Cum să configurați PAM pentru a audita activitatea utilizatorului de jurnalizare Shell

Aceasta este seria noastră în curs de desfășurare despre auditarea Linux, în această a patra parte a acestui articol, vom explica cum să configurați PAM pentru auditarea intrării Linux TTY (Logging Shell User Activity) pentru anumiți utilizatori care utilizează instrumentul pam_tty_audit.

Linux PAM (Pluggable Authentication Modules) este o metodă extrem de flexibilă pentru implementarea serviciilor de autentificare în aplicații și diverse servicii de sistem; a apărut din originalul Unix PAM.

Acesta împarte funcțiile de autentificare în patru module majore de gestionare, și anume: module de cont, module de autentificare, module de parole și module de sesiune >. Explicația detaliată a acestor grupuri de management depășește scopul acestui tutorial.

Instrumentul auditd folosește modulul PAM pam_tty_audit pentru a activa sau dezactiva auditarea intrării TTY pentru utilizatorii specificați. Odată ce un utilizator este configurat pentru a fi auditat, pam_tty_audit funcționează împreună cu auditd pentru a urmări acțiunile utilizatorului pe terminal și, dacă este configurat, să capteze tastele exacte pe care le face utilizatorul, apoi le înregistrează în fișierul /var/log/audit/audit.log.

Configurarea PAM pentru auditarea intrării utilizatorului TTY în Linux

Puteți configura PAM pentru auditarea unui anumit utilizator TTY introdus în /etc/pam.d/system-auth și /etc /pam.d/password-auth, folosind opțiunea de activare. Pe de altă parte, așa cum era de așteptat, dezactivarea o dezactivează pentru utilizatorii specificați, în formatul de mai jos:

session required pam_tty_audit.so disable=username,username2...  enable=username,username2..

Pentru a activa înregistrarea tastelor reale ale utilizatorului (inclusiv spații, spații înapoi, taste return, tasta de control, tasta de ștergere și altele), adăugați opțiunea log_passwd împreună cu celelalte opțiuni, folosind acest formular:

session required pam_tty_audit.so disable=username,username2...  enable=username log_passwd

Dar înainte de a efectua orice configurație, rețineți că:

  • După cum se vede în sintaxa de mai sus, puteți trece multe nume de utilizator opțiunii de activare sau dezactivare.
  • Orice opțiune de dezactivare sau de activare înlocuiește opțiunea anterioară opusă care se potrivește cu același nume de utilizator.
  • După activarea auditării TTY, acesta este moștenit de toate procesele inițiate de utilizatorul definit.
  • Dacă înregistrarea apăsărilor de taste este activată, intrarea nu este înregistrată instantaneu, deoarece auditarea TTY stochează mai întâi apăsările de taste într-un buffer și scrie conținutul tamponului la intervale date, sau după ce utilizatorul auditat se deconectează, în /var/log. /audit/audit.log fișier.

Să ne uităm la un exemplu de mai jos, în care vom configura pam_tty_audit pentru a înregistra acțiunile utilizatorului tecmint, inclusiv apăsările de taste, pe toate terminalele, în timp ce dezactivăm auditarea TTY pentru toate celelalte utilizatorii sistemului.

Deschideți aceste două fișiere de configurare următoare.

vi /etc/pam.d/system-auth
vi /etc/pam.d/password-auth

Adăugați următoarea linie la fișierele de configurare.
sesiune necesară pam_tty_audit.so disable=* enable=tecmint

Și pentru a captura toate apăsările de taste introduse de utilizator tecmint, putem adăuga opțiunea log_passwd într-un mod afișat.

session required pam_tty_audit.so disable=*  enable=tecmint log_passwd

Acum salvați și închideți fișierele. După aceea, vizualizați fișierul jurnal auditd pentru orice intrare TTY înregistrată, folosind utilitarul aureport.

aureport --tty

Din rezultatul de mai sus, puteți vedea utilizatorul tecmint al cărui UID este 1000 a folosit editorul vi/vim, a creat un director numit binși s-a mutat în el, a șters terminalul și așa mai departe.

Pentru a căuta jurnalele de intrare TTY înregistrate cu marcaje de timp egale cu sau după o anumită oră, utilizați -ts pentru a specifica data/ora de început și -te pentru a seta sfârșitul data/ora.

Următoarele sunt câteva exemple:

aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
aureport --tty -ts this-week

Puteți găsi mai multe informații în pagina de manual pam_tty_audit.

man  pam_tty_audit

Consultați următoarele articole utile.

  1. Configurați „Autentificare cu chei SSH fără parolă” cu PuTTY pe serverele Linux
  2. Configurarea autentificării bazate pe LDAP în RHEL/CentOS 7
  3. Cum să configurați autentificarea cu doi factori (Google Authenticator) pentru autentificarea SSH
  4. Conectare SSH fără parolă folosind SSH Keygen în 5 pași simpli
  5. Cum să rulați comanda „sudo” fără a introduce o parolă în Linux

În acest articol, am descris cum să configurați PAM pentru auditarea intrărilor pentru anumiți utilizatori pe CentOS/RHEL. Dacă aveți întrebări sau idei suplimentare de împărtășit, folosiți comentariul de mai jos.