Подробный гайд по настройке регистрации событий и аудита в Astra Linux Special Edition 1.8
Важно:
- Данный гайд ориентирован на Astra Linux Special Edition 1.8 (Смоленск) с включёнными компонентами безопасности (Parsec, PDPL, мандатный контроль доступа). Для гражданской версии (Common Edition) некоторые механизмы безопасности и инструменты администрирования могут отсутствовать или работать в ограниченном режиме. Всегда сверяйтесь с официальной документацией вашего релиза.
1. Подготовка и базовые требования
| Требование | Описание |
|---|---|
| Права | root или пользователь с sudo |
| Пакеты | auditd, audispd-plugins, rsyslog, logrotate, astra-security (если установлен) |
| Режим безопасности | Рекомендуется режим Enhanced или Maximum в fly-admin-smc |
| Резервное копирование | Сохраните /etc/audit/, /etc/rsyslog.conf, /etc/systemd/journald.conf |
sudo apt update
sudo apt install auditd audispd-plugins rsyslog logrotate
sudo systemctl enable --now auditd rsyslog
2. Настройка системного логирования
2.1 Journald (systemd)
Редактируем /etc/systemd/journald.conf:
[Journal]
Storage=persistent
SystemMaxUse=2G
ForwardToSyslog=yes
MaxRetentionSec=1year
Compress=yes
Применяем:
sudo systemctl restart systemd-journald
2.2 Rsyslog
Открываем /etc/rsyslog.conf или создаём файл в /etc/rsyslog.d/10-astra-audit.conf:
# Разделение логов по критичности
*.info;mail.none;authpriv.none;cron.none /var/log/messages
authpriv.* /var/log/secure
auth.* /var/log/auth.log
kern.* /var/log/kern.log
Для отправки на центральный сервер (TLS):
module(load="imtcp" StreamDriver.Name="gtls" StreamDriver.Mode="1" StreamDriver.AuthMode="x509/name")
input(type="imtcp" port="6514" Ruleset="central")
ruleset(name="central") {
action(type="omfile" file="/var/log/remote/audit.log")
}
*.* @@(o)logcollector.example.com:6514;RSYSLOG_SyslogProtocol23Format
- Проверяем синтаксис:
rsyslogd -N1 - Перезапускаем:
sudo systemctl restart rsyslog
3. Настройка подсистемы аудита (auditd)
3.1 Базовая конфигурация /etc/audit/auditd.conf
log_file = /var/log/audit/audit.log
max_log_file = 100
num_logs = 10
log_format = ENRICHED
space_left = 75
space_left_action = EMAIL
admin_space_left = 50
admin_space_left_action = SUSPEND
disk_full_action = SUSPEND
disk_error_action = SUSPEND
flush = INCREMENTAL_ASYNC
freq = 50
ENRICHEDдобавляет разрешение UID/GID в имена, что критично для разбора логов.
3.2 Правила аудита (/etc/audit/rules.d/)
Создаём файл /etc/audit/rules.d/99-astra-base.rules:
# --- Базовые параметры ---
-b 1024 # Макс. буфер правил
-D # Очистка всех правил перед загрузкой новых
-e 2 # Включение аудита (не отключается до перезагрузки)
# --- Контроль доступа к файлам ---
-w /etc/passwd -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/group -p wa -k identity
-w /etc/gshadow -p wa -k identity
-w /etc/sudoers -p wa -k sudoers
-w /etc/audit/ -p wa -k audit-config
-w /etc/astra/ -p wa -k astra-security
# --- Системные вызовы ---
-a always,exit -F arch=b64 -S execve -k exec
-a always,exit -F arch=b64 -S chmod,fchmod,fchmodat -k perm_mod
-a always,exit -F arch=b64 -S chown,fchown,fchownat,lchown -k owner_mod
# --- Вход/выход пользователей ---
-w /var/log/lastlog -p wa -k logins
-w /var/run/faillock/ -p wa -k faillock
-w /var/log/btmp -p wa -k logins
-w /var/log/wtmp -p wa -k logins
# --- Изменение политик безопасности ---
-w /etc/security/ -p wa -k pam
-w /etc/krb5.keytab -p wa -k krb5
# --- Сетевые события (опционально) ---
-a always,exit -F arch=b64 -S connect,accept,bind -k network
Применяем правила:
sudo augenrules --load
sudo systemctl restart auditd
Проверка:
sudo auditctl -l
sudo aureport -l | head -20
4. Интеграция с подсистемой безопасности Astra Linux
Astra Linux SE использует ядро с модулем Parsec и политику PDPL (мандатный контроль доступа).
Аудит безопасности настраивается через:
4.1 Графический инструмент fly-admin-smc
- Запуск:
sudo fly-admin-smc - Раздел:
Безопасность->Аудит и мониторинг
3. Включить:
Аудит успешных/неуспешных входовКонтроль изменения меток целостности/конфиденциальностиЛогирование отклонений PDPL
- Применить -> перезапуск
auditd
4.2 Консольные утилиты
# Проверка статуса Parsec/PDPL
sudo astra-security status
# Включение расширенного аудита MAC-событий
sudo sysctl -w kernel.parsec.audit_enabled=1
# Просмотр событий безопасности Astra
sudo ausearch -m MAC_STATUS -i
sudo ausearch -m USER_AUTH -i
В сертифицированных конфигурациях события Parsec автоматически передаются в
auditdчерезaudisp-parsecплагин. Убедитесь, что в/etc/audisp/plugins.d/присутствует активный плагин.
5. Защита и ротация журналов
5.1 Права и атрибуты
sudo chmod 640 /var/log/audit/audit.log
sudo chown root:adm /var/log/audit/audit.log
sudo chattr +a /var/log/audit/audit.log # Только добавление (предотвращает удаление/изменение)
5.2 Ротация через logrotate
Файл /etc/logrotate.d/audit:
/var/log/audit/audit.log {
weekly
rotate 52
missingok
compress
delaycompress
notifempty
create 0640 root adm
postrotate
/usr/sbin/service auditd rotate >/dev/null 2>&1 || true
endscript
}
Файл /etc/logrotate.d/rsyslog настраивается аналогично для /var/log/secure, /var/log/messages и т.д.
6. Мониторинг, анализ и интеграция с SIEM
6.1 Базовые отчёты
# Последние входы
ausearch -m USER_LOGIN -ts recent
# Все попытки sudo
ausearch -m USER_CMD -ts today
# Сводка по запущенным командам
aureport -x --summary
# Отчёт по изменениям прав
aureport -m --summary
6.2 Экспорт в SIEM (ELK/Graylog/MaxPatrol)
- Настройте
rsyslogилиfilebeatдля отправки/var/log/audit/audit.log - Используйте парсер
auditbeat(Elastic) илиlogstash-filter-audit - Для соответствия ФСТЭК рекомендуется хранить логи минимум 1 год, резервировать на отдельный узел, использовать хеширование (GOST/SHA-256) и контроль целостности.
7. Соответствие требованиям регуляторов (ФСТЭК РФ)
| Требование | Реализация в Astra Linux 1.8 |
|---|---|
| Приказ ФСТЭК №21 (ГИС) | auditd + fly-admin-smc аудит входов, изменений, MAC-событий |
| Приказ ФСТЭК №17/№239 (ПДн/КИ) | Разделение логов, защита chattr +a, централизованный сбор, контроль целостности |
| НДВ-контроль | astra-integrity / aide, верификация подписи пакетов, журнал установки/удаления |
| Мандатный контроль | Parsec/PDPL, аудит изменений меток, контроль несанкционированного доступа |
Рекомендуется вести журнал изменений конфигурации аудита и регулярно проводить аудит с помощью
aureport -c(конфигурационные изменения).
8. Диагностика и устранение неполадок
| Проблема | Решение |
|---|---|
auditd не запускается |
Проверьте место на диске (df -h /var/log/audit), права, синтаксис auditd.conf |
| Правила не применяются | sudo augenrules --load, проверьте /var/log/audit/audit.log на ошибки синтаксиса |
| Логи пусты | sudo systemctl status auditd, проверьте kernel.audit_enabled=1 (sysctl) |
| Конфликт с PDPL | Временно переключите режим безопасности в fly-admin-smc -> Стандартный, проверьте логи dmesg | grep parsec |
| Переполнение диска | Увеличьте max_log_file, настройте logrotate, отключите избыточные правила (-k с высокой частотой) |
Полезные команды диагностики:
sudo systemctl status auditd rsyslog
journalctl -u auditd -n 50
sudo ausearch -m DAEMON_START -ts today
sudo aureport --start today --end now
9. Полезная документация
man auditd,man auditctl,man ausearch,man aureport- Приказы ФСТЭК России №17, №21, №239, №31
- RFC 5424 (Syslog), RFC 5425 (TLS для syslog)
Чек-лист перед вводом в эксплуатацию
- [ ]
auditdиrsyslogзапущены и включены в загрузку - [ ] Правила в
/etc/audit/rules.d/загружены (augenrules --load) - [ ] Файлы логов защищены (
chattr +a, права640) - [ ] Ротация настроена и протестирована
- [ ] Централизованный сбор логов работает (если требуется)
- [ ] Включён аудит MAC/PDPL через
fly-admin-smcилиsysctl - [ ] Проведён тестовый прогон: вход,
sudo, изменение прав, проверка логов - [ ] Документирована конфигурация для прохождения проверок