НАЗВАНИЕ

useraud -- просмотр и изменение индивидуальных правил регистрации событий для пользователей

ОБЗОР

useraud [параметр [параметр...]] [имя_пользователя(группы)] -- [флаги_регистрации_событий]

useraud [-d, --delete] [-n, --numeric] [-l, --long] [-g, --group] [-o, --other] [-m, --modify] [-h, --help] [-v, --version] [имя_пользователя(группы)] -- [флаги_регистрации_событий]

ОПИСАНИЕ

Инструмент useraud просматривать и изменять индивидуальные правила регистрации событий для пользователей. Если индивидуальные правила не назначены, применяются групповые правила регистрации событий. Если они также отсутствуют, применяются правила регистрации событий для остальных пользователей.

При назначении правил регистрации событий в каталоге /etc/parsec/auddb создаются файлы c настройками регистрации и именами вида user:UID, group:GID и other:0 для правил пользователей, групп и всех остальных соответственно.

ЗАМЕЧАНИЕ

Изменения правил регистрации событий для пользователя вступают в силу при новом входе пользователя в систему. Правила регистрации событий для уже запущенных в системе процессов, принадлежащих пользователю, не изменятся.

Варианты использования инструмента useraud приведены в разделе ПРИМЕРЫ.

СПИСОК РЕГИСТРИРУЕМЫХ СОБЫТИЙ

Протоколируемые события (сокращенное имя, полное):

o open -- открытие файла;

c create -- создание файла;

x exec -- запуск программы;

u delete -- удаление файла;

d chmod -- изменение прав доступа к файлу;

n chown -- изменение владельца файла;

t mount -- (раз)монтирование файловой системы;

l module -- загрузка-выгрузка модуля;

i uid -- изменение UID;

g gid -- изменение GID;

a audit -- смена списка регистрации событий;

r acl -- управление списком прав доступа;

m mac -- смена мандатных атрибутов;

p cap -- изменение привилегий;

h chroot -- изменение корневого каталога;

e rename -- переименование;

w net -- сетевые события.

Список событий также можно получить из справки по useraud (параметр -h, --help).

ПАРАМЕТРЫ

-d, --delete

Cбросить правила регистрации событий.

-n, --numeric

Вывести флаги в шестнадцатеричном формате.

-l, --long

Вывести полные имена флагов.

-g, --group

Правила для группы.

-o, --other

Правила для остальных (любой пользователь).

-m, --modify

Изменить существующее правило.

-h, --help

Вывести справку и выйти.

-v, --version

Вывести информацию о версии и выйти.

ПРИМЕРЫ

Для просмотра индивидуальных правил регистрации событий, назначенных локальному пользователю, используется команда:

	useraud имя_пользователя

Для просмотра правил регистрации событий, назначенных одной или нескольким группам, используется команда:

	useraud -g [имя_группы]

Если имя группы не задано, то выводятся все группы с назначенными правилами.

Если правила регистрации событий для пользователя или группы не назначены (отсутствует соответствующий файл настроек в /etc/parsec/auddb), то при попытке их просмотра выводится сообщение:

	useraud: невозможно прочесть файл настроек аудита: Нет такого файла или каталога

Для просмотра правил регистрации событий, назначенных всем остальным, используется команда:

	useraud -o

Флаги регистрации задаются в виде:

	[флаги_успешных_событий][:флаги_неуспешных_событий], ...

Добавление регистрируемого события производится следующими способами:

Через "+имя_регистрируемого_события". Например, для регистрации успешного события выполнения файла и неуспешного события открытия:

		useraud -m имя_пользователя -- +exec:+open

Через "сокращенное_имя_регистрируемого_события". Например, для регистрации успешных событий удаления и создания файла:

		useraud -m имя_пользователя uc

Для удаления регистрируемого события используется следующий формат:

	-имя_регистрируемого_события

Пример команды отключения регистрации успешного события изменения владельца файла:

	useraud -m имя_пользователя -- -chown

Для отключения регистрации успешных или неуспешных событий в качестве флага регистрации используется 0.

Пример команды отключения регистрации успешных событий для группы:

	useraud -m -g имя_группы 0

При необходимости добавления или удаления правил регистрации неуспешных событий, не затрагивая существующие правила для успешных событий, используется команда:

	useraud -m имя_пользователя -- +0:[+,-]имя_регистрируемого_события

Отключение регистрации неуспешного события удаления файлов и/или каталогов:

	useraud -m имя_пользователя -- +0:-delete

Для сброса назначенных пользователю правил регистрации событий используется команда:

	useraud -d имя_пользователя

В результате выполнения данной команды удаляется файл настроек регистрации user:UID в каталоге /etc/parsec/auddb, и к пользователю начинают применяться настройки регистрации событий для групп или для всех остальных (при их наличии). Удаление файла настроек вручную аналогично выполнению данной команды.

Чтобы полностью отключить регистрацию событий для пользователя без последующего применения имеющихся настроек для групп и/или всех остальных, используется команда:

	useraud -m имя_пользователя 0:0

СМОТРИТЕ ТАКЖЕ

usercaps(1)