Подробный гайд по настройке параметра ac_audit_mode в Astra Linux
Важно:
- Параметр
ac_audit_modeотносится к подсистеме мандатного контроля доступа и аудита безопасности Astra Linux Special Edition (SE). В редакции Common Edition (CE) данная подсистема отсутствует или ограничена. Все действия требуют правrootи должны проводиться на тестовом стенде перед внедрением в продуктивную среду.
1. Что такое ac_audit_mode?
Параметр управляет режимом аудита нарушений политик контроля доступа (Access Control, AC) в ядре безопасности Astra Linux (подсистема Parsec).
В зависимости от значения система может:
- Только фиксировать события в журнале
- Фиксировать и принудительно пресекать нарушения
- Полностью отключать аудит (не рекомендуется для сертифицированных систем)
2. Подготовка
1. Убедитесь в редакции ОС:
cat /etc/astra_version
lsb_release -a
Параметр актуален для Astra Linux SE 1.7 / 1.8.
2. Создайте резервные копии:
sudo cp /etc/parsec/parsec.conf /etc/parsec/parsec.conf.bak
sudo cp /etc/astra/audit.conf /etc/astra/audit.conf.bak 2>/dev/null || true
3. Проверьте текущее значение:
grep -i "ac_audit_mode" /etc/parsec/parsec.conf
# или
sysctl security.ac_audit_mode 2>/dev/null
3. Способ 1: Настройка через конфигурационный файл (CLI)
Шаг 1. Откройте файл конфигурации
sudo nano /etc/parsec/parsec.conf
Шаг 2. Найдите или создайте секцию [audit]
Если секция отсутствует, добавьте её в конец файла:
[audit]
enabled = 1
ac_audit_mode = 1
log_file = /var/log/parsec/audit.log
rotate_size = 100M
max_files = 10
Шаг 3. Сохраните и проверьте синтаксис
sudo parsec-conf-check # если утилита доступна в вашей версии
# или просто убедитесь в отсутствии опечаток