| Оглавление |
|---|
| Информация |
|---|
Данная статья применима к:
|
Введение
В настоящей статье описывается интерфейс командной строки (command line interface, CLI) FreeIPA в части работы с регистрацией событий безопасности (аудитом). Указанные операции могут быть выполнены также с использованием Web-интерфейса FreeIPA.
CLI FreeIPA позволяет:
- редактировать события аудита;
- редактировать маски аудита для доменного пользователя (группы);
- редактировать маски аудита для учтенных носителей информации.
Подробно механизм аудита Astra Linux описан в эксплуатационной документации, Руководство по КСЗ, часть 1.
Редактирование событий аудита
В Astra Linux используется следующий набор базовых масок событий аудита:
| № п/п | Название маски аудита (событие аудита) | Значение маски аудита (hex) | Описание |
|---|---|---|---|
| 1 | open | 0x0001 | открытие файла |
| 2 | create | 0x0002 | создание файла |
| 3 | exec | 0x0004 | запуск программы |
| 4 | delete | 0x0008 | удаление файла |
| 5 | chmod | 0x00010 | изменение прав доступа к файлу |
| 6 | chown | 0x00020 | изменение владельца файла |
| 7 | mount | 0x00040 | монтирование-размонтирование файловой системы |
| 8 | module | 0x00080 | загрузка-выгрузка модуля |
| 9 | uid | 0x00100 | изменение UID |
| 10 | gid | 0x00200 | изменение GID |
| 11 | audit | 0x00400 | смена списка протоколирования событий |
| 12 | acl | 0x00800 | управление списком прав доступа |
| 13 | mac | 0x01000 | смена мандатных атрибутов |
| 14 | cap | 0x02000 | изменение привилегий |
| 15 | chroot | 0x04000 | изменение корневого каталога |
| 16 | rename | 0x08000 | переименование |
| 17 | net | 0x10000 | сетевые события |
| Информация |
|---|
| Примечание: каждая базовая маска аудита представляет собой битовую последовательность с одним единичным битом, остальные биты равны нулю. В интерфейсе FreeIPA значение маски аудита задается в шестнадцатеричном виде (как с префиксом 0x, так и без него). |
Для работы с событиями аудита предназначена группа команд ipa paudit-{add, del, mod, find, show}.
Просмотр всех имеющихся масок событий аудита
Команда:
| Command |
|---|
| ipa paudit-find |
Пример вывода команды:
| Блок кода |
|---|
----------------------
найдено 17 масок аудита
----------------------- |
Интерфейс комнды ipa позволяет:
- редактировать маски событий аудита;
- редактировать маски аудита для доменного пользователя/группы;
- редактировать маски аудита для учтенных носителей информации.
| Информация |
|---|
| Примечание: указанные операции могут быть выполнены также с использованием веб-интерфейса FreeIPA. |
Редактирование событий аудита
В поставке FreeIPA предусмотрены следующие события аудита и соответствующие им маски (в 16-ричном виде):
...
| Информация |
|---|
| Примечание: каждая встроенная маска аудита представляет собой битовую последовательность с одним значащим битом, остальные биты равны нулю. |
Для редактирования событий аудита предназначена группа команд ipa paudit-{add, del, find, show}.
Просмотр всех имеющихся событий аудита
Команда:
$ ipa paudit-find
Пример вывода команды:
...
Название маски аудита: |
...
acl Значение маски аудита: |
...
800 Название маски аудита: |
...
audit Значение маски аудита: |
...
400 Название маски аудита: |
...
cap Значение маски аудита: |
...
2000 Название маски аудита: |
...
chmod Значение маски аудита: |
...
10 Название маски аудита: |
...
chown Значение маски аудита: |
...
20 Название маски аудита: |
...
chroot Значение маски аудита: |
...
4000 Название маски аудита: |
...
create Значение маски аудита: |
...
2 Название маски аудита: |
...
delete Значение маски аудита: |
...
8 Название маски аудита: |
...
exec Значение маски аудита: |
...
4 Название маски аудита: |
...
gid Значение маски аудита: |
...
200 Название маски аудита: |
...
mac Значение маски аудита: |
...
1000 Название маски аудита: |
...
module Значение маски аудита: |
...
80 Название маски аудита: |
...
mount Значение маски аудита: |
...
40 Название маски аудита: |
...
net Значение маски аудита: |
...
10000 Название маски аудита: open Значение маски аудита: 1 Название маски аудита: rename Значение маски аудита: 8000 Название маски аудита: uid Значение маски аудита: 100 ---------------------------------- |
...
Количество возвращённых записей 17
---------------------------------- |
Создание новых масок событий аудита
| Информация |
|---|
| Примечание: Возможность создания новых масок аудита может быть использована для создания |
...
| комбинированных масок (т.е. значением таких масок является сумма |
...
| комбинаций базовых масок). Комбинированные маски могут быть полезны для ускорения и упрощения процесса администрирования. Необходимые базовые маски входят в предустановленный набор и изменять их не следует. |
Команда:
| Command |
|---|
| ipa paudit-add <название_маски_аудита> --amaskrank=<значение_маски_аудита> |
Пример команды создания комбинированной маски fileaud со значением 0x883f, объединяющей следующие события аудита: acl (маска 0x800), chmod (маска 0x4000), chown (0x20), create (маска 0x2), delete (маска 0x8), exec (0x4), open (0x1), rename (0x8000):
| Command |
|---|
ipa paudit-add fileaud --amaskrank=883f |
Пример вывода команды:
| Блок кода |
|---|
---- |
Команда:
$ ipa paudit-add <название_маски_аудита> --amaskrank=<значение_маски_аудита>
Пример вывода команды при создании собственного события аудита new со значением 0x20000 (0b100000000000000000):
...
----------------------------
Добавлена маска аудита " |
...
fileaud" -------------------------------- |
...
Название |
...
привилегии: |
...
fileaud |
...
Значение маски |
...
привилегии: |
...
883f |
Просмотр
...
масок событий аудита
Команда:
| Command |
|---|
...
| ipa paudit-show <название_маски_аудита> |
Пример
...
команды просмотра события аудита
...
fileaud:
...
| Command |
|---|
...
ipa |
...
paudit-show |
...
fileaud |
Пример вывода команды:
| Блок кода |
|---|
Название |
...
привилегии: |
...
fileaud |
...
Значение маски |
...
привилегии: |
...
883f |
Изменение маски события аудита
...
| Информация | ||
|---|---|---|
| ||
Изменение масок событий аудита имеет смысл только по отношению к добавленным пользователем комбинированным маскам. Базовые маски из предустановленного набора изменять не следует. |
Команда:
| Command |
|---|
| ipa paudit-mod <название_маски_аудита> --amaskrank=<значение_маски_аудита> |
Пример
...
команды изменения составной маски аудита
...
fileaud при исключении из нее регистрации события открытия файла open (маска 0x1):
...
| Command |
|---|
...
ipa |
...
paudit-mod |
...
fileaud --amaskrank= |
...
883e |
Пример вывода команды:
| Блок кода |
|---|
----------------------------
Изменена маска аудита " |
...
fileaud" ---------------------------- Название маски: |
...
fileaud Значение маски аудита: |
...
883e |
Удаление маски события
...
аудита
| Информация | ||
|---|---|---|
| ||
| Удаление масок событий аудита имеет смысл только по отношению к добавленным пользователем комбинированным маскам. Базовые маски из предустановленного набора удалять не следует. |
Команда:
| Command |
|---|
...
| ipa paudit-del <название_маски_аудита> |
Пример
...
команды удаления события аудита
...
fileaud:
...
| Command |
|---|
...
ipa |
...
paudit-del |
...
fileaud |
Пример вывода команды:
| Блок кода |
|---|
--------------------------
Удалена маска аудита " |
...
fileaud" -------------------------- |
Редактирование
...
масок аудита
...
доменных пользователей/
...
групп
| Информация |
|---|
После изменения маски аудита необходимо перезапустить сессию пользователя, после чего записи о событиях аудита начнут поступать в файл /var/log/audit/audit.log на |
...
| компьютере пользователя. |
Добавление
...
масок аудита для доменного пользователя/группы
Команды для добавления маски аудита успехов:
для пользователя
...
:
Command
...
audmasksucc-add-audmasksucc <название
...
_маски_аудита> --users=<имя_пользователя_1> --users=<имя_пользователя_2> ...
...
–users=<имя_пользователя_N>
...
для группы:
Command udmasksucc
...
-add-audmasksucc <название_маски_аудита> --
...
groups=<имя_группы_1> --users=<имя_группы_2> ... --users=<имя_группы_N>
Команды для добавления маски аудита отказов:
для пользователя
...
:
Command
...
audmaskfail-add-audmaskfail <название_маски_аудита> --
...
users=<имя_пользователя_1> --users=<имя_пользователя_2> ...
...
–users=<имя_пользователя_N> для группы:
Command
...
audmaskfail-add-audmaskfail <название
...
_маски_аудита> --groups=<имя_группы_1> --users=<имя_группы_2> ... --users=<имя_группы_N>
Пример
...
команды добавления маски аудита события open для группы test_group:
...
| Command |
|---|
...
ipa |
...
audmasksucc-add-audmasksucc |
...
open |
...
--groups=test_group |
...
Вывод команды:
| Блок кода |
|---|
Название параметра аудита успеха: open
Значение маски аудита успеха: 1
Пользователи-участники: ipauser00, ipauser01, ipauser02
Группы-участники: test_group
-----------------------------------
Количество добавленных участников 1
----------------------------------- |
Просмотр
...
масок аудита
...
доменного пользователя/группы
Для просмотра текущей маски аудита для доменного пользователя/группы используются команды:
для пользователя:
Command
...
ipa user-show <имя_пользователя> --all
...
для группы:
Command ipa group-show <имя_группы> --all
Пример команды:
...
| Command |
|---|
...
ipa |
...
group_show |
...
test_group |
...
--all |
...
Вывод команды:
| Блок кода |
|---|
dn: cn=test_group,cn=groups,cn=accounts,dc=testdomain,dc=test
Имя группы: test_group
ID группы: 1415200007
Пользователи-участники: ipauser00, ipauser01, ipauser02, ipauser04
ipauniqueid: e1e58840-db8b-11ed-9059-00a70dd3ddb8
memberof_audmasksucc: open
objectclass: top, groupofnames, nestedgroup, ipausergroup, ipaobject, x-ald-audit-policy,
posixgroup
x-ald-aud-mask: 0x1:0x0 |
Удаление маски аудита
...
пользователя/группы
Команды для удаления маски аудита успехов:
для
...
пользователей:
Command
...
audmasksucc-remove-audmasksucc <название_
...
маски> --
...
users=<имя_пользователя_1> --users=<имя_пользователя_2> ... --users=<имя_пользователя_N> для групп:
Command
...
audmasksucc-remove-audmasksucc <название_
...
маски> --
...
groups=<имя_группы_1> --users=<имя_группы_2> ... --users=<имя_группы_N>
Команды для удаления маски аудита отказов:
для
...
пользователей:
Command
...
audmaskfail-remove
...
-audmaskfail <название_маски> --users=<имя_пользователя_1> --users=<имя_пользователя_2> ... --users=<имя_пользователя_N>
...
для групп:
Command audmaskfail-remove-audmaskfail <название_
...
маски> --groups=<имя_группы_1> --
...
groups=<имя_группы_2> ... --
...
groups=<имя_группы_N>
Пример
...
команды удаления маски аудита успеха open для группы test_group:
...
| Command |
|---|
...
ipa |
...
audmasksucc-remove-audmasksucc |
...
open |
...
--groups=test_group |
...
Пример вывода команды:
| Блок кода |
|---|
Название параметра аудита успеха: open
Значение маски аудита успеха: 1
Пользователи-участники: ipauser00, ipauser01, ipauser02
---------------------------------
Количество удалённых участников 1
--------------------------------- |
Редактирование
...
масок аудита учтенных носителей информации
| Информация |
|---|
После изменения маски аудита необходимо перезапустить сессию пользователя, после чего записи о событиях аудита начнут поступать в файл /var/log/audit/audit.log на этом компьютере. |
Добавление
...
масок аудита
...
учтенных носителей информации
Команды для добавления маски аудита успехов:
...
| Command |
|---|
| audmasksucc-add-devaudmasksucc <название_маски_аудита> --parsecdevices=<устройство_1> --parsecdevices=<устройство_2> ...--parsecdevices=<устройство_N> |
Команды для добавления маски аудита отказов:
| Command |
|---|
...
| audmaskfail-add-devaudmaskfail <название_маски_аудита> --parsecdevices=<устройство_1> --parsecdevices=<устройство_2> ...--parsecdevices=<устройство_N> |
Пример выполнения команды добавления маски аудита успеха open для устройства test_flash1:
| Блок кода |
|---|
$ ipa audmasksucc-add-devaudmasksucc open --parsecdevices=test_flash1
Название параметра аудита успеха: open
Значение маски аудита успеха: 1
Пользователи-участники: ipauser00, ipauser01, ipauser02
-----------------------------------
Количество добавленных участников 1
----------------------------------- |
Удаление
...
масок аудита
...
учтенных носителей информации
Команды для удаления маски аудита успехов:
| Command |
|---|
...
| audmasksucc-remove-devaudmasksucc <название_маски_аудита> --parsecdevices=<устройство_1> --parsecdevices=<устройство_2> ...--parsecdevices=<устройство_N> |
Команды для удаления маски аудита отказов:
| Command |
|---|
...
| audmaskfail-remove-devaudmaskfail <название_маски_аудита> --parsecdevices=<устройство_1> --parsecdevices=<устройство_2> ...--parsecdevices=<устройство_N> |
Пример
...
команды удаления маски аудита успеха open для устройства test_flash1:
...
| Command |
|---|
...
ipa |
...
audmasksucc-remove-devaudmasksucc |
...
open |
...
--parsecdevices=test_flash1 |
...
Пример вывода команды:
| Блок кода |
|---|
Название параметра аудита успеха: open
Значение маски аудита успеха: 1
Пользователи-участники: ipauser00, ipauser01, ipauser02
---------------------------------
Количество удалённых участников 1
--------------------------------- |
Просмотр
...
масок аудита учтенных носителей информации
Команда:
| Command |
|---|
...
| ipa parsecdevice-show <название_учтенного_устройства> |
Пример
...
команды просмотра маски аудита учтенного устройства test_flash1:
...
| Command |
|---|
...
ipa |
...
parsecdevice-show |
...
test_flash1 |
...
Пример вывода команды:
| Блок кода |
|---|
Название учтённого устройства: test_flash1 Описание устройства: test_flash1 Правила учёта устройства: TRUE Владелец устройства: ipauser00 Группа устройства: ipausers Атрибуты устройства: ENV{ID_SERIAL}==QEMU_QEMU_HARDDISK_1X2Y3Z-0:0 Режим доступа к устройству: 666 Уровень конфиденциальности устройства: 1 Категории конфиденциальности устройства: 0 Аудит успеха устройства: 0x1 Аудит отказа устройства: 0x1 |