Hvernig á að stilla PAM til að endurskoða skráningarskel notendavirkni
Þetta er áframhaldandi röð okkar um Linux endurskoðun, í þessum fjórða hluta þessarar greinar munum við útskýra hvernig á að stilla PAM fyrir endurskoðun á Linux TTY inntak (Logging Shell User Activity) fyrir tiltekna notendur sem nota pam_tty_audit tól.
Linux PAM (Pluggable Authentication Modules) er mjög sveigjanleg aðferð til að innleiða auðkenningarþjónustu í forritum og ýmsum kerfisþjónustum; það kom frá upprunalegu Unix PAM.
Það skiptir auðkenningaraðgerðum í fjórar helstu stjórnunareiningar, nefnilega: reikningseiningar, auðkenningareiningar, lykilorðaeiningar og lotueiningar. Nákvæm útskýring á stjórnunarhópum ritgerða er utan gildissviðs þessa kennsluefnis.
Audid tólið notar pam_tty_audit PAM eininguna til að virkja eða slökkva á endurskoðun TTY inntaks fyrir tilgreinda notendur. Þegar notandi hefur verið stilltur til að vera endurskoðaður, virkar pam_tty_audit í tengslum við auditd til að fylgjast með aðgerðum notenda á flugstöðinni og ef hann er stilltur, fanga nákvæmar ásláttur sem notandinn gerir og skráir þá í /var/log/audit/audit. log skrá.
Stillir PAM fyrir endurskoðun TTY-inntak notanda í Linux
Þú getur stillt PAM til að endurskoða tiltekið TTY inntak notenda í /etc/pam.d/system-auth og /etc/pam.d/password-auth skránum með því að nota virkja valkostinn. Aftur á móti, eins og búist var við, slökkva á því fyrir tilgreinda notendur, með því sniði að neðan:
session required pam_tty_audit.so disable=username,username2... enable=username,username2..
Til að kveikja á skráningu á raunverulegum ásláttum notanda (þar á meðal bilum, afturköllum, til baka lyklum, stýrilyklinum, eyðingarlykli og öðrum), bættu log_passwd valkostinum við ásamt öðrum valkostum með þessu eyðublaði:
session required pam_tty_audit.so disable=username,username2... enable=username log_passwd
En áður en þú framkvæmir einhverjar stillingar skaltu hafa í huga að:
- Eins og sést í setningafræðinni hér að ofan geturðu sent mörg notendanöfn til að virkja eða slökkva á valkostinum.
- Allir óvirkir eða virkjaðu valkostir hnekkja fyrri gagnstæða valmöguleika sem passar við sama notendanafn.
- Eftir að TTY endurskoðun hefur verið virkjað erfist það af öllum ferlum sem tilgreindur notandi hefur frumkvæði að. S /audit/audit.log skrá.
Við skulum skoða dæmi hér að neðan, þar sem við munum stilla pam_tty_audit til að skrá aðgerðir notandans tecmint
þ.mt ásláttur, á öllum útstöðvum, á meðan við slökkva á TTY endurskoðun fyrir alla aðra kerfisnotendur.
Opnaðu þessar tvær eftirfarandi stillingarskrár.
# vi /etc/pam.d/system-auth # vi /etc/pam.d/password-auth
Bættu eftirfarandi línu við stillingarskrárnar.
lota krafist pam_tty_audit.so disable=* enable=tecmint
Og til að fanga allar ásláttur sem notandinn tecmint slær inn, getum við bætt log_passwd valkostinum við sem birtist.
session required pam_tty_audit.so disable=* enable=tecmint log_passwd
Vistaðu nú og lokaðu skránum. Síðan skaltu skoða endurskoðunarskrána fyrir hvaða TTY inntak sem er skráð með því að nota aureport tólið.
# aureport --tty
Frá úttakinu hér að ofan geturðu séð notandann tecmint sem hefur UID 1000 notaði vi/vim ritilinn, bjó til möppu sem heitir bin og flutti inn í hana, hreinsaði flugstöðina og svo framvegis.
Til að leita að TTY innsláttarskrám sem eru skráðar með tímastimplum sem eru jöfn eða eftir ákveðinn tíma, notaðu -ts
til að tilgreina upphafsdag/tíma og -te
til að stilla lok dagsetning/tími.
Eftirfarandi eru nokkur dæmi:
# aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00 # aureport --tty -ts this-week
Þú getur fundið frekari upplýsingar á pam_tty_audit mannasíðunni.
# man pam_tty_audit
Skoðaðu eftirfarandi gagnlegar greinar.
- Stillið \No Password SSH Keys Authentication\ með PuTTY á Linux netþjónum
- Setja upp LDAP-byggða auðkenningu í RHEL/CentOS 7
- Hvernig á að setja upp tveggja þátta auðkenningu (Google Authenticator) fyrir SSH innskráningar
- SSH lykilorðslaus innskráning með SSH Keygen í 5 einföldum skrefum
- Hvernig á að keyra 'sudo' skipun án þess að slá inn lykilorð í Linux
Í þessari grein lýstum við hvernig á að stilla PAM fyrir endurskoðun inntaks fyrir tiltekna notendur á CentOS/RHEL. Ef þú hefur einhverjar spurningar eða frekari hugmyndir til að deila skaltu nota athugasemdina hér að neðan.