Kuidas konfigureerida PAM-i logi Shelli kasutajate tegevuse kontrollimiseks


See on meie käimasolev seeria Linuxi auditeerimisel. Selle artikli neljandas osas selgitame, kuidas PAM-i konfigureerida konkreetsete kasutajate jaoks Linuxi TTY sisendi (Logging Shelli kasutajate tegevus) auditeerimiseks tööriista pam_tty_audit abil.

Linux PAM (Pluggable Authentication Modules) on väga paindlik meetod autentimisteenuste juurutamiseks rakendustes ja erinevates süsteemiteenustes; see tuli välja algsest Unix PAM-ist.

See jagab autentimisfunktsioonid neljaks suureks haldusmooduliks, nimelt: kontomoodulid, autentimismoodulid, paroolimoodulid ja seansimoodulid. Lõputööde juhtimisrühmade üksikasjalik selgitus ei kuulu selle õpetuse raamesse.

Tööriist auditd kasutab PAM moodulit pam_tty_audit TTY sisendi auditeerimise lubamiseks või keelamiseks määratud kasutajatele. Kui kasutaja on auditeerimiseks konfigureeritud, töötab pam_tty_audit koos auditd-ga, jälgimaks kasutaja toiminguid terminalis ja konfigureerimise korral jäädvustama täpsed klahvivajutused, mida kasutaja teeb, ja salvestab need seejärel kataloogi/var/log/audit/audit. logifail.

PAM-i konfigureerimine kasutaja TTY sisendi auditeerimiseks Linuxis

PAM-i saate konfigureerida konkreetse kasutaja TTY-sisendi kontrollimiseks failides /etc/pam.d/system-auth ja /etc/pam.d/password-auth, kasutades lubamisvalikut. Teisest küljest lülitab keelamine ootuspäraselt välja määratud kasutajate jaoks allolevas vormingus:

session required pam_tty_audit.so disable=username,username2...  enable=username,username2..

Kasutaja tegelike klahvivajutuste (sh tühikud, tagasilükkeklahvid, tagasivõtmisklahvid, juhtnupp, kustutusklahv jt) logimise sisselülitamiseks lisage log_passwd koos muude suvanditega, kasutades seda vormi:

session required pam_tty_audit.so disable=username,username2...  enable=username log_passwd

Kuid enne seadistuste tegemist pange tähele, et:

  • Nagu ülaltoodud süntaksist nähtub, saate lubamis- või keelamisvalikule edastada paljud kasutajanimed.
  • Mis tahes keelamis- või lubamisvalik alistab eelmise vastupidise valiku, mis sobib sama kasutajanimega.
  • Pärast TTY-auditeerimise lubamist pärib selle kõik määratletud kasutaja algatatud protsessid.
  • Kui klahvivajutuste salvestamine on aktiveeritud, ei logita sisendit koheselt, kuna TTY auditeerimine salvestab klahvivajutused kõigepealt puhvrisse ja kirjutab puhvri sisu etteantud intervallide järel või pärast seda, kui auditeeritav kasutaja välja logib, kataloogi/var/log /audit/audit.log fail.

Vaatame allpool toodud näidet, kus konfigureerime pam_tty_audit kasutaja tecmint toimingute, sealhulgas klahvivajutuste, salvestamiseks kõikides terminalides, samal ajal kui me keelame kõigi teiste süsteemi kasutajate jaoks TTY auditeerimise.

Avage need kaks järgmist konfiguratsioonifaili.

# vi /etc/pam.d/system-auth
# vi /etc/pam.d/password-auth

Lisage konfiguratsioonifailidele järgmine rida.
seanss on vajalik pam_tty_audit.so disable = * enable = tecmint

Ja kõigi kasutaja tecminti sisestatud klahvivajutuste hõivamiseks võime lisada näidatud valiku log_passwd.

session required pam_tty_audit.so disable=*  enable=tecmint log_passwd

Nüüd salvestage ja sulgege failid. Seejärel vaadake aureporti utiliidi abil kõigi salvestatud TTY sisendite auditd logifaili.

# aureport --tty

Ülaltoodud väljundist näete, et kasutaja tecmint, kelle UID on 1000, kasutas redaktorit vi/vim, lõi kataloogi nimega bin ja kolis sinna, tühjendas terminali ja nii edasi.

Kindla ajaga võrdse või hilisema ajatempliga salvestatud TTY sisendlogide otsimiseks kasutage alguskuupäeva/kellaaja määramiseks -ts ja lõpu määramiseks -te kuupäev Kellaaeg.

Järgnevalt on toodud mõned näited:

# aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
# aureport --tty -ts this-week

Lisateavet leiate pam_tty_audit man lehelt.

# man  pam_tty_audit

Vaadake järgmisi kasulikke artikleid.

  1. konfigureerige\"No Password SSH Keys Authentication" koos PuTTY-ga Linuxi serverites
  2. LDAP-põhise autentimise seadistamine RHEL/CentOS 7-s
  3. Kuidas seadistada SSH sisselogimiste jaoks kahefaktoriline autentimine (Google Authenticator)
  4. SSH-i sisselogimine paroolita, kasutades SSH Keygenit viie lihtsa sammuga
  5. Kuidas käivitada käsk „sudo” Linuxis parooli sisestamata

Selles artiklis kirjeldasime, kuidas konfigureerida PAM CentOS/RHEL-i konkreetsete kasutajate sisendi kontrollimiseks. Kui teil on jagamiseks küsimusi või täiendavaid ideid, kasutage allpool olevat kommentaari.