...
В поставке Astra Linux предустановлен следующий набор базовых масок событий аудита:
| Название маски аудита (событие аудита) | Значение маски аудита (hex) | Описание |
|---|---|---|
| open | 1 | открытие файла |
| create | 2 | создание файла |
| exec | 4 | запуск программы |
| delete | 8 | удаление файла |
| chmod | 10 | изменение прав доступа к файлу |
| chown | 20 | изменение владельца файла |
| mount | 40 | монтирование-размонтирование файловой системы |
| module | 80 | загрузка-выгрузка модуля |
| uid | 100 | изменение UID |
| gid | 200 | изменение GID |
| audit | 400 | смена списка протоколирования событий |
| acl | 800 | управление списком прав доступа |
| mac | 1000 | смена мандатных атрибутов |
| cap | 2000 | изменение привилегий |
| chroot | 4000 | изменение корневого каталога |
| rename | 8000 | переименование |
| net | 10000 | сетевые события |
...
| Информация |
|---|
| Примечание: каждая встроенная базовая маска аудита представляет собой битовую последовательность с одним значащим битом, остальные биты равны нулю. |
Для редактирования событий работы с событиями аудита предназначена группа команд ipa paudit-{add, del, mod, find, show}.
Просмотр всех имеющихся событий аудита
...
| Блок кода |
|---|
$ ipa paudit-find ---------------------- найдено 17 масок аудита ----------------------- Название маски аудита: acl Значение маски аудита: 800 Название маски аудита: audit Значение маски аудита: 400 Название маски аудита: cap Значение маски аудита: 2000 Название маски аудита: chmod Значение маски аудита: 10 Название маски аудита: chown Значение маски аудита: 20 Название маски аудита: chroot Значение маски аудита: 4000 Название маски аудита: create Значение маски аудита: 2 Название маски аудита: delete Значение маски аудита: 8 Название маски аудита: exec Значение маски аудита: 4 Название маски аудита: gid Значение маски аудита: 200 Название маски аудита: mac Значение маски аудита: 1000 Название маски аудита: module Значение маски аудита: 80 Название маски аудита: mount Значение маски аудита: 40 Название маски аудита: net Значение маски аудита: 10000 Название маски аудита: open Значение маски аудита: 1 Название маски аудита: rename Значение маски аудита: 8000 Название маски аудита: uid Значение маски аудита: 100 ---------------------------------- Количество возвращённых записей 17 ---------------------------------- |
Создание
...
новой маски события аудита
| Информация |
|---|
| Примечание: Возможность создания новых масок аудита может быть использована для создания собственных составных масок (т.е. значением таких масок является сумма комбинаций предустановленных базовых масок). Такие Составные маски могут быть полезны для ускорения процесса администрирования. Базовые маски добавлять не следует. |
Команда:
$ ipa paudit-add <название_маски_аудита> --amaskrank=<значение_маски_аудита>
...
| Информация | ||
|---|---|---|
| ||
Изменение масок событий аудита имеет смысл только по отношению к собственным (т.е. добавленным пользователем) составным маскам. Маски Базовые маски из предустановленного набора изменять не следует. |
...
| Информация | ||
|---|---|---|
| ||
| Удаление масок событий аудита имеет смысл только по отношению к собственным (т.е. добавленным пользователем) составным маскам. Маски Базовые маски из предустановленного набора удалять не следует. |
...