Website-Suche

So konfigurieren Sie PAM zum Überwachen der Logging-Shell-Benutzeraktivität

Dies ist unsere fortlaufende Serie zum Linux-Auditing. Im vierten Teil dieses Artikels erklären wir, wie Sie PAM für die Prüfung von Linux TTY-Eingaben (Logging Shell User Activity) konfigurieren. für bestimmte Benutzer mit dem Tool pam_tty_audit.

Linux PAM (Pluggable Authentication Modules) ist eine äußerst flexible Methode zur Implementierung von Authentifizierungsdiensten in Anwendungen und verschiedenen Systemdiensten; Es ist aus dem ursprünglichen Unix-PAM hervorgegangen.

Es unterteilt die Authentifizierungsfunktionen in vier Hauptverwaltungsmodule: Kontomodule, Authentifizierungsmodule, Passwortmodule und Sitzungsmodule >. Die detaillierte Erläuterung dieser Verwaltungsgruppen würde den Rahmen dieses Tutorials sprengen.

Das auditd-Tool verwendet das PAM-Modul pam_tty_audit, um die Prüfung von TTY-Eingaben für bestimmte Benutzer zu aktivieren oder zu deaktivieren. Sobald ein Benutzer für die Überwachung konfiguriert ist, arbeitet pam_tty_audit in Verbindung mit auditd, um die Aktionen eines Benutzers auf dem Terminal zu verfolgen und, sofern konfiguriert, die genauen Tastenanschläge des Benutzers zu erfassen. Anschließend werden sie in der Datei /var/log/audit/audit.log aufgezeichnet.

Konfigurieren von PAM für die Überwachung der Benutzer-TTY-Eingabe unter Linux

Sie können PAM für die Überwachung der TTY-Eingabe eines bestimmten Benutzers in /etc/pam.d/system-auth und /etc. konfigurieren /pam.d/password-auth-Dateien mithilfe der Option „enable“. Andererseits wird es erwartungsgemäß durch die Deaktivierung für die angegebenen Benutzer deaktiviert, und zwar im folgenden Format:

session required pam_tty_audit.so disable=username,username2...  enable=username,username2..

Um die Protokollierung tatsächlicher Tastenanschläge des Benutzers (einschließlich Leerzeichen, Rücktaste, Eingabetaste, Steuertaste, Entf-Taste und andere) zu aktivieren, fügen Sie die Option log_passwd zusammen mit den anderen Optionen hinzu, indem Sie dieses Formular verwenden:

session required pam_tty_audit.so disable=username,username2...  enable=username log_passwd

Beachten Sie jedoch Folgendes, bevor Sie Konfigurationen vornehmen:

  • Wie in der obigen Syntax zu sehen ist, können Sie viele Benutzernamen an die Option zum Aktivieren oder Deaktivieren übergeben.
  • Jede Deaktivierungs- oder Aktivierungsoption überschreibt die vorherige entgegengesetzte Option, die demselben Benutzernamen entspricht.
  • Nach der Aktivierung der TTY-Prüfung wird sie von allen vom definierten Benutzer initiierten Prozessen übernommen.
  • Wenn die Aufzeichnung von Tastenanschlägen aktiviert ist, wird die Eingabe nicht sofort protokolliert, da die TTY-Prüfung die Tastenanschläge zunächst in einem Puffer speichert und den Pufferinhalt in bestimmten Intervallen oder nach der Abmeldung des überwachten Benutzers in die Datei /var/log schreibt /audit/audit.log-Datei.

Schauen wir uns unten ein Beispiel an, in dem wir pam_tty_audit so konfigurieren, dass die Aktionen des Benutzers tecmint, einschließlich Tastatureingaben, auf allen Terminals aufgezeichnet werden, während wir die TTY-Prüfung für alle anderen deaktivieren Systembenutzer.

Öffnen Sie die beiden folgenden Konfigurationsdateien.

vi /etc/pam.d/system-auth
vi /etc/pam.d/password-auth

Fügen Sie die folgende Zeile zu den Konfigurationsdateien hinzu.
Sitzung erforderlich pam_tty_audit.so disable=* enable=tecmint

Und um alle vom Benutzer tecmint eingegebenen Tastenanschläge zu erfassen, können wir die angezeigte Option log_passwd hinzufügen.

session required pam_tty_audit.so disable=*  enable=tecmint log_passwd

Speichern und schließen Sie nun die Dateien. Anschließend können Sie mit dem Dienstprogramm aureport die Protokolldatei auditd für alle aufgezeichneten TTY-Eingaben anzeigen.

aureport --tty

Aus der obigen Ausgabe können Sie sehen, dass der Benutzer tecmint, dessen UID 1000 ist, den vi/vim-Editor verwendet und ein Verzeichnis namens erstellt hat Mülleimer rein und hineinbewegt, das Terminal geräumt und so weiter.

Um nach TTY-Eingabeprotokollen zu suchen, die mit Zeitstempeln gleich oder nach einer bestimmten Zeit aufgezeichnet wurden, verwenden Sie -ts, um das Startdatum/die Startzeit anzugeben, und -te, um das Ende festzulegen Terminzeit.

Im Folgenden finden Sie einige Beispiele:

aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
aureport --tty -ts this-week

Weitere Informationen finden Sie auf der Manpage pam_tty_audit.

man  pam_tty_audit

Schauen Sie sich die folgenden nützlichen Artikel an.

  1. Konfigurieren Sie „Authentifizierung ohne Passwort-SSH-Schlüssel“ mit PuTTY auf Linux-Servern
  2. Einrichten der LDAP-basierten Authentifizierung in RHEL/CentOS 7
  3. So richten Sie die Zwei-Faktor-Authentifizierung (Google Authenticator) für SSH-Anmeldungen ein
  4. SSH-Passwortlose Anmeldung mit SSH Keygen in 5 einfachen Schritten
  5. So führen Sie den Befehl „sudo“ unter Linux aus, ohne ein Passwort einzugeben

In diesem Artikel haben wir beschrieben, wie Sie PAM für die Überwachung der Eingaben für bestimmte Benutzer unter CentOS/RHEL konfigurieren. Wenn Sie Fragen oder weitere Ideen zum Teilen haben, verwenden Sie den Kommentar unten.