Конфигурация аудита

Имя пакета программы: system-config-audit
 Версия пакета программы: 0.4.21 и выше
Условия запуска программы: вход в сессию с правами администратора

О программе

Включение и выключение, а также настройка системы аудита.

Запуск

Программа запускается:

  • в графическом интерфейсе — одним из следующих способов:
    • Пуск — Системные — Конфигурация аудита;
    • Пуск — Панель управления — Безопасность — Конфигурация аудита;
  • из терминала — выполнить команду:

sudo system-config-audit

Статус и статистика аудита

Во вкладке Текущий статус главного окна программы можно изменить статус аудита (включен или выключен), а также посмотреть и обновить статистику аудита.

Для выключения аудита (остановки записи в журнал) необходимо нажать [Выключить].

Для включения аудита (возобновления записи в журнал) необходимо нажать [Включить].

Для обновления статистики аудита необходимо нажать [Обновить].

Изменение конфигурации аудита

Аудит файлов

Правила аудита файлов

Аудит событий файлов позволяет регистрировать события чтения, записи, исполнения и изменения атрибутов наблюдаемых файлов.

Добавление правила аудита файлов

Для добавления правила аудита событий файлов необходимо:

  • в главном окне программы перейти во вкладку Конфигурация и в строке Наблюдение за файлами нажать [Изменить];
  • в окне Наблюдение за файлами нажать [Добавить];
  • в окне Файл под наблюдением:
    • в поле Путь указать путь к файлу вручную либо нажать [Обзор] и выбрать файл в открывшемся окне;
    • выбрать действия с файлом, подлежащие аудиту, установив соответствующие флаги:
      • Чтение;
      • Запись;
      • Исполнить;
      • Изменение атрибута;
    • при необходимости задать ключ, которым в журнале будут отмечены события, подпадающие под данное правило. Для этого необходимо установить флаг Отметить совпадающие события ключами и нажать [Изменить]. Откроется окно Ключи событий (см. Ключи событий аудита файлов);
    • нажать [ОК].

Добавленное правило будет отображено в списке правил в окне Наблюдение за файлами.

Каждое событие выполнения любого из указанных действий с указанным файлом будет регистрироваться в журнале записью, отмеченной заданным ключом.

Изменение правила аудита файлов

Чтобы изменить правило аудита файла, необходимо:

  • в главном окне программы перейти во вкладку Конфигурация и в строке Наблюдение за файлами нажать [Изменить];
  • в окне Наблюдение за файлами выбрать правило и нажать [Изменить];
  • в окне Файл под наблюдением внести изменение в правило аудита (см. Добавление правила аудита файлов).

Удаление правила аудита файлов

Чтобы удалить правило из списка, необходимо:

  • в главном окне программы перейти во вкладку Конфигурация и в строке Наблюдение за файлами нажать [Изменить];
  • в окне Наблюдение за файлами выбрать правило и нажать [Удалить].

Приоритет правил аудита процессов

Если событие файла подпадает под несколько правил аудита, действует правило с наивысшим приоритетом (см. Приоритет применения правил).

Сохранение правил аудита файлов

Чтобы сохранить настройки аудита файлов, необходимо в окне Наблюдение за файлами нажать [ОК].

Ключи событий аудита файлов

Ключ события аудита файлов — это текстовая метка, которой отмечается запись о событии файла и которая позволяет определить, под какое правило аудита подпадает данное событие.

Настройка ключей событий аудита файлов выполняется при создании или редактировании правила аудита файла (см. Правила аудита файлов). В окне Файл под наблюдением необходимо установить флаг Отметить совпадающие события ключами и нажать [Изменить]. Будет открыто окно Ключи событий.

Добавление ключа:

  • нажать [Добавить]. Откроется окно Ключ события;

  • с помощью переключателя Тип ключа выбрать способ задания ключа события:
    • Произвольный текст — вручную задать название ключа;
    • Тег обнаружения вторжения — задать метку обнаружения вторжения, выбрав тип и уровень сложности из соответствующих выпадающих списков. Метка обнаружения вторжения имеет вид ids-<тип>-<уровень_сложности>. Например:

ids-file-inf

  • для создания ключа нажать [ОК]. Добавленный ключ будет отображен в списке в окне Ключи событий.

Удаление ключа — в окне Ключи событий выбрать ключ и нажать [Удалить].

Изменение ключа — в окне Ключи событий выбрать нужный ключ и нажать [Изменить]. Будет открыто окно Ключ события, в котором необходимо сделать нужные изменения и нажать [ОК].

Сохранение списка ключей — в окне Ключи событий нажать [ОК]. Чтобы закрыть окно без сохранения вновь добавленных в список ключей, необходимо нажать [Отменить]. При этом ранее созданные ключи не будут удалены из списка.

Ключи событий отображаются в окне Файл под наблюдением.

Записи об указанных действиях с указанным файлом в журнале будут отмечены заданными ключами.

Аудит процессов

Аудит событий процессов позволяет регистрировать события процессов, удовлетворяющих заданным критериям.

Правило выполнения аудита процессов

Для добавления правила, при соответствии которому аудит процессов будет выполняться, необходимо:

  • в главном окне программы перейти во вкладку Конфигурация и в строке Другие правила аудита нажать [Изменить];
  • в окне Другие правила аудита перейти во вкладку Задания, подвергаемые аудиту и нажать [Добавить];
  • в окне Правило аудита во вкладке Общие установить переключатель в положение Разрешить аудит;

  • во вкладке Условия задать условия для правила аудита:
    • для добавления условия:
      • 1 — выбрать из выпадающего списка параметр (например, gid, uid);
      • 2 — выбрать из выпадающего списка оператор сравнения (например, «=», «!=», «>=»);
      • 3 — ввести вручную либо выбрать из выпадающего списка значение;
      • нажать [Добавить];

    • для удаления выбранного условия из списка нажать [Удалить];

ВНИМАНИЕ! Если задано более одного условия, правило сработает только при соблюдении каждого из них;

  • нажать [ОК].

Добавленное правило будет отображено в списке правил аудита в окне Другие правила аудита во вкладке Задания, подвергаемые аудиту.

Например, если были выбраны параметр gid, оператор «=» и значение «1234», то аудиту будут подвергаться процессы, созданные пользователем из группы с идентификатором «1234».

Правило исключения процессов из аудита

Для добавления правила, при соответствии которому процессы будут исключены из аудита, необходимо:

  • в главном окне программы перейти во вкладку Конфигурация и в строке Другие правила аудита нажать [Изменить];
  • в окне Другие правила аудита перейти во вкладку Задания, подвергаемые аудиту и нажать [Добавить];
  • в окне Правило аудита во вкладке Общие установить переключатель в положение Не выполнять аудит;
  • настроить правило согласно Правило выполнения аудита процессов.

Изменение правила аудита процессов

Чтобы изменить правило аудита процессов, необходимо:

  • в главном окне программы перейти во вкладку Конфигурация и в строке Другие правила аудита нажать [Изменить];
  • в окне Другие правила аудита перейти во вкладку Задания, подвергаемые аудиту;
  • выбрать правило и нажать [Изменить];
  • в окне Правило аудита сделать нужные изменения согласно Правило выполнения аудита процессов и нажать [ОК].

Удаление правила аудита процессов

Для удаления правила аудита процессов необходимо:

  • в главном окне программы перейти во вкладку Конфигурация и в строке Другие правила аудита нажать [Изменить];
  • в окне Другие правила аудита перейти во вкладку Задания, подвергаемые аудиту;
  • выбрать правило и нажать [Удалить].

Приоритет правил аудита процессов

Если событие процесса подпадает под несколько правил аудита, применяется правило с наивысшим приоритетом (см. Приоритет применения правил).

Сохранение правил аудита процессов

Для сохранения добавленных правил необходимо в окне Другие правила аудита нажать [ОК].

Аудит системных вызовов

Аудит системных вызовов позволяет регистрировать системные вызовы, удовлетворяющие заданным критериям.

Правило выполнения аудита системных вызовов

Для добавления правила, при соответствии которому аудит системных вызовов будет выполняться, необходимо:

  • в главном окне программы перейти во вкладку Конфигурация и в строке Другие правила аудита нажать [Изменить];
  • в окне Другие правила аудита перейти во вкладку Выход системного вызова и нажать [Добавить];
  • в окне Правило аудита во вкладке Общие установить переключатель в положение Аудит;

  • чтобы отмечать события аудита ключами событий, как при аудите файлов (см. Ключи событий аудита файлов), — установить флаг Отметить совпадающие события ключами;
  • если подлежащие аудиту системные вызовы отсутствуют в определенных архитектурах процессоров, то для корректной работы правила следует явно указать архитектуру процессора, к системным вызовам которой будет применяться правило. Для этого необходимо во вкладке Общие установить флаг Ограничить заданиями, использующими архитектуру и выбрать нужную архитектуру из выпадающего списка;
  • во вкладке Системные вызовы сформировать список системных вызовов, которые будут включены в аудит согласно данному правилу:
    • установить флаг Ограничить системными вызовами;
    • для добавления системного вызова в список:
      • выбрать из выпадающего списка системный вызов;
      • нажать [Добавить]. Выбранный системный вызов будет отображен в списке;

    • для удаления системного вызова из списка выбрать вызов и нажать [Удалить];
  • во вкладке Условия задать набор условий для правила аудита. Условия аудита системных вызовов задаются так же, как условия аудита процессов (см. Аудит процессов);

ВНИМАНИЕ! Если задано более одного условия, правило сработает только при соблюдении каждого из них;

  • в окне Правило аудита нажать [ОК].

Созданное правило будет добавлено в список правил аудита системных вызовов.

Каждый системный вызов, соответствующий заданному правилу, будет регистрироваться в журнале записью, отмеченной указанным ключом.

Правило исключения системных вызовов из аудита

Для добавления правила, при соответствии которому системные вызовы будут исключены из аудита, необходимо:

  • в главном окне программы перейти во вкладку Конфигурация и в строке Другие правила аудита нажать [Изменить];
  • в окне Другие правила аудита перейти во вкладку Выход системного вызова и нажать [Добавить];
  • в окне Правило аудита во вкладке Общие установить переключатель в положение Не выполнять аудит;
  • настроить правило аудита согласно Правило выполнения аудита системных вызовов.

Системные вызовы, соответствующие заданному правилу, не будут регистрироваться в журнале.

Изменение правила аудита системных вызовов

Чтобы изменить правило аудита системных вызовов, необходимо:

  • в главном окне программы перейти во вкладку Конфигурация и в строке Другие правила аудита нажать [Изменить];
  • в окне Другие правила аудита перейти во вкладку Выход системного вызова;
  • выбрать правило и нажать [Изменить];
  • в окне Правило аудита сделать нужные изменения согласно Правило выполнения аудита системных вызовов и нажать [ОК].

Удаление правила аудита системных вызовов

Для удаления правила необходимо:

  • в главном окне программы перейти во вкладку Конфигурация и в строке Другие правила аудита нажать [Изменить];
  • в окне Другие правила аудита перейти во вкладку Выход системного вызова;
  • выбрать правило и нажать [Удалить].

Приоритет правил аудита системных вызовов

Если системный вызов подпадает под несколько правил аудита, действует правило с наивысшим приоритетом (см. Приоритет применения правил).

Сохранение правил аудита системных вызовов

Для сохранения добавленных правил необходимо в окне Другие правила аудита нажать [ОК].

Аудит программ

Аудит событий, отправляемых программами, позволяет регистрировать работу программ, удовлетворяющих заданным критериям.

Для настройки аудита событий, отправляемых программами, необходимо:

  • в главном окне программы перейти во вкладку Конфигурация и в строке Правила типа событий нажать [Изменить];
  • в окне Правила типа событий во вкладке События доверенных приложений нажать [Добавить];
  • в окне Правило аудита настроить правило аналогично правилу аудита процессов (см. Аудит процессов).

Отключение аудита событий определенного типа

Условие отключения аудита событий определенного типа

Чтобы отключить аудит для событий определенного типа, необходимо:

  • в главном окне программы перейти во вкладку Конфигурация и в строке Правила типа событий нажать [Изменить];
  • в окне Правила типа событий перейти во вкладку Заблокированные события и задать одно или более условий отключения аудита, каждое из которых состоит из оператора и параметра, определяющего тип события:
    • нажать [Добавить];
    • в окне Тип события установить переключатель в положение Удовлетворяет и задать условие с помощью выпадающих списков:
      • 1 — выбрать из выпадающего списка нужный оператор сравнения (например, «=»);
      • 2 — выбрать из выпадающего списка нужный тип события (например, SYSCALL);

  • для сохранения условия следует в окне Тип события нажать [ОК]. Условие будет отображено в окне Правила типа событий во вкладке Заблокированные события.

Например, если был выбран оператор сравнения «=» и параметр SYSCALL, то события типа SYSCALL (системные вызовы) будут исключены из аудита.

Изменение условия отключения аудита

Чтобы изменить условие, необходимо:

  • в главном окне программы перейти во вкладку Конфигурация и в строке Правила типа событий нажать [Изменить];
  • в окне Правила типа событий перейти во вкладку Заблокированные события;
  • выбрать условие и нажать [Изменить] и в окне Тип события внести изменение в условие (см. Условие отключения аудита событий определенного типа).

Удаление условия отключения аудита

Для удаления выбранного условия необходимо:

  • в главном окне программы перейти во вкладку Конфигурация и в строке Правила типа событий нажать [Изменить];
  • в окне Правила типа событий перейти во вкладку Заблокированные события;
  • выбрать условие и нажать [Удалить].

Сохранение правила отключения аудита

Для сохранения правила отключения аудита необходимо в окне Правила типа событий нажать [ОК].

Приоритет применения правил

Приоритет правила определяется его положением в списке правил — чем выше расположено правило, тем выше его приоритет. Если событие подпадает под несколько правил аудита, применено будет правило с наиболее высоким приоритетом.

Чтобы установить приоритет правила, необходимо выбрать его в списке правил и переместить в нужную позицию с помощью кнопок [Вверх] и [Вниз].

Глобальные настройки аудита

Взаимодействие с ядром

Для изменения настроек аудита, применяющихся на уровне ядра системы, необходимо в главном окне программы перейти во вкладку Конфигурация и в строке Настройки нажать [Изменить]. В окне Глобальные настройки необходимо перейти во вкладку Ядро.

Необходимо задать условия прерывания аудита:

  • по достижении определенного числа необработанных событий аудита — указать значение в поле Сбой, если больше чем;
  • при генерации больше определенного числа событий аудита за секунду — установить соответствующий флаг и указать значение.

Значения задаются либо вводом с клавиатуры, либо нажатием [+] и [-].

Также необходимо с помощью переключателя выбрать действие по умолчанию при возникновении ошибок:

  • Ничего не делать — не предпринимать никаких действий;
  • Отправить сообщение в syslog — сделать запись об ошибке в системном журнале;
  • Прервать работу системы (немедленно) — завершить работу системы.

Демон аудита

Для настройки работы службы auditd необходимо в главном окне программы перейти во вкладку Конфигурация и в строке Настройки нажать [Изменить]. В окне Глобальные настройки необходимо перейти во вкладку Демон аудита.

Необходимо указать приоритет службы auditd в поле Рост приоритета демона аудита. Чтобы повысить приоритет, необходимо нажать [+], чтобы понизить — [-]. Также значение можно ввести вручную.

При необходимости можно указать электронный адрес получателя сообщений о работе службы в поле Получатель почты. По умолчанию указан получатель root (электронные сообщения будут сохраняться локально в каталог /var/mail).

Перед тем, как записать события аудита в журнал, их можно передать на обработку другой программе. Для этого необходимо установить флаг Передать события аудита программе, затем в поле Программа ввести полный путь к нужной программе либо нажать [Обзор] и выбрать ее в открывшемся окне. Далее необходимо выбрать, что делать, если указанная программа прекращает обработку событий:

  • Отменить — события будут записаны в журнал без обработки программой;
  • Ждать возобновления обработки события — запись событий будет отложена до их обработки программой.

Журнал аудита

Для настройки файла журнала аудита необходимо в главном окне программы перейти во вкладку Конфигурация и в строке Настройки нажать [Изменить]. В окне Глобальные настройки необходимо перейти во вкладку Файл журнала.

Чтобы записывать события аудита в журнал аудита, необходимо установить флаг Сохранить события аудита в файл. В поле Файл необходимо ввести полный путь к файлу журнала аудита.

Также необходимо настроить запись событий в файл журнала:

  • Использовать стандартную буферизацию файловой системы — события будут записываться в файл журнала в обычном порядке;
  • Принудительно записывать каждые <число> записи — заданное число записей накапливается в буфере и затем единовременно записывается в файл журнала. Если дополнительно установить флаг Только данные, то метаданные (например, дата изменения) файла журнала не будут обновляться при записи новых событий.

Пороговое значение размера журнала задается в поле Когда размер журнала увеличится до нажатием [+] и [-] или вводом с клавиатуры. Доступны следующие варианты действий при достижении журналом заданного размера:

  • Ничего не делать — не предпринимать никаких действий;
  • Отправить сообщение в syslog — сделать запись в системном журнале;
  • Остановить запись событий в файл — прекратить запись событий аудита в журнал;
  • Чередовать файлы журналов — при достижении указанного размера журнала будет создан дополнительный файл журнала для записи событий. Дополнительно необходимо установить флаг Сохранять только новые <число> файлы, в этом случае количество файлов журналов будет ограничено заданным значением. При создании нового файла журнала самый старый файл будет удален.

Для добавления имени узла к записям событий аудита необходимо установить флаг Добавить поле имени узла для событий аудита. Доступны следующие варианты имени узла:

  • Имя узла как есть;
  • Полностью квалифицированное имя узла;
  • Адрес IP;
  • Произвольный.

В скобках отображается имя узла в том виде, в котором оно будет записываться в журнал. Произвольное имя вводится с клавиатуры.

Нехватка свободного места на диске

Нехватка свободного места на разделе, где расположен файл журнала аудита, может привести к ошибке записи событий аудита в файл.

Для настройки действий при недостаточном свободном месте необходимо в главном окне программы:

  • перейти во вкладку Конфигурация и в строке Настройки нажать [Изменить];
  • в окне Глобальные настройки перейти во вкладку Мало дискового пространства;
  • во вкладке возможно задать два минимальных порога оставшегося свободного места и действия при достижении каждого из них:
    • Ничего не делать — не предпринимать никаких действий;
    • Отправить сообщение в системный журнал — сделать запись в системном журнале;
    • Отправить электронное сообщение — отправить сообщение на электронный адрес, указанный во вкладке Демон аудита;
    • Выполнить программу — выполнить заданную программу. Чтобы задать программу, необходимо нажать [Обзор] и выбрать файл нужной программы;
    • Остановить запись событий аудита в журнал — прекратить запись событий аудита в журнал;
    • Переключиться в монопольный режим — перевод системы в однопользовательский режим;
    • Выключить компьютер — завершить работу системы.

Обработка ошибок журнала

По умолчанию в случае возникновения ошибок записи в файл журнала, а также в случае нехватки места на диске прекращается запись событий аудита в журнал.

Для выбора действий, выполняемых в таких случаях, необходимо:

  • в главном окне программы перейти во вкладку Конфигурация и в строке Настройки нажать [Изменить];
  • в окне Глобальные настройки перейти во вкладку Ошибки файла журнала;

  • выбрать действие, выполняемое при нехватке места на диске, установкой переключателя Диск заполнен в нужное положение:
    • Ничего не делать — не предпринимать никаких действий при возникновении ошибки;
    • Отправить сообщение в syslog — сделать запись об ошибке в системном журнале;
    • Выполнить программу — выполнить указанную программу. Чтобы указать программу, необходимо нажать [Обзор] и выбрать файл нужной программы;
    • Остановить запись событий аудита в журнал — прекратить запись событий аудита в журнал;
    • Переключиться в монопольный режим — перевод системы в однопользовательский режим;
    • Выключить компьютер — завершить работу системы;
  • выбрать действие, выполняемое при возникновении ошибки записи или чтения файла, установкой переключателя Ошибка ввода/вывода в нужное положение:
    • Ничего не делать — не предпринимать никаких действий при возникновении ошибки;
    • Отправить сообщение в syslog — сделать запись об ошибке в системном журнале;
    • Выполнить программу — выполнить указанную программу. Чтобы указать программу, необходимо нажать [Обзор] и выбрать файл нужной программы;
    • Остановить запись событий аудита в журнал — прекратить запись событий аудита в журнал;
    • Переключиться в монопольный режим — перевод системы в однопользовательский режим;
    • Выключить компьютер — завершить работу системы.

Сохранение конфигурации аудита

Для сохранения изменений конфигурации необходимо в главном окне программы во вкладке Конфигурация нажать [Сохранить].