Все факты начала и окончания работы пользователя фиксируется в журнале /var/log/auth.log
на клиентской машине. Например:
панель | ||||||
---|---|---|---|---|---|---|
| ||||||
Feb 19 12:32:48 nd-nout fly-dm: :0[3421]: pam_unix(fly-dm:session): session opened for user ivanov by (uid=0) |
Указанная запись содержит информацию о начале сессии для пользователя с учетной записью «ivanov
».
панель | ||||||
---|---|---|---|---|---|---|
| ||||||
Feb 19 13:15:38 ac-old login[3865]: pam_unix(login:session): session closed for user petrovich |
Указанная запись содержит информацию о завершении сессии для пользователя с учетной записью «petrovich
».
Кроме того, информация о начале и завершении работы пользователя попадает в журнал подсистемы безопасности parsec:
/var/log/parsec/user.mlog
, доступный для просмотра при помощи утилиты «userlog
». В журнале регистрируются события с типами «auth
» (вход), «exit
» (выход).
Например:
панель | ||||||
---|---|---|---|---|---|---|
| ||||||
[u] 'Tue Feb 19 12:50:00 2013' '/bin/login' <26828,26778,0,2500,0>[s] exit("login","petrovich") [u] 'Tue Feb 19 12:57:59 2013' '/usr/bin/fly-dm' <25927,3462,0,0,0> [s] exit("fly-dm","root") [u] 'Tue Feb 19 13:14:52 2013' '/bin/login' <3796,3680,0,0,0> [s] auth("login","root") [u] 'Tue Feb 19 13:15:33 2013' '/bin/login' <3865,3683,0,2500,0> [s] auth("login","petrovich") [u] 'Tue Feb 19 13:15:39 2013' '/bin/login' <3865,3683,0,2500,0> [s] exit("login","petrovich") [u] 'Tue Feb 19 13:19:53 2013' '/bin/login' <3992,3898,0,2500,0> [s] auth("login","petrovich") [u] 'Tue Feb 19 13:20:13 2013' '/bin/login' <3992,3898,0,2500,0> [s] exit("login","petrovich") [u] 'Tue Feb 19 13:20:23 2013' '/bin/login' <4070,4020,0,2500,0> [s] auth("login","petrovich") [u] 'Tue Feb 19 13:20:31 2013' '/bin/login' <4070,4020,0,2500,0> [s] exit("login","petrovich") [u] 'Tue Feb 19 13:27:48 2013' '/bin/login' <4212,4091,0,2500,0> [s] auth("login","petrovich") [u] 'Tue Feb 19 13:27:54 2013' '/bin/login' <4212,4091,0,2500,0> [s] exit("login","petrovich") [u] 'Tue Feb 19 13:33:51 2013' '/bin/login' <4327,4234,0,2500,0> [s] auth("login","petrovich") [u] 'Tue Feb 19 13:33:55 2013' '/bin/login' <4327,4234,0,2500,0> [s] exit("login","petrovich") [u] 'Tue Feb 19 13:39:49 2013' '/bin/login' <4440,4348,0,2500,0> [s] auth("login","petrovich") [u] 'Tue Feb 19 13:39:53 2013' '/bin/login' <4440,4348,0,2500,0> [s] exit("login","petrovich") |
Описание системы регистрации событий приведено в разделе 10 документа «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1». Дополнительная информация приведена на страницах справочного руководства «man
» для расширенной системы протоколирования, доступной по команде «man parselog
». В операционной системе специального назначения «Astra Linux Special Edition» обеспечивается регистрация всех событий в соответствии с требованиями документа «Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» ФСТЭК России, предъявляемых к средствам вычислительной техники третьего класса защищенности. Регистрация событий может быть проверена следующим образом: устанавливаем для пользователя (доменного) все возможные флаги аудита:
панель | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
Audit policy user:petrovich Audit success rules: ocxudntligarmphew nr f flag -- - ---- 0 o open 1 c create 2 x exec 3 u delete 4 d chmod 5 n chown 6 t mount 7 l module 8 i uid 9 g gid 10 a audit 11 r acl 12 m mac 13 p cap 14 h chroot 15 e rename 16 w net Audit fail rules: ocxudntligarmphew nr f flag -- - ---- 0 o open 1 c create 2 x exec 3 u delete 4 d chmod 5 n chown 6 t mount 7 l module 8 i uid 9 g gid 10 a audit 11 r acl 12 m mac 13 p cap 14 h chroot 15 e rename 16 w net |