Kaip sukonfigūruoti PAM, kad būtų galima tikrinti registravimo apvalkalo vartotojo veiklą
Tai yra mūsų nuolatinė serija apie Linux auditą. Šioje ketvirtoje šio straipsnio dalyje paaiškinsime, kaip sukonfigūruoti PAM, kad būtų galima tikrinti Linux TTY įvestį (logging Shell vartotojo veikla). konkretiems naudotojams naudojant pam_tty_audit įrankį.
Linux PAM (Įjungiami autentifikavimo moduliai) – tai labai lankstus būdas įdiegti autentifikavimo paslaugas programose ir įvairiose sistemos paslaugose; ji atsirado iš originalaus Unix PAM.
Jis padalija autentifikavimo funkcijas į keturis pagrindinius valdymo modulius, būtent: paskyros modulius, autentifikavimo modulius, slaptažodžio modulius ir seansų modulius. >. Išsamus šių valdymo grupių paaiškinimas nepatenka į šios mokymo programos taikymo sritį.
Įrankis auditd naudoja pam_tty_audit PAM modulį, kad įgalintų arba išjungtų TTY įvesties auditą nurodytiems naudotojams. Kai naudotojas yra sukonfigūruotas atlikti auditą, pam_tty_audit veikia kartu su auditd, kad būtų galima stebėti vartotojo veiksmus terminale ir, jei sukonfigūruota, užfiksuoti tikslius vartotojo daromus klavišų paspaudimus. tada įrašo juos į failą /var/log/audit/audit.log.
PAM konfigūravimas vartotojo TTY įvesties auditui sistemoje Linux
Galite sukonfigūruoti PAM, kad patikrintų konkretaus naudotojo TTY įvestį, esančią /etc/pam.d/system-auth ir /etc. /pam.d/password-auth failus, naudodami įgalinimo parinktį. Kita vertus, kaip ir tikėtasi, išjungimas jį išjungia nurodytiems vartotojams toliau nurodytu formatu:
session required pam_tty_audit.so disable=username,username2... enable=username,username2..
Norėdami įjungti faktinių naudotojo klavišų paspaudimų registravimą (įskaitant tarpus, grįžimo klavišus, grįžimo klavišus, valdymo klavišą, trynimo klavišą ir kitus), pridėkite parinktį log_passwd kartu su kitomis parinktimis, naudodami šią formą:
session required pam_tty_audit.so disable=username,username2... enable=username log_passwd
Tačiau prieš atlikdami konfigūraciją atkreipkite dėmesį, kad:
- Kaip matyti iš aukščiau pateiktos sintaksės, įgalinimo arba išjungimo parinktis galite perduoti daug naudotojų vardų.
- Bet kuri išjungimo arba įgalinimo parinktis nepaiso ankstesnės priešingos parinkties, atitinkančios tą patį vartotojo vardą.
- Įjungus TTY auditą, jį paveldi visi apibrėžto vartotojo inicijuoti procesai.
- Jei suaktyvintas klavišų paspaudimų įrašymas, įvestis neužregistruojama iš karto, nes TTY auditas pirmiausia išsaugo klavišų paspaudimus buferyje ir įrašo buferio turinį nurodytais intervalais arba po to, kai tikrinamas vartotojas atsijungia, į /var/log. /audit/audit.log failą.
Pažvelkime į toliau pateiktą pavyzdį, kuriame sukonfigūruosime pam_tty_audit, kad įrašytų naudotojo tecmint
veiksmus, įskaitant klavišų paspaudimus, visuose terminaluose, o išjungsime TTY auditą visuose kituose terminaluose. sistemos vartotojai.
Atidarykite šiuos du konfigūracijos failus.
vi /etc/pam.d/system-auth
vi /etc/pam.d/password-auth
Pridėkite šią eilutę prie konfigūracijos failų.
reikalinga sesija pam_tty_audit.so disable=* enable=tecmint
Ir norėdami užfiksuoti visus naudotojo tecmint įvestus klavišų paspaudimus, galime pridėti parinktį log_passwd.
session required pam_tty_audit.so disable=* enable=tecmint log_passwd
Dabar išsaugokite ir uždarykite failus. Po to peržiūrėkite bet kurios įrašytos TTY įvesties auditd žurnalo failą, naudodami aureport priemonę.
aureport --tty
Aukščiau pateiktoje išvestyje galite matyti naudotoją tecmint, kurio UID yra 1000, naudojo vi/vim redaktorių, sukūrė katalogą pavadinimu binir persikėlė į ją, išvalė terminalą ir pan.
Norėdami ieškoti TTY įvesties žurnalų, įrašytų su laiko žymomis, atitinkančiomis konkretų laiką arba po jo, naudokite -ts
, kad nurodytumėte pradžios datą/laiką, ir -te
, kad nustatytumėte pabaigą data/laikas.
Toliau pateikiami keli pavyzdžiai:
aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
aureport --tty -ts this-week
Daugiau informacijos galite rasti pam_tty_audit vadovo puslapyje.
man pam_tty_audit
Peržiūrėkite šiuos naudingus straipsnius.
- Konfigūruokite „No Password SSH Keys Authentication“ su PuTTY Linux serveriuose
- LDAP pagrįsto autentifikavimo nustatymas RHEL/CentOS 7
- Kaip nustatyti dviejų faktorių autentifikavimą („Google Authenticator“) SSH prisijungimams
- SSH prisijungimas be slaptažodžio naudojant SSH Keygen 5 paprastais veiksmais
- Kaip paleisti „sudo“ komandą neįvedant slaptažodžio sistemoje „Linux“.
Šiame straipsnyje aprašėme, kaip sukonfigūruoti PAM, kad būtų galima tikrinti konkrečių CentOS/RHEL vartotojų įvestį. Jei turite klausimų ar papildomų idėjų, kuriomis norite pasidalinti, naudokite toliau pateiktą komentarą.