Wéi konfiguréieren PAM fir Audit Logging Shell Benotzeraktivitéit

Dëst ass eis lafend Serie iwwer Linux Auditing, an dësem véierten Deel vun dësem Artikel wäerte mir erkläre wéi PAM konfiguréiert gëtt fir d'Auditéierung vum Linux TTY Input (Logging Shell User Activity) fir spezifesch Benotzer mat pam_tty_audit Tool ze benotzen.

Linux PAM (Pluggable Authentication Modules) ass eng héich flexibel Method fir Authentifikatiounsservicer an Uwendungen a verschidde Systemservicer ëmzesetzen; et ass aus dem Original Unix PAM erauskomm.

Et trennt d'Authentifikatiounsfunktiounen a véier grouss Gestiounsmoduler, nämlech: Kontmoduler, Authentifikatiounsmoduler, Passwuertmoduler a Sessiounsmoduler. Déi detailléiert Erklärung vun dësen Thes Managementgruppen ass iwwer den Ëmfang vun dësem Tutorial.

D'Auditd-Tool benotzt den pam_tty_audit PAM-Modul fir d'Auditéierung vum TTY-Input fir spezifizéierte Benotzer z'aktivéieren oder auszeschalten. Wann e Benotzer konfiguréiert ass fir iwwerpréift ze ginn, funktionnéiert pam_tty_audit a Verbindung mat der Auditd fir d'Aktiounen vun de Benotzer um Terminal ze verfolgen a wann et konfiguréiert ass, erfaasst déi exakt Tastekombinatiounen de Benotzer mécht, registréiert se dann am /var/log/audit/audit. aloggen Fichier.

PAM konfiguréieren fir Audit Benotzer TTY Input am Linux

Dir kënnt PAM konfiguréieren fir e bestëmmte Benotzer TTY-Input an den /etc/pam.d/system-auth an /etc/pam.d/password-auth Dateien z'iwwerpréiwen, andeems Dir d'Aktivéierungsoptioun benotzt. Op der anerer Säit, wéi erwaart, deaktivéiert et fir déi spezifizéiert Benotzer aus, am Format hei drënner:

session required pam_tty_audit.so disable=username,username2...  enable=username,username2..

Fir de Logbicher vun aktuellen Benotzer Tastekombinatiounen auszeschalten (inklusiv Plazen, Backspaces, Retour Schlësselen, de Kontrollschlëssel, Läschschlëssel an anerer), füügt d'Optioun log_passwd zesumme mat den aneren Optiounen, andeems Dir dëse Formulaire benotzt:

session required pam_tty_audit.so disable=username,username2...  enable=username log_passwd

Awer ier Dir Konfiguratiounen ausféiert, bemierkt datt:

  • Wéi an der Syntax hei uewen gesi kënnt, kënnt Dir vill Benotzernimm un d'Aktivéieren oder Deaktivéieren Optioun weiderginn.
  • All Optioun auszeschalten oder aktivéieren iwwerschreift déi viregt Géigendeel Optioun, déi mam selwechte Benotzernumm entsprécht.
  • Nodeems TTY Audit aktivéiert gouf, gëtt et vun alle Prozesser, déi vum definéierte Benotzer initiéiert ginn, ierflecher.
  • Wann Opnam vun Tastekombinatiounen aktivéiert ass, gëtt den Input net direkt protokolléiert, well den TTY Audit fir d'éischt d'Tastekombinatiounen an engem Puffer späichert a schreift de Pufferinhalt mat bestëmmten Intervalle, oder nodeems den iwwerpréiften Benotzer ausloggen, an den /var/log /audit/audit.log Datei.

Loosst eis e Beispill hei ënnen kucken, wou mir pam_tty_audit konfiguréieren fir d'Aktiounen vum Benotzer tecmint opzehuelen, dorënner Tastekombinatiounen, iwwer all Terminals, wärend mir TTY Audit fir all aner Systembenotzer auszeschalten.

Öffnen dës zwee folgend Konfiguratiounsdateien.

# vi /etc/pam.d/system-auth
# vi /etc/pam.d/password-auth

Füügt déi folgend Zeil an d'Konfiguratiounsdateien.
Sessioun erfuerderlech pam_tty_audit.so disable=* aktivéieren=tecmint

A fir all Tastekombinatiounen, déi vum Benotzer tecmint agefouert goufen, z'erfaassen, kënne mir d'log_passwd Optioun addéieren a gewisen.

session required pam_tty_audit.so disable=*  enable=tecmint log_passwd

Elo späicheren an d'Dateien zoumaachen. Duerno kuckt d'Auditd Log Datei fir all TTY Input opgeholl, mat der Aureport Utility.

# aureport --tty

Vun der Ausgab uewendriwwer kënnt Dir de Benotzer Tecmint gesinn, deem säin UID 1000 den vi/vim Editor benotzt, e Verzeechnes mam Numm bin erstallt an an et geplënnert, den Terminal geläscht a sou weider.

Fir no TTY Input Logbicher ze sichen, déi mat Zäitstempel gläich oder no enger spezifescher Zäit opgeholl goufen, benotzt -ts fir den Startdatum/Zäit ze spezifizéieren an -te fir den Enn ze setzen Datum/Zäit.

Déi folgend sinn e puer Beispiller:

# aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
# aureport --tty -ts this-week

Dir fannt méi Informatioun op der pam_tty_audit Man Säit.

# man  pam_tty_audit

Kuckt folgend nëtzlech Artikelen.

  1. Konfiguréieren \Keng Passwuert SSH Keys Authentifikatioun mat PuTTY op Linux Serveren
  2. LDAP-baséiert Authentifikatioun an RHEL/CentOS 7 opsetzen
  3. Wéi konfiguréieren Zwee-Faktor Authentifikatioun (Google Authenticator) fir SSH Logins
  4. SSH Passwuertlos Login Mat SSH Keygen a 5 einfache Schrëtt
  5. Wéi een 'sudo' Kommando ausféiert ouni e Passwuert an Linux anzeginn

An dësem Artikel hu mir beschriwwe wéi Dir PAM konfiguréiert fir d'Auditéierung vun Input fir spezifesch Benotzer op CentOS/RHEL. Wann Dir Froen oder zousätzlech Iddien hutt fir ze deelen, benotzt de Kommentar vun ënnen.