Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Все факты начала и окончания работы пользователя фиксируется в журнале /var/log/auth.log на клиентской машине. Например:

панель
borderColor#c2e6ff
bgColor#e2f3ff
title/var/log/auth.log
Feb 19 12:32:48 nd-nout fly-dm: :0[3421]: pam_unix(fly-dm:session): session opened for user ivanov by (uid=0)

Указанная запись содержит информацию о начале сессии для пользователя с учетной записью «ivanov».

панель
borderColor#c2e6ff
bgColor#e2f3ff
title/var/log/auth.log
Feb 19 13:15:38 ac-old login[3865]: pam_unix(login:session): session closed for user petrovich

Указанная запись содержит информацию о завершении сессии для пользователя с учетной записью «petrovich».

Кроме того, информация о начале и завершении работы пользователя попадает в журнал подсистемы безопасности parsec: /var/log/parsec/user.mlog, доступный для просмотра при помощи утилиты «userlog». В журнале регистрируются события с типами «auth» (вход), «exit»  (выход).

Например:

панель
borderColor#c2e6ff
bgColor#e2f3ff
titleroot:~# userlog

[u] 'Tue Feb 19 12:50:00 2013' '/bin/login' <26828,26778,0,2500,0>[s] exit("login","petrovich")

[u] 'Tue Feb 19 12:57:59 2013' '/usr/bin/fly-dm' <25927,3462,0,0,0> [s] exit("fly-dm","root")

[u] 'Tue Feb 19 13:14:52 2013' '/bin/login' <3796,3680,0,0,0> [s] auth("login","root")

[u] 'Tue Feb 19 13:15:33 2013' '/bin/login' <3865,3683,0,2500,0> [s] auth("login","petrovich")

[u] 'Tue Feb 19 13:15:39 2013' '/bin/login' <3865,3683,0,2500,0> [s] exit("login","petrovich")

[u] 'Tue Feb 19 13:19:53 2013' '/bin/login' <3992,3898,0,2500,0> [s] auth("login","petrovich")

[u] 'Tue Feb 19 13:20:13 2013' '/bin/login' <3992,3898,0,2500,0> [s] exit("login","petrovich")

[u] 'Tue Feb 19 13:20:23 2013' '/bin/login' <4070,4020,0,2500,0> [s] auth("login","petrovich")

[u] 'Tue Feb 19 13:20:31 2013' '/bin/login' <4070,4020,0,2500,0> [s] exit("login","petrovich")

[u] 'Tue Feb 19 13:27:48 2013' '/bin/login' <4212,4091,0,2500,0> [s] auth("login","petrovich")

[u] 'Tue Feb 19 13:27:54 2013' '/bin/login' <4212,4091,0,2500,0> [s] exit("login","petrovich")

[u] 'Tue Feb 19 13:33:51 2013' '/bin/login' <4327,4234,0,2500,0> [s] auth("login","petrovich")

[u] 'Tue Feb 19 13:33:55 2013' '/bin/login' <4327,4234,0,2500,0> [s] exit("login","petrovich")

[u] 'Tue Feb 19 13:39:49 2013' '/bin/login' <4440,4348,0,2500,0> [s] auth("login","petrovich")

[u] 'Tue Feb 19 13:39:53 2013' '/bin/login' <4440,4348,0,2500,0> [s] exit("login","petrovich")

Описание системы регистрации событий приведено в разделе 10 документа «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1». Дополнительная информация приведена на страницах справочного руководства «man» для расширенной системы протоколирования, доступной по команде «man parselog». В операционной системе специального назначения «Astra Linux Special Edition» обеспечивается регистрация всех событий в соответствии с требованиями документа «Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» ФСТЭК России, предъявляемых к средствам вычислительной техники третьего класса защищенности. Регистрация событий может быть проверена следующим образом: устанавливаем для пользователя (доменного) все возможные флаги аудита:

панель
borderColor#c2e6ff
bgColor#e2f3ff
borderStyledashed
titleroot:~# ald-admin user-aud-get petrovich

Audit policy user:petrovich

Audit success rules: ocxudntligarmphew

nr f flag

-- - ----

0 o open

1 c create

2 x exec


3 u delete

4 d chmod

5 n chown

6 t mount

7 l module

8 i uid

9 g gid

10 a audit

11 r acl

12 m mac

13 p cap

14 h chroot

15 e rename

16 w net

Audit fail rules: ocxudntligarmphew

nr f flag

-- - ----

0 o open

1 c create

2 x exec

3 u delete

4 d chmod

5 n chown

6 t mount

7 l module

8 i uid

9 g gid

10 a audit

11 r acl

12 m mac

13 p cap

14 h chroot

15 e rename

16 w net