Интерфейс комнды ipa позволяет:
- редактировать маски событий аудита;
- редактировать маски аудита для доменного пользователя/группы;
- редактировать маски аудита для учтенных носителей информации.
Редактирование событий аудита
В поставке Astra Linux предусмотрены следующие события аудита и соответствующие им маски (в 16-ричном виде):
| Название маски аудита (событие аудита) | Значение маски аудита (hex) | Описание |
|---|---|---|
| open | 1 | открытие файла |
| create | 2 | создание файла |
| exec | 4 | запуск программы |
| delete | 8 | удаление файла |
| chmod | 10 | изменение прав доступа к файлу |
| chown | 20 | изменение владельца файла |
| mount | 40 | монтирование-размонтирование файловой системы |
| module | 80 | загрузка-выгрузка модуля |
| uid | 100 | изменение UID |
| gid | 200 | изменение GID |
| audit | 400 | смена списка протоколирования событий |
| acl | 800 | управление списком прав доступа |
| mac | 1000 | смена мандатных атрибутов |
| cap | 2000 | изменение привилегий |
| chroot | 4000 | изменение корневого каталога |
| rename | 8000 | переименование |
| net | 10000 | сетевые события |
Для редактирования событий аудита предназначена группа команд ipa paudit-{add, del, find, show}.
Просмотр всех имеющихся событий аудита
Команда:
$ ipa paudit-find
Пример вывода команды:
$ ipa paudit-find ---------------------- найдено 17 масок аудита ----------------------- Название маски аудита: acl Значение маски аудита: 800 Название маски аудита: audit Значение маски аудита: 400 Название маски аудита: cap Значение маски аудита: 2000 Название маски аудита: chmod Значение маски аудита: 10 Название маски аудита: chown Значение маски аудита: 20 Название маски аудита: chroot Значение маски аудита: 4000 Название маски аудита: create Значение маски аудита: 2 Название маски аудита: delete Значение маски аудита: 8 Название маски аудита: exec Значение маски аудита: 4 Название маски аудита: gid Значение маски аудита: 200 Название маски аудита: mac Значение маски аудита: 1000 Название маски аудита: module Значение маски аудита: 80 Название маски аудита: mount Значение маски аудита: 40 Название маски аудита: net Значение маски аудита: 10000 Название маски аудита: open Значение маски аудита: 1 Название маски аудита: rename Значение маски аудита: 8000 Название маски аудита: uid Значение маски аудита: 100 ---------------------------------- Количество возвращённых записей 17 ----------------------------------
Создание собственной маски события аудита
Команда:
$ ipa paudit-add <название_маски_аудита> --amaskrank=<значение_маски_аудита>
Пример вывода команды при создании собственного события аудита new со значением 0x20000 (0b100000000000000000):
$ ipa paudit-add new --amaskrank=20000 ---------------------------- Добавлена маска аудита "new" ---------------------------- Название маски: new Значение маски аудита: 20000
Просмотр маски событий аудита
Команда:
$ ipa paudit-show <название_маски_аудита>
Пример вывода команды просмотра события аудита new:
$ ipa paudit-show new Название маски аудита: new Значение маски аудита: 20000
Изменение маски события аудита
$ ipa paudit-mod <название_маски_аудита> --amaskrank=<значение_маски_аудита>
Пример вывода команды изменения маски аудита new:
$ ipa paudit-mod new --amaskrank=40000 ---------------------------- Изменена маска аудита "new" ---------------------------- Название маски: new Значение маски аудита: 40000
Удаление маски события аудита
Команда:
$ ipa paudit-del <название_маски_аудита>
Пример вывода команды удаления события аудита new:
$ ipa paudit-del new -------------------------- Удалена маска аудита "new" --------------------------
Редактирование маски аудита доменного пользователя/группы
/var/log/audit/audit.log на этом компьютере.Добавление маски аудита для доменного пользователя/группы
Команды для добавления маски аудита успехов для пользователя/группы:
$ audmasksucc-add-audmasksucc <название_маски_аудита> --amaskrank=<значение_маски_аудита> --users=<имя_пользователя_1> --users=<имя_пользователя_2> ...--users=<имя_пользователя_N>
$ audmasksucc-add-audmasksucc <название_маски_аудита> --amaskrank=<значение_маски_аудита> --groups=<имя_группы_1> --users=<имя_группы_2> ... --users=<имя_группы_N>
Команды для добавления маски аудита отказов для пользователя/группы:
$ audmaskfail-add-audmaskfail <название_маски_аудита> --amaskrank=<значение_маски_аудита> --users=<имя_пользователя_1> --users=<имя_пользователя_2> ...--users=<имя_пользователя_N>
$ audmaskfail-add-audmaskfail <название_маски_аудита> --amaskrank=<значение_маски_аудита> --groups=<имя_группы_1> --users=<имя_группы_2> ... --users=<имя_группы_N>
Пример выполнения команды добавления маски аудита события open для группы test_group:
$ ipa audmasksucc-add-audmasksucc open --groups=test_group Название параметра аудита успеха: open Значение маски аудита успеха: 1 Пользователи-участники: ipauser00, ipauser01, ipauser02 Группы-участники: test_group ----------------------------------- Количество добавленных участников 1 -----------------------------------
Просмотр маски аудита для доменного пользователя/группы
Для просмотра текущей маски аудита для доменного пользователя/группы используются команды:
$ ipa user-show <имя_пользователя> --all
$ ipa group-show <имя_группы> --all
$ ipa group_show test_group --all
dn: cn=test_group,cn=groups,cn=accounts,dc=testdomain,dc=test
Имя группы: test_group
ID группы: 1415200007
Пользователи-участники: ipauser00, ipauser01, ipauser02, ipauser04
ipauniqueid: e1e58840-db8b-11ed-9059-00a70dd3ddb8
memberof_audmasksucc: open
objectclass: top, groupofnames, nestedgroup, ipausergroup, ipaobject, x-ald-audit-policy,
posixgroup
x-ald-aud-mask: 0x1:0x0
Удаление маски аудита для пользователя/группы
Команды для удаления маски аудита успехов для пользователя/группы:
$ audmasksucc-remove-audmasksucc <название_маски_аудита> --amaskrank=<значение_маски_аудита> --users=<имя_пользователя_1> --users=<имя_пользователя_2> ...--users=<имя_пользователя_N>
$ audmasksucc-remove-audmasksucc <название_маски_аудита> --amaskrank=<значение_маски_аудита> --groups=<имя_группы_1> --users=<имя_группы_2> ... --users=<имя_группы_N>
Команды для удаления маски аудита отказов для пользователя/группы:
$ audmaskfail-remove-audmaskfail <название_маски_аудита> --amaskrank=<значение_маски_аудита> --users=<имя_пользователя_1> --users=<имя_пользователя_2> ...--users=<имя_пользователя_N>
$ audmaskfail-remove-audmaskfail <название_маски_аудита> --amaskrank=<значение_маски_аудита> --groups=<имя_группы_1> --users=<имя_группы_2> ... --users=<имя_группы_N>
Пример вывода команды удаления маски аудита успеха open для группы test_group:
$ ipa audmasksucc-remove-audmasksucc open --groups=test_group Название параметра аудита успеха: open Значение маски аудита успеха: 1 Пользователи-участники: ipauser00, ipauser01, ipauser02 --------------------------------- Количество удалённых участников 1 ---------------------------------
Редактирование маски аудита учтенных носителей информации
/var/log/audit/audit.log на этом компьютере.Добавление маски аудита для учтенных носителей информации
Команды для добавления маски аудита успехов:
$ audmasksucc-add-devaudmasksucc <название_маски_аудита> --parsecdevices=<устройство_1> --parsecdevices=<устройство_2> ...--parsecdevices=<устройство_N>
Команды для добавления маски аудита отказов:
$ audmaskfail-add-devaudmaskfail <название_маски_аудита> --parsecdevices=<устройство_1> --parsecdevices=<устройство_2> ...--parsecdevices=<устройство_N>
Пример выполнения команды добавления маски аудита успеха open для устройства test_flash1:
$ ipa audmasksucc-add-devaudmasksucc open --parsecdevices=test_flash1 Название параметра аудита успеха: open Значение маски аудита успеха: 1 Пользователи-участники: ipauser00, ipauser01, ipauser02 ----------------------------------- Количество добавленных участников 1 -----------------------------------
Удаление маски аудита для учтенных носителей информации
Команды для удаления маски аудита успехов:
$ audmasksucc-remove-devaudmasksucc <название_маски_аудита> --parsecdevices=<устройство_1> --parsecdevices=<устройство_2> ...--parsecdevices=<устройство_N>
Команды для удаления маски аудита отказов:
$ audmaskfail-remove-devaudmaskfail <название_маски_аудита> --parsecdevices=<устройство_1> --parsecdevices=<устройство_2> ...--parsecdevices=<устройство_N>
Пример выполнения команды удаления маски аудита успеха open для устройства test_flash1:
$ ipa audmasksucc-remove-devaudmasksucc open --parsecdevices=test_flash1 Название параметра аудита успеха: open Значение маски аудита успеха: 1 Пользователи-участники: ipauser00, ipauser01, ipauser02 --------------------------------- Количество удалённых участников 1 ---------------------------------
Просмотр маски аудита учтенного устройства
Команда:
$ ipa parsecdevice-show <название_учтенного_устройства>
Пример выводы команды просмотра маски аудита учтенного устройства test_flash1:
$ ipa parsecdevice-show test_flash1
Название учтённого устройства: test_flash1
Описание устройства: test_flash1
Правила учёта устройства: TRUE
Владелец устройства: ipauser00
Группа устройства: ipausers
Атрибуты устройства: ENV{ID_SERIAL}==QEMU_QEMU_HARDDISK_1X2Y3Z-0:0
Режим доступа к устройству: 666
Уровень конфиденциальности устройства: 1
Категории конфиденциальности устройства: 0
Аудит успеха устройства: 0x1
Аудит отказа устройства: 0x1