Hvernig á að stilla PAM til að endurskoða skráningarskel notendavirkni


Þetta er áframhaldandi röð okkar um Linux endurskoðun, í þessum fjórða hluta þessarar greinar munum við útskýra hvernig á að stilla PAM fyrir endurskoðun á Linux TTY inntak (Logging Shell User Activity) fyrir tiltekna notendur sem nota pam_tty_audit tól.

Linux PAM (Pluggable Authentication Modules) er mjög sveigjanleg aðferð til að innleiða auðkenningarþjónustu í forritum og ýmsum kerfisþjónustum; það kom frá upprunalegu Unix PAM.

Það skiptir auðkenningaraðgerðum í fjórar helstu stjórnunareiningar, nefnilega: reikningseiningar, auðkenningareiningar, lykilorðaeiningar og lotueiningar. Nákvæm útskýring á stjórnunarhópum ritgerða er utan gildissviðs þessa kennsluefnis.

Audid tólið notar pam_tty_audit PAM eininguna til að virkja eða slökkva á endurskoðun TTY inntaks fyrir tilgreinda notendur. Þegar notandi hefur verið stilltur til að vera endurskoðaður, virkar pam_tty_audit í tengslum við auditd til að fylgjast með aðgerðum notenda á flugstöðinni og ef hann er stilltur, fanga nákvæmar ásláttur sem notandinn gerir og skráir þá í /var/log/audit/audit. log skrá.

Stillir PAM fyrir endurskoðun TTY-inntak notanda í Linux

Þú getur stillt PAM til að endurskoða tiltekið TTY inntak notenda í /etc/pam.d/system-auth og /etc/pam.d/password-auth skránum með því að nota virkja valkostinn. Aftur á móti, eins og búist var við, slökkva á því fyrir tilgreinda notendur, með því sniði að neðan:

session required pam_tty_audit.so disable=username,username2...  enable=username,username2..

Til að kveikja á skráningu á raunverulegum ásláttum notanda (þar á meðal bilum, afturköllum, til baka lyklum, stýrilyklinum, eyðingarlykli og öðrum), bættu log_passwd valkostinum við ásamt öðrum valkostum með þessu eyðublaði:

session required pam_tty_audit.so disable=username,username2...  enable=username log_passwd

En áður en þú framkvæmir einhverjar stillingar skaltu hafa í huga að:

  • Eins og sést í setningafræðinni hér að ofan geturðu sent mörg notendanöfn til að virkja eða slökkva á valkostinum.
  • Allir óvirkir eða virkjaðu valkostir hnekkja fyrri gagnstæða valmöguleika sem passar við sama notendanafn.
  • Eftir að TTY endurskoðun hefur verið virkjað erfist það af öllum ferlum sem tilgreindur notandi hefur frumkvæði að.
  • S /audit/audit.log skrá.

Við skulum skoða dæmi hér að neðan, þar sem við munum stilla pam_tty_audit til að skrá aðgerðir notandans tecmint þ.mt ásláttur, á öllum útstöðvum, á meðan við slökkva á TTY endurskoðun fyrir alla aðra kerfisnotendur.

Opnaðu þessar tvær eftirfarandi stillingarskrár.

# vi /etc/pam.d/system-auth
# vi /etc/pam.d/password-auth

Bættu eftirfarandi línu við stillingarskrárnar.
lota krafist pam_tty_audit.so disable=* enable=tecmint

Og til að fanga allar ásláttur sem notandinn tecmint slær inn, getum við bætt log_passwd valkostinum við sem birtist.

session required pam_tty_audit.so disable=*  enable=tecmint log_passwd

Vistaðu nú og lokaðu skránum. Síðan skaltu skoða endurskoðunarskrána fyrir hvaða TTY inntak sem er skráð með því að nota aureport tólið.

# aureport --tty

Frá úttakinu hér að ofan geturðu séð notandann tecmint sem hefur UID 1000 notaði vi/vim ritilinn, bjó til möppu sem heitir bin og flutti inn í hana, hreinsaði flugstöðina og svo framvegis.

Til að leita að TTY innsláttarskrám sem eru skráðar með tímastimplum sem eru jöfn eða eftir ákveðinn tíma, notaðu -ts til að tilgreina upphafsdag/tíma og -te til að stilla lok dagsetning/tími.

Eftirfarandi eru nokkur dæmi:

# aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
# aureport --tty -ts this-week

Þú getur fundið frekari upplýsingar á pam_tty_audit mannasíðunni.

# man  pam_tty_audit

Skoðaðu eftirfarandi gagnlegar greinar.

  1. Stillið \No Password SSH Keys Authentication\ með PuTTY á Linux netþjónum
  2. Setja upp LDAP-byggða auðkenningu í RHEL/CentOS 7
  3. Hvernig á að setja upp tveggja þátta auðkenningu (Google Authenticator) fyrir SSH innskráningar
  4. SSH lykilorðslaus innskráning með SSH Keygen í 5 einföldum skrefum
  5. Hvernig á að keyra 'sudo' skipun án þess að slá inn lykilorð í Linux

Í þessari grein lýstum við hvernig á að stilla PAM fyrir endurskoðun inntaks fyrir tiltekna notendur á CentOS/RHEL. Ef þú hefur einhverjar spurningar eða frekari hugmyndir til að deila skaltu nota athugasemdina hér að neðan.