Giunsa Pag-configure ang PAM sa Pag-audit sa Kalihokan sa Gumagamit sa Shell Logging
Kini ang among nagpadayon nga serye sa Linux Auditing, niining ikaupat nga bahin niini nga artikulo, among ipasabut kung giunsa ang pag-configure sa PAM alang sa pag-audit sa Linux TTY input (Logging Shell User Activity) para sa mga piho nga tiggamit gamit ang pam_tty_audit tool.
Ang Linux PAM (Pluggable Authentication Modules) kay flexible kaayo nga pamaagi para sa pagpatuman sa mga serbisyo sa authentication sa mga aplikasyon ug lain-laing serbisyo sa sistema; migawas kini gikan sa orihinal nga Unix PAM.
Gibahin niini ang mga function sa pag-authenticate sa upat ka dagkong mga module sa pagdumala, nga mao ang: mga module sa account, mga module sa pag-authenticate, mga module sa password ug mga module sa sesyon. Ang detalyado nga pagpatin-aw sa mga grupo sa pagdumala sa mga tesis lapas sa sakup sa kini nga panudlo.
Ang auditd tool naggamit sa pam_tty_audit PAM module aron mahimo o dili ma-awdit ang TTY input para sa mga piho nga tiggamit. Sa higayon nga ang usa ka user ma-configure aron ma-audit, ang pam_tty_audit nagtrabaho kauban ang auditd aron masubay ang mga aksyon sa mga tiggamit sa terminal ug kung ma-configure, makuha ang eksaktong mga keystroke nga gihimo sa user, dayon irekord kini sa /var/log/audit/audit. log file.
Pag-configure sa PAM alang sa Pag-audit sa TTY Input sa Gumagamit sa Linux
Mahimo nimong i-configure ang PAM alang sa pag-audit sa usa ka partikular nga tiggamit TTY input sa /etc/pam.d/system-auth ug /etc/pam.d/password-auth files, gamit ang enable option. Sa laing bahin, sama sa gipaabot, ang disable mopalong niini alang sa gipiho nga mga tiggamit, sa format sa ubos:
session required pam_tty_audit.so disable=username,username2... enable=username,username2..
Aron ma-on ang pag-log sa aktuwal nga mga keystroke sa user (lakip ang mga space, backspaces, return keys, control key, delete key ug uban pa), idugang ang log_passwd option uban sa ubang mga opsyon, gamit kini nga porma:
session required pam_tty_audit.so disable=username,username2... enable=username log_passwd
Apan sa dili pa nimo buhaton ang bisan unsang mga pag-configure, timan-i nga:
- Sama sa makita sa syntax sa ibabaw, mahimo nimong ipasa ang daghang mga username sa opsyon sa pagpagana o pag-disable.
- Bisan unsa nga pag-disable o pagpagana nga opsyon mo-override sa miaging kaatbang nga opsyon nga mohaum sa samang username.
- Human ma-enable ang pag-audit sa TTY, mapanunod kini sa tanang proseso nga gisugdan sa gitakdang user.
- Kung gi-activate ang pagrekord sa mga keystroke, ang input dili dayon ma-log, tungod kay ang TTY auditing unang nagtipig sa mga keystroke sa buffer ug isulat ang buffer content sa gihatag nga mga interval, o human ang gi-audit nga user mag log out, ngadto sa /var/log /audit/audit.log file.
Atong tan-awon ang usa ka pananglitan sa ubos, diin atong i-configure ang pam_tty_audit aron irekord ang mga aksyon sa user tecmint
lakip na ang mga keystroke, sa tanang terminal, samtang atong gi-disable ang TTY auditing para sa tanang ubang user system.
Ablihi kining duha ka mosunod nga mga file sa pag-configure.
# vi /etc/pam.d/system-auth # vi /etc/pam.d/password-auth
Idugang ang mosunod nga linya sa mga file sa pag-configure.
gikinahanglan ang sesyon pam_tty_audit.so disable=* enable=tecmint
Ug aron makuha ang tanang keystroke nga gisulod sa user tecmint, mahimo natong idugang ang log_passwd nga opsyon nga gipakita.
session required pam_tty_audit.so disable=* enable=tecmint log_passwd
Karon i-save ug isira ang mga file. Pagkahuman, tan-awa ang auditd log file alang sa bisan unsang TTY input nga natala, gamit ang aureport utility.
# aureport --tty
Gikan sa output sa ibabaw, imong makita ang user tecmint kansang UID kay 1000 migamit sa vi/vim editor, naghimo ug direktoryo nga gitawag og bin ug mibalhin niini, gihawiran ang terminal ug uban pa.
Para pangitaon ang TTY input logs nga na-record nga adunay mga time stamp nga katumbas o pagkahuman sa usa ka piho nga oras, gamita ang -ts
aron itakda ang petsa/oras sa pagsugod ug -te
aron itakda ang katapusan. petsa/oras.
Ang mosunod mao ang pipila ka pananglitan:
# aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00 # aureport --tty -ts this-week
Makita nimo ang dugang nga impormasyon, sa panid sa tawo nga pam_tty_audit.
# man pam_tty_audit
Tan-awa ang mosunod nga mapuslanong mga artikulo.
- I-configure ang \No Password SSH Keys Authentication gamit ang PuTTY sa Linux Servers
- Pagpahimutang sa LDAP-based Authentication sa RHEL/CentOS 7
- Unsaon Pag-setup sa Two-Factor Authentication (Google Authenticator) para sa SSH Logins
- SSH Passwordless Login Gamit ang SSH Keygen sa 5 Sayon nga Lakang
- Unsaon Pagdagan ang 'sudo' nga Sugo nga Wala Magsulod ug Password sa Linux
Niini nga artikulo, among gihulagway kung giunsa ang pag-configure sa PAM alang sa pag-audit sa input alang sa mga piho nga tiggamit sa CentOS/RHEL. Kung naa kay pangutana o dugang nga ideya nga ipaambit, gamita ang komento gikan sa ubos.