Как настроить PAM для аудита активности пользователей оболочки журналирования
Это наша постоянная серия статей об аудите Linux. В четвертой части этой статьи мы объясним, как настроить PAM для аудита входных данных Linux TTY (активность пользователя оболочки ведения журнала). для конкретных пользователей с помощью инструмента pam_tty_audit.
Linux PAM (Подключаемые модули аутентификации) — это очень гибкий метод реализации служб аутентификации в приложениях и различных системных службах; он возник из исходного Unix PAM.
Он разделяет функции аутентификации на четыре основных модуля управления, а именно: модули учетных записей, модули аутентификации, модули паролей и модули сеансов. >. Подробное объяснение этих групп управления выходит за рамки данного руководства.
Инструмент auditd использует модуль PAM pam_tty_audit для включения или отключения аудита ввода TTY для определенных пользователей. После того, как пользователь настроен для аудита, pam_tty_audit работает вместе с auditd для отслеживания действий пользователя на терминале и, если он настроен, фиксирует точные нажатия клавиш, которые делает пользователь. затем записывает их в файл /var/log/audit/audit.log.
Настройка PAM для аудита пользовательского ввода TTY в Linux
Вы можете настроить PAM для аудита ввода TTY конкретного пользователя в файлах /etc/pam.d/system-auth и /etc. /pam.d/password-auth, используя опцию включения. С другой стороны, как и ожидалось, отключение отключает его для указанных пользователей в формате ниже:
session required pam_tty_audit.so disable=username,username2... enable=username,username2..
Чтобы включить регистрацию фактических нажатий пользователем клавиш (включая пробелы, символы возврата, клавиши возврата, клавишу управления, клавишу удаления и другие), добавьте параметр log_passwd вместе с другими параметрами, используя эту форму:
session required pam_tty_audit.so disable=username,username2... enable=username log_passwd
Но прежде чем выполнять какие-либо настройки, обратите внимание на следующее:
- Как видно из приведенного выше синтаксиса, вы можете передать множество имен пользователей в параметр включения или отключения.
- Любая опция отключения или включения переопределяет предыдущую противоположную опцию, соответствующую тому же имени пользователя.
- После включения аудита TTY он наследуется всеми процессами, инициированными определенным пользователем.
- Если запись нажатий клавиш активирована, ввод не регистрируется мгновенно, поскольку аудит TTY сначала сохраняет нажатия клавиш в буфере и записывает содержимое буфера через заданные интервалы или после выхода проверяемого пользователя из системы в /var/log /audit/audit.log.
Давайте рассмотрим пример ниже, где мы настроим pam_tty_audit для записи действий пользователя tecmint
, включая нажатия клавиш, на всех терминалах, в то время как мы отключим аудит TTY для всех остальных. пользователи системы.
Откройте эти два следующих файла конфигурации.
vi /etc/pam.d/system-auth
vi /etc/pam.d/password-auth
Добавьте следующую строку в файлы конфигурации.
требуется сеанс pam_tty_audit.so Disable=* Enable=tecmint
А чтобы фиксировать все нажатия клавиш, вводимые пользователем tecmint, мы можем добавить показанную опцию log_passwd.
session required pam_tty_audit.so disable=* enable=tecmint log_passwd
Теперь сохраните и закройте файлы. После этого просмотрите файл журнала auditd для всех записанных входных данных TTY с помощью утилиты aureport.
aureport --tty
Из приведенного выше вывода видно, что пользователь tecmint, UID которого равен 1000, использовал редактор vi/vim и создал каталог с именем . bin и переместился в него, очистил терминал и так далее.
Для поиска журналов ввода TTY, записанных с отметками времени, равными или позже определенного времени, используйте -ts
, чтобы указать дату/время начала, и -te
, чтобы установить конец. дата/время.
Ниже приведены некоторые примеры:
aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
aureport --tty -ts this-week
Дополнительную информацию можно найти на странице руководства pam_tty_audit.
man pam_tty_audit
Ознакомьтесь со следующими полезными статьями.
- Настройте «Аутентификацию SSH-ключей без пароля» с помощью PuTTY на серверах Linux
- Настройка аутентификации на основе LDAP в RHEL/CentOS 7
- Как настроить двухфакторную аутентификацию (Google Authenticator) для входа по SSH
- Вход без пароля по SSH с использованием SSH Keygen за 5 простых шагов
- Как запустить команду «sudo» без ввода пароля в Linux
В этой статье мы описали, как настроить PAM для аудита ввода определенных пользователей в CentOS/RHEL. Если у вас есть какие-либо вопросы или дополнительные идеи, которыми вы можете поделиться, используйте комментарий ниже.