Обзор astra linux, операционной системы для спецслужб и силовиков

Настройка на клиентах:

Настройка rsyslog

Добавить в /etc/rsyslog.conf строки:


Строки, обеспечивающие пересылку всех сообщений на сервер (susrv.rtfm.rbt) — обозначает пересылку сообщений всех категорий и всех приоритетов — обозначает использование TCP-соединенийПерезапустить сервис rsyslog:

service rsyslog restart

После данной настройки сообщения должны попадать на сервере в файл /var/remote_logs/IP-агента/all.logs

Настройка ossec-агента:

Установить пакет ossec-hids-agentРаскоментировать в файле /var/ossec/etc/ossec.conf строки:

Тут же необходимо изменить параметр <server-ip> на соответствующий серверу (в нашем примере 10.0.0.23):

В файле /var/ossec/bin/ossec_audit_send.sh найти строку, содержащую команду парсинга логов parselog и убрать комментарий из конца строки #all logs. После изменения строка будет иметь вид:

Для завершения настройки агента требуется импортировать сгенерированный на сервере для данного агента ключ через утилиту /var/ossec/bin/manage_agents. После выполнения всех этих действий необходимо перезапустить сервер:

Для проверки отправки логов PARSEC нужно сгенерировать сообщение и проверить попадает ли оно на сервер. Для этого на агенте необходимо выполнить:

Kernlog отобразит события, это же событие должно попасть в файл /var/remote_logs/10.0.0.25/all.log на сервере(где — IP-адрес агента)

Создание загрузочного USB-накопителя Astra Linux в balenaEtcher

Рекомендую этот способ начинающим пользователям и тем, кто создает установочную флешку операционной системы впервые.

Зайдите на сайт утилиты. Записывает образы операционных систем на носители:

  • Карты памяти
  • USB-накопители

Версии для операционных систем:

  • Windows
  • macOS
  • Linux

Прокрутите страницу вниз и скачайте версию программного инструмента для своей операционной системы.

Для Windows выберите одну из версий:

  • С установкой (Installer)
  • Без установки (Portable)

Обе совместимы с 32- и 64-разрядными процессорами.

Для macOS предусмотрена одна 64-битная версия утилиты.

Для Linux:

  • 64-битная (x64)
  • 32-битная (x86)

Напомню, что 32-битными процессорами укомплектованы старые ПК, не подходящие для Astra Linux.

В операционных системах Linux:

  • Щелкните правой кнопкой мыши по скачанному файлу
  • Выберите пункт «Свойства»
  • Перейдите на вкладку «Права»
  • Включите опцию «Разрешить запуск этого файла в качестве программы»

В зависимости от скачанной версии, запустите программу или сначала установите, а потом откройте. Нажмите «Select image» и укажите путь к файлу ISO-образа операционной системы.

Нажмите «Select target» и выберите флешку, на которую будет записан образ ОС. Щелкните мышью по экранной кнопке «Flash» и дождитесь завершения создания программой установочного накопителя.

Настройки BIOS

Действия этого пункта выполняются вне зависимости от метода, которым создавалась загрузочная флешка.

Извлеките созданный накопитель из USB-разъема ПК. Выключите компьютер. Включите его вновь и войдите в BIOS и UEFI. В начале загрузке в нижней части окна отображается клавиша (реже — сочетание клавиш), которую необходимо нажать для этого. В разных моделях настольных ПК и ноутбуков могут применяться различные клавиши.

Найдите раздел настроек, в котором определяется очередность загрузки компьютера с разных дисков. Название может отличаться, но чаще всего содержит слово «Boot».

Нужно, чтобы загрузочная флешка Astra Linux была перемещена на первое место списка.

Для подтверждения сделанных изменений:

  • Нажмите «F10» на клавиатуре
  • Нажмите экранную кнопку «OK» в диалоговом окне

Как создать загрузочную флешку Astra Linux в Universal USB Installer

Время загрузки ISO-образа ОС зависит от скорости интернет-соединения. Сохраните файл в удобном для вас месте на SSD или HDD. Операционная система требовательна к ресурсам. Для работы в графическом режиме ей нужно не менее четырех гигабайт оперативной памяти и шестнадцати гигабайт свободного места на накопителе компьютера. Ее нельзя использовать для восстановления старых и слабых ПК.

Откройте веб-сайт утилиты для создания загрузочных флеш-накопителей операционных систем Linux — Universal USB Installer.

Скачайте исполняемый файл программного инструмента. Нужно, чтобы флешка была отформатирована в файловых системах:

  • Fat32
  • NTFS

У разработчиков программы нет уверенности в том, что утилита станет работать в операционных системах Windows:

  • 98
  • 2000
  • XP

Сохраните утилиту на SSD или жестком диске настольного компьютера или ноутбука. Запустите ее.

Необходимо, чтобы к USB-порту компьютера была подключена чистая флешка.

Начать работу с программным инструментом возможно только после принятия условий ее лицензионного соглашения. Их необходимо прочитать и, в случае, если вы планируете воспользоваться программой, нажать на экранную кнопку «I Agree».

В окне создающей загрузочные флешки программы нужно выполнить три шага:

  • Шаг первый (Step 1): выбор из списка дистрибутива (Debian)
  • Шаг второй (Step 2): указание пути к файлу образа Astra Linux
  • Шаг третий (Step 3): указание буквы загрузочного накопителя

Нажмите «Create». Через некоторое время загрузочная флешка Astra Linux будет создана и готова к использованию.

Установка сервера 1С


В файле /etc/hosts не должно быть записей формата  или относящихся к , в случае отсутствия DNS-сервера, в нем должно быть прописано четкое соответствие IP-адрес сервера – FQDN – короткое имя.

cat /etc/hosts

127.0.0.1           localhost
10.0.2.200          astra15-1c.example.ru    astra15-1c

cat /etc/hostname

astra15-1c

Устанавливаем необходимые пакеты для работы 1С:

mkdir /tmp/libwebkit
tar -xvf libwebkitgtk-1.0.tar.gz -C /tmp/libwebkit
dpkg -i /tmp/libwebkit/*

usermod -a -G shadow postgres

setfacl -d -m u:postgres:r /etc/parsec/macdb

setfacl -R -m u:postgres:r /etc/parsec/macdb

setfacl -m u:postgres:rx /etc/parsec/macdb

setfacl -d -m u:postgres:r /etc/parsec/capdb

setfacl -R -m u:postgres:r /etc/parsec/capdb

setfacl -m u:postgres:rx /etc/parsec/capdb

Разрешаем подключения по сети, для этого меняем значения в файлах:

postgresql.conf

# - Connection Settings -
listen_addresses = '*'                     # what IP address(es) to listen on

pg_hba.conf

# IPv4 local connections:
host       all          all       0.0.0.0/0       md5

Для корректной работы 1С с СУБД PostgreSQL также раскоментируем и меняем значения:

postgresql.conf

backslash_quote = safe_encoding
escape_string_warning = off
standart_conforming_strings = off

Создаем пароль для роли postgres:

Перезапускаем СУБД PostgreSQL:

Для создания сервера 1C Предприятия понадобится 4 пакета:

Скачать их можно с сайта 1С.

Скачиваем в любую директорию, например 1csrv, переходим в нее и устанавливаем:

При возникновении ошибок об отсутствии пакетов, установим их командой:

Для работы аппаратного ключа hasp необходим драйвер haspd:

Правим /etc/haspd/hasplm.conf

Вместо 10.0.2.0/24 нужно указать свою подсеть или хосты, которые должны видеть HASP ключ

Перезапускаем haspd:

sudo service haspd restart

Даем права на директорию 1C:

Запускаем сервер 1С:

Проверяем:

  • Через «Администрирование серверов 1С Предприятия» для windows
  • Через консольную утилиту администрирования rac. 

Запустить в режиме демона сервис управления кластером:

Получить справку по командам администрирования:

Посмотреть список доступных кластеров:

Для подключения клиентов через веб, потребуется установленный и настроенный сервер Apache2

Для публикации базы 1С, нужно выполнить команду:

-wsdir – имя алиаса веб-сервера для соединения с базой;

-dir – директория где будут располагаться файлы web-интерфейса 1с;

-connStr – строка соединения с базой 1с предприятия(astr15-1c — имя сервера 1с, infobase — имя базы)

-confPath – расположение конфигурационного файла web-сервера apache.

Создание ЭП, отсоединенной от файла

Создание ЭП, отсоединенной от файла выполняется во вкладке «Создание ЭП» (рисунок 5).

При активации этой вкладки формируется и отправляется запрос к криптопровайдеру для получения информации об установленных сертификатах:

/opt/cprocsp/bin/amd64/certmgr -list10


Если требуется создать ЭП с включенной меткой времени, то чекбокс «включить метку времени» в секции «Применяемый сертификат электронной подписи» должен быть включен.

Затем следует задать имя создаваемого файла ЭП в секции «Файл электронной» подписи путем нажатия ЛКМ на кнопке «Задать имя», в результате чего, путем добавления к текущему имени файла данных о текущих дате и времени и расширения «sig» будет автоматически создано имя вида

При необходимости это имя может быть откорректировано вручную.

После выполнения указанных действий следует выдать запрос на создание отсоединенной ЭП путем нажатия ЛКМ на кнопке «Создание ЭП», после чего будет сформирована команда криптопровайдеру для создания отсоединенной электронной подписи вида:

/opt/cprocsp/bin/amd64/cryptcp -sign -der -thumbprint <THUMBPRINT> -cadest -cadesTSA <TIME_ADDRESS> -detached <FILENAME> <SIGNAME> /opt/cprocsp/bin/amd64/cryptcp -sign -der -thumbprint <THUMBPRINT> <SIGNAME>

Специальная версия

мандатная модель управления доступом (MAC) и контроля целостности (MIC), когда все компоненты системы иерархически разделяются по степени важности для ее безопасности от самых недоверенных, пользовательских (уровень целостности 0), до системных, административных (уровень целостности по умолчанию 63); автоматическая проверка электронной цифровой подписи любого файла в системе для защиты от несанкционированного изменения. Фактически механизм ЭЦП может блокировать не только отдельные файлы, но даже скрипты, написанные в любом текстовом редакторе на языках вроде Python или Perl

При попытке запуска или открытия файла модуль, висящий в памяти, на лету проверяет корректность ЭЦП и принимает решение о возможности запуска. В случае со скриптами ЭЦП помещается не в сам скрипт, а в расширенные атрибуты файловой системы. Отдельно хотелось бы отметить использование термина «электронно-цифровая подпись» в отношении реализованной функции безопасности. Такое наименование намеренно взято из национального стандарта ГОСТ Р 34.10 и используется в нашей документации и справочных материалах в целях четкого отделения реализованной в Astra Linux функции безопасности от задачи обеспечения юридической значимости электронного документа, решаемой соответствующими средствами создания и проверки электронной подписи;

  • режим киоска, на уровне ядра разрешающий запуск строго определенного набора приложений;
  • ограничение работы с интерпретируемыми языками программирования;
  • ограничение доступа пользователей к консоли;
  • возможность затирания файлов на диске последовательностями нулей и единиц в несколько проходов;
  • блокировка подключения «незнакомых» внешних устройств, препятствующая занесению в систему вредоносного ПО через различные хитрости с флешками. Не секрет, что системы предприятия можно скомпрометировать, просто разбросав симпатичные флешки с вредоносным ПО вокруг здания в расчете на то, что кто-нибудь из сотрудников да поднимет. В нашем случае такой трюк не пройдет.

Текущая версия Astra Linux Special Edition — Смоленск 1.6.

Системные параметры

С помощью графического инструмента fly-admin-smc

  • Включить запрет установки бита исполнения;

  • Включить блокировку макросов;

  • Включить блокировку трассировки ptrace;
  • Включить блокировку одновременной работы с разными уровнями конфиденциальности в пределах одной сессии;
  • Включить системные ограничения ulimits;
  • Включить блокировку выключения/перезагрузки ПК для пользователей;
  • Включить блокировку системных команд для пользователей;
  • Включить межсетевой экран;
  • Включить запрет монтирования носителей непривилегированными пользователями;
  • Включить блокировку клавиш SysRq для всех пользователей, включая администраторов;
  • По возможности включить режим работы файловой системы ОС — «только чтение»

Блокировка компьютера при извлечении токена

В состав пакета libpam-pkcs11 входит утилита pkcs11_eventmgr, которая позволяет выполнять различные действия при возникновении событий PKCS#11.

Для настройки pkcs11_eventmgr служит файл конфигурации — /etc/pam_pkcs11/pkcs11_eventmgr.conf

Пример файла конфигурации представлен ниже:

После этого добавьте приложение pkcs11_eventmgr в автозагрузку и перезагрузитесь.

Очистка всех данных с Рутокена

Инициализация утилитойpkcs11-tool:

user ~$

Также для очистки всех данных воспользуйтесь командой:

user ~$

$ pkcs15-init —erase-card

$ pkcs15-init —create-pkcs15 —so-pin «87654321» —so-puk «»

$ pkcs15-init —store-pin —label ‘User PIN’ —auth-id 02 —pin ‘12345678’ —puk » —so-pin ‘87654321’ —finalize

Утилита администрирования Рутокен (rtAdmin)

Утилита rtAdmin предназначена для автоматизации процедур форматирования и администрирования устройств Рутокен: смены метки токена, PIN-кодов и их параметров, управления разделами Flash-памяти.

При работе с утилитой рекомендуется не подключать более одного устройства.

Подключение репозиториев Debian 9 «Stretch»

С установкой пакета debian-archive-keyring

Для ОС ОН Орёл 2.12.8 установить пакет dirmngr для управления ключами и пакет debian-archive-keyring, содержащий ключи к репозиториям Debian:

sudo apt install debian-archive-keyring dirmngr

/etc/apt/sources.list

deb https://mirror.yandex.ru/debian/ stretch main contrib non-free

После добавления ссылки выполнить команду

sudo apt update

Пример сообщения ниже, отпечатки ключей выделены жирным шрифтом:

….

Чтение списков пакетов… Готово                                                                                                                                     W: Ошибка GPG: http://mirror.yandex.ru/debian stretch Release: Следующие подписи не могут быть проверены, так как недоступен открытый ключ: NO_PUBKEY 8B48AD6246925553 NO_PUBKEY 7638D0442B90D010 NO_PUBKEY EF0F382A1A7B6500E: Репозиторий «http://mirror.yandex.ru/debian stretch Release» не подписан.N: Обновление из этого репозитория нельзя выполнить безопасным способом, и поэтому по умолчанию он отключён.N: Смотрите справочную страницу apt-secure(8) о создании репозитория и настройке пользователя.

На момент написания этой статьи к репозиторию Stretch относится третий, последний отпечаток.

Для ОС СН Смоленск пакет debian-archive-keyring может быть установлен из репозитория ОС ОН Орёл после подключения этого репозитория или командами:

wget https://dl.astralinux.ru/astra/testing/orel/repository/pool/main/d/debian-archive-keyring/debian-archive-keyring_2017.5_all.debsudo apt install ./debian-archive-keyring_2017.5_all.deb

Без установки пакета debian-archive-keyring

Для того, чтобы установить  ключ проверки подлинности:

  1. Установите пакет dirmngr (если он ранее не установлен) и
  2. Используйте команду apt-key с указанием нужного отпечатка:

sudo apt install dirmngrsudo apt-key adv —recv-keys —keyserver keys.gnupg.net EF0F382A1A7B6500

  1. Временно изменить настройки DNS, оставив только сервер DNS 8.8.8.8, после чего попробовать получить ключи вышеуказанной командой.После успешного получения ключей настройки можно восстановить.
    • pool.sks-keyservers.net
    • na.pool.sks-keyservers.net
    • eu.pool.sks-keyservers.net
    • oc.pool.sks-keyservers.net
    • p80.pool.sks-keyservers.net
    • ipv4.pool.sks-keyservers.net
    • ipv6.pool.sks-keyservers.net
    • subset.pool.sks-keyservers.net
  2. sudo  apt-key add ИМЯ_ФАЙЛА.

После установки ключа репозитория обновите список пакетов:

sudo apt update

apt-key list

Подключить репозиторий можно и без установки ключей, однако данный способ не рекомендуется к применению, так как при этом проверка подлинности данных, получаемых из репозитория, становится невозможной. Для отключения проверки ключей в определении репозитория нужно указать дополнительный ключ trusted=yes:

deb https://download.astralinux.ru/astra/stable/orel/repository orel contrib main non-free

Для отключения проверки ключей в определении репозитория нужно указать дополнительный ключ trusted=yes:

Установка системы

Первое окно мастера установки — лицензионное соглашение. Его необходимо внимательно прочитать. Далее:

  • Согласиться с его условиями («Да»)
  • Прервать установку («Нет»)

В случае продолжения установки ОС, нажмите «Продолжить». Кнопка применяется и в дальнейшем в других окнах для перехода к следующему шагу установщика Astra Linux.

Нужно выбрать способ переключения между раскладками клавиатуры. Ознакомьтесь с рекомендациями программы установки.

Загрузка дополнительных компонентов производится автоматически и не требует вмешательства пользователя.

В поле введите имя ПК, на который устанавливается Astra Linux. В домашних условиях определяется пользователем. На работе — системным администратором или другим ИТ-специалистом.

Имя учетной записи администратора операционной системы начинается с маленькой латинской буквы. Может состоять из латинских букв и цифр.

Рекомендации по созданию надежного пароля администратора:

  • Смешанный и содержит цифры, знаки препинания и буквы
  • Время от времени заменяется новым

Придуманный пароль нужно ввести дважды.

Из предлагаемого программой установки Astra Linux выберите часовой пояс. Соответствующее время станет в дальнейшем использоваться операционной системой.

Разметка дисков. Первый пункт: «Авто — использовать весь диск». Данные с выбранного вами для установки операционной системы диска будут полностью удалены. Перед переходом к последующим шагам мастера установки Astra Linux необходимо, чтобы пользователь был уверен — файлы перемещены на дополнительные накопители:

  • Внешние HDD и SSD
  • Флешки
  • Файловые хранилища (NAS)
  • Компакт-диски (CD и DVD)

Если резервные копии не будут сделаны, могут быть потеряны:

  • Фотографии
  • Текстовые файлы
  • Презентации
  • Электронные таблицы
  • Фильмы
  • Видеоролики
  • Песни

Появится сообщение мастера установки о том, что в случае нажатия кнопки «Продолжить» вся информация с диска будет удалена. Пользователю предоставляется еще одна возможность:

  • Вспомнить о важных файлах, которые остались на диске
  • Прервать установку Astra Linux
  • Сохранить данные на других носителях
  • Вернуться к установке позже

Программа установки Astra Linux рекомендует новичкам выбрать схему разметки диска: «Все файлы в одном разделе».

Если пользователь уверен в правильности сделанных настроек, необходимо оставить предлагаемый по умолчанию пункт «Закончить разметку и записать изменения на диск».

Выберите опцию «Да» для записи изменений на диск. Перед этим ознакомьтесь с теми изменениями, которые будут записаны. Чтобы произвести изменения вручную, выберите «Нет».

Процесс установки базовой системы — автоматический. В этом окне пользователю ничего делать не нужно.

Появится сообщение о том, что основа системы установлена. Вам нужно выбрать необходимые наборы софта. Перед продолжением отметьте их «птичками».

Загрузка файлов на стадии выбора и установки программного обеспечения производится мастером установки автоматически.

Изучите перечень дополнительных настроек операционной системы. Отметьте «птичками» те из них, которые вам понадобятся. Не включайте опции, смысл которых непонятен.

Стартует установка системного загрузчика GRUB на жесткий диск компьютера.

«Да» — предлагаемая по умолчанию опция. Выберите ее в том случае, когда Astra Linux будет единственной системой ПК. Ознакомьтесь с инструкциями мастера установки и примите решение. Если установлена другая операционная система, она не станет загружаться до того момента, пока пользователь не настроит загрузчик GRUB для ее запуска.

Подтвердите установку системного загрузчика в главную загрузочную запись диска.

Мастер установки Astra Linux завершает работу.

В окне появится сообщение о завершении установки Astra Linux на HDD или SSD компьютера. Перед нажатием «Продолжить» отключите загрузочную флешку от USB-разъема.

Откроется рабочий стол Astra Linux. Начните знакомство и работу с операционной системой и предустановленным программным обеспечением.

Недавно я написал подробные пошаговые инструкции по установке:

  • Linux Mint
  • Ubuntu

Настройка на сервере:

Для установки web-интерфейса и серверной части сервиса ossec требуется установить пакет ossec-web со всеми зависимостями.

apt-get install ossec-web

Установка данного пакета повлечет за собой установку следующих пакетов:

Создать каталог для хранения логов и дать доступ для пользователя ossec. Права удобно назначить с помощью расширенных атрибутов доступа ACL.

Скопировать настройки rsyslog с запуском сетевого сокета syslog для приема входящих сообщений:

cp /var/ossec/etc/10-ossec-syslog.conf /etc/rsyslog.d/

В данном файле 10-ossec-syslog.conf указана подгрузка UDP и TCP модулей и сокетов для приема сообщений с агентов и правила обработки входящих сообщений rsyslog для последующей записи в файлы в директориях /var/remote_logs/IP-адрес_машиныПерезапустить сервис rsyslog:

service rsyslog restart

Перезапуск осуществляется для того, чтобы изменения вступили в силу. Для проверки правильности настройки данной службы в файл /var/remote_logs/127.0.0.1/all.log должны попадать сообщения от сервера.

Настройка ossec-сервера

Рабочая директория ossec-сервера — /var/ossec/, основным конфигурационным файлом является /var/ossec/etc/ossec.confРаскоментировать в файле /var/ossec/etc/ossec.conf строки:

В файле /var/ossec/bin/ossec_audit_send.sh найти строку, содержащую команду парсинга логов parselog и убрать комментарий из конца строки #all logs. После изменения строка будет иметь вид:

После выполнения вышеперечисленных действий необходимо перезапустить сервер, чтобы изменения вступили в силу:

/etc/init.d/ossec-hids-server restart

Все агентские машины должны быть добавлены на сервере через интерактивную команду /var/ossec/bin/manage_agents всех агентов, указав их имя и IP-адрес и экспортировать ключ.После подключения нового агента необходимо перезапустить сервер.

Настройка web-интерфейса

Настройка пакета ossec-web осуществляется на сервере.Дать права для пользователя audit-user к файлам сервиса ossec и web-интерфейсу:

Пользователю www-data необходимо дать права для просмотра директории /var/www/ossec:

В файлах /etc/php5/apache2/php.ini и /etc/php5/cli/php.ini в секцию нужно добавить параметр . Системную временную зону можно посмотреть в файле /etc/timezone. Например, Europe/Moscow.Web-интерфейс доступен через браузер по адресу: susrv/ossec/prog/UnitList.php. Для каждого агента будет создана директория с его именем в /var/www/ossec/data/.

Incron

Для появления событий в web-интерфейсе достаточно перезапустить сервис incron:

service incron restart

Сервис Incron следит за файлом /var/ossec/logs/alerts/alerts.log. В случае модификации данного файла вызывается скрипт AlertsMonitor.php. Данное действие описано в файле /var/spool/incron/ossec и устанавливается вместе с пакетом ossec-web. Обновление списка сообщений в web-интерфейсе происходит автоматически.

Раз в день лог alerts.log ротируется сервисом ossec. После этого события сообщения перестают попадать в этот интерфейс. Для решения данной проблемы требуется перезапуск службы incron.Для автоматизации данного решения можно добавить cron-задачу. Для этого создаем файл /etc/cron.d/incron со следующим содержимым:

Добавление новых сообщений для отображения в web-интерфесе.Рассмотрим добавление правила для административных действий в домене.Сообщения падают в файл /var/log/ald/audit.log. Добавляем данный файл на контроль сервиса ossec. Для этого на контроллере домена в файле var/ossec/etc/ossec.conf нужно раскоментировать или добавить:

Дать доступ для пользователя ossec к данному файлу:

В файле /var/ossec/etc/decoder.xml для выборки сообщений добавить:

В данном примере мы выбираем только те сообщения, которые содержат admin/admin. При срабатывании декодера требуется написать правило, описывающее данное событие. Для этого в файле /var/ossec/rules/admin.xml добавить:

В данном примере id=»110003″ — это уникальный идентификатор, level=»5″ — это важность данного правила (от нее зависит цвет сообщения в web-интерфейсе, 0-игнорирование).Порядок прохождения логов на примере события parsec1. На агенте при обращении к защищаемым файлам генерируется лог, который помещается в файл /var/log/parsec/kernel.mlog2

Сообщение передается в службу rsyslog с помощью скрипта ossec_audit_send_sh3. Согласно конфигурационному файлу он передается на сервер4. На сервере служба rsyslog принимает входящее сообщение и кладет в файл /var/remote_logs/IP-адрес/all.log согласно правилам5. Служба ossec обрабатывает файл all.log, применяя к нему декодер, а затем правила6. В случае срабатывания правила сообщения попадают в файл /var/ossec/logs/alerts/alerts.log7. Все сообщения из alerts.log попадают в web-интерфейс при выполнении скрипта /var/www/ossec/prog/AlertsMonitor.php. Данное действие автоматизированно службой incron.


С этим читают