Интерфейс комнды ipa позволяет:
...
- редактировать
...
- маски событий аудита;
...
- редактировать маски аудита для доменного пользователя
...
- /группы
...
- ;
...
- редактировать маски аудита для учтенных носителей информации.
| Информация |
|---|
| Примечание: указанные операции могут быть выполнены также с использованием веб-интерфейса FreeIPA. |
Редактирование событий аудита
В поставке FreeIPA предусмотрены следующие события аудита и соответствующие им маски (в 16-ричном виде):
| Название |
|---|
| маски аудита (событие аудита) | Значение маски аудита (hex) | Описание |
|---|---|---|
| open | 1 | открытие файла |
| create | 2 | создание файла |
| exec | 4 | запуск программы |
| delete | 8 | удаление файла |
| chmod | 10 | изменение прав доступа к файлу |
| chown | 20 | изменение владельца файла |
| mount | 40 | монтирование-размонтирование файловой системы |
| module | 80 | загрузка-выгрузка модуля |
| uid | 100 | изменение UID |
| gid | 200 | изменение GID |
| audit | 400 | смена списка протоколирования событий |
| acl | 800 | управление списком прав доступа |
| mac | 1000 | смена мандатных атрибутов |
| cap | 2000 | изменение привилегий |
| chroot | 4000 | изменение корневого каталога |
| rename | 8000 | переименование |
| net | 10000 | сетевые события |
| Информация |
|---|
| Примечание: в двоичном виде каждая встроенная маска аудита представляет собой битовую последовательность с одним значащим битом, остальные биты равны нулю. |
Для редактирования событий аудита предназначена группа команд ipa paudit-{add, del, find, show}.
Просмотр всех имеющихся событий аудита
Команда:
$ ipa paudit-find
...
| Блок кода |
|---|
$ ipa paudit-find ---------------------- найдено 17 масок аудита ----------------------- Название маски аудита: acl Значение маски аудита: 800 Название маски аудита: audit Значение маски аудита: 400 Название маски аудита: cap Значение маски аудита: 2000 Название маски аудита: chmod Значение маски аудита: 10 Название маски аудита: chown Значение маски аудита: 20 Название маски аудита: chroot Значение маски аудита: 4000 Название маски аудита: create Значение маски аудита: 2 Название маски аудита: delete Значение маски аудита: 8 Название маски аудита: exec Значение маски аудита: 4 Название маски аудита: gid Значение маски аудита: 200 Название маски аудита: mac Значение маски аудита: 1000 Название маски аудита: module Значение маски аудита: 80 Название маски аудита: mount Значение маски аудита: 40 Название маски аудита: net Значение маски аудита: 10000 Название маски аудита: open Значение маски аудита: 1 Название маски аудита: rename Значение маски аудита: 8000 Название маски аудита: uid Значение маски аудита: 100 ---------------------------------- Количество возвращённых записей 17 ---------------------------------- |
Создание
...
собственной маски события аудита
| Информация |
|---|
| Примечание: Возможность создания событий масок аудита может быть использована для создания собственных комбинированных масок (т.е. значением таких масок является сумма комбинации предустановленных масок). Это может быть полезно для ускорения процесса последующего администрирования. |
Команда:
$ ipa paudit-add <название_маски_события_аудита> --amaskrank=<значение_маски_события_аудита>
Пример вывода команды при создании собственного события аудита new со значением 0x20000 (0b100000000000000000):
| Блок кода |
|---|
$ ipa paudit-add new --amaskrank=20000 ---------------------------- Добавлена маска аудита "new" ---------------------------- Название маски: new Значение маски аудита: 20000 |
Просмотр маски событий аудита
Команда:
$ ipa paudit-show <название_маски_события_аудита>
Пример вывода команды просмотра события аудита new:
| Блок кода |
|---|
$ ipa paudit-show new Название маски аудита: new Значение маски аудита: 20000 |
Изменение маски события аудита
$ ipa paudit-mod <название_маски_события_аудита> --amaskrank=<значение_маски_события_аудита>
Пример вывода команды изменения события маски аудита new:
| Блок кода |
|---|
$ ipa paudit-mod new --amaskrank=40000 ---------------------------- Изменена маска аудита "new" ---------------------------- Название маски: new Значение маски аудита: 40000 |
Удаление
...
маски события аудита
Команда:
$ ipa paudit-del <название_маски_события_аудита>
Пример вывода команды удаления события аудита new:
| Блок кода |
|---|
$ ipa paudit-del new -------------------------- Удалена маска аудита "new" -------------------------- |
Редактирование маски аудита доменного пользователя
...
/группы
...
| Информация |
|---|
После изменения маски аудита необходимо перезапустить сессию пользователя, после чего записи о событиях аудита начнут поступать в файл /var/log/audit/audit.log на этом компьютере. |
...
Добавление маски аудита для доменного пользователя
...
/группы
...
Команды для добавления маски аудита успехов для пользователя/группыКоманда:
$ auditpolicyaudmasksucc-add-audmasksucc <название_маски_аудита> --amaskrank=<значение_маски_аудита> --amasktype=<тип_маски_аудита>
Здесь:
- <название_маски_аудита> задается в форме:
...
для пользователя
...
для других
...
users=<имя_пользователя_1> --users=<имя_пользователя_2> ...--users=<имя_пользователя_N>
$ audmasksucc-add-audmasksucc <название_маски_аудита> --amaskrank=<значение_маски_аудита> --groups=<имя_группы_1> --users=<имя_группы_2> ... --users=<имя_группы_N>
Команды для добавления маски аудита отказов для пользователя/группы:
$ audmaskfail-add-audmaskfail <название_маски_аудита> --amaskrank=<значение_маски_аудита> --users=<имя_пользователя_1> --users=<имя_пользователя_2> ...--users=<имя_пользователя_N>
$ audmaskfail-add-audmaskfail <название_маски_аудита> --amaskrank=<значение_маски_аудита> --groups=<имя_группы_1> --users=<имя_группы_2> ... --users=<имя_группы_N>
Пример выполнения команды добавления маски аудита события open для группы test_group
- <тип_маски_аудита> может быть: 0 - для пользователя, 1 - для группы, 2 - для других.
Пример вывода команды создания маски аудита для пользователя ipauser01:
| Блок кода |
|---|
$ ipa auditpolicyaudmasksucc-add-audmasksucc user:ipauser01open --amaskrank=0x8:0x8 --amasktype=0 --groups=test_group Название параметра аудита успеха: open Значение маски аудита успеха: 1 Пользователи-участники: ipauser00, ipauser01, ipauser02 Группы-участники: test_group ------------------------------------- ДобавленаКоличество маскадобавленных аудита "user:ipauser01"участников 1 ----------------------------------- |
Просмотр маски аудита для доменного пользователя/группы
Для просмотра текущей маски аудита для доменного пользователя/группы используются команды:
$ ipa user-show <имя_пользователя> --all
$ ipa group-show <имя_группы> --all
| Блок кода |
|---|
$ ipa group_show test_group -- Название маски аудита: user:ipauser01 Значение маски аудита: 0x8:0x8 Тип маски аудита: 0 |
Просмотр всех имеющихся в домене масок событий аудита для доменных пользователей, групп и других:
Команда:
$ ipa auditpolicy-find
Пример вывода команды:
all
dn: cn=test_group,cn=groups,cn=accounts,dc=testdomain,dc=test
Имя группы: test_group
ID группы: 1415200007
Пользователи-участники: ipauser00, ipauser01, ipauser02, ipauser04
ipauniqueid: e1e58840-db8b-11ed-9059-00a70dd3ddb8
memberof_audmasksucc: open
objectclass: top, groupofnames, nestedgroup, ipausergroup, ipaobject, x-ald-audit-policy,
posixgroup
x-ald-aud-mask: 0x1:0x0 |
Удаление маски аудита для пользователя/группы
Команды для удаления маски аудита успехов для пользователя/группы:
$ audmasksucc-remove-audmasksucc <название_маски_аудита> --amaskrank=<значение_маски_аудита> --users=<имя_пользователя_1> --users=<имя_пользователя_2> ...--users=<имя_пользователя_N>
$ audmasksucc-remove-audmasksucc <название_маски_аудита> --amaskrank=<значение_маски_аудита> --groups=<имя_группы_1> --users=<имя_группы_2> ... --users=<имя_группы_N>
Команды для удаления маски аудита отказов для пользователя/группы:
$ audmaskfail-remove-audmaskfail <название_маски_аудита> --amaskrank=<значение_маски_аудита> --users=<имя_пользователя_1> --users=<имя_пользователя_2> ...--users=<имя_пользователя_N>
$ audmaskfail-remove-audmaskfail <название_маски_аудита> --amaskrank=<значение_маски_аудита> --groups=<имя_группы_1> --users=<имя_группы_2> ... --users=<имя_группы_N>
Пример вывода команды удаления маски аудита успеха open для группы test_group:
| Блок кода |
|---|
$ ipa audmasksucc-remove-audmasksucc open --groups=test_group
Название параметра аудита успеха: open
Значение маски аудита успеха: 1
Пользователи-участники: ipauser00, ipauser01, ipauser02 |
| Блок кода |
$ ipa auditpolicy-find ---------------------- найдено 2 маски аудита ---------------------- Название маски аудита: other: Значение маски аудита: 0x0:0x0 Тип маски аудита: 2 Название маски аудита: user:ipauser01 Значение маски аудита: 0x8:0x8 Тип маски аудита: 0 --------------------------------- Количество возвращённыхудалённых записейучастников 21 --------------------------------- |
...
Редактирование маски аудита учтенных носителей информации
| Информация |
|---|
| После изменения маски аудита |
...
необходимо перезапустить сессию пользователя, после чего записи о событиях аудита начнут поступать в файл /var/log/audit/audit.log на этом компьютере. |
Добавление маски аудита для учтенных носителей информации
Команды для добавления маски аудита успехов:
$ audmasksucc-add-devaudmasksucc
Команда:
$ ipa auditpolicy-mod <название_маски_аудита> --parsecdevices=<устройство_1> --parsecdevices=<устройство_2> ...--amaskrank=<значениеparsecdevices=<устройство_N>
Команды для добавления маски аудита отказов:
$ audmaskfail-add-devaudmaskfail <название_маски_аудита> --amasktype=<тип_маски_аудита>
parsecdevices=<устройство_1> --parsecdevices=<устройство_2> ...--parsecdevices=<устройство_N>
Пример выполнения команды добавления маски аудита успеха open для устройства test_flash1:Пример вывода команды изменения маски аудита для пользователя ipauser01 на значение 0x2:0x2:
| Блок кода |
|---|
$ ipa auditpolicyaudmasksucc-add-moddevaudmasksucc user:ipauser01open --amaskrank=2:2 --amasktype=0 parsecdevices=test_flash1 Название маскипараметра аудита успеха: user:ipauser01open Значение маски аудита успеха: 0x2:0x21 Тип маски аудита: 0 |
Удаление маски аудита для пользователя, группы и других
Команда:
$ ipa auditpolicy-del
Пример вывода команды изменения маски аудита для пользователя ipauser01:
| Блок кода |
|---|
$ ipa auditpolicy-del user:ipauser01 -- Пользователи-участники: ipauser00, ipauser01, ipauser02 ----------------------------------- УдаленаКоличество маскадобавленных аудита "user:ipauser01" --участников 1 ----------------------------------- |
...
Удаление маски аудита для учтенных носителей информации
Работа по настройке аудита учтенных носителей информации производится командами ipa parsecdevice-{show, add, mod} c опциями --device-audsucc=<значение маски аудита успеха> и --device-audfail=<значение маски аудита отказа> .
При создании устройств, если иное не указано в параметрах создания, им автоматически присваивается маска 0x0:0x0, которая означает, что аудит для данного устройства не производится.
Просмотр маски аудита учтенного устройства
Команда:
$ ipa parsecdevice-show <название_учтенного_устройства>
Команды для удаления маски аудита успехов:
$ audmasksucc-remove-devaudmasksucc <название_маски_аудита> --parsecdevices=<устройство_1> --parsecdevices=<устройство_2> ...--parsecdevices=<устройство_N>
Команды для удаления маски аудита отказов:
$ audmaskfail-remove-devaudmaskfail <название_маски_аудита> --parsecdevices=<устройство_1> --parsecdevices=<устройство_2> ...--parsecdevices=<устройство_N>
Пример выполнения команды удаления маски аудита успеха open для Пример выводы команды просмотра аудита учтенного устройства test_flash1:
| Блок кода |
|---|
$ ipa parsecdeviceaudmasksucc-remove-show test_flash1 Название учтённого устройства: devaudmasksucc open --parsecdevices=test_flash1 Описание устройства: test_flash1 Правила учёта устройства: TRUE Владелец устройства: ipauser00 Группа устройства: ipausers Атрибуты устройства: ENV{ID_SERIAL}==QEMU_QEMU_HARDDISK_1X2Y3Z-0:0 Режим доступа к устройству: 666 Уровень конфиденциальности устройства: 1 Категории конфиденциальности устройства: 0 Аудит успеха устройства: 0x2 Аудит отказа устройства: 0x2 |
Изменение маски аудита учтенного устройства
Команда:
$ ipa parsecdevice-mod <название_учтенного_устройства> --device-audsucc <значение_маски_аудита_успеха_устройства> --device-audfail <значение_маски_аудита_отказа_устройства>
Пример вывода команды изменения маски аудита учтенного устройства test_flash1 на новое значение 0x8:0x8:
| Блок кода |
|---|
$ ipa parsecdevice-mod test_flash1 --device-audsucc=0x2 --device-audfail=0x8 ---Название параметра аудита успеха: open Значение маски аудита успеха: 1 Пользователи-участники: ipauser00, ipauser01, ipauser02 ------------------------------------- ИзмененоКоличество учтённоеудалённых устройство "test_flash1"участников 1 --------------------------------- |
Просмотр маски аудита учтенного устройства
Команда:
$ ipa parsecdevice-show <название_учтенного_устройства>
Пример выводы команды просмотра маски аудита учтенного устройства test_flash1:
| Блок кода |
|---|
$ ipa parsecdevice-show test_flash1-------- Название учтённого устройства: test_flash1 Описание устройства: test_flash1 Правила учёта устройства: TRUE Владелец устройства: ipauser00 Группа устройства: ipausers Атрибуты устройства: ENV{ID_SERIAL}==QEMU_QEMU_HARDDISK_1X2Y3Z-0:0 Режим доступа к устройству: 666 Уровень конфиденциальности устройства: 1 Категории конфиденциальности устройства: 0 Аудит успеха устройства: 0x80x1 Аудит отказа устройства: 0x80x1 |