Jak nakonfigurovat PAM pro auditování aktivity uživatele prostředí protokolování
Toto je naše pokračující série o auditování Linuxu, v této čtvrté části tohoto článku vysvětlíme, jak nakonfigurovat PAM pro auditování vstupu Linux TTY (protokolovací aktivita uživatele prostředí) pro konkrétní uživatele pomocí nástroje pam_tty_audit.
Linux PAM (Pluggable Authentication Modules) je vysoce flexibilní metoda pro implementaci autentizačních služeb v aplikacích a různých systémových službách; vznikl z původního unixového PAM.
Rozděluje autentizační funkce do čtyř hlavních modulů správy, a to: moduly účtů, moduly ověřování, moduly hesel a moduly relace >. Podrobné vysvětlení těchto skupin pro správu je nad rámec tohoto návodu.
Nástroj auditd používá modul PAM pam_tty_audit k povolení nebo zakázání auditování vstupu TTY pro konkrétní uživatele. Jakmile je uživatel nakonfigurován tak, aby byl auditován, funkce pam_tty_audit spolupracuje s funkcí auditd na sledování akcí uživatelů na terminálu, a pokud je nakonfigurována, zachycuje přesné stisky kláves, které uživatel provede, poté je zaznamená do souboru /var/log/audit/audit.log.
Konfigurace PAM pro auditování uživatelského vstupu TTY v Linuxu
Můžete nakonfigurovat PAM pro auditování vstupu konkrétního uživatele TTY v /etc/pam.d/system-auth a /etc /pam.d/password-auth pomocí možnosti povolit. Na druhou stranu, jak se očekávalo, deaktivace jej vypne pro uvedené uživatele ve formátu níže:
session required pam_tty_audit.so disable=username,username2... enable=username,username2..
Chcete-li zapnout protokolování skutečných uživatelských úhozů (včetně mezer, zpětných mezer, kláves return, klávesy Ctrl, klávesy delete a dalších), přidejte možnost log_passwd spolu s dalšími možnostmi pomocí tohoto formuláře:
session required pam_tty_audit.so disable=username,username2... enable=username log_passwd
Než však provedete jakékoli konfigurace, mějte na paměti, že:
- Jak je vidět ve výše uvedené syntaxi, do možnosti povolit nebo zakázat můžete předat mnoho uživatelských jmen.
- Jakákoli možnost zakázat nebo povolit přepíše předchozí opačnou možnost, která odpovídá stejnému uživatelskému jménu.
- Po povolení TTY auditování jej zdědí všechny procesy iniciované definovaným uživatelem.
- Pokud je aktivováno zaznamenávání úhozů, vstup se nezaprotokoluje okamžitě, protože auditování TTY nejprve úhozy ukládá do vyrovnávací paměti a obsah vyrovnávací paměti zapisuje v daných intervalech nebo po odhlášení auditovaného uživatele do /var/log /audit/audit.log.
Podívejme se na příklad níže, kde nakonfigurujeme pam_tty_audit tak, aby zaznamenával akce uživatele tecmint
včetně stisknutí kláves na všech terminálech, zatímco u všech ostatních zakážeme auditování TTY uživatelé systému.
Otevřete tyto dva následující konfigurační soubory.
vi /etc/pam.d/system-auth
vi /etc/pam.d/password-auth
Přidejte následující řádek do konfiguračních souborů.
session required pam_tty_audit.so disable=* enable=tecmint
A abychom zachytili všechny stisknuté klávesy zadané uživatelem tecmint, můžeme přidat možnost log_passwd.
session required pam_tty_audit.so disable=* enable=tecmint log_passwd
Nyní uložte a zavřete soubory. Poté si pomocí nástroje aureport prohlédněte soubor protokolu auditd pro jakýkoli zaznamenaný vstup TTY.
aureport --tty
Z výše uvedeného výstupu můžete vidět, že uživatel tecmint, jehož UID je 1000, použil editor vi/vim a vytvořil adresář s názvem bina nastěhoval se do něj, vyčistil terminál a tak dále.
Chcete-li vyhledat vstupní protokoly TTY zaznamenané s časovými značkami rovnými nebo po určitém čase, použijte -ts
k zadání počátečního data/času a -te
k nastavení konce. čas schůzky.
Následuje několik příkladů:
aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
aureport --tty -ts this-week
Více informací naleznete na stránce pam_tty_audit.
man pam_tty_audit
Přečtěte si následující užitečné články.
- Nakonfigurujte “No Password SSH Keys Authentication” pomocí PuTTY na serverech Linux
- Nastavení ověřování na základě LDAP v RHEL/CentOS 7
- Jak nastavit dvoufaktorové ověřování (Google Authenticator) pro přihlášení SSH
- Přihlášení bez hesla SSH pomocí SSH Keygen v 5 snadných krocích
- Jak spustit příkaz „sudo“ bez zadání hesla v Linuxu
V tomto článku jsme popsali, jak nakonfigurovat PAM pro auditování vstupu pro konkrétní uživatele na CentOS/RHEL. Máte-li jakékoli dotazy nebo další nápady, které chcete sdílet, použijte komentář níže.