Kako konfigurirati PAM za reviziju aktivnosti korisnika ljuske za evidentiranje

Ovo je naša stalna serija o reviziji Linuxa, u ovom četvrtom dijelu ovog članka objasnit ćemo kako konfigurirati PAM za reviziju Linux TTY ulaza (Logging Shell User Activity) za određene korisnike koji koriste pam_tty_audit alat.

Linux PAM (Pluggable Authentication Modules) je vrlo fleksibilan metod za implementaciju usluga provjere autentičnosti u aplikacijama i raznim sistemskim uslugama; proizašao je iz originalnog Unix PAM-a.

On dijeli funkcije provjere autentičnosti u četiri glavna upravljačka modula, a to su: moduli računa, moduli za autentifikaciju, moduli lozinke i moduli sesije . Detaljno objašnjenje upravljačkih grupa ovih teza je izvan okvira ovog tutorijala.

Alat auditd koristi pam_tty_audit PAM modul da omogući ili onemogući reviziju TTY unosa za određene korisnike. Nakon što je korisnik konfiguriran za reviziju, pam_tty_audit radi zajedno sa auditd za praćenje radnji korisnika na terminalu i, ako je konfiguriran, bilježi tačne pritiske tipki koje korisnik čini, zatim ih snima u datoteku /var/log/audit/audit.log.

Konfiguriranje PAM-a za reviziju korisničkog TTY unosa u Linuxu

Možete konfigurirati PAM za reviziju TTY unosa određenih korisnika u /etc/pam.d/system-auth i /etc /pam.d/password-auth datoteke, koristeći opciju omogućavanja. S druge strane, očekivano, onemogućavanje ga isključuje za navedene korisnike, u formatu ispod:

session required pam_tty_audit.so disable=username,username2...  enable=username,username2..

Da biste uključili evidentiranje stvarnih korisničkih pritisaka na tipke (uključujući razmake, backspacee, tipke za povratak, kontrolni ključ, tipku za brisanje i ostalo), dodajte opciju log_passwd zajedno s ostalim opcijama, koristeći ovaj obrazac:

session required pam_tty_audit.so disable=username,username2...  enable=username log_passwd

Ali prije nego što izvršite bilo kakvu konfiguraciju, imajte na umu sljedeće:

  • Kao što se vidi u gornjoj sintaksi, možete prenijeti mnoga korisnička imena opciji za omogućavanje ili onemogućavanje.
  • Bilo koja opcija onemogućavanja ili omogućavanja poništava prethodnu suprotnu opciju koja odgovara istom korisničkom imenu.
  • Nakon omogućavanja TTY revizije, nasljeđuju je svi procesi koje je pokrenuo definirani korisnik.
  • Ako je snimanje pritisaka na tipku aktivirano, unos se ne bilježi odmah, jer TTY revizija prvo pohranjuje pritiske tipki u međuspremnik i upisuje sadržaj međuspremnika u datim intervalima, ili nakon što se revidirani korisnik odjavi, u /var/log /audit/audit.log fajl.

Pogledajmo primjer u nastavku, gdje ćemo konfigurirati pam_tty_audit da bilježi radnje korisnika tecmint uključujući pritiske tipki, na svim terminalima, dok ćemo onemogućiti TTY reviziju za sve ostale korisnika sistema.

Otvorite ove dvije sljedeće konfiguracijske datoteke.

vi /etc/pam.d/system-auth
vi /etc/pam.d/password-auth

Dodajte sljedeći red u konfiguracijske datoteke.
potrebna sesija pam_tty_audit.so disable=* enable=tecmint

A da bismo uhvatili sve tipke koje je unio korisnik tecmint, možemo dodati opciju log_passwd prikazanu.

session required pam_tty_audit.so disable=*  enable=tecmint log_passwd

Sada sačuvajte i zatvorite datoteke. Nakon toga, pogledajte auditd datoteku dnevnika za bilo koji TTY unos koji je snimljen, koristeći uslužni program aureport.

aureport --tty

Iz gornjeg izlaza možete vidjeti da je korisnik tecmint čiji je UID 1000 koristio vi/vim editor, kreirao direktorij pod nazivom bini uselio u nju, očistio terminal i tako dalje.

Za traženje TTY zapisnika unosa snimljenih s vremenskim oznakama jednakim ili nakon određenog vremena, koristite -ts da navedete datum/vrijeme početka i -te da postavite kraj datum/vrijeme.

Evo nekoliko primjera:

aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
aureport --tty -ts this-week

Više informacija možete pronaći na pam_tty_audit man stranici.

man  pam_tty_audit

Pogledajte sljedeće korisne članke.

  1. Konfigurirajte “No Password SSH Keys Authentication” sa PuTTY na Linux serverima
  2. Postavljanje autentifikacije zasnovane na LDAP-u u RHEL/CentOS 7
  3. Kako postaviti dvofaktorsku autentifikaciju (Google Authenticator) za SSH prijave
  4. SSH prijava bez lozinke koristeći SSH Keygen u 5 jednostavnih koraka
  5. Kako pokrenuti naredbu 'sudo' bez unosa lozinke u Linuxu

U ovom članku smo opisali kako konfigurirati PAM za reviziju unosa za određene korisnike na CentOS/RHEL-u. Ako imate bilo kakvih pitanja ili dodatnih ideja za podijeliti, upotrijebite komentar ispod.