Kako konfigurirati PAM za revizijo uporabniške dejavnosti lupine dnevnika
To je naša tekoča serija o reviziji Linuxa, v tem četrtem delu tega članka bomo razložili, kako konfigurirati PAM za revizijo vnosa Linux TTY (Aktivnost uporabnika lupine zapisovanja) za posebne uporabnike z orodjem pam_tty_audit.
Linux PAM (Pluggable Authentication Modules) je zelo prilagodljiva metoda za izvajanje storitev preverjanja pristnosti v aplikacijah in različnih sistemskih storitvah; izšel je iz prvotnega Unix PAM -a.
Funkcije preverjanja pristnosti deli na štiri glavne upravljalne module, in sicer: računske module, module za preverjanje pristnosti, module gesla in module seje. Podrobna razlaga skupin za upravljanje tez presega obseg te vadnice.
Orodje za revizijo uporablja modul PAM pam_tty_audit za omogočanje ali onemogočanje preverjanja vnosa TTY za določene uporabnike. Ko je uporabnik konfiguriran za revizijo, pam_tty_audit v povezavi z revizijo spremlja uporabnikova dejanja na terminalu in če je konfiguriran, zajame natančne pritiske tipk, ki jih uporabnik izvede, in jih nato zabeleži v/var/log/audit/audit. log datoteko.
Konfiguriranje PAM za revizijo uporabniškega vnosa TTY v Linuxu
PAM lahko konfigurirate za revizijo vnosa TTY določenih uporabnikov v datotekah /etc/pam.d/system-auth in /etc/pam.d/password-auth z možnostjo enable. Po drugi strani pa, kot je bilo pričakovano, onemogočanje izklopi za določene uporabnike v spodnji obliki:
session required pam_tty_audit.so disable=username,username2... enable=username,username2..
Če želite vklopiti beleženje dejanskih pritiskov tipk uporabnika (vključno s presledki, zadnjimi presledki, tipkami za vrnitev, tipko za upravljanje, tipko za brisanje in drugimi), dodajte možnost log_passwd skupaj z drugimi možnostmi s tem obrazcem:
session required pam_tty_audit.so disable=username,username2... enable=username log_passwd
Preden izvedete kakršne koli konfiguracije, upoštevajte:
- Kot je razvidno iz zgornje skladnje, lahko številnim uporabniškim imenom posredujete možnost za omogočanje ali onemogočanje.
- Vsaka možnost onemogoči ali omogoči preglasi prejšnjo nasprotno možnost, ki se ujema z istim uporabniškim imenom.
- Ko omogočite revizijo TTY, jo podedujejo vsi procesi, ki jih sproži definirani uporabnik.
- Če je aktivirano snemanje pritiskov tipk, se vnos ne zabeleži takoj, saj revizija TTY najprej shrani pritiske tipk v medpomnilnik in vsebino vmesnika zapiše v določenih časovnih presledkih ali po odjavi revidiranega uporabnika v /var /log /audit/audit.log.
Oglejmo si spodnji primer, kjer bomo konfigurirali pam_tty_audit za beleženje dejanj uporabnika tecmint
, vključno s pritiski tipk, na vseh terminalih, medtem ko za vse ostale uporabnike sistema onemogočimo TTY revizijo.
Odprite ti dve konfiguracijski datoteki.
# vi /etc/pam.d/system-auth # vi /etc/pam.d/password-auth
Konfiguracijskim datotekam dodajte naslednjo vrstico.
potrebna seja pam_tty_audit.so onemogoči =* omogoči = tecmint
Za zajem vseh pritiskov tipk, ki jih je vnesel uporabnik tecmint, lahko dodamo prikazano možnost log_passwd.
session required pam_tty_audit.so disable=* enable=tecmint log_passwd
Zdaj shranite in zaprite datoteke. Nato si s pripomočkom aureport oglejte revizijsko datoteko dnevnika za vse vnose TTY.
# aureport --tty
Z zgornjega izhoda lahko vidite, da je uporabnik tecmint, katerega UID 1000, uporabil urejevalnik vi/vim, ustvaril imenik, imenovan bin, in se vanj premaknil, očistil terminal itd.
Za iskanje vhodnih dnevnikov TTY, obnovljenih s časovnimi znamkami, ki so enake ali po določenem času, uporabite -ts
za določitev začetnega datuma/časa in -te
za nastavitev konca Datum čas.
Sledi nekaj primerov:
# aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00 # aureport --tty -ts this-week
Več informacij najdete na strani pam_tty_audit man.
# man pam_tty_audit
Oglejte si naslednje uporabne članke.
- Konfigurirajte\"Brez gesla preverjanje pristnosti ključev SSH" s PuTTY na strežnikih Linux
- Nastavitev preverjanja pristnosti na osnovi LDAP v sistemu RHEL/CentOS 7
- Kako nastaviti dvofaktorsko preverjanje pristnosti (Google Authenticator) za prijave SSH
- SSH prijava brez gesla z uporabo SSH Keygen v 5 preprostih korakih
- Kako zagnati ukaz 'sudo' brez vnosa gesla v Linuxu
V tem članku smo opisali, kako konfigurirati PAM za revizijo vnosa za določene uporabnike na CentOS/RHEL. Če imate kakršna koli vprašanja ali dodatne ideje za skupno rabo, uporabite spodnji komentar.