Giunsa Pag-configure ang PAM sa Pag-audit sa Kalihokan sa Gumagamit sa Shell Logging

Kini ang among nagpadayon nga serye sa Linux Auditing, niining ikaupat nga bahin niini nga artikulo, among ipasabut kung giunsa ang pag-configure sa PAM alang sa pag-audit sa Linux TTY input (Logging Shell User Activity) para sa mga piho nga tiggamit gamit ang pam_tty_audit tool.

Ang Linux PAM (Pluggable Authentication Modules) kay flexible kaayo nga pamaagi para sa pagpatuman sa mga serbisyo sa authentication sa mga aplikasyon ug lain-laing serbisyo sa sistema; migawas kini gikan sa orihinal nga Unix PAM.

Gibahin niini ang mga function sa pag-authenticate sa upat ka dagkong mga module sa pagdumala, nga mao ang: mga module sa account, mga module sa pag-authenticate, mga module sa password ug mga module sa sesyon. Ang detalyado nga pagpatin-aw sa mga grupo sa pagdumala sa mga tesis lapas sa sakup sa kini nga panudlo.

Ang auditd tool naggamit sa pam_tty_audit PAM module aron mahimo o dili ma-awdit ang TTY input para sa mga piho nga tiggamit. Sa higayon nga ang usa ka user ma-configure aron ma-audit, ang pam_tty_audit nagtrabaho kauban ang auditd aron masubay ang mga aksyon sa mga tiggamit sa terminal ug kung ma-configure, makuha ang eksaktong mga keystroke nga gihimo sa user, dayon irekord kini sa /var/log/audit/audit. log file.

Pag-configure sa PAM alang sa Pag-audit sa TTY Input sa Gumagamit sa Linux

Mahimo nimong i-configure ang PAM alang sa pag-audit sa usa ka partikular nga tiggamit TTY input sa /etc/pam.d/system-auth ug /etc/pam.d/password-auth files, gamit ang enable option. Sa laing bahin, sama sa gipaabot, ang disable mopalong niini alang sa gipiho nga mga tiggamit, sa format sa ubos:

session required pam_tty_audit.so disable=username,username2...  enable=username,username2..

Aron ma-on ang pag-log sa aktuwal nga mga keystroke sa user (lakip ang mga space, backspaces, return keys, control key, delete key ug uban pa), idugang ang log_passwd option uban sa ubang mga opsyon, gamit kini nga porma:

session required pam_tty_audit.so disable=username,username2...  enable=username log_passwd

Apan sa dili pa nimo buhaton ang bisan unsang mga pag-configure, timan-i nga:

  • Sama sa makita sa syntax sa ibabaw, mahimo nimong ipasa ang daghang mga username sa opsyon sa pagpagana o pag-disable.
  • Bisan unsa nga pag-disable o pagpagana nga opsyon mo-override sa miaging kaatbang nga opsyon nga mohaum sa samang username.
  • Human ma-enable ang pag-audit sa TTY, mapanunod kini sa tanang proseso nga gisugdan sa gitakdang user.
  • Kung gi-activate ang pagrekord sa mga keystroke, ang input dili dayon ma-log, tungod kay ang TTY auditing unang nagtipig sa mga keystroke sa buffer ug isulat ang buffer content sa gihatag nga mga interval, o human ang gi-audit nga user mag log out, ngadto sa /var/log /audit/audit.log file.

Atong tan-awon ang usa ka pananglitan sa ubos, diin atong i-configure ang pam_tty_audit aron irekord ang mga aksyon sa user tecmint lakip na ang mga keystroke, sa tanang terminal, samtang atong gi-disable ang TTY auditing para sa tanang ubang user system.

Ablihi kining duha ka mosunod nga mga file sa pag-configure.

# vi /etc/pam.d/system-auth
# vi /etc/pam.d/password-auth

Idugang ang mosunod nga linya sa mga file sa pag-configure.
gikinahanglan ang sesyon pam_tty_audit.so disable=* enable=tecmint

Ug aron makuha ang tanang keystroke nga gisulod sa user tecmint, mahimo natong idugang ang log_passwd nga opsyon nga gipakita.

session required pam_tty_audit.so disable=*  enable=tecmint log_passwd

Karon i-save ug isira ang mga file. Pagkahuman, tan-awa ang auditd log file alang sa bisan unsang TTY input nga natala, gamit ang aureport utility.

# aureport --tty

Gikan sa output sa ibabaw, imong makita ang user tecmint kansang UID kay 1000 migamit sa vi/vim editor, naghimo ug direktoryo nga gitawag og bin ug mibalhin niini, gihawiran ang terminal ug uban pa.

Para pangitaon ang TTY input logs nga na-record nga adunay mga time stamp nga katumbas o pagkahuman sa usa ka piho nga oras, gamita ang -ts aron itakda ang petsa/oras sa pagsugod ug -te aron itakda ang katapusan. petsa/oras.

Ang mosunod mao ang pipila ka pananglitan:

# aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
# aureport --tty -ts this-week

Makita nimo ang dugang nga impormasyon, sa panid sa tawo nga pam_tty_audit.

# man  pam_tty_audit

Tan-awa ang mosunod nga mapuslanong mga artikulo.

  1. I-configure ang \No Password SSH Keys Authentication gamit ang PuTTY sa Linux Servers
  2. Pagpahimutang sa LDAP-based Authentication sa RHEL/CentOS 7
  3. Unsaon Pag-setup sa Two-Factor Authentication (Google Authenticator) para sa SSH Logins
  4. SSH Passwordless Login Gamit ang SSH Keygen sa 5 Sayon nga Lakang
  5. Unsaon Pagdagan ang 'sudo' nga Sugo nga Wala Magsulod ug Password sa Linux

Niini nga artikulo, among gihulagway kung giunsa ang pag-configure sa PAM alang sa pag-audit sa input alang sa mga piho nga tiggamit sa CentOS/RHEL. Kung naa kay pangutana o dugang nga ideya nga ipaambit, gamita ang komento gikan sa ubos.