A PAM konfigurálása a naplózó shell felhasználói tevékenységének ellenőrzésére
Ez a Linux Auditingről szóló, folyamatban lévő sorozatunk, a cikk negyedik részében elmagyarázzuk, hogyan konfigurálható a PAM a Linux TTY bemenet (naplózó shell felhasználói tevékenység) auditálásához. adott felhasználók számára a pam_tty_audit eszköz használatával.
A Linux PAM (Pluggable Authentication Modules) rendkívül rugalmas módszer a hitelesítési szolgáltatások alkalmazásokban és különféle rendszerszolgáltatásokban való megvalósítására; az eredeti Unix PAM-ból derült ki.
A hitelesítési funkciókat négy fő felügyeleti modulra osztja, nevezetesen: fiókmodulok, hitelesítési modulok, jelszómodulok és munkamenet modulok. >. A menedzsmentcsoportok részletes magyarázata túlmutat ennek az oktatóanyagnak a keretein.
Az auditd eszköz a pam_tty_audit PAM modult használja a TTY bemenet auditálásának engedélyezésére vagy letiltására meghatározott felhasználóknál. Miután egy felhasználót beállítottak auditálásra, a pam_tty_audit az auditd paraméterrel együtt működik, hogy nyomon kövesse a felhasználó műveleteit a terminálon, és ha be van állítva, rögzítse a felhasználó által végrehajtott pontos billentyűleütéseket, majd rögzíti őket a /var/log/audit/audit.log fájlban.
A PAM beállítása a felhasználói TTY-bemenet auditálásához Linuxban
Beállíthatja a PAM-et egy adott felhasználó TTY bemenetének auditálásához az /etc/pam.d/system-auth és az /etc fájlokban. /pam.d/password-auth fájlokat az engedélyezési lehetőség használatával. Másrészt, ahogy az várható volt, a letiltás kikapcsolja a megadott felhasználóknál, az alábbi formátumban:
session required pam_tty_audit.so disable=username,username2... enable=username,username2..
A tényleges felhasználói billentyűleütések naplózásának bekapcsolásához (beleértve a szóközöket, a backspace-eket, a visszatérési billentyűket, a vezérlőbillentyűt, a törlési billentyűt és egyebeket), adja hozzá a log_passwd opciót a többi beállításhoz a következő űrlap használatával:
session required pam_tty_audit.so disable=username,username2... enable=username log_passwd
Mielőtt azonban bármilyen konfigurációt végrehajtana, vegye figyelembe, hogy:
- A fenti szintaxis szerint sok felhasználónevet átadhat az engedélyezési vagy letiltási lehetőségnek.
- Bármely letiltási vagy engedélyezési beállítás felülírja az előző, ellentétes opciót, amely megegyezik az azonos felhasználónévvel.
- A TTY auditálás engedélyezése után a definiált felhasználó által kezdeményezett összes folyamat örökli.
- Ha a billentyűleütések rögzítése be van kapcsolva, a bemenet nem kerül naplózásra azonnal, mivel a TTY-audit először egy pufferben tárolja a billentyűleütéseket, és meghatározott időközönként, vagy az auditált felhasználó kijelentkezése után írja be a puffer tartalmát a /var/log fájlba. /audit/audit.log fájlt.
Nézzünk egy példát az alábbiakban, ahol a pam_tty_audit paramétert úgy állítjuk be, hogy rögzítse a tecmint
felhasználó műveleteit, beleértve a billentyűleütéseket is, az összes terminálon, miközben letiltjuk a TTY auditálást az összes többi terminálon. rendszer felhasználói.
Nyissa meg a következő két konfigurációs fájlt.
vi /etc/pam.d/system-auth
vi /etc/pam.d/password-auth
Adja hozzá a következő sort a konfigurációs fájlokhoz.
munkamenet szükséges pam_tty_audit.so disable=* enable=tecmint
A tecmint felhasználó által beírt összes billentyűleütés rögzítéséhez hozzáadhatjuk a log_passwd opciót.
session required pam_tty_audit.so disable=* enable=tecmint log_passwd
Most mentse és zárja be a fájlokat. Ezt követően tekintse meg az auditd naplófájlt bármely rögzített TTY-bemenethez az aureport segédprogrammal.
aureport --tty
A fenti kimenetből láthatja, hogy a tecmint felhasználó, akinek UID értéke 1000, a vi/vim szerkesztőt használta, és létrehozta a nevű könyvtárat. binre, és beköltözött, törölte a terminált és így tovább.
Ha egy adott idővel megegyező vagy azt követő időbélyeggel rögzített TTY bemeneti naplókat szeretne keresni, használja a -ts
billentyűt a kezdési dátum/idő megadásához, a -te
pedig a végét. dátum idő.
Íme néhány példa:
aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
aureport --tty -ts this-week
További információt a pam_tty_audit kézikönyvoldalon talál.
man pam_tty_audit
Tekintse meg az alábbi hasznos cikkeket.
- Konfigurálja a „Jelszó nélküli SSH-kulcs-hitelesítést” a PuTTY segítségével Linux-kiszolgálókon
- LDAP-alapú hitelesítés beállítása RHEL/CentOS 7-ben
- A kéttényezős hitelesítés (Google Authenticator) beállítása az SSH-bejelentkezésekhez
- SSH jelszó nélküli bejelentkezés SSH Keygen használatával 5 egyszerű lépésben
- A „sudo” parancs futtatása jelszó megadása nélkül Linux alatt
Ebben a cikkben leírtuk, hogyan konfigurálhatja a PAM-ot a CentOS/RHEL egyes felhasználók bemeneti naplózásához. Ha bármilyen kérdése vagy további ötlete van, használja az alábbi megjegyzést.