Главная » Linux

Управление аудитом astra linux

На чтение 6 мин Просмотров 4 Опубликовано
Содержание
  1. Инструменты «СКАНЕР-ВС»: Аудит ОС Astra Linux
  2. Работа с инструментом
  3. Установка пакетов
  4. Добавление правил обработки системных вызовов kill и exit_group
  5. С помощью команды auditctl (режим отладки)
  6. С помощью файла /etc/audit/ rules .d/audit.rules
  7. Отслеживание событий аудита
  8. Настройка аудита

Инструменты «СКАНЕР-ВС»: Аудит ОС Astra Linux

Инструмент «Аудит ОС Astra Linux» предназначен для аудита настроек комплекса средств защиты ОС специального назначения «Astra Linux Special Edition» по требованиям безопасности.

Инструмент запускается из веб-интерфейса «Аудит ОС Astra Linux» или из подменю стартера приложений. Для запуска инструмента необходимо выполнить следующие действия:

  • запустить подменю стартера приложений;
  • выбрать вкладку «Поиск уязвимостей»;
  • выбрать инструмент «Аудит ОС Astra Linux» .

После запуска откроется окно терминала

Работа с инструментом

Для запуска процесса аудита, необходимо запустить скрипт на проверяемой рабочей станции. Для этого в терминале необходимо прописать команду, в которой указаны пользователь и IP-адрес тестируемой рабочей станции и нажать клавишу «Enter». Дополнительно можно указать папку для сохранения отчета. На рисунке 3 показан пример команды запуска скрипта на рабочей станции с IP-адресом 192.168.5.76 под учетной записью пользователя echelon и указанной папкой / для сохранения отчета.

В терминале будет отображено сообщение о подтверждении проведения аудита на рабочей станции, указанной в команде 4. Необходимо ввести в терминале «yes» и нажать клавишу «Enter».

Для начала аудита необходимо указать пароль пользователя, указанного в команде 5. Если аудит ОС Astra Linux проводится на рабочей станции впервые, пароль будет запрошен дважды. Нужно ввести в терминале пароль и нажать клавишу «Enter».

Источник

Установка пакетов

Для включения системы аудита требуется установить пакеты auditd и audispd-plugins.
Для Astra Linux Common Edition эти пакеты доступны в репозитории, для Astra Linux Special Edition в дополнение к основному диску необходимо подключить в качестве репозитория диск со средствами разработки. После подключения нужных источников пакетов установка может быть выполнена с помощью графического менеджера пакетов (см. Графический менеджер пакетов synaptic) или из командной строки командами

Читайте также:  Команда перезагрузки сети linux

Добавление правил обработки системных вызовов kill и exit_group

Актуальные правила обработки событий, которые автоматически включаются при запуске службы, хранятся в файле /etc/audit/audit.rules
Этот файл автоматически генерируется при запуске службы при запуске (рестарте) службы auditd из файлов /etc/audit/audit.d/*.rules

С помощью команды auditctl (режим отладки)

Добавить правила обработки можно командой auditctl, например:

auditctl -a exit,always -F arch=b64 -S kill -k kill_process
auditctl -a exit,always -F arch=b64 -S exit_group -k kill_process

Подробнее по параметрам:
-a exit,always определяет событие и порядок регистрации, в данном случае правило попадает в список exit, а параметр always означает что событие будет записываться всегда (вместо always можно указать never , чтобы события не регистрировались)
Всего существует 5 списков:

  • task — события, связанные с созданием новых процессов;
  • entry — события, которые имеют место при входе в системный вызов;
  • exit — события, которые имеют место при выходе из системного вызова;
  • user — события, использующие параметры пользовательского пространства;
  • exclude — используется для исключения событий.

-F arch=b64 фильтр, определяющий архитектуру подлежащую аудиту. Применим для переносимости настроек между разными архитектурами;

-S kill определяет имя отслеживаемого системного вызова, в данном случае системный вызов kill;

-k kill_process задает условное имя (ключ) для облегчения поиска записей о событии;

Добавленные с помощью команды auditctl правила будут действовать до перезапуска службы, поэтому данный способ можно использовать как режим отладки.

С помощью файла /etc/audit/ rules .d/audit.rules

Постоянные правила обработки можно задать добавив в файл /etc/audit/rules.d/audit.rules строки, повторяющие ключи и параметры команды auditctl, как на примере выше:

-a exit,always -F arch=b64 -S kill -k kill_process -a exit,always -F arch=b64 -S exit_group -k kill_process

После внесения изменений перезапустить службу:

Читайте также:  Linux log files network

Отслеживание событий аудита

События аудита можно отслеживать командой

Или искать любыми средствами в файле /var/log/audit/audit.log

Источник

Настройка аудита

Все факты начала и окончания работы пользователя фиксируется в журнале /var/log/auth.log на клиентской машине. Например:

Feb 19 12:32:48 nd-nout fly-dm: :0[3421]: pam_unix(fly-dm:session): session opened for user ivanov by (uid=0)

Указанная запись содержит информацию о начале сессии для пользователя с учетной записью « ivanov ».

Указанная запись содержит информацию о завершении сессии для пользователя с учетной записью « petrovich ».

Кроме того, информация о начале и завершении работы пользователя попадает в журнал подсистемы безопасности parsec: /var/log/parsec/user.mlog , доступный для просмотра при помощи утилиты « userlog ». В журнале регистрируются события с типами « auth » (вход), « exit » (выход).

[u] ‘Tue Feb 19 12:50:00 2013’ ‘/bin/login’ [s] exit(«login»,»petrovich»)

[u] ‘Tue Feb 19 12:57:59 2013’ ‘/usr/bin/fly-dm’ [s] exit(«fly-dm»,»root»)

[u] ‘Tue Feb 19 13:14:52 2013’ ‘/bin/login’ [s] auth(«login»,»root»)

[u] ‘Tue Feb 19 13:15:33 2013’ ‘/bin/login’ [s] auth(«login»,»petrovich»)

[u] ‘Tue Feb 19 13:15:39 2013’ ‘/bin/login’ [s] exit(«login»,»petrovich»)

[u] ‘Tue Feb 19 13:19:53 2013’ ‘/bin/login’ [s] auth(«login»,»petrovich»)

[u] ‘Tue Feb 19 13:20:13 2013’ ‘/bin/login’ [s] exit(«login»,»petrovich»)

[u] ‘Tue Feb 19 13:20:23 2013’ ‘/bin/login’ [s] auth(«login»,»petrovich»)

[u] ‘Tue Feb 19 13:20:31 2013’ ‘/bin/login’ [s] exit(«login»,»petrovich»)

[u] ‘Tue Feb 19 13:27:48 2013’ ‘/bin/login’ [s] auth(«login»,»petrovich»)

[u] ‘Tue Feb 19 13:27:54 2013’ ‘/bin/login’ [s] exit(«login»,»petrovich»)

[u] ‘Tue Feb 19 13:33:51 2013’ ‘/bin/login’ [s] auth(«login»,»petrovich»)

[u] ‘Tue Feb 19 13:33:55 2013’ ‘/bin/login’ [s] exit(«login»,»petrovich»)

[u] ‘Tue Feb 19 13:39:49 2013’ ‘/bin/login’ [s] auth(«login»,»petrovich»)

[u] ‘Tue Feb 19 13:39:53 2013’ ‘/bin/login’ [s] exit(«login»,»petrovich»)

Читайте также:  Astra linux установка шрифтов microsoft

Описание системы регистрации событий приведено в разделе 10 документа «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1». Дополнительная информация приведена на страницах справочного руководства « man » для расширенной системы протоколирования, доступной по команде « man parselog ». В операционной системе специального назначения «Astra Linux Special Edition» обеспечивается регистрация всех событий в соответствии с требованиями документа «Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» ФСТЭК России, предъявляемых к средствам вычислительной техники третьего класса защищенности. Регистрация событий может быть проверена следующим образом: устанавливаем для пользователя (доменного) все возможные флаги аудита:

Audit policy user:petrovich

Audit success rules: ocxudntligarmphew

Источник

Оцените статью
© 2023 Posetke
Adblock
detector