Утилита au-to-mail#

Плагин au-to-mail предназначен для отправки копий заданных типов сообщений аудита на электронную почту определенным пользователям.

Для функционирования плагина требуется наличие MUA (Mail User Agent - пользовательская программа электронной почты) и MTA (Mail Transfer Agent - агент пересылки). SberLinux OS по умолчанию комплектуется MUA, предустановленным из пакета s-nail, MTA - Sendmail (подробнее см. в «Утилита sendmail»).

Файлы au-to-mail:

• /sbin/au-to-mail - исполняемый файл плагина;

• /etc/audit/plugins.d/au-to-mail.conf - файл конфигурации плагина (подробнее см. в «Файл /etc/audit/plugins.d/au-to-mail.conf»);

• /etc/au-to-mail/mailing.cfg - файл конфигурации правил рассылки (подробнее см. в «Файл /etc/au-to-mail/mailing.cfg»).

Примеры использования#

• Для создания конфигурации рассылки, а именно - задания для типа сообщений 1300 получателей в виде пользователя user_au_to_mail_0 и группы group_au_to_mail, введите команду:

  cat <<EOF > /etc/au-to-mail/mailing.cfg
  type_id = 1300 : user_au_to_mail_0, @group_au_to_mail
  EOF
  

• При совпадении типа сообщения аудита AUDIT_TYPE с заданным в конфигурации рассылки всем назначенным адресатам будет отправлено письмо, содержащее данное сообщение аудита. Пример сообщения:

  From root@localhost.localdomain  Thu Jun 20 06:55:23 2024
  Return-Path: <root@localhost.localdomain>
  Received: from localhost.localdomain (localhost [hh.hh.hh.hh])
          by localhost.localdomain (hh.hh.hh/hh.hh.hh) with ESMTPS id 45K6tNin152386
          (version=TLSv1.3 cipher=TLS_AES_256_GCM_SHA384 bits=256 verify=NOT);
          Thu, 20 Jun 2024 06:55:23 GMT
  Received: (from root@localhost)
          by localhost.localdomain (hh.hh.hh/hh.hh.hh/Submit) id 45K6tNPd152385;
          Thu, 20 Jun 2024 06:55:23 GMT
  From: root <root@localhost.localdomain>
  Message-Id: <202406200655.45K6tNPd152385@localhost.localdomain>
  Date: Thu, 20 Jun 2024 06:55:23 +0000
  To: au-to-mail-3@localhost.localdomain, au-to-mail-1@localhost.localdomain,
          au-to-mail-2@localhost.localdomain
  Subject: Audit event: type_id = 2522
  User-Agent: s-nail v14.9.22
  
  VIRT_CONSOLE: type=VIRT_CONSOLE msg=audit(1718866523.538:882): pid=151703 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:virtd_t:s0-s0:c0.c1023 msg='virt=kvm op=open_console reason=none vm="Alphine" uuid=1830e998-6276-4ddc-9c4d-44c4cf595366 vm-pid=152201, action_type=user_connect_to_vm_console, name=user_connect_to_vm_console desc="Connection user to VM" importance_level=middle exe="/usr/sbin/libvirtd" hostname=? addr=? terminal=? res=success'
  

  В приведенном сообщении аудита с типом 2522 содержится информация об успешном подключении пользователя к консоли виртуальной машины посредством KVM.