Kā konfigurēt PAM, lai pārbaudītu reģistrēšanas čaulas lietotāju darbību


Šī ir mūsu pašreizējā sērija par Linux auditēšanu, šajā šī raksta ceturtajā daļā mēs paskaidrosim, kā konfigurēt PAM Linux TTY ievades (Logging Shell User Activity) auditēšanai konkrētiem lietotājiem, izmantojot pam_tty_audit rīku.

Linux PAM (Pluggable Authentication Modules) ir ļoti elastīga metode autentifikācijas pakalpojumu ieviešanai lietojumprogrammās un dažādos sistēmas pakalpojumos; tas parādījās no sākotnējā Unix PAM.

Tas sadala autentifikācijas funkcijas četros galvenajos vadības moduļos, proti: konta moduļi, autentifikācijas moduļi, paroļu moduļi un sesiju moduļi. Detalizēts tēžu vadības grupu skaidrojums ir ārpus šīs apmācības sfēras.

Auditd rīks izmanto PAM moduli pam_tty_audit, lai iespējotu vai atspējotu TTY ievades auditēšanu norādītajiem lietotājiem. Kad lietotājs ir konfigurēts auditēšanai, pam_tty_audit darbojas kopā ar auditd, lai izsekotu lietotāja darbības terminālā un, ja tas ir konfigurēts, uzņemiet precīzus lietotāja veiktos taustiņsitienus, pēc tam tos ierakstiet mapē/var/log/audit/audit. žurnāla fails.

PAM konfigurēšana lietotāja TTY ievades auditēšanai Linux

Varat konfigurēt PAM, lai pārbaudītu konkrētu lietotāju TTY ievadi failos /etc/pam.d/system-auth un /etc/pam.d/password-auth, izmantojot iespējošanas opciju. No otras puses, kā paredzēts, atspējošana to izslēdz norādītajiem lietotājiem zemāk norādītajā formātā:

session required pam_tty_audit.so disable=username,username2...  enable=username,username2..

Lai ieslēgtu faktisko lietotāja taustiņu reģistrēšanu (ieskaitot atstarpes, atpakaļatkāpes, atgriešanās taustiņus, vadības taustiņu, dzēšanas taustiņu un citus), pievienojiet opciju log_passwd kopā ar citām opcijām, izmantojot šo veidlapu:

session required pam_tty_audit.so disable=username,username2...  enable=username log_passwd

Bet pirms konfigurācijas veikšanas ņemiet vērā, ka:

  • Kā redzams iepriekš sintaksē, iespējošanas vai atspējošanas opcijai varat nodot daudzus lietotājvārdus.
  • Jebkura atspējošanas vai iespējošanas opcija ignorē iepriekšējo pretējo opciju, kas atbilst tam pašam lietotājvārdam.
  • Pēc TTY audita iespējošanas tā tiek pārmantota visos procesos, kurus sāk noteiktais lietotājs.
  • Ja tiek aktivizēta taustiņsitienu ierakstīšana, ievade netiek reģistrēta uzreiz, jo TTY auditēšana vispirms glabā taustiņsitienus buferī un ieraksta bufera saturu noteiktos intervālos vai pēc tam, kad auditētais lietotājs ir atteicies,/var/log /audit/audit.log fails.

Apskatīsim zemāk redzamo piemēru, kurā mēs konfigurēsim pam_tty_audit, lai reģistrētu lietotāja tecmint darbības, ieskaitot taustiņsitienus, visos termināļos, savukārt visiem citiem sistēmas lietotājiem mēs atspējojam TTY auditēšanu.

Atveriet šos divus konfigurācijas failus.

# vi /etc/pam.d/system-auth
# vi /etc/pam.d/password-auth

Pievienojiet konfigurācijas failiem šādu rindu.
nepieciešama sesija pam_tty_audit.so disable = * enable = tecmint

Un, lai notvertu visus lietotāja tecmint ievadītos taustiņsitienus, mēs varam pievienot parādīto log_passwd opciju.

session required pam_tty_audit.so disable=*  enable=tecmint log_passwd

Tagad saglabājiet un aizveriet failus. Pēc tam, izmantojot Aureport utilītu, apskatiet jebkuras ierakstītās TTY ievades auditd žurnāla failu.

# aureport --tty

No iepriekš minētās izejas jūs varat redzēt lietotāju tecmint, kura UID ir 1000, izmantojis vi/vim redaktoru, izveidojis direktoriju ar nosaukumu bin un pārvietojies tajā, notīrījis termināli un tā tālāk.

Lai meklētu TTY ievades žurnālus, kas ierakstīti ar laika zīmogiem, kas ir vienādi vai pēc noteikta laika, izmantojiet -ts , lai norādītu sākuma datumu/laiku, un -te , lai iestatītu beigas. datums Laiks.

Šeit ir daži piemēri:

# aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
# aureport --tty -ts this-week

Plašāku informāciju varat atrast pam_tty_audit cilvēka lapā.

# man  pam_tty_audit

Pārbaudiet šādus noderīgus rakstus.

  1. Konfigurējiet “No Password SSH Keys Authentication” ar PuTTY uz Linux serveriem
  2. Uz LDAP balstītas autentifikācijas iestatīšana RHEL/CentOS 7
  3. Kā iestatīt divfaktoru autentifikāciju (Google Authenticator) SSH pieteikšanās gadījumiem
  4. Pieteikšanās ar SSH bez paroles, izmantojot 5 vienkāršus soļus, izmantojot SSH Keygen
  5. Kā palaist komandu “sudo”, Linux neievadot paroli

Šajā rakstā mēs aprakstījām, kā konfigurēt PAM ievades auditēšanai konkrētiem CentOS/RHEL lietotājiem. Ja jums ir kādi jautājumi vai papildu idejas, ar ko dalīties, izmantojiet zemāk esošo komentāru.