Kako konfigurirati PAM za reviziju aktivnosti korisnika ljuske za bilježenje
Ovo je naša stalna serija o reviziji Linuxa, u ovom četvrtom dijelu ovog članka, objasnit ćemo kako konfigurirati PAM za reviziju Linux TTY ulaza (Logging Shell User Activity) za određene korisnike pomoću alata pam_tty_audit.
Linux PAM (Pluggable Authentication Modules) vrlo je fleksibilna metoda za implementaciju usluga provjere autentičnosti u aplikacijama i raznim uslugama sustava; nastao je iz izvornog Unix PAM-a.
Dijeli funkcije provjere autentičnosti u četiri glavna modula upravljanja, naime: module računa, module provjere autentičnosti, module zaporke i module sesije . Detaljno objašnjenje grupa za upravljanje tezama je izvan opsega ovog vodiča.
Alat auditd koristi PAM modul pam_tty_audit za omogućavanje ili onemogućavanje revizije TTY unosa za određene korisnike. Nakon što je korisnik konfiguriran za reviziju, pam_tty_audit radi zajedno s auditd za praćenje radnji korisnika na terminalu i, ako je konfigurirano, bilježi točne pritiske tipki koje korisnik čini, zatim ih bilježi u datoteku /var/log/audit/audit.log.
Konfiguriranje PAM-a za reviziju korisničkog TTY unosa u Linuxu
Možete konfigurirati PAM za reviziju TTY unosa određenog korisnika u /etc/pam.d/system-auth i /etc /pam.d/password-auth pomoću opcije omogućivanja. S druge strane, kao što je i očekivano, onemogućavanje ga isključuje za navedene korisnike, u donjem formatu:
session required pam_tty_audit.so disable=username,username2... enable=username,username2..
Da biste uključili bilježenje stvarnih korisničkih pritisaka tipki (uključujući razmake, povratne razmake, povratne tipke, kontrolnu tipku, tipku za brisanje i druge), dodajte opciju log_passwd zajedno s ostalim opcijama, koristeći ovaj obrazac:
session required pam_tty_audit.so disable=username,username2... enable=username log_passwd
Ali prije nego što izvršite bilo kakve konfiguracije, imajte na umu sljedeće:
- Kao što se vidi u gornjoj sintaksi, možete proslijediti mnoga korisnička imena opciji omogućavanja ili onemogućavanja.
- Bilo koja opcija onemogućavanja ili omogućavanja poništava prethodnu suprotnu opciju koja odgovara istom korisničkom imenu.
- Nakon što omogućite TTY reviziju, nasljeđuju je svi procesi koje pokreće definirani korisnik.
- Ako je aktivirano snimanje pritisaka tipki, unos se ne bilježi trenutno, budući da TTY revizija prvo sprema pritiske tipki u međuspremnik i zapisuje sadržaj međuspremnika u zadanim intervalima, ili nakon što se pregledani korisnik odjavi, u /var/log /audit/audit.log datoteku.
Pogledajmo primjer u nastavku, gdje ćemo konfigurirati pam_tty_audit za bilježenje radnji korisnika tecmint
uključujući pritiske tipki, na svim terminalima, dok ćemo onemogućiti TTY reviziju za sve ostale korisnicima sustava.
Otvorite ove dvije sljedeće konfiguracijske datoteke.
vi /etc/pam.d/system-auth
vi /etc/pam.d/password-auth
Dodajte sljedeći redak konfiguracijskim datotekama.
potrebna sesija pam_tty_audit.so disable=* enable=tecmint
A kako bismo zabilježili sve tipke koje unese korisnik tecmint, možemo dodati prikazanu opciju log_passwd.
session required pam_tty_audit.so disable=* enable=tecmint log_passwd
Sada spremite i zatvorite datoteke. Nakon toga pogledajte datoteku dnevnika auditd za bilo koji snimljeni TTY unos pomoću uslužnog programa aureport.
aureport --tty
Iz gornjeg izlaza možete vidjeti da je korisnik tecmint čiji je UID 1000 koristio vi/vim editor, stvorio direktorij pod nazivom bini preselio se u njega, očistio terminal i tako dalje.
Za traženje TTY ulaznih zapisa snimljenih s vremenskim oznakama jednakim ili nakon određenog vremena, koristite -ts
za navođenje datuma/vremena početka i -te
za postavljanje završetka Datum vrijeme.
Sljedeći su neki primjeri:
aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
aureport --tty -ts this-week
Više informacija možete pronaći na stranici priručnika pam_tty_audit.
man pam_tty_audit
Provjerite sljedeće korisne članke.
- Konfigurirajte “No Password SSH Keys Authentication” s PuTTY na Linux poslužiteljima
- Postavljanje provjere autentičnosti temeljene na LDAP-u u RHEL/CentOS 7
- Kako postaviti dvofaktorsku provjeru autentičnosti (Google Authenticator) za SSH prijave
- SSH prijava bez lozinke pomoću SSH Keygena u 5 jednostavnih koraka
- Kako pokrenuti naredbu 'sudo' bez unosa lozinke u Linuxu
U ovom smo članku opisali kako konfigurirati PAM za reviziju unosa za određene korisnike na CentOS/RHEL. Ako imate pitanja ili dodatnih ideja za podijeliti, upotrijebite komentar ispod.