Все факты начала и окончания работы пользователя фиксируется в журнале /var/log/auth.log
на клиентской машине. Например:
панель | ||||||
---|---|---|---|---|---|---|
| ||||||
Feb 19 12:32:48 nd-nout fly-dm: :0[3421]: pam_unix(fly-dm:session): session opened for user ivanov by (uid=0) |
Указанная запись содержит информацию о начале сессии для пользователя с учетной записью «ivanov
».
панель | ||||||
---|---|---|---|---|---|---|
| ||||||
Feb 19 13:15:38 ac-old login[3865]: pam_unix(login:session): session closed for user petrovich |
Указанная запись содержит информацию о завершении сессии для пользователя с учетной записью «petrovich
».
Кроме того, информация о начале и завершении работы пользователя попадает в журнал подсистемы безопасности parsec:
/var/log/parsec/user.mlog
, доступный для просмотра при помощи утилиты «userlog
». В журнале регистрируются события с типами «auth
» (вход), «exit
» (выход).
Например:
панель | ||||||
---|---|---|---|---|---|---|
| ||||||
|
Описание системы регистрации событий приведено в разделе 10 документа «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1». Дополнительная информация приведена на страницах справочного руководства «man
» для расширенной системы протоколирования, доступной по команде «man parselog
». В операционной системе специального назначения «Astra Linux Special Edition» обеспечивается регистрация всех событий в соответствии с требованиями документа «Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» ФСТЭК России, предъявляемых к средствам вычислительной техники третьего класса защищенности. Регистрация событий может быть проверена следующим образом: устанавливаем для пользователя (доменного) все возможные флаги аудита:
панель | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
Audit policy user:petrovich Audit success rules: ocxudntligarmphew nr f flag -- - ---- 0 o open 1 c create 2 x exec 3 u delete 4 d chmod 5 n chown 6 t mount 7 l module 8 i uid 9 g gid 10 a audit 11 r acl 12 m mac 13 p cap 14 h chroot 15 e rename 16 w net Audit fail rules: ocxudntligarmphew nr f flag -- - ---- 0 o open 1 c create 2 x exec 3 u delete 4 d chmod 5 n chown 6 t mount 7 l module 8 i uid 9 g gid 10 a audit 11 r acl 12 m mac 13 p cap 14 h chroot 15 e rename 16 w net |
Очищаем журнал событий на ЭВМ:
панель | ||||
---|---|---|---|---|
| ||||
> /var/log/parsec/kernel.mlog |
Выполняем вход в систему пользователем «petrovich
». Смотрим журнал событий командой kernlog
с фильтрацией по имени пользователя «petrovich
»:
панель | ||||||
---|---|---|---|---|---|---|
| ||||||
|
Имеется множество событий «open
» (открытие файла), «mount
» (монтирование и размонтирование), «create
» (создание объекта), «chown
» (изменение прав доступа пользователя). В домашнем каталоге пользователя «petrovich
» создаем каталог «testdir
» и в нем файл «testfile
». Владелец файлов — сам пользователь:
панель | ||||||
---|---|---|---|---|---|---|
| ||||||
|
панель | ||||||
---|---|---|---|---|---|---|
| ||||||
|
Устанавливаем на данные файлы флаги аудита:
панель | ||||||
---|---|---|---|---|---|---|
| ||||||
|
панель | ||||||
---|---|---|---|---|---|---|
| ||||||
|
После этого на ЭВМ пользователем «petrovich
» удаляем testdir/testfile
, создаем testdir/testfile2
. На сервере в журнале /var/log/parsec/kern.mlog
регистрируются события:
панель | ||||||
---|---|---|---|---|---|---|
| ||||||
чтение каталога: [f] 'Tue Feb 19 14:07:23 2013' '/usr/sbin/smbd' <6514,3024,0,0,2500> [s] open("/ald_export_home/petrovich/testdir",NO_PERMS | O_NONBLOCK | O_DIRECTORY) = 0 удаление файла: [f] 'Tue Feb 19 14:07:25 2013' '/usr/sbin/smbd' <6514,3024,0,0,2500> [s] unlink("/ald_export_home/petrovich/testdir/testfile (deleted)") = 0 создание файла: [f] 'Tue Feb 19 14:07:34 2013' '/usr/sbin/smbd' <6514,3024,0,0,2500> [s] create("/ald_export_home/petrovich/testdir/testfile2",-rw-r-----) = 0 [f] 'Tue Feb 19 14:07:34 2013' '/usr/sbin/smbd' <6514,3024,0,0,2500> [s] open("/ald_export_home/petrovich/testdir/testfile2",O_RDONLY | O_CREAT | O_NOFOLLOW) = 0 удаленное копирование: [f] 'Tue Feb 19 14:12:15 2013' '/usr/bin/scp' <6609,6606,0,0,0> [s] create("/ald_export_home/petrovich/testdir/remote_cp",-rw-r--r--) = 0 [f] 'Tue Feb 19 14:12:15 2013' '/usr/bin/scp' <6609,6606,0,0,0> [s] open("/ald_export_home/petrovich/testdir/remote_cp",O_RDONLY | O_CREAT) = 0 |
При создании объектов внутри каталога, для которой отслеживаются соответствующие события («create
»), создание любых объектов в ней регистрируется. При установке на файл мандатного уровня/категории регистрируется события «chmac
» (изменение мандатных атрибутов).
панель | ||||
---|---|---|---|---|
| ||||
|
панель | ||||||
---|---|---|---|---|---|---|
| ||||||
[f] 'Tue Feb 19 14:24:55 2013' '/bin/bash' <5891,5887,0,0,0> [s] open("/ald_export_home/petrovich/testdir",NO_PERMS | O_NONBLOCK | O_DIRECTORY) = 0 [f] 'Tue Feb 19 14:24:56 2013' '/usr/sbin/chmac' <6914,5891,0,0,0> [s] parsec_chmac("/ald_export_home/petrovich/testdir/testfile2",{1,0x0},0) = 0 |
Регистрация событий передачи по линиям и каналам связи является требованием документа ФСТЭК России «Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» и должна обеспечиваться конструктором АС. При этом операционная система специального назначения «Astra Linux Special Edition» предоставляет возможность регистрации подобного класса. Далее приведен протокол работы пользователя при обмене по сети с использованием утилиты ping.
панель | ||||
---|---|---|---|---|
| ||||
|
В протоколе зафиксированы все факты отправки и приема сетевых пакетов, а также IP-адреса отправителя и получателя. Порядок настройки системы регистрации событий описан в разделе 10 документа «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».
Существует известная проблема в версии 1.2, когда на клиентскую машину заходит пользователь под уровнем 0, то аудит событий перестает работать корректно. Для исправления на каждой клиентской машине, где будут заходить пользователи в файле /etc/pam.d/common-session
добавить в конец строку:
Информация | ||
---|---|---|
| ||
session optional pam_ald.so populate_krb5cc |
Если на сервер должны заходить пользователи, то на нем так же внести эти изменения. После этого желательно перезагрузить машины.