Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Оглавление


Информация

Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10

  • Astra Linux Special Edition РУСБ.10015-17
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)

  • Astra Linux Special Edition РУСБ.10015-16 исп. 1 и исп.2
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
  • Astra Linux Common Edition 2.12


Введение

В настоящей статье описывается интерфейс командной строки (command line interface, CLI) FreeIPA в части работы с регистрацией событий безопасности (аудитом). Указанные операции могут быть выполнены также с использованием Web-интерфейса FreeIPA.

CLI FreeIPA позволяет:

  • редактировать события аудита;
  • редактировать маски аудита для доменного пользователя (группы);
  • редактировать маски аудита для учтенных носителей информации.

Подробно механизм аудита Astra Linux описан в эксплуатационной документации, Руководство по КСЗ, часть 1.

Редактирование событий аудита

В Astra Linux используется следующий набор базовых масок событий аудита: 


п/п
Название маски аудита
(событие аудита)
Значение маски аудита (hex)Описание
1open0x0001открытие файла
2create0x0002создание файла
3exec0x0004запуск программы
4delete0x0008удаление файла
5chmod0x00010изменение прав доступа к файлу
6chown0x00020изменение владельца файла
7mount0x00040монтирование-размонтирование файловой системы
8module0x00080загрузка-выгрузка модуля
9uid0x00100изменение UID
10gid0x00200изменение GID
11audit0x00400смена списка протоколирования событий
12acl0x00800управление списком прав доступа
13mac0x01000смена мандатных атрибутов
14cap0x02000изменение привилегий
15chroot0x04000изменение корневого каталога
16rename0x08000переименование
17net0x10000сетевые события


Информация
Примечание: каждая базовая маска аудита представляет собой битовую последовательность с одним единичным битом, остальные биты равны нулю. В интерфейсе FreeIPA значение маски аудита задается в шестнадцатеричном виде (как с префиксом 0x, так и без него).

Для работы с событиями аудита предназначена группа команд ipa paudit-{add, del, mod, find, show}.

Просмотр всех имеющихся масок событий аудита

Команда:

Command
ipa paudit-find

Пример вывода команды:

Блок кода
----------------------
найдено 17 масок аудита
-----------------------
  Название маски аудита: acl
  Значение маски аудита: 800

  Название маски аудита: audit
  Значение маски аудита: 400

  Название маски аудита: cap
  Значение маски аудита: 2000

  Название маски аудита: chmod
  Значение маски аудита: 10

  Название маски аудита: chown
  Значение маски аудита: 20

  Название маски аудита: chroot
  Значение маски аудита: 4000

  Название маски аудита: create
  Значение маски аудита: 2

  Название маски аудита: delete
  Значение маски аудита: 8

  Название маски аудита: exec
  Значение маски аудита: 4

  Название маски аудита: gid
  Значение маски аудита: 200

  Название маски аудита: mac
  Значение маски аудита: 1000

  Название маски аудита: module
  Значение маски аудита: 80

  Название маски аудита: mount
  Значение маски аудита: 40

  Название маски аудита: net
  Значение маски аудита: 10000

  Название маски аудита: open
  Значение маски аудита: 1

  Название маски аудита: rename
  Значение маски аудита: 8000

  Название маски аудита: uid
  Значение маски аудита: 100
----------------------------------
Количество возвращённых записей 17
----------------------------------

Создание новых масок событий аудита

Информация
Примечание: Возможность создания новых масок аудита может быть использована для создания комбинированных масок (т.е. значением таких масок является сумма комбинаций базовых масок). Комбинированные маски могут быть полезны для ускорения и упрощения процесса администрирования. Необходимые базовые маски входят в предустановленный набор и изменять их не следует.

Команда:

Command
ipa paudit-add <название_маски_аудита> --amaskrank=<значение_маски_аудита>

Пример команды создания комбинированной маски  fileaud со значением 0x883f, объединяющей следующие события аудита: acl (маска 0x800), chmod (маска 0x4000), chown (0x20), create (маска 0x2), delete (маска 0x8), exec (0x4), open (0x1), rename (0x8000):

Command

ipa paudit-add fileaud --amaskrank=883f

Пример вывода команды:

Блок кода
--------------------------------
Добавлена маска аудита "fileaud"
--------------------------------
  Название привилегии: fileaud
  Значение маски привилегии: 883f

Просмотр масок событий аудита

Команда:

Command
ipa paudit-show <название_маски_аудита>

Пример команды просмотра события аудита fileaud:

Command

ipa paudit-show fileaud

Пример вывода команды:

Блок кода
  Название привилегии: fileaud
  Значение маски привилегии: 883f 

Изменение маски события аудита

Информация
titleВнимание!

Изменение масок событий аудита имеет смысл только по отношению к добавленным пользователем комбинированным маскам. Базовые маски из предустановленного набора изменять не следует.

Команда:


Command
ipa paudit-mod <название_маски_аудита> --amaskrank=<значение_маски_аудита>


Пример команды изменения составной маски аудита fileaud при исключении из нее регистрации события открытия файла open (маска 0x1):

Command

ipa paudit-mod fileaud --amaskrank=883e

Пример вывода команды:

Блок кода
----------------------------
Изменена маска аудита "fileaud"
----------------------------
  Название маски: fileaud
  Значение маски аудита: 883e

Удаление маски события аудита

Информация
titleВнимание!
Удаление масок событий аудита имеет смысл только по отношению к добавленным пользователем комбинированным маскам. Базовые маски из предустановленного набора удалять не следует.

Команда:


Command
ipa paudit-del <название_маски_аудита>

Пример команды удаления события аудита fileaud:

Command

ipa paudit-del fileaud

Пример вывода команды:

Блок кода
-------------------------- 
Удалена маска аудита "fileaud" 
--------------------------

Редактирование масок аудита доменных пользователей/групп

Информация
После изменения маски аудита необходимо перезапустить сессию пользователя, после чего записи о событиях аудита начнут поступать в файл /var/log/audit/audit.log на компьютере пользователя.

Добавление масок аудита для доменного пользователя/группы

Команды для добавления маски аудита успехов:

  • для пользователя:

    Command
    audmasksucc-add-audmasksucc <название_маски_аудита> --users=<имя_пользователя_1> --users=<имя_пользователя_2> ...–users=<имя_пользователя_N>


  • для группы:

    Command
    udmasksucc-add-audmasksucc <название_маски_аудита> --groups=<имя_группы_1> --users=<имя_группы_2> ... --users=<имя_группы_N>


Команды для добавления маски аудита отказов:

  • для пользователя:

    Command
    audmaskfail-add-audmaskfail <название_маски_аудита> --users=<имя_пользователя_1> --users=<имя_пользователя_2> ...–users=<имя_пользователя_N>


  • для группы:

    Command
    audmaskfail-add-audmaskfail <название_маски_аудита> --groups=<имя_группы_1> --users=<имя_группы_2> ... --users=<имя_группы_N>


Пример команды добавления маски аудита события open для группы test_group:

Command

ipa audmasksucc-add-audmasksucc open --groups=test_group

Вывод команды:

Блок кода
  Название параметра аудита успеха: open
  Значение маски аудита успеха: 1
  Пользователи-участники: ipauser00, ipauser01, ipauser02
  Группы-участники: test_group
-----------------------------------
Количество добавленных участников 1
-----------------------------------

Просмотр масок аудита доменного пользователя/группы

Для просмотра текущей маски аудита для доменного пользователя/группы используются команды:

  • для пользователя:

    Command
    ipa user-show <имя_пользователя> --all


  • для группы:

    Command
    ipa group-show <имя_группы> --all


Пример команды:

Command

ipa group_show test_group --all

Вывод команды:

Блок кода
  dn: cn=test_group,cn=groups,cn=accounts,dc=testdomain,dc=test
  Имя группы: test_group
  ID группы: 1415200007
  Пользователи-участники: ipauser00, ipauser01, ipauser02, ipauser04
  ipauniqueid: e1e58840-db8b-11ed-9059-00a70dd3ddb8
  memberof_audmasksucc: open
  objectclass: top, groupofnames, nestedgroup, ipausergroup, ipaobject, x-ald-audit-policy,
               posixgroup
  x-ald-aud-mask: 0x1:0x0

Удаление маски аудита пользователя/группы

Команды для удаления маски аудита успехов:

  • для пользователей:

    Command
    audmasksucc-remove-audmasksucc <название_маски> --users=<имя_пользователя_1> --users=<имя_пользователя_2> ... --users=<имя_пользователя_N>


  • для групп:

    Command
    audmasksucc-remove-audmasksucc <название_маски> --groups=<имя_группы_1> --users=<имя_группы_2> ... --users=<имя_группы_N>


Команды для удаления маски аудита отказов:

  • для пользователей:

    Command
    audmaskfail-remove-audmaskfail <название_маски> --users=<имя_пользователя_1> --users=<имя_пользователя_2> ... --users=<имя_пользователя_N>


  • для групп:

    Command
    audmaskfail-remove-audmaskfail <название_маски> --groups=<имя_группы_1> --groups=<имя_группы_2> ... --groups=<имя_группы_N>


Пример команды удаления маски аудита успеха open для группы test_group:

Command

ipa audmasksucc-remove-audmasksucc open --groups=test_group

Пример вывода команды:

Блок кода
  Название параметра аудита успеха: open
  Значение маски аудита успеха: 1
  Пользователи-участники: ipauser00, ipauser01, ipauser02
---------------------------------
Количество удалённых участников 1
---------------------------------

Редактирование масок аудита учтенных носителей информации

Информация
После изменения маски аудита необходимо перезапустить сессию пользователя, после чего записи о событиях аудита начнут поступать в файл /var/log/audit/audit.log на этом компьютере.

Добавление масок аудита учтенных носителей информации

Команды для добавления маски аудита успехов:

Command
audmasksucc-add-devaudmasksucc <название_маски_аудита> --parsecdevices=<устройство_1> --parsecdevices=<устройство_2> ...--parsecdevices=<устройство_N>

Команды для добавления маски аудита отказов:

Command
audmaskfail-add-devaudmaskfail <название_маски_аудита> --parsecdevices=<устройство_1> --parsecdevices=<устройство_2> ...--parsecdevices=<устройство_N>

Пример выполнения команды добавления маски аудита успеха open для устройства test_flash1:

Блок кода
$ ipa audmasksucc-add-devaudmasksucc open --parsecdevices=test_flash1
  Название параметра аудита успеха: open
  Значение маски аудита успеха: 1
  Пользователи-участники: ipauser00, ipauser01, ipauser02
-----------------------------------
Количество добавленных участников 1
-----------------------------------

Удаление масок аудита учтенных носителей информации

Команды для удаления маски аудита успехов:

Command
audmasksucc-remove-devaudmasksucc <название_маски_аудита> --parsecdevices=<устройство_1> --parsecdevices=<устройство_2> ...--parsecdevices=<устройство_N>

Команды для удаления маски аудита отказов:

Command
audmaskfail-remove-devaudmaskfail <название_маски_аудита> --parsecdevices=<устройство_1> --parsecdevices=<устройство_2> ...--parsecdevices=<устройство_N>

Пример команды удаления маски аудита успеха open для устройства test_flash1:

Command

ipa audmasksucc-remove-devaudmasksucc open --parsecdevices=test_flash1

Пример вывода команды:

Блок кода
  Название параметра аудита успеха: open
  Значение маски аудита успеха: 1
  Пользователи-участники: ipauser00, ipauser01, ipauser02
---------------------------------
Количество удалённых участников 1
---------------------------------

Просмотр масок аудита учтенных носителей информации

Команда:

Command
ipa parsecdevice-show <название_учтенного_устройства>

Пример команды просмотра маски аудита учтенного устройства test_flash1:

Command

ipa parsecdevice-show test_flash1

Пример вывода команды:

Блок кода
  Название учтённого устройства: test_flash1
  Описание устройства: test_flash1
  Правила учёта устройства: TRUE
  Владелец устройства: ipauser00
  Группа устройства: ipausers
  Атрибуты устройства: ENV{ID_SERIAL}==QEMU_QEMU_HARDDISK_1X2Y3Z-0:0
  Режим доступа к устройству: 666
  Уровень конфиденциальности устройства: 1
  Категории конфиденциальности устройства: 0
  Аудит успеха устройства: 0x1
  Аудит отказа устройства: 0x1