Kako konfigurirati PAM za revizijo uporabniške dejavnosti lupine dnevnika

To je naša tekoča serija o reviziji Linuxa, v tem četrtem delu tega članka bomo razložili, kako konfigurirati PAM za revizijo vnosa Linux TTY (Aktivnost uporabnika lupine zapisovanja) za posebne uporabnike z orodjem pam_tty_audit.

Linux PAM (Pluggable Authentication Modules) je zelo prilagodljiva metoda za izvajanje storitev preverjanja pristnosti v aplikacijah in različnih sistemskih storitvah; izšel je iz prvotnega Unix PAM -a.

Funkcije preverjanja pristnosti deli na štiri glavne upravljalne module, in sicer: računske module, module za preverjanje pristnosti, module gesla in module seje. Podrobna razlaga skupin za upravljanje tez presega obseg te vadnice.

Orodje za revizijo uporablja modul PAM pam_tty_audit za omogočanje ali onemogočanje preverjanja vnosa TTY za določene uporabnike. Ko je uporabnik konfiguriran za revizijo, pam_tty_audit v povezavi z revizijo spremlja uporabnikova dejanja na terminalu in če je konfiguriran, zajame natančne pritiske tipk, ki jih uporabnik izvede, in jih nato zabeleži v/var/log/audit/audit. log datoteko.

Konfiguriranje PAM za revizijo uporabniškega vnosa TTY v Linuxu

PAM lahko konfigurirate za revizijo vnosa TTY določenih uporabnikov v datotekah /etc/pam.d/system-auth in /etc/pam.d/password-auth z možnostjo enable. Po drugi strani pa, kot je bilo pričakovano, onemogočanje izklopi za določene uporabnike v spodnji obliki:

session required pam_tty_audit.so disable=username,username2...  enable=username,username2..

Če želite vklopiti beleženje dejanskih pritiskov tipk uporabnika (vključno s presledki, zadnjimi presledki, tipkami za vrnitev, tipko za upravljanje, tipko za brisanje in drugimi), dodajte možnost log_passwd skupaj z drugimi možnostmi s tem obrazcem:

session required pam_tty_audit.so disable=username,username2...  enable=username log_passwd

Preden izvedete kakršne koli konfiguracije, upoštevajte:

  • Kot je razvidno iz zgornje skladnje, lahko številnim uporabniškim imenom posredujete možnost za omogočanje ali onemogočanje.
  • Vsaka možnost onemogoči ali omogoči preglasi prejšnjo nasprotno možnost, ki se ujema z istim uporabniškim imenom.
  • Ko omogočite revizijo TTY, jo podedujejo vsi procesi, ki jih sproži definirani uporabnik.
  • Če je aktivirano snemanje pritiskov tipk, se vnos ne zabeleži takoj, saj revizija TTY najprej shrani pritiske tipk v medpomnilnik in vsebino vmesnika zapiše v določenih časovnih presledkih ali po odjavi revidiranega uporabnika v /var /log /audit/audit.log.

Oglejmo si spodnji primer, kjer bomo konfigurirali pam_tty_audit za beleženje dejanj uporabnika tecmint , vključno s pritiski tipk, na vseh terminalih, medtem ko za vse ostale uporabnike sistema onemogočimo TTY revizijo.

Odprite ti dve konfiguracijski datoteki.

# vi /etc/pam.d/system-auth
# vi /etc/pam.d/password-auth

Konfiguracijskim datotekam dodajte naslednjo vrstico.
potrebna seja pam_tty_audit.so onemogoči =* omogoči = tecmint

Za zajem vseh pritiskov tipk, ki jih je vnesel uporabnik tecmint, lahko dodamo prikazano možnost log_passwd.

session required pam_tty_audit.so disable=*  enable=tecmint log_passwd

Zdaj shranite in zaprite datoteke. Nato si s pripomočkom aureport oglejte revizijsko datoteko dnevnika za vse vnose TTY.

# aureport --tty

Z zgornjega izhoda lahko vidite, da je uporabnik tecmint, katerega UID 1000, uporabil urejevalnik vi/vim, ustvaril imenik, imenovan bin, in se vanj premaknil, očistil terminal itd.

Za iskanje vhodnih dnevnikov TTY, obnovljenih s časovnimi znamkami, ki so enake ali po določenem času, uporabite -ts za določitev začetnega datuma/časa in -te za nastavitev konca Datum čas.

Sledi nekaj primerov:

# aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
# aureport --tty -ts this-week

Več informacij najdete na strani pam_tty_audit man.

# man  pam_tty_audit

Oglejte si naslednje uporabne članke.

  1. Konfigurirajte\"Brez gesla preverjanje pristnosti ključev SSH" s PuTTY na strežnikih Linux
  2. Nastavitev preverjanja pristnosti na osnovi LDAP v sistemu RHEL/CentOS 7
  3. Kako nastaviti dvofaktorsko preverjanje pristnosti (Google Authenticator) za prijave SSH
  4. SSH prijava brez gesla z uporabo SSH Keygen v 5 preprostih korakih
  5. Kako zagnati ukaz 'sudo' brez vnosa gesla v Linuxu

V tem članku smo opisali, kako konfigurirati PAM za revizijo vnosa za določene uporabnike na CentOS/RHEL. Če imate kakršna koli vprašanja ali dodatne ideje za skupno rabo, uporabite spodnji komentar.