Интерфейс комнды ipa позволяет:
...
| Оглавление |
|---|
| Информация |
|---|
Данная статья применима к:
|
- редактировать события аудита;
...
- редактировать маски аудита для доменного пользователя
...
- (группы
...
- );
...
- редактировать маски аудита для учтенных носителей информации.
...
Подробно механизм аудита Astra Linux описан в эксплуатационной документации, Руководство по КСЗ, часть 1.
Редактирование событий аудита
В
...
Astra Linux используется следующий набор базовых масок событий аудита:
| № п/п | Название маски аудита (событие аудита) |
|---|
...
| Значение маски аудита (hex) | Описание | |
|---|---|---|
| 1 | open |
...
| 0x0001 | открытие файла |
| 2 | create |
...
| 0x0002 | создание файла |
| 3 | exec |
...
| 0x0004 | запуск программы |
| 4 | delete |
...
| 0x0008 | удаление файла |
| 5 | chmod |
...
| 0x00010 | изменение прав доступа к файлу |
| 6 | chown |
...
| 0x00020 | изменение владельца файла |
| 7 | mount |
...
| 0x00040 | монтирование-размонтирование файловой системы |
| 8 | module |
...
| 0x00080 | загрузка-выгрузка модуля |
| 9 | uid |
...
| 0x00100 | изменение UID |
| 10 | gid |
...
| 0x00200 | изменение GID |
| 11 | audit |
...
| 0x00400 | смена списка протоколирования событий |
| 12 | acl |
...
| 0x00800 | управление списком прав доступа |
| 13 | mac |
...
| 0x01000 | смена мандатных атрибутов |
| 14 | cap |
...
| 0x02000 | изменение привилегий |
| 15 | chroot |
...
| 0x04000 | изменение корневого каталога |
| 16 | rename |
...
| 0x08000 | переименование |
| 17 | net |
...
| 0x10000 | сетевые события |
| Информация |
|---|
| Примечание: |
...
| каждая |
...
| базовая маска аудита представляет собой битовую последовательность с одним |
...
| единичным битом, остальные биты равны нулю |
...
| . В интерфейсе FreeIPA значение маски аудита задается в шестнадцатеричном виде (как с префиксом 0x, так и без него). |
Для работы с событиями
...
аудита предназначена группа команд ipa paudit-{add, del, mod, find, show}.
...
Просмотр всех имеющихся масок событий аудита
Команда:
...
| Command |
|---|
| ipa paudit-find |
Пример вывода команды:
| Блок кода |
|---|
...
----------------------
найдено 17 масок аудита
-----------------------
Название маски аудита: acl
Значение маски аудита: 800
Название маски аудита: audit
Значение маски аудита: 400
Название маски аудита: cap
Значение маски аудита: 2000
Название маски аудита: chmod
Значение маски аудита: 10
Название маски аудита: chown
Значение маски аудита: 20
Название маски аудита: chroot
Значение маски аудита: 4000
Название маски аудита: create
Значение маски аудита: 2
Название маски аудита: delete
Значение маски аудита: 8
Название маски аудита: exec
Значение маски аудита: 4
Название маски аудита: gid
Значение маски аудита: 200
Название маски аудита: mac
Значение маски аудита: 1000
Название маски аудита: module
Значение маски аудита: 80
Название маски аудита: mount
Значение маски аудита: 40
Название маски аудита: net
Значение маски аудита: 10000
Название маски аудита: open
Значение маски аудита: 1
Название маски аудита: rename
Значение маски аудита: 8000
Название маски аудита: uid
Значение маски аудита: 100
----------------------------------
Количество возвращённых записей 17
---------------------------------- |
Создание
...
новых масок событий аудита
| Информация |
|---|
| Примечание: Возможность создания |
...
| новых масок аудита может быть использована для создания |
...
| комбинированных масок (т.е. значением таких масок является сумма |
...
| комбинаций базовых масок). Комбинированные маски могут быть полезны для ускорения и упрощения процесса администрирования. Необходимые базовые маски входят в предустановленный набор и изменять их не следует. |
Команда:
...
| Command |
|---|
| ipa paudit-add <название_маски_ |
...
| аудита> --amaskrank=<значение_маски |
...
| _аудита> |
Пример
...
команды создания комбинированной маски fileaud со значением 0x883f, объединяющей следующие события аудита: acl (маска 0x800), chmod (маска 0x4000), chown (0x20), create (маска 0x2), delete (маска 0x8), exec (0x4), open (0x1), rename (0x8000):
| Command |
|---|
ipa paudit-add fileaud --amaskrank=883f |
Пример вывода команды:
| Блок кода |
|---|
---- |
...
----------------------------
Добавлена маска аудита " |
...
fileaud" -------------------------------- |
...
Название |
...
привилегии: |
...
fileaud |
...
Значение маски |
...
привилегии: |
...
883f |
Просмотр масок событий аудита
Команда:
| Command |
|---|
...
| ipa paudit-show <название_маски_ |
...
| аудита> |
Пример
...
команды просмотра события аудита
...
fileaud:
...
| Command |
|---|
...
ipa |
...
paudit-show |
...
fileaud |
Пример вывода команды:
| Блок кода |
|---|
Название |
...
привилегии: |
...
fileaud |
...
Значение маски |
...
привилегии: 883f |
...
Изменение маски события аудита
| Информация | ||
|---|---|---|
| ||
Изменение масок событий аудита |
...
имеет смысл только по отношению к добавленным пользователем комбинированным маскам. Базовые маски из предустановленного набора изменять не следует. |
Команда:
| Command |
|---|
| ipa paudit-mod <название_маски |
...
| _аудита> --amaskrank=<значение_маски_ |
...
| аудита> |
Пример
...
команды изменения
...
составной маски аудита fileaud при исключении из нее регистрации события открытия файла open (маска 0x1):
| Command |
|---|
ipa paudit-mod fileaud --amaskrank=883e |
Пример вывода команды:
| Блок кода |
|---|
----------------------------
Изменена маска аудита " |
...
fileaud" ---------------------------- Название маски: |
...
fileaud Значение маски аудита: |
...
883e |
Удаление маски события аудита
| Информация | ||
|---|---|---|
| ||
| Удаление масок событий аудита имеет смысл только по отношению к добавленным пользователем комбинированным маскам. Базовые маски из предустановленного набора удалять не следует. |
Команда:
| Command |
|---|
...
| ipa paudit-del <название_маски_ |
...
| аудита> |
Пример
...
команды удаления события аудита
...
fileaud:
...
| Command |
|---|
...
ipa |
...
paudit-del |
...
fileaud |
Пример вывода команды:
| Блок кода |
|---|
--------------------------
Удалена маска аудита " |
...
fileaud" -------------------------- |
Редактирование
...
масок аудита доменных пользователей
...
/групп
| Информация |
|---|
После изменения маски аудита необходимо перезапустить сессию пользователя, после чего записи о событиях аудита начнут поступать в файл /var/log/audit/audit.log на |
...
| компьютере пользователя. |
...
Добавление масок аудита для доменного пользователя
...
Команда:
...
/группы
Команды для добавления маски аудита успехов:
для пользователя:
Command audmasksucc-add-audmasksucc <название_маски_аудита> --
...
users=
...
<имя_
...
пользователя_
...
1> --
...
users=<имя_пользователя_2> ...–users=<имя_пользователя_N> для группы:
Command udmasksucc-add-audmasksucc <название_маски_аудита> --groups=<имя_группы_1> --users=<имя_группы_2> ... --users=<имя_группы_N>
Команды для добавления маски аудита отказов
Здесь:
...
:
для пользователя
...
для других
...
- <тип_маски_аудита> может быть: 0 - для пользователя, 1 - для группы, 2 - для других.
Пример вывода команды создания маски аудита для пользователя ipauser01:
...
:
Command audmaskfail-add-audmaskfail <название_маски_аудита> --users=<имя_пользователя_1> --users=<имя_пользователя_2> ...–users=<имя_пользователя_N> для группы:
Command audmaskfail-add-audmaskfail <название_маски_аудита> --groups=<имя_группы_1> --users=<имя_группы_2> ... --users=<имя_группы_N>
Пример команды добавления маски аудита события open для группы test_group:
| Command |
|---|
ipa audmasksucc-add-audmasksucc open --groups=test_group |
Вывод команды:
| Блок кода |
|---|
Название параметра аудита успеха: open Значение маски аудита успеха: 1 Пользователи-участники: ipauser00, ipauser01, ipauser02 Группы-участники: test_group ----------------------------------- |
...
|
...
Количество |
...
добавленных |
...
участников 1 ----------------------------------- |
Просмотр масок аудита доменного пользователя/группы
Для просмотра текущей маски аудита для доменного пользователя/группы используются команды:
для пользователя:
Command ipa user-show <имя_пользователя> --all для группы:
Command ipa group-show <имя_группы> --all
Пример команды:
| Command |
|---|
ipa group_show test_group -- |
...
Просмотр всех имеющихся в домене масок событий аудита для доменных пользователей, групп и других:
Команда:
$ ipa auditpolicy-find
Пример вывода команды:
...
all |
Вывод команды:
| Блок кода |
|---|
dn: cn=test_group,cn=groups,cn=accounts,dc=testdomain,dc=test
Имя группы: test_group
ID группы: 1415200007
Пользователи-участники: ipauser00, ipauser01, ipauser02, ipauser04
ipauniqueid: e1e58840-db8b-11ed-9059-00a70dd3ddb8
memberof_audmasksucc: open
objectclass: top, groupofnames, nestedgroup, ipausergroup, ipaobject, x-ald-audit-policy,
posixgroup
x-ald-aud-mask: 0x1:0x0 |
Удаление маски аудита пользователя/группы
Команды для удаления маски аудита успехов:
для пользователей:
Command audmasksucc-remove-audmasksucc <название_маски> --users=<имя_пользователя_1> --users=<имя_пользователя_2> ... --users=<имя_пользователя_N> для групп:
Command audmasksucc-remove-audmasksucc <название_маски> --groups=<имя_группы_1> --users=<имя_группы_2> ... --users=<имя_группы_N>
Команды для удаления маски аудита отказов:
для пользователей:
Command audmaskfail-remove-audmaskfail <название_маски> --users=<имя_пользователя_1> --users=<имя_пользователя_2> ... --users=<имя_пользователя_N> для групп:
Command audmaskfail-remove-audmaskfail <название_маски> --groups=<имя_группы_1> --groups=<имя_группы_2> ... --groups=<имя_группы_N>
Пример команды удаления маски аудита успеха open для группы test_group:
| Command |
|---|
ipa audmasksucc-remove-audmasksucc open --groups=test_group |
Пример вывода команды:
| Блок кода |
|---|
Название параметра аудита успеха: open Значение маски аудита успеха: 1 Пользователи-участники: ipauser00, ipauser01, ipauser02 --------------------------------- Количество |
...
удалённых |
...
участников |
...
1 --------------------------------- |
...
Изменение маски аудита для пользователя, группы и других
Команда:
...
Редактирование масок аудита учтенных носителей информации
| Информация |
|---|
После изменения маски аудита необходимо перезапустить сессию пользователя, после чего записи о событиях аудита начнут поступать в файл /var/log/audit/audit.log на этом компьютере. |
Добавление масок аудита учтенных носителей информации
Команды для добавления маски аудита успехов:
| Command |
|---|
| audmasksucc-add-devaudmasksucc <название_маски_аудита> |
...
| --parsecdevices=<устройство_1> --parsecdevices=<устройство_2> ...--parsecdevices=<устройство_N> |
Команды для добавления маски аудита отказов:
| Command |
|---|
| audmaskfail-add-devaudmaskfail <название_маски_аудита> --parsecdevices=<устройство_1> -- |
...
| parsecdevices= |
...
| <устройство_2> ...--parsecdevices=<устройство_N> |
Пример выполнения команды добавления маски аудита успеха open для устройства test_flash1:
| Блок кода |
|---|
$ ipa |
...
audmasksucc-add- |
...
devaudmasksucc |
...
open -- |
...
parsecdevices=test_flash1 Название |
...
параметра аудита успеха: |
...
open |
...
Значение маски аудита успеха: |
...
1 |
...
|
...
Удаление маски аудита для пользователя, группы и других
Команда:
$ ipa auditpolicy-del
Пример вывода команды изменения маски аудита для пользователя ipauser01:
...
Пользователи-участники: ipauser00, ipauser01, ipauser02 ----------------------------------- |
...
|
...
Количество |
...
добавленных |
...
участников 1 ----------------------------------- |
...
Удаление масок
...
аудита учтенных носителей информации
Работа по настройке аудита учтенных носителей информации производится командами ipa parsecdevice-{show, add, mod} c опциями --device-audsucc=<значение маски аудита успеха> и --device-audfail=<значение маски аудита отказа> .
При создании устройств, если иное не указано в параметрах создания, им автоматически присваивается маска 0x0:0x0, которая означает, что аудит для данного устройства не производится.
Просмотр маски аудита учтенного устройства
Команда:
$ ipa parsecdevice-show <название_учтенного_устройства>
...
Команды для удаления маски аудита успехов:
| Command |
|---|
| audmasksucc-remove-devaudmasksucc <название_маски_аудита> --parsecdevices=<устройство_1> --parsecdevices=<устройство_2> ...--parsecdevices=<устройство_N> |
Команды для удаления маски аудита отказов:
| Command |
|---|
| audmaskfail-remove-devaudmaskfail <название_маски_аудита> --parsecdevices=<устройство_1> --parsecdevices=<устройство_2> ...--parsecdevices=<устройство_N> |
Пример команды удаления маски аудита успеха open для устройства test_flash1:
...
| Command |
|---|
...
$ ipa parsecdevice-show test_flash1
Название учтённого устройства: test_flash1
Описание устройства: test_flash1
Правила учёта устройства: TRUE
Владелец устройства: ipauser00
Группа устройства: ipausers
Атрибуты устройства: ENV{ID_SERIAL}==QEMU_QEMU_HARDDISK_1X2Y3Z-0:0
Режим доступа к устройству: 666
Уровень конфиденциальности устройства: 1
Категории конфиденциальности устройства: 0
Аудит успеха устройства: 0x2
Аудит отказа устройства: 0x2Изменение маски аудита учтенного устройства
Команда:
$ ipa parsecdevice-mod <название_учтенного_устройства> --device-audsucc <значение_маски_аудита_успеха_устройства> --device-audfail <значение_маски_аудита_отказа_устройства>
Пример вывода команды изменения маски аудита учтенного устройства test_flash1 на новое значение 0x8:0x8:
ipa audmasksucc-remove-devaudmasksucc open --parsecdevices=test_flash1 |
Пример вывода команды:
| Блок кода |
|---|
Название параметра аудита успеха: open
Значение маски аудита успеха: 1
Пользователи-участники: ipauser00, ipauser01, ipauser02
|
...
---------------------------------
|
...
Количество |
...
удалённых |
...
участников 1 --------------------------------- |
Просмотр масок аудита учтенных носителей информации
Команда:
| Command |
|---|
| ipa parsecdevice- |
...
| show <название_учтенного_устройства> |
Пример команды просмотра маски аудита учтенного устройства test_flash1:
| Command |
|---|
ipa parsecdevice-show test_flash1 |
Пример вывода команды:
| Блок кода |
|---|
Название учтённого устройства: test_flash1 Описание устройства: test_flash1 Правила учёта устройства: TRUE Владелец устройства: ipauser00 Группа устройства: ipausers Атрибуты устройства: ENV{ID_SERIAL}==QEMU_QEMU_HARDDISK_1X2Y3Z-0:0 Режим доступа к устройству: 666 Уровень конфиденциальности устройства: 1 Категории конфиденциальности устройства: 0 Аудит успеха устройства: |
...
0x1 Аудит отказа устройства: |
...
0x1 |