Com configurar PAM per auditar l'activitat de l'usuari de l'shell de registre

Aquesta és la nostra sèrie en curs sobre Auditoria de Linux, en aquesta quarta part d'aquest article, explicarem com configurar PAM per auditar l'entrada de Linux TTY (Logging Shell User Activity) per a usuaris específics que utilitzen l'eina pam_tty_audit.

Linux PAM (Pluggable Authentication Modules) és un mètode molt flexible per implementar serveis d'autenticació en aplicacions i diversos serveis del sistema; va sorgir del PAM Unix original.

Divideix les funcions d'autenticació en quatre mòduls de gestió principals, a saber: mòduls de compte, mòduls d'autenticació, mòduls de contrasenya i mòduls de sessió. L'explicació detallada d'aquests grups de gestió està fora de l'abast d'aquest tutorial.

L'eina auditd utilitza el mòdul PAM pam_tty_audit per habilitar o desactivar l'auditoria de l'entrada TTY per a usuaris especificats. Una vegada que un usuari està configurat per ser auditat, pam_tty_audit funciona conjuntament amb l'auditd per fer un seguiment de les accions d'un usuari al terminal i, si està configurat, capturar les pulsacions de tecles exactes que fa l'usuari i després les registra a /var/log/audit/audit. fitxer de registre.

Configuració de PAM per auditar l'entrada TTY de l'usuari a Linux

Podeu configurar PAM per auditar l'entrada TTY d'un usuari particular als fitxers /etc/pam.d/system-auth i /etc/pam.d/password-auth, utilitzant l'opció d'activació. D'altra banda, com era d'esperar, la desactivació ho desactiva per als usuaris especificats, en el format següent:

session required pam_tty_audit.so disable=username,username2...  enable=username,username2..

Per activar el registre de les pulsacions reals de l'usuari (inclosos espais, retrocés, tecles de retorn, la tecla de control, la tecla d'eliminació i altres), afegiu l'opció log_passwd juntament amb les altres opcions, utilitzant aquest formulari:

session required pam_tty_audit.so disable=username,username2...  enable=username log_passwd

Però abans de realitzar qualsevol configuració, tingueu en compte que:

  • Com es veu a la sintaxi anterior, podeu passar molts noms d'usuari a l'opció d'activar o desactivar.
  • Qualsevol opció d'activació o desactivació anul·la l'opció oposada anterior que coincideix amb el mateix nom d'usuari.
  • Després d'habilitar l'auditoria TTY, s'hereta per tots els processos iniciats per l'usuari definit.
  • Si s'activa l'enregistrament de les pulsacions de tecles, l'entrada no es registra a l'instant, ja que l'auditoria TTY emmagatzema primer les pulsacions de tecles en una memòria intermèdia i escriu el contingut de la memòria intermèdia a intervals determinats, o després que l'usuari auditat tanqui la sessió, al /var/log. Fitxer /audit/audit.log.

Vegem un exemple a continuació, on configurarem pam_tty_audit per registrar les accions de l'usuari tecmint, incloses les pulsacions de tecles, a tots els terminals, mentre desactivem l'auditoria TTY per a la resta d'usuaris del sistema.

Obriu aquests dos fitxers de configuració següents.

# vi /etc/pam.d/system-auth
# vi /etc/pam.d/password-auth

Afegiu la línia següent als fitxers de configuració.
sessió necessària pam_tty_audit.so disable=* enable=tecmint

I per capturar totes les pulsacions de tecles introduïdes per l'usuari tecmint, podem afegir l'opció log_passwd a la mostra.

session required pam_tty_audit.so disable=*  enable=tecmint log_passwd

Ara deseu i tanqueu els fitxers. Després, visualitzeu el fitxer de registre auditd per a qualsevol entrada TTY enregistrada, utilitzant la utilitat aureport.

# aureport --tty

A la sortida anterior, podeu veure que l'usuari tecmint l'UID del qual és 1000 va utilitzar l'editor vi/vim, va crear un directori anomenat bin i s'hi va traslladar, va netejar el terminal, etc.

Per cercar registres d'entrada de TTY gravats amb segells de temps iguals o posteriors a un temps específic, utilitzeu -ts per especificar la data/hora d'inici i -te per definir el final data i hora.

Els següents són alguns exemples:

# aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
# aureport --tty -ts this-week

Podeu trobar més informació a la pàgina man de pam_tty_audit.

# man  pam_tty_audit

Consulteu els següents articles útils.

  1. Configura \Autenticació de claus SSH sense contrasenya amb PuTTY als servidors Linux
  2. Configuració de l'autenticació basada en LDAP a RHEL/CentOS 7
  3. Com configurar l'autenticació de dos factors (Google Authenticator) per als inicis de sessió SSH
  4. Inici de sessió SSH sense contrasenya amb SSH Keygen en 5 senzills passos
  5. Com executar l'ordre sudo sense introduir una contrasenya a Linux

En aquest article, vam descriure com configurar PAM per a l'auditoria d'entrada per a usuaris específics a CentOS/RHEL. Si teniu cap pregunta o idees addicionals per compartir, feu servir el comentari de sota.