Kuinka määrittää PAM tarkastamaan kirjauskuoren käyttäjän toimintaa
Tämä on meneillään oleva Linux Auditing -sarjamme. Tämän artikkelin tässä neljännessä osassa selitämme, kuinka PAM määritetään Linuxin TTY-syötteen (logging Shell User Activity) -syötteen tarkastusta varten. tietyille käyttäjille pam_tty_audit-työkalun avulla.
Linux PAM (Pluggable Authentication Modules) on erittäin joustava menetelmä todennuspalvelujen toteuttamiseen sovelluksissa ja erilaisissa järjestelmäpalveluissa. se syntyi alkuperäisestä Unix PAM:sta.
Se jakaa todennustoiminnot neljään suureen hallintamoduuliin, nimittäin: tilimoduulit, todennusmoduulit, salasanamoduulit ja istuntomoduulit. >. Näiden hallintaryhmien yksityiskohtainen selitys ei kuulu tämän opetusohjelman piiriin.
auditd-työkalu käyttää pam_tty_audit PAM-moduulia ottaakseen käyttöön tai poistaakseen TTY-syötteen tarkastuksen tietyille käyttäjille. Kun käyttäjä on määritetty tarkastettavaksi, pam_tty_audit toimii yhdessä auditd:n kanssa ja seuraa käyttäjän toimintoja päätelaitteessa, ja jos se on määritetty, se tallentaa tarkat käyttäjän tekemät näppäinpainallukset. sitten tallentaa ne /var/log/audit/audit.log-tiedostoon.
PAM:n määrittäminen käyttäjän TTY-syötön tarkastamista varten Linuxissa
Voit määrittää PAM:n tarkastamaan tietyn käyttäjän TTY-syötteen tiedostoissa /etc/pam.d/system-auth ja /etc. /pam.d/password-auth-tiedostot käyttämällä Ota käyttöön -vaihtoehtoa. Toisaalta, kuten odotettiin, käytöstä poistaminen poistaa sen käytöstä määritetyiltä käyttäjiltä seuraavassa muodossa:
session required pam_tty_audit.so disable=username,username2... enable=username,username2..
Voit ottaa käyttöön todellisten käyttäjän näppäinpainallusten kirjaamisen (mukaan lukien välilyönnit, askelpalut, paluunäppäimet, Ctrl-näppäin, poistonäppäin ja muut) lisäämällä log_passwd-vaihtoehdon muihin vaihtoehtoihin tällä lomakkeella:
session required pam_tty_audit.so disable=username,username2... enable=username log_passwd
Mutta ennen kuin teet mitään määrityksiä, huomaa seuraavaa:
- Kuten yllä olevasta syntaksista näkyy, voit välittää useita käyttäjätunnuksia käyttöön- tai pois käytöstä -vaihtoehdolle.
- Mikä tahansa poisto- tai käyttöönottovaihtoehto ohittaa edellisen vastakkaisen vaihtoehdon, joka vastaa samaa käyttäjänimeä.
- Kun TTY-tarkastus on otettu käyttöön, kaikki määritetyn käyttäjän käynnistämät prosessit perivät sen.
- Jos näppäinpainallusten tallennus on aktivoitu, syöttöä ei kirjata heti lokiin, koska TTY-tarkastus tallentaa ensin näppäinpainallukset puskuriin ja kirjoittaa puskurin sisällön tietyin väliajoin tai tarkastetun käyttäjän uloskirjautumisen jälkeen tiedostoon /var/log. /audit/audit.log-tiedosto.
Katsotaanpa alla olevaa esimerkkiä, jossa määritämme parametrin pam_tty_audit tallentamaan käyttäjän tecmint
toiminnot, mukaan lukien näppäinpainallukset, kaikissa päätelaitteissa, kun taas poistamme TTY-tarkastuksen käytöstä kaikilta muilta järjestelmän käyttäjiä.
Avaa nämä kaksi seuraavaa asetustiedostoa.
vi /etc/pam.d/system-auth
vi /etc/pam.d/password-auth
Lisää seuraava rivi asetustiedostoihin.
istunto vaaditaan pam_tty_audit.so disable=* enable=tecmint
Ja jotta voimme tallentaa kaikki käyttäjän tecmint antamat näppäinpainallukset, voimme lisätä log_passwd-vaihtoehdon a näkyviin.
session required pam_tty_audit.so disable=* enable=tecmint log_passwd
Tallenna ja sulje tiedostot nyt. Sen jälkeen tarkastele auditd-lokitiedostoa mille tahansa tallennetulle TTY-syötölle käyttämällä aureport-apuohjelmaa.
aureport --tty
Yllä olevasta tulosteesta näet käyttäjän tecmint, jonka UID on 1000, käytti vi/vim-editoria ja loi hakemiston nimeltä bin ja muutti siihen, tyhjensi terminaalin ja niin edelleen.
Jos haluat etsiä TTY-syöttölokeja, jotka on tallennettu aikaleimoilla, jotka ovat yhtä suuria tai sen jälkeen, käytä -ts
-näppäimiä määrittääksesi aloituspäivämäärän/-ajan ja -te
-komentoa lopetuksen määrittämiseen. treffiaika.
Seuraavassa on joitain esimerkkejä:
aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
aureport --tty -ts this-week
Löydät lisätietoja pam_tty_audit -manuaalisivulta.
man pam_tty_audit
Tutustu seuraaviin hyödyllisiin artikkeleihin.
- Määritä "No Password SSH Keys Authentication" PuTTY:llä Linux-palvelimissa
- LDAP-pohjaisen todennuksen määrittäminen RHEL/CentOS 7:ssä
- Kaksifaktorisen todennuksen (Google Authenticator) määrittäminen SSH-kirjautumisille
- Salasanaton SSH-kirjautuminen SSH Keygenillä 5 helpossa vaiheessa
- Kuinka suorittaa "sudo" -komento syöttämättä salasanaa Linuxissa
Tässä artikkelissa kuvailimme, kuinka PAM määritetään syötteen tarkastamiseksi tietyille käyttäjille CentOS/RHEL:ssä. Jos sinulla on kysyttävää tai muita ideoita jaettavana, käytä alla olevaa kommenttia.