Kako konfigurirati PAM za reviziju aktivnosti korisnika ljuske za bilježenje

Ovo je naša stalna serija o reviziji Linuxa, u ovom četvrtom dijelu ovog članka, objasnit ćemo kako konfigurirati PAM za reviziju Linux TTY ulaza (Logging Shell User Activity) za određene korisnike pomoću alata pam_tty_audit.

Linux PAM (Pluggable Authentication Modules) vrlo je fleksibilna metoda za implementaciju usluga provjere autentičnosti u aplikacijama i raznim uslugama sustava; nastao je iz izvornog Unix PAM-a.

Dijeli funkcije provjere autentičnosti u četiri glavna modula upravljanja, naime: module računa, module provjere autentičnosti, module zaporke i module sesije . Detaljno objašnjenje grupa za upravljanje tezama je izvan opsega ovog vodiča.

Alat auditd koristi PAM modul pam_tty_audit za omogućavanje ili onemogućavanje revizije TTY unosa za određene korisnike. Nakon što je korisnik konfiguriran za reviziju, pam_tty_audit radi zajedno s auditd za praćenje radnji korisnika na terminalu i, ako je konfigurirano, bilježi točne pritiske tipki koje korisnik čini, zatim ih bilježi u datoteku /var/log/audit/audit.log.

Konfiguriranje PAM-a za reviziju korisničkog TTY unosa u Linuxu

Možete konfigurirati PAM za reviziju TTY unosa određenog korisnika u /etc/pam.d/system-auth i /etc /pam.d/password-auth pomoću opcije omogućivanja. S druge strane, kao što je i očekivano, onemogućavanje ga isključuje za navedene korisnike, u donjem formatu:

session required pam_tty_audit.so disable=username,username2...  enable=username,username2..

Da biste uključili bilježenje stvarnih korisničkih pritisaka tipki (uključujući razmake, povratne razmake, povratne tipke, kontrolnu tipku, tipku za brisanje i druge), dodajte opciju log_passwd zajedno s ostalim opcijama, koristeći ovaj obrazac:

session required pam_tty_audit.so disable=username,username2...  enable=username log_passwd

Ali prije nego što izvršite bilo kakve konfiguracije, imajte na umu sljedeće:

  • Kao što se vidi u gornjoj sintaksi, možete proslijediti mnoga korisnička imena opciji omogućavanja ili onemogućavanja.
  • Bilo koja opcija onemogućavanja ili omogućavanja poništava prethodnu suprotnu opciju koja odgovara istom korisničkom imenu.
  • Nakon što omogućite TTY reviziju, nasljeđuju je svi procesi koje pokreće definirani korisnik.
  • Ako je aktivirano snimanje pritisaka tipki, unos se ne bilježi trenutno, budući da TTY revizija prvo sprema pritiske tipki u međuspremnik i zapisuje sadržaj međuspremnika u zadanim intervalima, ili nakon što se pregledani korisnik odjavi, u /var/log /audit/audit.log datoteku.

Pogledajmo primjer u nastavku, gdje ćemo konfigurirati pam_tty_audit za bilježenje radnji korisnika tecmint uključujući pritiske tipki, na svim terminalima, dok ćemo onemogućiti TTY reviziju za sve ostale korisnicima sustava.

Otvorite ove dvije sljedeće konfiguracijske datoteke.

vi /etc/pam.d/system-auth
vi /etc/pam.d/password-auth

Dodajte sljedeći redak konfiguracijskim datotekama.
potrebna sesija pam_tty_audit.so disable=* enable=tecmint

A kako bismo zabilježili sve tipke koje unese korisnik tecmint, možemo dodati prikazanu opciju log_passwd.

session required pam_tty_audit.so disable=*  enable=tecmint log_passwd

Sada spremite i zatvorite datoteke. Nakon toga pogledajte datoteku dnevnika auditd za bilo koji snimljeni TTY unos pomoću uslužnog programa aureport.

aureport --tty

Iz gornjeg izlaza možete vidjeti da je korisnik tecmint čiji je UID 1000 koristio vi/vim editor, stvorio direktorij pod nazivom bini preselio se u njega, očistio terminal i tako dalje.

Za traženje TTY ulaznih zapisa snimljenih s vremenskim oznakama jednakim ili nakon određenog vremena, koristite -ts za navođenje datuma/vremena početka i -te za postavljanje završetka Datum vrijeme.

Sljedeći su neki primjeri:

aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
aureport --tty -ts this-week

Više informacija možete pronaći na stranici priručnika pam_tty_audit.

man  pam_tty_audit

Provjerite sljedeće korisne članke.

  1. Konfigurirajte “No Password SSH Keys Authentication” s PuTTY na Linux poslužiteljima
  2. Postavljanje provjere autentičnosti temeljene na LDAP-u u RHEL/CentOS 7
  3. Kako postaviti dvofaktorsku provjeru autentičnosti (Google Authenticator) za SSH prijave
  4. SSH prijava bez lozinke pomoću SSH Keygena u 5 jednostavnih koraka
  5. Kako pokrenuti naredbu 'sudo' bez unosa lozinke u Linuxu

U ovom smo članku opisali kako konfigurirati PAM za reviziju unosa za određene korisnike na CentOS/RHEL. Ako imate pitanja ili dodatnih ideja za podijeliti, upotrijebite komentar ispod.