokolle zu Verfügung stehen, von welchen Diensten sie beschrieben werden und ob sie statisch und/oder fortlaufend angesehen werden können.
| Protokoll | Dienst | statisch | fortlaufend |
|---|---|---|---|
| auth.log | Alle Authorisierungsvorgänge, Anmeldung von Benutzern und Diensten am System. | x | x |
| btmp | Anzeiger fehlgeschlagener Login-Versuche | x | - |
| cups/error_log | Alle Fehlermeldungen im Zusammenhang mit dem cups-Drucksystem | x | x |
| kern.log | Alle Meldungen die vom Linux-Kern erstellt werden, insbesondere die RSBAC Fehlermeldungen | x | x |
| lastlog | Anzeige der letzen Anmeldungen auf dem System | x | - |
| mail.log | Alle Meldungen, die im Zusammenhang mit dem Mail-System erstellt wurden | x | x |
| syslog | Meldungen einzelner Systemdienste wie dem Proxy, dem cronjobs etc. | x | x |
| useradd | Meldungen über neu angelegte Benutzer | x | x |
| userdel | Meldungen über gelöschte Benutzer | x | x |
Pseudonyme in Log-Dateien auflösen
In den RSBAC-Logs können die Benutzernamen pseudonymisiert abgelegt werden. Auch die Anzeige der Logs erfolgt mit pseudonymisierten Benutzernamen, wenn dies eingestellt wurde. Die Auflösung der Pseudonyme ist nur manuell durch den Administratorsecurity oder den Benutzer revision möglich.
Wurde ein Pseudonym aufgelöst und ist die Vergabe eines neuen Pseudonyms für einen Benutzer nötig, so kann der Systembenutzer revision einzelnen Benutzern neue Pseudonyme vergeben. Sollen für alle Benutzer neue Pseudonyme vergeben werden, so kann der Benutzer config durch ein ab- und wieder anschalten der Pseudonymisierung dies veranlassen.
Wird ein Pseudonym geändert, so wird die Liste der alten Pseudonyme in das Verzeichnis /home/revision/pseudos geschrieben und ist damit auch für die Auswertung älterer Logs verfügbar.