Kuinka konfiguroida PAM tarkastamaan kirjautumisen Shell-käyttäjän toimintaa
Tämä on käynnissä oleva sarja Linux Auditing -ohjelmassa, tämän artikkelin tässä neljännessä osassa selitämme, kuinka PAM määritetään Linux TTY-syötteen (Logging Shell User Activity) tarkastusta varten tietyille käyttäjille pam_tty_audit-työkalun avulla.
Linux PAM (Pluggable Authentication Modules) on erittäin joustava menetelmä todennuspalvelujen toteuttamiseksi sovelluksissa ja erilaisissa järjestelmäpalveluissa; se syntyi alkuperäisestä Unix PAM: sta.
Se jakaa todennustoiminnot neljään päähallintamoduuliin, nimittäin: tilimoduulit, todennusmoduulit, salasanamoduulit ja istuntomoduulit. Opinnäytetyön johtoryhmien yksityiskohtainen selitys on tämän opetusohjelman ulkopuolella.
Auditd-työkalu käyttää pam_tty_audit PAM -moduulia TTY-syötteen tarkastuksen ottamiseen käyttöön tai poistamiseksi käytöstä tietyille käyttäjille. Kun käyttäjä on määritetty tarkastettavaksi, pam_tty_audit toimii yhdessä auditd: n kanssa seuratakseen käyttäjän toimia päätelaitteessa ja jos se on määritetty, siepata käyttäjän tekemät tarkat näppäinpainallukset ja tallentaa ne sitten/var/log/audit/audit. loki tiedosto.
PAM: n määrittäminen käyttäjän TTY-syötteen tarkastamista varten Linuxissa
Voit määrittää PAM: n tietyn käyttäjän TTY-syötteen tarkastamiseksi /etc/pam.d/system-auth- ja /etc/pam.d/password-auth -tiedostoissa, käyttämällä käyttöönottovaihtoehtoa. Toisaalta odotetusti käytöstä poistaminen poistaa sen käytöstä määritetyille käyttäjille alla olevassa muodossa:
session required pam_tty_audit.so disable=username,username2... enable=username,username2..
Ota todellisten käyttäjän näppäilyjen kirjaaminen (mukaan lukien välilyönnit, askelpalautin, palautusnäppäimet, ohjausnäppäin, poistonäppäin ja muut) lisäämällä vaihtoehto log_passwd yhdessä muiden vaihtoehtojen kanssa tällä lomakkeella:
session required pam_tty_audit.so disable=username,username2... enable=username log_passwd
Mutta ennen kuin teet mitään kokoonpanoja, huomaa, että:
- Kuten yllä olevasta syntaksista nähdään, voit siirtää useita käyttäjänimiä käyttöön tai poistaa käytöstä -vaihtoehtoon.
- Mikä tahansa käytöstä poisto- tai käyttöönottovaihtoehto ohittaa edellisen vastakkaisen vaihtoehdon, joka vastaa samaa käyttäjänimeä.
- Kun TTY-tarkastus on otettu käyttöön, se periytyy kaikista määritetyn käyttäjän aloittamista prosesseista.
- Jos näppäinpainallusten tallennus on aktivoitu, syötettä ei kirjata heti, koska TTY-auditointi tallentaa näppäinpainallukset ensin puskuriin ja kirjoittaa puskurisisällön tietyin väliajoin tai sen jälkeen, kun tarkastettu käyttäjä kirjautuu ulos,/var/lokiin /audit/audit.log-tiedosto.
Tarkastellaan alla olevaa esimerkkiä, jossa määritämme pam_tty_audit tallentamaan käyttäjän tecmint
-toiminnot, näppäinpainallukset mukaan lukien, kaikkiin päätelaitteisiin, samalla kun poistamme TTY-valvonnan käytöstä kaikille muille järjestelmän käyttäjille.
Avaa nämä kaksi seuraavaa kokoonpanotiedostoa.
# vi /etc/pam.d/system-auth # vi /etc/pam.d/password-auth
Lisää seuraava rivi määritystiedostoihin.
vaaditaan istunto pam_tty_audit.so poista käytöstä = * enable = tecmint
Ja kaikkien käyttäjän tecmintin kirjoittamien näppäinpainallusten kaappaamiseksi voimme lisätä log_passwd-vaihtoehdon a.
session required pam_tty_audit.so disable=* enable=tecmint log_passwd
Tallenna ja sulje nyt tiedostot. Tämän jälkeen voit tarkastaa kaikkien tallennettujen TTY-syötteiden auditd-lokitiedoston aureport-apuohjelman avulla.
# aureport --tty
Yllä olevasta lähdöstä näet käyttäjän tecmintin, jonka UID on 1000, käyttänyt vi/vim-editoria, luonut bin-nimisen hakemiston ja siirtynyt siihen, tyhjentänyt päätelaitteen ja niin edelleen.
Jos haluat etsiä TTY-syötelokeja, joiden aikaleimat ovat tietyn ajan verran tai sen jälkeen, käytä -ts
-määritä aloituspäivä/-aika ja -te
lopun asettamiseksi. treffiaika.
Seuraavassa on joitain esimerkkejä:
# aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00 # aureport --tty -ts this-week
Löydät lisätietoja pam_tty_audit-man-sivulta.
# man pam_tty_audit
Tutustu seuraaviin hyödyllisiin artikkeleihin.
- Määritä "No Password SSH Keys Authentication" -toiminto PuTTY: llä Linux-palvelimilla
- LDAP-pohjaisen todennuksen määrittäminen RHEL/CentOS 7: ssä
- Kahden tekijän todennuksen (Google Authenticator) määrittäminen SSH-kirjautumista varten
- SSH-salasanaton kirjautuminen SSH Keygen -toiminnolla viidessä helpossa vaiheessa
- sudo-komennon suorittaminen kirjoittamatta salasanaa Linuxissa
Tässä artikkelissa kuvattiin, kuinka PAM määritetään CentOS/RHEL: n tiettyjen käyttäjien syötteen tarkastamista varten. Jos sinulla on kysyttävää tai muita ideoita jaettavaksi, käytä alla olevaa kommenttia.