Интерфейс комнды ipa
позволяет:
...
Оглавление |
---|
Информация |
---|
Данная статья применима к:
|
- редактировать события аудита;
...
- редактировать маски аудита для доменного пользователя
...
- (группы
...
- );
...
- редактировать маски аудита для учтенных носителей информации.
...
Подробно механизм аудита Astra Linux описан в эксплуатационной документации, Руководство по КСЗ, часть 1.
Редактирование событий аудита
В
...
Astra Linux используется следующий набор базовых масок событий аудита:
№ п/п | Название маски аудита (событие аудита) |
---|
...
Значение маски аудита (hex) | Описание | |
---|---|---|
1 | open |
...
0x0001 | открытие файла |
2 | create |
...
0x0002 | создание файла |
3 | exec |
...
0x0004 | запуск программы |
4 | delete |
...
0x0008 | удаление файла |
5 | chmod |
...
0x00010 | изменение прав доступа к файлу |
6 | chown |
...
0x00020 | изменение владельца файла |
7 | mount |
...
0x00040 | монтирование-размонтирование файловой системы |
8 | module |
...
0x00080 | загрузка-выгрузка модуля |
9 | uid |
...
0x00100 | изменение UID |
10 | gid |
...
0x00200 | изменение GID |
11 | audit |
...
0x00400 | смена списка протоколирования событий |
12 | acl |
...
0x00800 | управление списком прав доступа |
13 | mac |
...
0x01000 | смена мандатных атрибутов |
14 | cap |
...
0x02000 | изменение привилегий |
15 | chroot |
...
0x04000 | изменение корневого каталога |
16 | rename |
...
0x08000 | переименование |
17 | net |
...
0x10000 | сетевые события |
Информация |
---|
Примечание: |
...
каждая |
...
базовая маска аудита представляет собой битовую последовательность с одним |
...
единичным битом, остальные биты равны нулю |
...
. В интерфейсе FreeIPA значение маски аудита задается в шестнадцатеричном виде (как с префиксом 0x, так и без него). |
Для работы с событиями
...
аудита предназначена группа команд ipa paudit-{add, del, mod, find, show}
.
...
Просмотр всех имеющихся масок событий аудита
Команда:
...
Command |
---|
ipa paudit-find |
Пример вывода команды:
Блок кода |
---|
...
----------------------
найдено 17 масок аудита
-----------------------
Название маски аудита: acl
Значение маски аудита: 800
Название маски аудита: audit
Значение маски аудита: 400
Название маски аудита: cap
Значение маски аудита: 2000
Название маски аудита: chmod
Значение маски аудита: 10
Название маски аудита: chown
Значение маски аудита: 20
Название маски аудита: chroot
Значение маски аудита: 4000
Название маски аудита: create
Значение маски аудита: 2
Название маски аудита: delete
Значение маски аудита: 8
Название маски аудита: exec
Значение маски аудита: 4
Название маски аудита: gid
Значение маски аудита: 200
Название маски аудита: mac
Значение маски аудита: 1000
Название маски аудита: module
Значение маски аудита: 80
Название маски аудита: mount
Значение маски аудита: 40
Название маски аудита: net
Значение маски аудита: 10000
Название маски аудита: open
Значение маски аудита: 1
Название маски аудита: rename
Значение маски аудита: 8000
Название маски аудита: uid
Значение маски аудита: 100
----------------------------------
Количество возвращённых записей 17
---------------------------------- |
Создание
...
новых масок событий аудита
Информация |
---|
Примечание: Возможность создания |
...
новых масок аудита может быть использована для создания |
...
комбинированных масок (т.е. значением таких масок является сумма |
...
комбинаций базовых масок). Комбинированные маски могут быть полезны для ускорения и упрощения процесса администрирования. Необходимые базовые маски входят в предустановленный набор и изменять их не следует. |
Команда:
...
Command |
---|
ipa paudit-add <название_маски_ |
...
аудита> --amaskrank=<значение_маски |
...
_аудита> |
Пример
...
команды создания комбинированной маски fileaud со значением 0x883f, объединяющей следующие события аудита: acl (маска 0x800), chmod (маска 0x4000), chown (0x20), create (маска 0x2), delete (маска 0x8), exec (0x4), open (0x1), rename (0x8000):
Command |
---|
ipa paudit-add fileaud --amaskrank=883f |
Пример вывода команды:
Блок кода |
---|
---- |
...
----------------------------
Добавлена маска аудита " |
...
fileaud" -------------------------------- |
...
Название |
...
привилегии: |
...
fileaud |
...
Значение маски |
...
привилегии: |
...
883f |
Просмотр масок событий аудита
Команда:
Command |
---|
...
ipa paudit-show <название_маски_ |
...
аудита> |
Пример
...
команды просмотра события аудита
...
fileaud:
...
Command |
---|
...
ipa |
...
paudit-show |
...
fileaud |
Пример вывода команды:
Блок кода |
---|
Название |
...
привилегии: |
...
fileaud |
...
Значение маски |
...
привилегии: 883f |
...
Изменение маски события аудита
Информация | ||
---|---|---|
| ||
Изменение масок событий аудита |
...
имеет смысл только по отношению к добавленным пользователем комбинированным маскам. Базовые маски из предустановленного набора изменять не следует. |
Команда:
Command |
---|
ipa paudit-mod <название_маски |
...
_аудита> --amaskrank=<значение_маски_ |
...
аудита> |
Пример
...
команды изменения
...
составной маски аудита fileaud при исключении из нее регистрации события открытия файла open (маска 0x1):
Command |
---|
ipa paudit-mod fileaud --amaskrank=883e |
Пример вывода команды:
Блок кода |
---|
----------------------------
Изменена маска аудита " |
...
fileaud" ---------------------------- Название маски: |
...
fileaud Значение маски аудита: |
...
883e |
Удаление маски события аудита
Информация | ||
---|---|---|
| ||
Удаление масок событий аудита имеет смысл только по отношению к добавленным пользователем комбинированным маскам. Базовые маски из предустановленного набора удалять не следует. |
Команда:
Command |
---|
...
ipa paudit-del <название_маски_ |
...
аудита> |
Пример
...
команды удаления события аудита
...
fileaud:
...
Command |
---|
...
ipa |
...
paudit-del |
...
fileaud |
Пример вывода команды:
Блок кода |
---|
--------------------------
Удалена маска аудита " |
...
fileaud" -------------------------- |
Редактирование
...
масок аудита доменных пользователей
...
/групп
Информация |
---|
После изменения маски аудита необходимо перезапустить сессию пользователя, после чего записи о событиях аудита начнут поступать в файл /var/log/audit/audit.log на |
...
компьютере пользователя. |
...
Добавление масок аудита для доменного пользователя
...
Команда:
...
/группы
Команды для добавления маски аудита успехов:
для пользователя:
Command audmasksucc-add-audmasksucc <название_маски_аудита> --
...
users=
...
<имя_
...
пользователя_
...
1> --
...
users=<имя_пользователя_2> ...–users=<имя_пользователя_N> для группы:
Command udmasksucc-add-audmasksucc <название_маски_аудита> --groups=<имя_группы_1> --users=<имя_группы_2> ... --users=<имя_группы_N>
Команды для добавления маски аудита отказов
Здесь:
...
:
для пользователя
...
для других
...
- <тип_маски_аудита> может быть: 0 - для пользователя, 1 - для группы, 2 - для других.
Пример вывода команды создания маски аудита для пользователя ipauser01:
...
:
Command audmaskfail-add-audmaskfail <название_маски_аудита> --users=<имя_пользователя_1> --users=<имя_пользователя_2> ...–users=<имя_пользователя_N> для группы:
Command audmaskfail-add-audmaskfail <название_маски_аудита> --groups=<имя_группы_1> --users=<имя_группы_2> ... --users=<имя_группы_N>
Пример команды добавления маски аудита события open для группы test_group:
Command |
---|
ipa audmasksucc-add-audmasksucc open --groups=test_group |
Вывод команды:
Блок кода |
---|
Название параметра аудита успеха: open Значение маски аудита успеха: 1 Пользователи-участники: ipauser00, ipauser01, ipauser02 Группы-участники: test_group ----------------------------------- |
...
|
...
Количество |
...
добавленных |
...
участников 1 ----------------------------------- |
Просмотр масок аудита доменного пользователя/группы
Для просмотра текущей маски аудита для доменного пользователя/группы используются команды:
для пользователя:
Command ipa user-show <имя_пользователя> --all для группы:
Command ipa group-show <имя_группы> --all
Пример команды:
Command |
---|
ipa group_show test_group -- |
...
Просмотр всех имеющихся в домене масок событий аудита для доменных пользователей, групп и других:
Команда:
$ ipa auditpolicy-find
Пример вывода команды:
...
all |
Вывод команды:
Блок кода |
---|
dn: cn=test_group,cn=groups,cn=accounts,dc=testdomain,dc=test
Имя группы: test_group
ID группы: 1415200007
Пользователи-участники: ipauser00, ipauser01, ipauser02, ipauser04
ipauniqueid: e1e58840-db8b-11ed-9059-00a70dd3ddb8
memberof_audmasksucc: open
objectclass: top, groupofnames, nestedgroup, ipausergroup, ipaobject, x-ald-audit-policy,
posixgroup
x-ald-aud-mask: 0x1:0x0 |
Удаление маски аудита пользователя/группы
Команды для удаления маски аудита успехов:
для пользователей:
Command audmasksucc-remove-audmasksucc <название_маски> --users=<имя_пользователя_1> --users=<имя_пользователя_2> ... --users=<имя_пользователя_N> для групп:
Command audmasksucc-remove-audmasksucc <название_маски> --groups=<имя_группы_1> --users=<имя_группы_2> ... --users=<имя_группы_N>
Команды для удаления маски аудита отказов:
для пользователей:
Command audmaskfail-remove-audmaskfail <название_маски> --users=<имя_пользователя_1> --users=<имя_пользователя_2> ... --users=<имя_пользователя_N> для групп:
Command audmaskfail-remove-audmaskfail <название_маски> --groups=<имя_группы_1> --groups=<имя_группы_2> ... --groups=<имя_группы_N>
Пример команды удаления маски аудита успеха open для группы test_group:
Command |
---|
ipa audmasksucc-remove-audmasksucc open --groups=test_group |
Пример вывода команды:
Блок кода |
---|
Название параметра аудита успеха: open Значение маски аудита успеха: 1 Пользователи-участники: ipauser00, ipauser01, ipauser02 --------------------------------- Количество |
...
удалённых |
...
участников |
...
1 --------------------------------- |
...
Изменение маски аудита для пользователя, группы и других
Команда:
...
Редактирование масок аудита учтенных носителей информации
Информация |
---|
После изменения маски аудита необходимо перезапустить сессию пользователя, после чего записи о событиях аудита начнут поступать в файл /var/log/audit/audit.log на этом компьютере. |
Добавление масок аудита учтенных носителей информации
Команды для добавления маски аудита успехов:
Command |
---|
audmasksucc-add-devaudmasksucc <название_маски_аудита> |
...
--parsecdevices=<устройство_1> --parsecdevices=<устройство_2> ...--parsecdevices=<устройство_N> |
Команды для добавления маски аудита отказов:
Command |
---|
audmaskfail-add-devaudmaskfail <название_маски_аудита> --parsecdevices=<устройство_1> -- |
...
parsecdevices= |
...
<устройство_2> ...--parsecdevices=<устройство_N> |
Пример выполнения команды добавления маски аудита успеха open для устройства test_flash1:
Блок кода |
---|
$ ipa |
...
audmasksucc-add- |
...
devaudmasksucc |
...
open -- |
...
parsecdevices=test_flash1 Название |
...
параметра аудита успеха: |
...
open |
...
Значение маски аудита успеха: |
...
1 |
...
|
...
Удаление маски аудита для пользователя, группы и других
Команда:
$ ipa auditpolicy-del
Пример вывода команды изменения маски аудита для пользователя ipauser01:
...
Пользователи-участники: ipauser00, ipauser01, ipauser02 ----------------------------------- |
...
|
...
Количество |
...
добавленных |
...
участников 1 ----------------------------------- |
...
Удаление масок
...
аудита учтенных носителей информации
Работа по настройке аудита учтенных носителей информации производится командами ipa parsecdevice-{show, add, mod}
c опциями --device-audsucc=<значение маски аудита успеха>
и --device-audfail=<значение маски аудита отказа> .
При создании устройств, если иное не указано в параметрах создания, им автоматически присваивается маска 0x0:0x0, которая означает, что аудит для данного устройства не производится.
Просмотр маски аудита учтенного устройства
Команда:
$ ipa parsecdevice-show <название_учтенного_устройства>
...
Команды для удаления маски аудита успехов:
Command |
---|
audmasksucc-remove-devaudmasksucc <название_маски_аудита> --parsecdevices=<устройство_1> --parsecdevices=<устройство_2> ...--parsecdevices=<устройство_N> |
Команды для удаления маски аудита отказов:
Command |
---|
audmaskfail-remove-devaudmaskfail <название_маски_аудита> --parsecdevices=<устройство_1> --parsecdevices=<устройство_2> ...--parsecdevices=<устройство_N> |
Пример команды удаления маски аудита успеха open для устройства test_flash1:
...
Command |
---|
...
$ ipa parsecdevice-show test_flash1
Название учтённого устройства: test_flash1
Описание устройства: test_flash1
Правила учёта устройства: TRUE
Владелец устройства: ipauser00
Группа устройства: ipausers
Атрибуты устройства: ENV{ID_SERIAL}==QEMU_QEMU_HARDDISK_1X2Y3Z-0:0
Режим доступа к устройству: 666
Уровень конфиденциальности устройства: 1
Категории конфиденциальности устройства: 0
Аудит успеха устройства: 0x2
Аудит отказа устройства: 0x2
Изменение маски аудита учтенного устройства
Команда:
$ ipa parsecdevice-mod <название_учтенного_устройства> --device-audsucc <значение_маски_аудита_успеха_устройства> --device-audfail <значение_маски_аудита_отказа_устройства>
Пример вывода команды изменения маски аудита учтенного устройства test_flash1 на новое значение 0x8:0x8:
ipa audmasksucc-remove-devaudmasksucc open --parsecdevices=test_flash1 |
Пример вывода команды:
Блок кода |
---|
Название параметра аудита успеха: open
Значение маски аудита успеха: 1
Пользователи-участники: ipauser00, ipauser01, ipauser02
|
...
---------------------------------
|
...
Количество |
...
удалённых |
...
участников 1 --------------------------------- |
Просмотр масок аудита учтенных носителей информации
Команда:
Command |
---|
ipa parsecdevice- |
...
show <название_учтенного_устройства> |
Пример команды просмотра маски аудита учтенного устройства test_flash1:
Command |
---|
ipa parsecdevice-show test_flash1 |
Пример вывода команды:
Блок кода |
---|
Название учтённого устройства: test_flash1 Описание устройства: test_flash1 Правила учёта устройства: TRUE Владелец устройства: ipauser00 Группа устройства: ipausers Атрибуты устройства: ENV{ID_SERIAL}==QEMU_QEMU_HARDDISK_1X2Y3Z-0:0 Режим доступа к устройству: 666 Уровень конфиденциальности устройства: 1 Категории конфиденциальности устройства: 0 Аудит успеха устройства: |
...
0x1 Аудит отказа устройства: |
...
0x1 |