...
Редактирование событий аудита
В поставке Astra Linux предусмотрены следующие события аудита и соответствующие им маски (в 16-ричном виде)предустановлен следующий набор масок событий аудита:
| Название маски аудита (событие аудита) | Значение маски аудита (hex) | Описание |
|---|---|---|
| open | 1 | открытие файла |
| create | 2 | создание файла |
| exec | 4 | запуск программы |
| delete | 8 | удаление файла |
| chmod | 10 | изменение прав доступа к файлу |
| chown | 20 | изменение владельца файла |
| mount | 40 | монтирование-размонтирование файловой системы |
| module | 80 | загрузка-выгрузка модуля |
| uid | 100 | изменение UID |
| gid | 200 | изменение GID |
| audit | 400 | смена списка протоколирования событий |
| acl | 800 | управление списком прав доступа |
| mac | 1000 | смена мандатных атрибутов |
| cap | 2000 | изменение привилегий |
| chroot | 4000 | изменение корневого каталога |
| rename | 8000 | переименование |
| net | 10000 | сетевые события |
...
Изменение маски события аудита
В целом это фи
| Информация | ||
|---|---|---|
| ||
Изменение масок событий аудита имеет смысл только по отношению к пользовательским (составным) маскам. Предустановленный набор масок изменять не следует. |
к
$ ipa paudit-mod <название_маски_аудита> --amaskrank=<значение_маски_аудита>
...
Удаление маски события аудита
| Информация | ||
|---|---|---|
| ||
| Удаление масок событий аудита имеет смысл только по отношению к собственным составным маскам. Предустановленный набор масок аудита удалять не следует. |
Команда:
$ ipa paudit-del <название_маски_аудита>
...