Weboldal keresés

A PAM konfigurálása a naplózó shell felhasználói tevékenységének ellenőrzésére


Ez a Linux Auditingről szóló, folyamatban lévő sorozatunk, a cikk negyedik részében elmagyarázzuk, hogyan konfigurálható a PAM a Linux TTY bemenet (naplózó shell felhasználói tevékenység) auditálásához. adott felhasználók számára a pam_tty_audit eszköz használatával.

A Linux PAM (Pluggable Authentication Modules) rendkívül rugalmas módszer a hitelesítési szolgáltatások alkalmazásokban és különféle rendszerszolgáltatásokban való megvalósítására; az eredeti Unix PAM-ból derült ki.

A hitelesítési funkciókat négy fő felügyeleti modulra osztja, nevezetesen: fiókmodulok, hitelesítési modulok, jelszómodulok és munkamenet modulok. >. A menedzsmentcsoportok részletes magyarázata túlmutat ennek az oktatóanyagnak a keretein.

Az auditd eszköz a pam_tty_audit PAM modult használja a TTY bemenet auditálásának engedélyezésére vagy letiltására meghatározott felhasználóknál. Miután egy felhasználót beállítottak auditálásra, a pam_tty_audit az auditd paraméterrel együtt működik, hogy nyomon kövesse a felhasználó műveleteit a terminálon, és ha be van állítva, rögzítse a felhasználó által végrehajtott pontos billentyűleütéseket, majd rögzíti őket a /var/log/audit/audit.log fájlban.

A PAM beállítása a felhasználói TTY-bemenet auditálásához Linuxban

Beállíthatja a PAM-et egy adott felhasználó TTY bemenetének auditálásához az /etc/pam.d/system-auth és az /etc fájlokban. /pam.d/password-auth fájlokat az engedélyezési lehetőség használatával. Másrészt, ahogy az várható volt, a letiltás kikapcsolja a megadott felhasználóknál, az alábbi formátumban:

session required pam_tty_audit.so disable=username,username2...  enable=username,username2..

A tényleges felhasználói billentyűleütések naplózásának bekapcsolásához (beleértve a szóközöket, a backspace-eket, a visszatérési billentyűket, a vezérlőbillentyűt, a törlési billentyűt és egyebeket), adja hozzá a log_passwd opciót a többi beállításhoz a következő űrlap használatával:

session required pam_tty_audit.so disable=username,username2...  enable=username log_passwd

Mielőtt azonban bármilyen konfigurációt végrehajtana, vegye figyelembe, hogy:

  • A fenti szintaxis szerint sok felhasználónevet átadhat az engedélyezési vagy letiltási lehetőségnek.
  • Bármely letiltási vagy engedélyezési beállítás felülírja az előző, ellentétes opciót, amely megegyezik az azonos felhasználónévvel.
  • A TTY auditálás engedélyezése után a definiált felhasználó által kezdeményezett összes folyamat örökli.
  • Ha a billentyűleütések rögzítése be van kapcsolva, a bemenet nem kerül naplózásra azonnal, mivel a TTY-audit először egy pufferben tárolja a billentyűleütéseket, és meghatározott időközönként, vagy az auditált felhasználó kijelentkezése után írja be a puffer tartalmát a /var/log fájlba. /audit/audit.log fájlt.

Nézzünk egy példát az alábbiakban, ahol a pam_tty_audit paramétert úgy állítjuk be, hogy rögzítse a tecmint felhasználó műveleteit, beleértve a billentyűleütéseket is, az összes terminálon, miközben letiltjuk a TTY auditálást az összes többi terminálon. rendszer felhasználói.

Nyissa meg a következő két konfigurációs fájlt.

vi /etc/pam.d/system-auth
vi /etc/pam.d/password-auth

Adja hozzá a következő sort a konfigurációs fájlokhoz.
munkamenet szükséges pam_tty_audit.so disable=* enable=tecmint

A tecmint felhasználó által beírt összes billentyűleütés rögzítéséhez hozzáadhatjuk a log_passwd opciót.

session required pam_tty_audit.so disable=*  enable=tecmint log_passwd

Most mentse és zárja be a fájlokat. Ezt követően tekintse meg az auditd naplófájlt bármely rögzített TTY-bemenethez az aureport segédprogrammal.

aureport --tty

A fenti kimenetből láthatja, hogy a tecmint felhasználó, akinek UID értéke 1000, a vi/vim szerkesztőt használta, és létrehozta a nevű könyvtárat. binre, és beköltözött, törölte a terminált és így tovább.

Ha egy adott idővel megegyező vagy azt követő időbélyeggel rögzített TTY bemeneti naplókat szeretne keresni, használja a -ts billentyűt a kezdési dátum/idő megadásához, a -te pedig a végét. dátum idő.

Íme néhány példa:

aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
aureport --tty -ts this-week

További információt a pam_tty_audit kézikönyvoldalon talál.

man  pam_tty_audit

Tekintse meg az alábbi hasznos cikkeket.

  1. Konfigurálja a „Jelszó nélküli SSH-kulcs-hitelesítést” a PuTTY segítségével Linux-kiszolgálókon
  2. LDAP-alapú hitelesítés beállítása RHEL/CentOS 7-ben
  3. A kéttényezős hitelesítés (Google Authenticator) beállítása az SSH-bejelentkezésekhez
  4. SSH jelszó nélküli bejelentkezés SSH Keygen használatával 5 egyszerű lépésben
  5. A „sudo” parancs futtatása jelszó megadása nélkül Linux alatt

Ebben a cikkben leírtuk, hogyan konfigurálhatja a PAM-ot a CentOS/RHEL egyes felhasználók bemeneti naplózásához. Ha bármilyen kérdése vagy további ötlete van, használja az alábbi megjegyzést.