Интерфейс комнды ipa позволяет:
1) редактировать события аудита;
2) редактировать маски аудита для доменного пользователя, группы и других;
3) редактировать маски аудита для учтенных носителей информации.
Редактирование событий аудита
В поставке FreeIPA предусмотрены следующие события аудита и соответствующие им маски (в 16-ричном виде):
| Название события аудита | Значение маски аудита (hex) | Описание |
|---|---|---|
| open | 1 | открытие файла |
| create | 2 | создание файла |
| exec | 4 | запуск программы |
| delete | 8 | удаление файла |
| chmod | 10 | изменение прав доступа к файлу |
| chown | 20 | изменение владельца файла |
| mount | 40 | монтирование-размонтирование файловой системы |
| module | 80 | загрузка-выгрузка модуля |
| uid | 100 | изменение UID |
| gid | 200 | изменение GID |
| audit | 400 | смена списка протоколирования событий |
| acl | 800 | управление списком прав доступа |
| mac | 1000 | смена мандатных атрибутов |
| cap | 2000 | изменение привилегий |
| chroot | 4000 | изменение корневого каталога |
| rename | 8000 | переименование |
| net | 10000 | сетевые события |
Для редактирования событий аудита предназначена группа команд ipa paudit-{add, del, find, show}.
Просмотр всех имеющихся событий аудита
Команда:
$ ipa paudit-find
Пример вывода команды:
$ ipa paudit-find ---------------------- найдено 17 масок аудита ----------------------- Название маски аудита: acl Значение маски аудита: 800 Название маски аудита: audit Значение маски аудита: 400 Название маски аудита: cap Значение маски аудита: 2000 Название маски аудита: chmod Значение маски аудита: 10 Название маски аудита: chown Значение маски аудита: 20 Название маски аудита: chroot Значение маски аудита: 4000 Название маски аудита: create Значение маски аудита: 2 Название маски аудита: delete Значение маски аудита: 8 Название маски аудита: exec Значение маски аудита: 4 Название маски аудита: gid Значение маски аудита: 200 Название маски аудита: mac Значение маски аудита: 1000 Название маски аудита: module Значение маски аудита: 80 Название маски аудита: mount Значение маски аудита: 40 Название маски аудита: net Значение маски аудита: 10000 Название маски аудита: open Значение маски аудита: 1 Название маски аудита: rename Значение маски аудита: 8000 Название маски аудита: uid Значение маски аудита: 100 ---------------------------------- Количество возвращённых записей 17 ----------------------------------
Создание собственного события аудита
Команда:
$ ipa paudit-add <название_маски_события_аудита> --amaskrank=<значение_маски_события_аудита>
Пример вывода команды при создании собственного события аудита new со значением 0x20000 (0b100000000000000000):
$ ipa paudit-add new --amaskrank=20000 ---------------------------- Добавлена маска аудита "new" ---------------------------- Название маски: new Значение маски аудита: 20000
Просмотр событий аудита
Команда:
$ ipa paudit-show <название_маски_события_аудита>
Пример вывода команды просмотра события аудита new:
$ ipa paudit-show new Название маски аудита: new Значение маски аудита: 20000
Изменение события аудита
$ ipa paudit-mod <название_маски_события_аудита> --amaskrank=<значение_маски_события_аудита>
Пример вывода команды изменения события аудита new:
$ ipa paudit-mod new --amaskrank=40000 ---------------------------- Изменена маска аудита "new" ---------------------------- Название маски: new Значение маски аудита: 40000
Удаление событий аудита
Команда:
$ ipa paudit-del <название_маски_события_аудита>
Пример вывода команды удаления события аудита new:
$ ipa paudit-del new -------------------------- Удалена маска аудита "new" --------------------------
Редактирование маски аудита доменного пользователя, группы и других
Для работы со значениями масок аудита доменных пользователей, групп и других используется группа команд ipa auditpolicy-{add, del, find, mod, show}.
При этом значение маски аудита задается в форме: <значение_маски_аудита_успеха>:<значение_маски_аудита_отказа>, где значение маски представляет собой 16-ричное значение суммы бит масок событий аудита, которые необходимо протоколировать (см. пункт 1).
Маску аудита можно устанавливать для отдельного пользователя (тип маски user), для группы (тип маски group) и для всех остальных (тип маски other). Значение маски 0x0:0x0 означает, что аудит событий для данного пользователя (группы или остальных) не производится.
После изменения маски аудита необходимо перезапустить сессию пользователя, после чего записи о событиях аудита начнут поступать в файл /var/log/audit/audit.log на этом компьютере.
Создание маски аудита для доменного пользователя, группы и других
Команда:
$ auditpolicy-add <название_маски_аудита> --amaskrank=<значение_маски_аудита> --amasktype=<тип_маски_аудита>
Здесь:
- <название_маски_аудита> задается в форме:
для пользователя | user:<имя_пользователя> |
| для группы | group:<имя_группы> |
для других | other: |
- <тип_маски_аудита> может быть: 0 - для пользователя, 1 - для группы, 2 - для других.
Пример вывода команды создания маски аудита для пользователя ipauser01:
$ ipa auditpolicy-add user:ipauser01 --amaskrank=0x8:0x8 --amasktype=0 --------------------------------------- Добавлена маска аудита "user:ipauser01" --------------------------------------- Название маски аудита: user:ipauser01 Значение маски аудита: 0x8:0x8 Тип маски аудита: 0
Просмотр всех имеющихся в домене масок событий аудита для доменных пользователей, групп и других:
Команда:
$ ipa auditpolicy-find
Пример вывода команды:
$ ipa auditpolicy-find ---------------------- найдено 2 маски аудита ---------------------- Название маски аудита: other: Значение маски аудита: 0x0:0x0 Тип маски аудита: 2 Название маски аудита: user:ipauser01 Значение маски аудита: 0x8:0x8 Тип маски аудита: 0 --------------------------------- Количество возвращённых записей 2 ---------------------------------
Изменение маски аудита для пользователя, группы и других
Команда:
$ ipa auditpolicy-mod <название_маски_аудита> --amaskrank=<значение_маски_аудита> --amasktype=<тип_маски_аудита>
Пример вывода команды изменения маски аудита для пользователя ipauser01 на значение 0x2:0x2:
$ ipa auditpolicy-mod user:ipauser01 --amaskrank=2:2 --amasktype=0 Название маски аудита: user:ipauser01 Значение маски аудита: 0x2:0x2 Тип маски аудита: 0
Удаление маски аудита для пользователя, группы и других
Команда:
$ ipa auditpolicy-del
Пример вывода команды изменения маски аудита для пользователя ipauser01:
$ ipa auditpolicy-del user:ipauser01 ------------------------------------- Удалена маска аудита "user:ipauser01" -------------------------------------
Редактирование маски аудита учтенных носителей информации
Работа по настройке аудита учтенных носителей информации производится командами ipa parsecdevice-{show, add, mod} c опциями --device-audsucc=<значение маски аудита успеха> и --device-audfail=<значение маски аудита отказа> .
При создании устройств, если иное не указано в параметрах создания, им автоматически присваивается маска 0x0:0x0, которая означает, что аудит для данного устройства не производится.
Просмотр маски аудита учтенного устройства
Команда:
$ ipa parsecdevice-show <название_учтенного_устройства>
Пример выводы команды просмотра аудита учтенного устройства test_flash1:
$ ipa parsecdevice-show test_flash1
Название учтённого устройства: test_flash1
Описание устройства: test_flash1
Правила учёта устройства: TRUE
Владелец устройства: ipauser00
Группа устройства: ipausers
Атрибуты устройства: ENV{ID_SERIAL}==QEMU_QEMU_HARDDISK_1X2Y3Z-0:0
Режим доступа к устройству: 666
Уровень конфиденциальности устройства: 1
Категории конфиденциальности устройства: 0
Аудит успеха устройства: 0x2
Аудит отказа устройства: 0x2
Изменение маски аудита учтенного устройства
Команда:
$ ipa parsecdevice-mod <название_учтенного_устройства> --device-audsucc <значение_маски_аудита_успеха_устройства> --device-audfail <значение_маски_аудита_отказа_устройства>
Пример вывода команды изменения маски аудита учтенного устройства test_flash1 на новое значение 0x8:0x8:
$ ipa parsecdevice-mod test_flash1 --device-audsucc=0x2 --device-audfail=0x8
----------------------------------------
Изменено учтённое устройство "test_flash1"
------------------------------------------
Название учтённого устройства: test_flash1
Описание устройства: test_flash1
Правила учёта устройства: TRUE
Владелец устройства: ipauser00
Группа устройства: ipausers
Атрибуты устройства: ENV{ID_SERIAL}==QEMU_QEMU_HARDDISK_1X2Y3Z-0:0
Режим доступа к устройству: 666
Уровень конфиденциальности устройства: 1
Категории конфиденциальности устройства: 0
Аудит успеха устройства: 0x8
Аудит отказа устройства: 0x8