Kuinka määrittää PAM tarkastamaan kirjauskuoren käyttäjän toimintaa


Tämä on meneillään oleva Linux Auditing -sarjamme. Tämän artikkelin tässä neljännessä osassa selitämme, kuinka PAM määritetään Linuxin TTY-syötteen (logging Shell User Activity) -syötteen tarkastusta varten. tietyille käyttäjille pam_tty_audit-työkalun avulla.

Linux PAM (Pluggable Authentication Modules) on erittäin joustava menetelmä todennuspalvelujen toteuttamiseen sovelluksissa ja erilaisissa järjestelmäpalveluissa. se syntyi alkuperäisestä Unix PAM:sta.

Se jakaa todennustoiminnot neljään suureen hallintamoduuliin, nimittäin: tilimoduulit, todennusmoduulit, salasanamoduulit ja istuntomoduulit. >. Näiden hallintaryhmien yksityiskohtainen selitys ei kuulu tämän opetusohjelman piiriin.

auditd-työkalu käyttää pam_tty_audit PAM-moduulia ottaakseen käyttöön tai poistaakseen TTY-syötteen tarkastuksen tietyille käyttäjille. Kun käyttäjä on määritetty tarkastettavaksi, pam_tty_audit toimii yhdessä auditd:n kanssa ja seuraa käyttäjän toimintoja päätelaitteessa, ja jos se on määritetty, se tallentaa tarkat käyttäjän tekemät näppäinpainallukset. sitten tallentaa ne /var/log/audit/audit.log-tiedostoon.

PAM:n määrittäminen käyttäjän TTY-syötön tarkastamista varten Linuxissa

Voit määrittää PAM:n tarkastamaan tietyn käyttäjän TTY-syötteen tiedostoissa /etc/pam.d/system-auth ja /etc. /pam.d/password-auth-tiedostot käyttämällä Ota käyttöön -vaihtoehtoa. Toisaalta, kuten odotettiin, käytöstä poistaminen poistaa sen käytöstä määritetyiltä käyttäjiltä seuraavassa muodossa:

session required pam_tty_audit.so disable=username,username2...  enable=username,username2..

Voit ottaa käyttöön todellisten käyttäjän näppäinpainallusten kirjaamisen (mukaan lukien välilyönnit, askelpalut, paluunäppäimet, Ctrl-näppäin, poistonäppäin ja muut) lisäämällä log_passwd-vaihtoehdon muihin vaihtoehtoihin tällä lomakkeella:

session required pam_tty_audit.so disable=username,username2...  enable=username log_passwd

Mutta ennen kuin teet mitään määrityksiä, huomaa seuraavaa:

  • Kuten yllä olevasta syntaksista näkyy, voit välittää useita käyttäjätunnuksia käyttöön- tai pois käytöstä -vaihtoehdolle.
  • Mikä tahansa poisto- tai käyttöönottovaihtoehto ohittaa edellisen vastakkaisen vaihtoehdon, joka vastaa samaa käyttäjänimeä.
  • Kun TTY-tarkastus on otettu käyttöön, kaikki määritetyn käyttäjän käynnistämät prosessit perivät sen.
  • Jos näppäinpainallusten tallennus on aktivoitu, syöttöä ei kirjata heti lokiin, koska TTY-tarkastus tallentaa ensin näppäinpainallukset puskuriin ja kirjoittaa puskurin sisällön tietyin väliajoin tai tarkastetun käyttäjän uloskirjautumisen jälkeen tiedostoon /var/log. /audit/audit.log-tiedosto.

Katsotaanpa alla olevaa esimerkkiä, jossa määritämme parametrin pam_tty_audit tallentamaan käyttäjän tecmint toiminnot, mukaan lukien näppäinpainallukset, kaikissa päätelaitteissa, kun taas poistamme TTY-tarkastuksen käytöstä kaikilta muilta järjestelmän käyttäjiä.

Avaa nämä kaksi seuraavaa asetustiedostoa.

vi /etc/pam.d/system-auth
vi /etc/pam.d/password-auth

Lisää seuraava rivi asetustiedostoihin.
istunto vaaditaan pam_tty_audit.so disable=* enable=tecmint

Ja jotta voimme tallentaa kaikki käyttäjän tecmint antamat näppäinpainallukset, voimme lisätä log_passwd-vaihtoehdon a näkyviin.

session required pam_tty_audit.so disable=*  enable=tecmint log_passwd

Tallenna ja sulje tiedostot nyt. Sen jälkeen tarkastele auditd-lokitiedostoa mille tahansa tallennetulle TTY-syötölle käyttämällä aureport-apuohjelmaa.

aureport --tty

Yllä olevasta tulosteesta näet käyttäjän tecmint, jonka UID on 1000, käytti vi/vim-editoria ja loi hakemiston nimeltä bin ja muutti siihen, tyhjensi terminaalin ja niin edelleen.

Jos haluat etsiä TTY-syöttölokeja, jotka on tallennettu aikaleimoilla, jotka ovat yhtä suuria tai sen jälkeen, käytä -ts-näppäimiä määrittääksesi aloituspäivämäärän/-ajan ja -te-komentoa lopetuksen määrittämiseen. treffiaika.

Seuraavassa on joitain esimerkkejä:

aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
aureport --tty -ts this-week

Löydät lisätietoja pam_tty_audit -manuaalisivulta.

man  pam_tty_audit

Tutustu seuraaviin hyödyllisiin artikkeleihin.

  1. Määritä "No Password SSH Keys Authentication" PuTTY:llä Linux-palvelimissa
  2. LDAP-pohjaisen todennuksen määrittäminen RHEL/CentOS 7:ssä
  3. Kaksifaktorisen todennuksen (Google Authenticator) määrittäminen SSH-kirjautumisille
  4. Salasanaton SSH-kirjautuminen SSH Keygenillä 5 helpossa vaiheessa
  5. Kuinka suorittaa "sudo" -komento syöttämättä salasanaa Linuxissa

Tässä artikkelissa kuvailimme, kuinka PAM määritetään syötteen tarkastamiseksi tietyille käyttäjille CentOS/RHEL:ssä. Jos sinulla on kysyttävää tai muita ideoita jaettavana, käytä alla olevaa kommenttia.