Comment configurer PAM pour auditer l'activité de l'utilisateur du shell de journalisation
- 2478
- 371
- Rayan Lefebvre
Ceci est notre série en cours sur l'audit Linux, dans cette quatrième partie de cet article, nous expliquerons comment configurer Pam pour l'audit de Linux Tty entrée (activité utilisateur du shell de journalisation) pour les utilisateurs spécifiques à l'aide pam_tty_audit outil.
Linux Pam (Modules d'authentification enfichables) est une méthode hautement flexible pour implémenter les services d'authentification dans les applications et divers services système; il est sorti de l'unix pam original.
Il divise les fonctions d'authentification en quatre principaux modules de gestion, à savoir: modules de compte, modules d'authentification, modules de mot de passe et modules de session. L'explication détaillée de ces groupes de gestion dépasse le cadre de ce tutoriel.
Le auditd L'outil utilise le pam_tty_audit Module PAM pour activer ou désactiver l'audit de Tty entrée pour les utilisateurs spécifiés. Une fois qu'un utilisateur est configuré pour être vérifié, pam_tty_audit fonctionne en conjonction avec le auditd Pour suivre les actions des utilisateurs sur le terminal et si vous êtes configuré, capturez les touches exactes que fait l'utilisateur, puis les enregistre dans le / var / log / audit / audit.enregistrer déposer.
Configuration de PAM pour auditer l'entrée TTY de l'utilisateur dans Linux
Vous pouvez configurer Pam pour auditer un utilisateur particulier Tty entrée dans le / etc / pam.D / System-Auth et / etc / pam.d / mot de passe-auth fichiers, en utilisant l'option Activer. D'un autre côté, comme prévu, le désactivation le désactive pour les utilisateurs spécifiés, dans le format ci-dessous:
Session requise PAM_TTY_AUDIT.So Disable = Username, nom d'utilisateur2… activer = nom d'utilisateur, nom d'utilisateur2…
Pour activer la journalisation des touches réelles (y compris les espaces, les espaces arrière, les touches de retour, la clé de contrôle, la clé de suppression et d'autres), ajoutez le log_passwd Option avec les autres options, en utilisant ce formulaire:
Session requise PAM_TTY_AUDIT.So Disable = Username, Username2… activer = nom d'utilisateur log_passwd
Mais avant d'effectuer des configurations, notez que:
- Comme le montre la syntaxe ci-dessus, vous pouvez passer de nombreux noms d'utilisateur à l'option Activer ou désactiver.
- Toute option de désactiver ou d'activation remplace l'option opposée précédente qui correspond au même nom d'utilisateur.
- Après avoir activé l'audit TTY, il est hérité par tous les processus initiés par l'utilisateur défini.
- Si l'enregistrement des touches est activé, l'entrée n'est pas enregistrée instantanément, car l'audit TTY stocke d'abord les touches dans un tampon et écrit le contenu tampon à des intervalles donnés, ou après que l'utilisateur audit se connecte, dans le / var / log / audit / audit.enregistrer déposer.
Regardons un exemple ci-dessous, où nous configurerons pam_tty_audit Pour enregistrer les actions de l'utilisateur Tecmint
y compris les touches, dans tous les terminaux, tandis que nous désactivons l'audit TTY pour tous les autres utilisateurs du système.
Ouvrez ces deux fichiers de configuration suivants.
# vi / etc / pam.D / System-Auth # vi / etc / pam.d / mot de passe-auth
Ajouter la ligne suivante aux fichiers de configuration.
Session requise PAM_TTY_AUDIT.donc désactiver = * activer =Tecmint
Et pour capturer toutes les touches entrées par l'utilisateur Tecmint, Nous pouvons ajouter le log_passwd Option A indiqué.
Session requise PAM_TTY_AUDIT.donc désactiver = * activer =Tecmint log_passwd
Maintenant, enregistrez et fermez les fichiers. Ensuite, affichez le auditd Fichier journal pour toute entrée TTY enregistrée, en utilisant l'utilitaire Aureport.
# Aureport - TTYAudit l'utilisateur tty dans Linux
De la sortie ci-dessus, vous pouvez voir l'utilisateur Tecmint dont Uid est 1000 Utilisé l'éditeur VI / VIM, a créé un répertoire appelé poubelle et a emménagé, a éliminé le terminal et ainsi de suite.
Pour rechercher les journaux d'entrée tty recueillis avec des horodatages égaux ou après une heure spécifique, utilisez le -ts
Pour spécifier la date / heure de début et -te
Pour définir la date / heure de fin.
Voici un exemple:
# Aureport --Tty -ts 25/09/2017 00:00:00 -Te 09/26/2017 23:00:00 # Aureport --Tty -ts cette semaine
Vous pouvez trouver plus d'informations, dans le pam_tty_audit page.
# man pam_tty_audit
Découvrez les articles utiles à suivre.
- Configurer «Pas de mot de passe SSH Keys Authentication» avec des serveurs Linux sur les serveurs Linux
- Configuration de l'authentification basée sur LDAP dans RHEL / CENTOS 7
- Comment configurer l'authentification à deux facteurs (Google Authenticator) pour les connexions SSH
- Connexion sans mot de passe SSH en utilisant SSH Keygen en 5 étapes faciles
- Comment exécuter la commande «sudo» sans entrer un mot de passe en Linux
Dans cet article, nous avons décrit comment configurer PAM pour l'audit de la contribution pour des utilisateurs spécifiques sur Centos / Rhel. Si vous avez des questions ou des idées supplémentaires à partager, utilisez le commentaire ci-dessous.
- « TMOUT - Shell Linux déconnecté automatique quand il n'y a pas d'activité
- Installez un serveur de messagerie complet avec Postfix et Webmail dans Debian 9 »