AstraRegul
Релиз 2024.08.31.00
×
  (c) ООО "РЕГЛАБ", 2024

4.3.1.1.1.10.1. Запуск сервиса astra.security.useractivity.service

 
Сервис предназначен для обслуживания сессий пользователя. Именно этот сервис позволяет отследить длительность сессии и время бездействия пользователя. Благодаря ему происходит автоматический выход пользователя из системы, если длительность сессии или время бездействия достигло установленного лимита.
 
По умолчанию сервис запускается автоматически. Чтобы посмотреть список запущенных сервисов, используйте команду "ps aux". Для удобства поиска отфильтруйте результаты с помощью команды "grep":
ps aux | grep astra.security
 
 
Если в списке не будет сервиса "astra.security.useractivity.service", необходимо будет запустить его вручную.
Сервис запускается для каждого пользователя отдельно. Чтобы запустить сервис для конкретного пользователя, необходимо редактировать файл "astra.security.useractivity.sh", расположенный в /opt/AstraRegul/Astra.Security. Для этого выполните следующие действия:
 
1. Откройте файл в текстовом редакторе, вызвав команду:
sudo nano /opt/AstraRegul/Astra.Security/astra.security.useractivity.sh
#!/bin/sh
# Установите правильный адрес дисплея для графического сервера в переменной окружения DISPLAY.
# Пример: ":0".
export DISPLAY=":0"
# Установите правильный путь к файлу авторизации для графического сервера
# (для того пользователя, от которого выполняется вход в графическую систему).
# Пример: "/home/user1/.Xauthority".
export XAUTHORITY="/home/<имя_пользователя>/.Xauthority"
# Укажите имя пользователя для запуска команды от его имени.
sudo -u <имя_пользователя> /opt/AstraRegul/Astra.Security/astraa.security.useractivity
 
2. Укажите значение "DISPLAY", зависящее от количества и конфигурации мониторов. Чтобы узнать значение, вызовите команду:
export |grep DISPLAY
 
 
3. Укажите имя пользователя, под которым необходимо запускать сервис. Затем нажмите сочетание клавиш "Ctrl + O", чтобы сохранить изменения, и сочетание клавиш "Ctrl + X", чтобы выйти из редактора.
 
После этого стоит перезапустить систему. Проверьте список запущенных сервисов с помощью команды "ps aux". Сервис "astra.security.useractivity.service" будет запущен от имени указанного пользователя.
 
Если же необходимо, чтобы сервис следил за сессией еще одного пользователя, необходимо добавить этого пользователя в конфигурацию сервиса. Для этого перейдите к файлу "astra.security.useractivity.add.anotheruser.sh", расположенному в "/opt/AstraRegul/Astra.Security", и следуйте инструкции, описанной в нем.
#!/bin/sh
echo Данный файл поможет создать службу useractivity
echo для еще одного пользователя графической системы.
echo Сначала отредактируйте данный файл:
echo замените anotheruser на нужное имя пользователя.
echo Затем выполните следующие команды.
#cp /lib/systemd/system/astra.security.useractivity.service /lib/systemd/system/astra.security.useractivity.anotheruser.service
#cp /opt/AstraRegul/Astra.Security/astra.security.useractivity.sh /opt/AstraRegul/Astra.Security/astra.security.useractivity.anotheruser.sh
echo Далее, отредактируйте файл /opt/AstraRegul/Astra.Security/astra.security.useractivity.anotheruser.sh
echo для того, чтобы установить правильные значения
echo переменных окружения DISPLAY и XAUTHORITY.
echo Далее, отредактируйте файл /lib/systemd/system/astra.security.useractivity.anotheruser.service
echo  для того, чтобы в нем было указано правильное название
echo  файла /opt/AstraRegul/Astra.Security/astra.security.useractivity.anotheruser.sh
echo Затем выполните следующие команды.
#systemctl enable astra.security.useractivity.anotheruser.service
#systemctl start astra.security.useractivity.anotheruser.service
Замените "anotheruser" на "<имя_пользователя>".

Импорт настроек модулей мониторинга

 
Эту настройку необходимо выполнить для того, чтобы модули мониторинга отслеживали длительность сессий и блокировок пользователей.
 

AstraLinux

 
1. Перейдите в папку установки Astra.Security:
cd /opt/AstraRegul/Astra.Security/
 
2. Примените настройки модулей c помощью команд:
sudo sh ./monitor.export.sh
sudo sh ./addLockTime.sh
 
 
Теперь если ввести несколько раз неправильный пароль блокировка будет временной.
 
 

РЕД ОС

Данная инструкция подходит для РЕД ОС версии 7.3 и 8.
 
1. Перейдите в папку установки Astra.Security:
cd /opt/AstraRegul/Astra.Security/
 
2. Примените настройки модулей c помощью команд:
sudo sh ./monitor.export.sh
sudo sh ./addLockTime.sh
 
 
3. Перейдите в каталог LDAP-сервер:
cd /etc/openldap/slapd.d/cn=config
 
4. Откройте файл "olcDatabase={x}monitor.ldif".
На месте "x" может быть любая цифра, также "monitor" может начинаться с большой буквы.
nano olcDatabase={x}monitor.ldif
 
 
5. Если значение аттрибута "olcAccess" отличается от представленного ниже, то необходимо конфигурировать монитор:
olcAccess: {0} to dn.subtree="cn=monitor" by dn.exact="cn=admin,dc=maxcrc,dc=com" write by users write by * none"
 
6. Для конфигурации монитора создайте и откройте файл "configure.ldif", выполнив команду:
nano configure.ldif
 
7. Добавьте в файл следующее содержимое:
dn: olcDatabase={x}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0} to dn.subtree="cn=monitor" by dn.exact="cn=admin,dc=maxcrc,dc=com" write by users write by * none
На месте "x" должна быть указана цифра, которая указана в файле "/etc/openldap/slapd.d/cn=config/olcDatabase={x}monitor.ldif".
 
 
Сохраните и закройте файл.
 
8. Выполните команду:
ldapmodify -Y EXTERNAL -H ldapi:/// -f configure.ldif
 
 
9. Перезапустите службу "slapd", выполнив команду:
sudo systemctl restart slapd
 
10. Откройте файл "/etc/openldap/slapd.d/cn=config/olcDatabase={x}monitor.ldif" и убедиться, что аттрибут "olcAccess" имеет верное значение.
 
 
11. Выполните команду:
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" astra
 
12. Найдите запись:
{x}astra, schema, config
dn: cn={x}astra,cn=schema,cn=config
 
На месте "x" может быть любая цифра.
 
Запомните цифру на месте "x".
 
 
13. Перейдите в каталог "/opt/AstraRegul/Astra.Security":
cd /opt/AstraRegul/Astra.Security
 
14. Откройте файл "addOlcAttrType.ldif" и замените в значение атрибута "dn: cn={x}astra,cn=schema,cn=config" значение "x" на значение, полученное в п.12.
 
 
Сохраните и закройте файл.
 
15. Откройте файл "editOlcObjectClass.ldif" и замените в значение атрибута "dn: cn={x}astra,cn=schema,cn=config" значение "x" на значение, полученное в п.12.
 
 
Сохраните и закройте файл.
 
16. Выполните команду:
chmod +x ./addLockTime.sh
 
17. Выполнить скрипт addLockTime.sh:
sudo sh ./addLockTime.sh
 
 
18. Теперь если ввести несколько раз неправильный пароль блокировка будет временной.