Поиск по сайту:

Как настроить PAM для аудита активности пользователей оболочки журналирования

Это наша постоянная серия статей об аудите Linux. В четвертой части этой статьи мы объясним, как настроить PAM для аудита входных данных Linux TTY (активность пользователя оболочки ведения журнала). для конкретных пользователей с помощью инструмента pam_tty_audit.

Linux PAM (Подключаемые модули аутентификации) — это очень гибкий метод реализации служб аутентификации в приложениях и различных системных службах; он возник из исходного Unix PAM.

Он разделяет функции аутентификации на четыре основных модуля управления, а именно: модули учетных записей, модули аутентификации, модули паролей и модули сеансов. >. Подробное объяснение этих групп управления выходит за рамки данного руководства.

Инструмент auditd использует модуль PAM pam_tty_audit для включения или отключения аудита ввода TTY для определенных пользователей. После того, как пользователь настроен для аудита, pam_tty_audit работает вместе с auditd для отслеживания действий пользователя на терминале и, если он настроен, фиксирует точные нажатия клавиш, которые делает пользователь. затем записывает их в файл /var/log/audit/audit.log.

Настройка PAM для аудита пользовательского ввода TTY в Linux

Вы можете настроить PAM для аудита ввода TTY конкретного пользователя в файлах /etc/pam.d/system-auth и /etc. /pam.d/password-auth, используя опцию включения. С другой стороны, как и ожидалось, отключение отключает его для указанных пользователей в формате ниже:

session required pam_tty_audit.so disable=username,username2...  enable=username,username2..

Чтобы включить регистрацию фактических нажатий пользователем клавиш (включая пробелы, символы возврата, клавиши возврата, клавишу управления, клавишу удаления и другие), добавьте параметр log_passwd вместе с другими параметрами, используя эту форму:

session required pam_tty_audit.so disable=username,username2...  enable=username log_passwd

Но прежде чем выполнять какие-либо настройки, обратите внимание на следующее:

  • Как видно из приведенного выше синтаксиса, вы можете передать множество имен пользователей в параметр включения или отключения.
  • Любая опция отключения или включения переопределяет предыдущую противоположную опцию, соответствующую тому же имени пользователя.
  • После включения аудита TTY он наследуется всеми процессами, инициированными определенным пользователем.
  • Если запись нажатий клавиш активирована, ввод не регистрируется мгновенно, поскольку аудит TTY сначала сохраняет нажатия клавиш в буфере и записывает содержимое буфера через заданные интервалы или после выхода проверяемого пользователя из системы в /var/log /audit/audit.log.

Давайте рассмотрим пример ниже, где мы настроим pam_tty_audit для записи действий пользователя tecmint, включая нажатия клавиш, на всех терминалах, в то время как мы отключим аудит TTY для всех остальных. пользователи системы.

Откройте эти два следующих файла конфигурации.

vi /etc/pam.d/system-auth
vi /etc/pam.d/password-auth

Добавьте следующую строку в файлы конфигурации.
требуется сеанс pam_tty_audit.so Disable=* Enable=tecmint

А чтобы фиксировать все нажатия клавиш, вводимые пользователем tecmint, мы можем добавить показанную опцию log_passwd.

session required pam_tty_audit.so disable=*  enable=tecmint log_passwd

Теперь сохраните и закройте файлы. После этого просмотрите файл журнала auditd для всех записанных входных данных TTY с помощью утилиты aureport.

aureport --tty

Из приведенного выше вывода видно, что пользователь tecmint, UID которого равен 1000, использовал редактор vi/vim и создал каталог с именем . bin и переместился в него, очистил терминал и так далее.

Для поиска журналов ввода TTY, записанных с отметками времени, равными или позже определенного времени, используйте -ts, чтобы указать дату/время начала, и -te, чтобы установить конец. дата/время.

Ниже приведены некоторые примеры:

aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
aureport --tty -ts this-week

Дополнительную информацию можно найти на странице руководства pam_tty_audit.

man  pam_tty_audit

Ознакомьтесь со следующими полезными статьями.

  1. Настройте «Аутентификацию SSH-ключей без пароля» с помощью PuTTY на серверах Linux
  2. Настройка аутентификации на основе LDAP в RHEL/CentOS 7
  3. Как настроить двухфакторную аутентификацию (Google Authenticator) для входа по SSH
  4. Вход без пароля по SSH с использованием SSH Keygen за 5 простых шагов
  5. Как запустить команду «sudo» без ввода пароля в Linux

В этой статье мы описали, как настроить PAM для аудита ввода определенных пользователей в CentOS/RHEL. Если у вас есть какие-либо вопросы или дополнительные идеи, которыми вы можете поделиться, используйте комментарий ниже.