Vyhledávání na webu

Jak nakonfigurovat PAM pro auditování aktivity uživatele prostředí protokolování

Toto je naše pokračující série o auditování Linuxu, v této čtvrté části tohoto článku vysvětlíme, jak nakonfigurovat PAM pro auditování vstupu Linux TTY (protokolovací aktivita uživatele prostředí) pro konkrétní uživatele pomocí nástroje pam_tty_audit.

Linux PAM (Pluggable Authentication Modules) je vysoce flexibilní metoda pro implementaci autentizačních služeb v aplikacích a různých systémových službách; vznikl z původního unixového PAM.

Rozděluje autentizační funkce do čtyř hlavních modulů správy, a to: moduly účtů, moduly ověřování, moduly hesel a moduly relace >. Podrobné vysvětlení těchto skupin pro správu je nad rámec tohoto návodu.

Nástroj auditd používá modul PAM pam_tty_audit k povolení nebo zakázání auditování vstupu TTY pro konkrétní uživatele. Jakmile je uživatel nakonfigurován tak, aby byl auditován, funkce pam_tty_audit spolupracuje s funkcí auditd na sledování akcí uživatelů na terminálu, a pokud je nakonfigurována, zachycuje přesné stisky kláves, které uživatel provede, poté je zaznamená do souboru /var/log/audit/audit.log.

Konfigurace PAM pro auditování uživatelského vstupu TTY v Linuxu

Můžete nakonfigurovat PAM pro auditování vstupu konkrétního uživatele TTY v /etc/pam.d/system-auth a /etc /pam.d/password-auth pomocí možnosti povolit. Na druhou stranu, jak se očekávalo, deaktivace jej vypne pro uvedené uživatele ve formátu níže:

session required pam_tty_audit.so disable=username,username2...  enable=username,username2..

Chcete-li zapnout protokolování skutečných uživatelských úhozů (včetně mezer, zpětných mezer, kláves return, klávesy Ctrl, klávesy delete a dalších), přidejte možnost log_passwd spolu s dalšími možnostmi pomocí tohoto formuláře:

session required pam_tty_audit.so disable=username,username2...  enable=username log_passwd

Než však provedete jakékoli konfigurace, mějte na paměti, že:

  • Jak je vidět ve výše uvedené syntaxi, do možnosti povolit nebo zakázat můžete předat mnoho uživatelských jmen.
  • Jakákoli možnost zakázat nebo povolit přepíše předchozí opačnou možnost, která odpovídá stejnému uživatelskému jménu.
  • Po povolení TTY auditování jej zdědí všechny procesy iniciované definovaným uživatelem.
  • Pokud je aktivováno zaznamenávání úhozů, vstup se nezaprotokoluje okamžitě, protože auditování TTY nejprve úhozy ukládá do vyrovnávací paměti a obsah vyrovnávací paměti zapisuje v daných intervalech nebo po odhlášení auditovaného uživatele do /var/log /audit/audit.log.

Podívejme se na příklad níže, kde nakonfigurujeme pam_tty_audit tak, aby zaznamenával akce uživatele tecmint včetně stisknutí kláves na všech terminálech, zatímco u všech ostatních zakážeme auditování TTY uživatelé systému.

Otevřete tyto dva následující konfigurační soubory.

vi /etc/pam.d/system-auth
vi /etc/pam.d/password-auth

Přidejte následující řádek do konfiguračních souborů.
session required pam_tty_audit.so disable=* enable=tecmint

A abychom zachytili všechny stisknuté klávesy zadané uživatelem tecmint, můžeme přidat možnost log_passwd.

session required pam_tty_audit.so disable=*  enable=tecmint log_passwd

Nyní uložte a zavřete soubory. Poté si pomocí nástroje aureport prohlédněte soubor protokolu auditd pro jakýkoli zaznamenaný vstup TTY.

aureport --tty

Z výše uvedeného výstupu můžete vidět, že uživatel tecmint, jehož UID je 1000, použil editor vi/vim a vytvořil adresář s názvem bina nastěhoval se do něj, vyčistil terminál a tak dále.

Chcete-li vyhledat vstupní protokoly TTY zaznamenané s časovými značkami rovnými nebo po určitém čase, použijte -ts k zadání počátečního data/času a -te k nastavení konce. čas schůzky.

Následuje několik příkladů:

aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
aureport --tty -ts this-week

Více informací naleznete na stránce pam_tty_audit.

man  pam_tty_audit

Přečtěte si následující užitečné články.

  1. Nakonfigurujte “No Password SSH Keys Authentication” pomocí PuTTY na serverech Linux
  2. Nastavení ověřování na základě LDAP v RHEL/CentOS 7
  3. Jak nastavit dvoufaktorové ověřování (Google Authenticator) pro přihlášení SSH
  4. Přihlášení bez hesla SSH pomocí SSH Keygen v 5 snadných krocích
  5. Jak spustit příkaz „sudo“ bez zadání hesla v Linuxu

V tomto článku jsme popsali, jak nakonfigurovat PAM pro auditování vstupu pro konkrétní uživatele na CentOS/RHEL. Máte-li jakékoli dotazy nebo další nápady, které chcete sdílet, použijte komentář níže.