...
Редактирование событий аудита
В поставке Astra Linux предусмотрены следующие события аудита и соответствующие им маски (в 16-ричном виде)предустановлен следующий набор масок событий аудита:
Название маски аудита (событие аудита) | Значение маски аудита (hex) | Описание |
---|---|---|
open | 1 | открытие файла |
create | 2 | создание файла |
exec | 4 | запуск программы |
delete | 8 | удаление файла |
chmod | 10 | изменение прав доступа к файлу |
chown | 20 | изменение владельца файла |
mount | 40 | монтирование-размонтирование файловой системы |
module | 80 | загрузка-выгрузка модуля |
uid | 100 | изменение UID |
gid | 200 | изменение GID |
audit | 400 | смена списка протоколирования событий |
acl | 800 | управление списком прав доступа |
mac | 1000 | смена мандатных атрибутов |
cap | 2000 | изменение привилегий |
chroot | 4000 | изменение корневого каталога |
rename | 8000 | переименование |
net | 10000 | сетевые события |
...
Изменение маски события аудита
В целом это фи
Информация | ||
---|---|---|
| ||
Изменение масок событий аудита имеет смысл только по отношению к пользовательским (составным) маскам. Предустановленный набор масок изменять не следует. |
к
$ ipa paudit-mod <название_маски_аудита> --amaskrank=<значение_маски_аудита>
...
Удаление маски события аудита
Информация | ||
---|---|---|
| ||
Удаление масок событий аудита имеет смысл только по отношению к собственным составным маскам. Предустановленный набор масок аудита удалять не следует. |
Команда:
$ ipa paudit-del <название_маски_аудита>
...