Cum să configurați PAM pentru a audita activitatea utilizatorului de jurnalizare Shell
Aceasta este seria noastră în curs de desfășurare despre auditarea Linux, în această a patra parte a acestui articol, vom explica cum să configurați PAM pentru auditarea intrării Linux TTY (Logging Shell User Activity) pentru anumiți utilizatori care utilizează instrumentul pam_tty_audit.
Linux PAM (Pluggable Authentication Modules) este o metodă extrem de flexibilă pentru implementarea serviciilor de autentificare în aplicații și diverse servicii de sistem; a apărut din originalul Unix PAM.
Acesta împarte funcțiile de autentificare în patru module majore de gestionare, și anume: module de cont, module de autentificare, module de parole și module de sesiune >. Explicația detaliată a acestor grupuri de management depășește scopul acestui tutorial.
Instrumentul auditd folosește modulul PAM pam_tty_audit pentru a activa sau dezactiva auditarea intrării TTY pentru utilizatorii specificați. Odată ce un utilizator este configurat pentru a fi auditat, pam_tty_audit funcționează împreună cu auditd pentru a urmări acțiunile utilizatorului pe terminal și, dacă este configurat, să capteze tastele exacte pe care le face utilizatorul, apoi le înregistrează în fișierul /var/log/audit/audit.log.
Configurarea PAM pentru auditarea intrării utilizatorului TTY în Linux
Puteți configura PAM pentru auditarea unui anumit utilizator TTY introdus în /etc/pam.d/system-auth și /etc /pam.d/password-auth, folosind opțiunea de activare. Pe de altă parte, așa cum era de așteptat, dezactivarea o dezactivează pentru utilizatorii specificați, în formatul de mai jos:
session required pam_tty_audit.so disable=username,username2... enable=username,username2..
Pentru a activa înregistrarea tastelor reale ale utilizatorului (inclusiv spații, spații înapoi, taste return, tasta de control, tasta de ștergere și altele), adăugați opțiunea log_passwd împreună cu celelalte opțiuni, folosind acest formular:
session required pam_tty_audit.so disable=username,username2... enable=username log_passwd
Dar înainte de a efectua orice configurație, rețineți că:
- După cum se vede în sintaxa de mai sus, puteți trece multe nume de utilizator opțiunii de activare sau dezactivare.
- Orice opțiune de dezactivare sau de activare înlocuiește opțiunea anterioară opusă care se potrivește cu același nume de utilizator.
- După activarea auditării TTY, acesta este moștenit de toate procesele inițiate de utilizatorul definit.
- Dacă înregistrarea apăsărilor de taste este activată, intrarea nu este înregistrată instantaneu, deoarece auditarea TTY stochează mai întâi apăsările de taste într-un buffer și scrie conținutul tamponului la intervale date, sau după ce utilizatorul auditat se deconectează, în /var/log. /audit/audit.log fișier.
Să ne uităm la un exemplu de mai jos, în care vom configura pam_tty_audit pentru a înregistra acțiunile utilizatorului tecmint
, inclusiv apăsările de taste, pe toate terminalele, în timp ce dezactivăm auditarea TTY pentru toate celelalte utilizatorii sistemului.
Deschideți aceste două fișiere de configurare următoare.
vi /etc/pam.d/system-auth
vi /etc/pam.d/password-auth
Adăugați următoarea linie la fișierele de configurare.
sesiune necesară pam_tty_audit.so disable=* enable=tecmint
Și pentru a captura toate apăsările de taste introduse de utilizator tecmint, putem adăuga opțiunea log_passwd într-un mod afișat.
session required pam_tty_audit.so disable=* enable=tecmint log_passwd
Acum salvați și închideți fișierele. După aceea, vizualizați fișierul jurnal auditd pentru orice intrare TTY înregistrată, folosind utilitarul aureport.
aureport --tty
Din rezultatul de mai sus, puteți vedea utilizatorul tecmint al cărui UID este 1000 a folosit editorul vi/vim, a creat un director numit binși s-a mutat în el, a șters terminalul și așa mai departe.
Pentru a căuta jurnalele de intrare TTY înregistrate cu marcaje de timp egale cu sau după o anumită oră, utilizați -ts
pentru a specifica data/ora de început și -te
pentru a seta sfârșitul data/ora.
Următoarele sunt câteva exemple:
aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
aureport --tty -ts this-week
Puteți găsi mai multe informații în pagina de manual pam_tty_audit.
man pam_tty_audit
Consultați următoarele articole utile.
- Configurați „Autentificare cu chei SSH fără parolă” cu PuTTY pe serverele Linux
- Configurarea autentificării bazate pe LDAP în RHEL/CentOS 7
- Cum să configurați autentificarea cu doi factori (Google Authenticator) pentru autentificarea SSH
- Conectare SSH fără parolă folosind SSH Keygen în 5 pași simpli
- Cum să rulați comanda „sudo” fără a introduce o parolă în Linux
În acest articol, am descris cum să configurați PAM pentru auditarea intrărilor pentru anumiți utilizatori pe CentOS/RHEL. Dacă aveți întrebări sau idei suplimentare de împărtășit, folosiți comentariul de mai jos.