...
Информация |
---|
Примечание: указанные операции могут быть выполнены также с использованием веб-интерфейса FreeIPA. |
Редактирование событий аудита
В поставке Astra Linux предустановлен следующий набор базовых масок событий аудита:
...
Для работы с событиями аудита предназначена группа команд ipa paudit-{add, del, mod, find, show}
.
Просмотр всех имеющихся событий аудита
Команда:
$ ipa paudit-find
...
Блок кода |
---|
$ ipa paudit-find ---------------------- найдено 17 масок аудита ----------------------- Название маски аудита: acl Значение маски аудита: 800 Название маски аудита: audit Значение маски аудита: 400 Название маски аудита: cap Значение маски аудита: 2000 Название маски аудита: chmod Значение маски аудита: 10 Название маски аудита: chown Значение маски аудита: 20 Название маски аудита: chroot Значение маски аудита: 4000 Название маски аудита: create Значение маски аудита: 2 Название маски аудита: delete Значение маски аудита: 8 Название маски аудита: exec Значение маски аудита: 4 Название маски аудита: gid Значение маски аудита: 200 Название маски аудита: mac Значение маски аудита: 1000 Название маски аудита: module Значение маски аудита: 80 Название маски аудита: mount Значение маски аудита: 40 Название маски аудита: net Значение маски аудита: 10000 Название маски аудита: open Значение маски аудита: 1 Название маски аудита: rename Значение маски аудита: 8000 Название маски аудита: uid Значение маски аудита: 100 ---------------------------------- Количество возвращённых записей 17 ---------------------------------- |
Создание новой маски события аудита
Информация |
---|
Примечание: Возможность создания новых масок аудита может быть использована для создания составных масок (т.е. значением таких масок является сумма комбинаций базовых масок). Составные маски могут быть полезны для ускорения процесса администрирования. Необходимые базовые маски входят в предустановленный набор и их добавлять не следует. |
...
Блок кода |
---|
$ ipa paudit-add fileaud --amaskrank=883f -------------------------------- Добавлена маска аудита "fileaud" -------------------------------- Название привилегии: fileaud Значение маски привилегии: 883f |
Просмотр маски событий аудита
Команда:
$ ipa paudit-show <название_маски_аудита>
...
Блок кода |
---|
$ ipa paudit-show fileaud Название привилегии: fileaud Значение маски привилегии: 883f |
Изменение маски события аудита
Информация | ||
---|---|---|
| ||
Изменение масок событий аудита имеет смысл только по отношению к собственным (т.е. добавленным пользователем) составным маскам. Базовые маски из предустановленного набора изменять не следует. |
...
Блок кода |
---|
$ ipa paudit-mod fileaud --amaskrank=883e ---------------------------- Изменена маска аудита "fileaud" ---------------------------- Название маски: fileaud Значение маски аудита: 883e |
Удаление маски события аудита
Информация | ||
---|---|---|
| ||
Удаление масок событий аудита имеет смысл только по отношению к собственным (т.е. добавленным пользователем) составным маскам. Базовые маски из предустановленного набора удалять не следует. |
...
Блок кода |
---|
$ ipa paudit-del fileaud -------------------------- Удалена маска аудита "fileaud" -------------------------- |
Редактирование маски аудита доменного пользователя/группы
Информация |
---|
После изменения маски аудита необходимо перезапустить сессию пользователя, после чего записи о событиях аудита начнут поступать в файл /var/log/audit/audit.log на этом компьютере. |
Добавление маски аудита для доменного пользователя/группы
Команды для добавления маски аудита успехов для пользователя/группы:
...
Блок кода |
---|
$ ipa audmasksucc-add-audmasksucc open --groups=test_group Название параметра аудита успеха: open Значение маски аудита успеха: 1 Пользователи-участники: ipauser00, ipauser01, ipauser02 Группы-участники: test_group ----------------------------------- Количество добавленных участников 1 ----------------------------------- |
Просмотр маски аудита для доменного пользователя/группы
Для просмотра текущей маски аудита для доменного пользователя/группы используются команды:
...
Блок кода |
---|
$ ipa group_show test_group --all dn: cn=test_group,cn=groups,cn=accounts,dc=testdomain,dc=test Имя группы: test_group ID группы: 1415200007 Пользователи-участники: ipauser00, ipauser01, ipauser02, ipauser04 ipauniqueid: e1e58840-db8b-11ed-9059-00a70dd3ddb8 memberof_audmasksucc: open objectclass: top, groupofnames, nestedgroup, ipausergroup, ipaobject, x-ald-audit-policy, posixgroup x-ald-aud-mask: 0x1:0x0 |
Удаление маски аудита для пользователя/группы
Команды для удаления маски аудита успехов для пользователей/групп:
...
Блок кода |
---|
$ ipa audmasksucc-remove-audmasksucc open --groups=test_group Название параметра аудита успеха: open Значение маски аудита успеха: 1 Пользователи-участники: ipauser00, ipauser01, ipauser02 --------------------------------- Количество удалённых участников 1 --------------------------------- |
Редактирование маски аудита учтенных носителей информации
Информация |
---|
После изменения маски аудита необходимо перезапустить сессию пользователя, после чего записи о событиях аудита начнут поступать в файл /var/log/audit/audit.log на этом компьютере. |
Добавление маски аудита для учтенных носителей информации
Команды для добавления маски аудита успехов:
...
Блок кода |
---|
$ ipa audmasksucc-add-devaudmasksucc open --parsecdevices=test_flash1 Название параметра аудита успеха: open Значение маски аудита успеха: 1 Пользователи-участники: ipauser00, ipauser01, ipauser02 ----------------------------------- Количество добавленных участников 1 ----------------------------------- |
Удаление маски аудита для учтенных носителей информации
Команды для удаления маски аудита успехов:
...
Блок кода |
---|
$ ipa audmasksucc-remove-devaudmasksucc open --parsecdevices=test_flash1 Название параметра аудита успеха: open Значение маски аудита успеха: 1 Пользователи-участники: ipauser00, ipauser01, ipauser02 --------------------------------- Количество удалённых участников 1 --------------------------------- |
Просмотр маски аудита учтенного устройства
Команда:
$ ipa parsecdevice-show <название_учтенного_устройства>
...