Kuinka konfiguroida PAM tarkastamaan kirjautumisen Shell-käyttäjän toimintaa

Tämä on käynnissä oleva sarja Linux Auditing -ohjelmassa, tämän artikkelin tässä neljännessä osassa selitämme, kuinka PAM määritetään Linux TTY-syötteen (Logging Shell User Activity) tarkastusta varten tietyille käyttäjille pam_tty_audit-työkalun avulla.

Linux PAM (Pluggable Authentication Modules) on erittäin joustava menetelmä todennuspalvelujen toteuttamiseksi sovelluksissa ja erilaisissa järjestelmäpalveluissa; se syntyi alkuperäisestä Unix PAM: sta.

Se jakaa todennustoiminnot neljään päähallintamoduuliin, nimittäin: tilimoduulit, todennusmoduulit, salasanamoduulit ja istuntomoduulit. Opinnäytetyön johtoryhmien yksityiskohtainen selitys on tämän opetusohjelman ulkopuolella.

Auditd-työkalu käyttää pam_tty_audit PAM -moduulia TTY-syötteen tarkastuksen ottamiseen käyttöön tai poistamiseksi käytöstä tietyille käyttäjille. Kun käyttäjä on määritetty tarkastettavaksi, pam_tty_audit toimii yhdessä auditd: n kanssa seuratakseen käyttäjän toimia päätelaitteessa ja jos se on määritetty, siepata käyttäjän tekemät tarkat näppäinpainallukset ja tallentaa ne sitten/var/log/audit/audit. loki tiedosto.

PAM: n määrittäminen käyttäjän TTY-syötteen tarkastamista varten Linuxissa

Voit määrittää PAM: n tietyn käyttäjän TTY-syötteen tarkastamiseksi /etc/pam.d/system-auth- ja /etc/pam.d/password-auth -tiedostoissa, käyttämällä käyttöönottovaihtoehtoa. Toisaalta odotetusti käytöstä poistaminen poistaa sen käytöstä määritetyille käyttäjille alla olevassa muodossa:

session required pam_tty_audit.so disable=username,username2...  enable=username,username2..

Ota todellisten käyttäjän näppäilyjen kirjaaminen (mukaan lukien välilyönnit, askelpalautin, palautusnäppäimet, ohjausnäppäin, poistonäppäin ja muut) lisäämällä vaihtoehto log_passwd yhdessä muiden vaihtoehtojen kanssa tällä lomakkeella:

session required pam_tty_audit.so disable=username,username2...  enable=username log_passwd

Mutta ennen kuin teet mitään kokoonpanoja, huomaa, että:

  • Kuten yllä olevasta syntaksista nähdään, voit siirtää useita käyttäjänimiä käyttöön tai poistaa käytöstä -vaihtoehtoon.
  • Mikä tahansa käytöstä poisto- tai käyttöönottovaihtoehto ohittaa edellisen vastakkaisen vaihtoehdon, joka vastaa samaa käyttäjänimeä.
  • Kun TTY-tarkastus on otettu käyttöön, se periytyy kaikista määritetyn käyttäjän aloittamista prosesseista.
  • Jos näppäinpainallusten tallennus on aktivoitu, syötettä ei kirjata heti, koska TTY-auditointi tallentaa näppäinpainallukset ensin puskuriin ja kirjoittaa puskurisisällön tietyin väliajoin tai sen jälkeen, kun tarkastettu käyttäjä kirjautuu ulos,/var/lokiin /audit/audit.log-tiedosto.

Tarkastellaan alla olevaa esimerkkiä, jossa määritämme pam_tty_audit tallentamaan käyttäjän tecmint -toiminnot, näppäinpainallukset mukaan lukien, kaikkiin päätelaitteisiin, samalla kun poistamme TTY-valvonnan käytöstä kaikille muille järjestelmän käyttäjille.

Avaa nämä kaksi seuraavaa kokoonpanotiedostoa.

# vi /etc/pam.d/system-auth
# vi /etc/pam.d/password-auth

Lisää seuraava rivi määritystiedostoihin.
vaaditaan istunto pam_tty_audit.so poista käytöstä = * enable = tecmint

Ja kaikkien käyttäjän tecmintin kirjoittamien näppäinpainallusten kaappaamiseksi voimme lisätä log_passwd-vaihtoehdon a.

session required pam_tty_audit.so disable=*  enable=tecmint log_passwd

Tallenna ja sulje nyt tiedostot. Tämän jälkeen voit tarkastaa kaikkien tallennettujen TTY-syötteiden auditd-lokitiedoston aureport-apuohjelman avulla.

# aureport --tty

Yllä olevasta lähdöstä näet käyttäjän tecmintin, jonka UID on 1000, käyttänyt vi/vim-editoria, luonut bin-nimisen hakemiston ja siirtynyt siihen, tyhjentänyt päätelaitteen ja niin edelleen.

Jos haluat etsiä TTY-syötelokeja, joiden aikaleimat ovat tietyn ajan verran tai sen jälkeen, käytä -ts -määritä aloituspäivä/-aika ja -te lopun asettamiseksi. treffiaika.

Seuraavassa on joitain esimerkkejä:

# aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
# aureport --tty -ts this-week

Löydät lisätietoja pam_tty_audit-man-sivulta.

# man  pam_tty_audit

Tutustu seuraaviin hyödyllisiin artikkeleihin.

  1. Määritä "No Password SSH Keys Authentication" -toiminto PuTTY: llä Linux-palvelimilla
  2. LDAP-pohjaisen todennuksen määrittäminen RHEL/CentOS 7: ssä
  3. Kahden tekijän todennuksen (Google Authenticator) määrittäminen SSH-kirjautumista varten
  4. SSH-salasanaton kirjautuminen SSH Keygen -toiminnolla viidessä helpossa vaiheessa
  5. sudo-komennon suorittaminen kirjoittamatta salasanaa Linuxissa

Tässä artikkelissa kuvattiin, kuinka PAM määritetään CentOS/RHEL: n tiettyjen käyttäjien syötteen tarkastamista varten. Jos sinulla on kysyttävää tai muita ideoita jaettavaksi, käytä alla olevaa kommenttia.