Alterator-audit

Материал из ALT Linux Wiki
Stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.


Назначение

Модуль alterator-audit предназнаен для создания правил системы аудита и просмотра отчётов.

Запуск

Модуль alterator-audit доступен в GUI (раздел Система ▷ Системный аудит):

Интерфейс модуля alterator-audit

Использование модуля

Запуск/останов службы аудита

Статус службы аудита отображается рядом с полем «Status:». Запустить службу можно нажав на кнопку Alterator-audit inactive.png, остановить нажав на Alterator-audit active.png соответственно.

Просмотр лога аудита

Для просмотра записей аудита выберите в списке «Report» необходимый отчёт. Например:

  • auth — отчёт о попытках аутентификации
  • config — отчёт об изменениях конфигурации
  • file — отчёт о файлах
  • login — отчёт о попытках входа в систему

Просмотр лога аудита

Если выбрать тип отчёта - auth, будут выведены сообщения о попытках аутентификации:

Просмотр лога о попытках аутентификации

При этом указывается дата и время попытки, имя пользователя, адрес хоста, успешность попытки (удачные и неудачные).

Для дополнительной фильтрации данных в отчете можно указать опции фильтра:

  • «Success» — только удачные события
  • «Failed» — только неудачные события
  • «Summary» — информация только о количестве элементов
  • «Interplet» — транслировать числовые значения в текстовые
  • «time» — задать временные ограничения

Для сохранения выбранных опций нажмите кнопку «Add». Для просмотра логов, удовлетворяющих данным опциям - кнопку «Update»

Настройка вывода отчёта

Добавление/Удаление правил аудита

Для перехода к окну редактирования правил аудита, нажмите на кнопку «Setting Rules». Откроется окно:

Редактирование правил аудита

В окне Rules отображаются существующие правила и их статус.

Для создания нового правила необходимо:

  1. Ввести название правила
  2. Добавить точку наблюдения за файловым объектом (указать путь к файлу (каталогу), за которым будет осуществляться наблюдение)
  3. Установить фильтр прав доступа для точки наблюдения (чтение, запись, исполнение, изменение атрибутов)
  4. Отметить пункт «Активировать правило» («Activate rule»)
  5. Нажать кнопку «Добавить правило» («Add rule»)

Создание нового правила

Для более тонкой настройки правил необходимо отметить пункт «Expert mode». Окно редактирования правил, в расширенном режиме:

Редактирование правил аудита в расширенном режиме

В этом окне можно выбрать список событий, в который следует добавить правило (список «Rule»):

Список событий

Доступны следующие списки:

  1. task - список, отвечающий за процессы
  2. entry - список, отвечающий за точки входа системных вызовов
  3. exit - список, отвечающий за точки выхода из системных вызовов
  4. user - список фильтрации пользовательских сообщений
  5. exclude - список фильтрации сообщений определённого типа.

Далее выбирается действие «Action», которое должно произойти в ответ на возникшее событие:

  • always - генерировать запись при выходе из системного вызова
  • newer - аудит не будет генерировать никаких записей

Action

В поле «Syscall» указывается имя системного вызова, при обращении к которму должен срабатывать триггер (например, open, close, exit).

Дополнительные можно настроить параметры фильтрации событий. Для этого в первом списке нужно выбрать объект поля сравнения:

Выбор объекта поля сравнения

Затем задать операцию сравнения. Допустимые операции выбираются в списке:

Выбор операции

Далее необходимо ввести значение поля сравнения и нажать кнопку «Add filter».

Фильтров может быть задано несколько:

Редактирование правил аудита в расширенном режиме

Для возврата в главное окно необходимо нажать кнопку «Back».