Audit Linux

Comment configurer PAM pour auditer l'activité de l'utilisateur du shell de journalisation

Comment configurer PAM pour auditer l'activité de l'utilisateur du shell de journalisation

Ceci est notre série en cours sur l'audit Linux, dans cette quatrième partie de cet article, nous expliquerons comment configurer Pam pour l'audit de Linux Tty entrée (activité utilisateur du shell de journalisation) pour les utilisateurs spécifiques à l'aide pam_tty_audit outil.

Linux Pam (Modules d'authentification enfichables) est une méthode hautement flexible pour implémenter les services d'authentification dans les applications et divers services système; il est sorti de l'unix pam original.

Il divise les fonctions d'authentification en quatre principaux modules de gestion, à savoir: modules de compte, modules d'authentification, modules de mot de passe et modules de session. L'explication détaillée de ces groupes de gestion dépasse le cadre de ce tutoriel.

Le auditd L'outil utilise le pam_tty_audit Module PAM pour activer ou désactiver l'audit de Tty entrée pour les utilisateurs spécifiés. Une fois qu'un utilisateur est configuré pour être vérifié, pam_tty_audit fonctionne en conjonction avec le auditd Pour suivre les actions des utilisateurs sur le terminal et si vous êtes configuré, capturez les touches exactes que fait l'utilisateur, puis les enregistre dans le / var / log / audit / audit.enregistrer déposer.

Configuration de PAM pour auditer l'entrée TTY de l'utilisateur dans Linux

Vous pouvez configurer Pam pour auditer un utilisateur particulier Tty entrée dans le / etc / pam.D / System-Auth et / etc / pam.d / mot de passe-auth fichiers, en utilisant l'option Activer. D'un autre côté, comme prévu, le désactivation le désactive pour les utilisateurs spécifiés, dans le format ci-dessous:

Session requise PAM_TTY_AUDIT.So Disable = Username, nom d'utilisateur2… activer = nom d'utilisateur, nom d'utilisateur2… 

Pour activer la journalisation des touches réelles (y compris les espaces, les espaces arrière, les touches de retour, la clé de contrôle, la clé de suppression et d'autres), ajoutez le log_passwd Option avec les autres options, en utilisant ce formulaire:

Session requise PAM_TTY_AUDIT.So Disable = Username, Username2… activer = nom d'utilisateur log_passwd 

Mais avant d'effectuer des configurations, notez que:

Regardons un exemple ci-dessous, où nous configurerons pam_tty_audit Pour enregistrer les actions de l'utilisateur Tecmint y compris les touches, dans tous les terminaux, tandis que nous désactivons l'audit TTY pour tous les autres utilisateurs du système.

Ouvrez ces deux fichiers de configuration suivants.

# vi / etc / pam.D / System-Auth # vi / etc / pam.d / mot de passe-auth 

Ajouter la ligne suivante aux fichiers de configuration.
Session requise PAM_TTY_AUDIT.donc désactiver = * activer =Tecmint

Et pour capturer toutes les touches entrées par l'utilisateur Tecmint, Nous pouvons ajouter le log_passwd Option A indiqué.

Session requise PAM_TTY_AUDIT.donc désactiver = * activer =Tecmint log_passwd 

Maintenant, enregistrez et fermez les fichiers. Ensuite, affichez le auditd Fichier journal pour toute entrée TTY enregistrée, en utilisant l'utilitaire Aureport.

# Aureport - TTY 

De la sortie ci-dessus, vous pouvez voir l'utilisateur Tecmint dont Uid est 1000 Utilisé l'éditeur VI / VIM, a créé un répertoire appelé poubelle et a emménagé, a éliminé le terminal et ainsi de suite.

Pour rechercher les journaux d'entrée tty recueillis avec des horodatages égaux ou après une heure spécifique, utilisez le -ts Pour spécifier la date / heure de début et -te Pour définir la date / heure de fin.

Voici un exemple:

# Aureport --Tty -ts 25/09/2017 00:00:00 -Te 09/26/2017 23:00:00 # Aureport --Tty -ts cette semaine 

Vous pouvez trouver plus d'informations, dans le pam_tty_audit page.

# man pam_tty_audit 

Découvrez les articles utiles à suivre.

  1. Configurer «Pas de mot de passe SSH Keys Authentication» avec des serveurs Linux sur les serveurs Linux
  2. Configuration de l'authentification basée sur LDAP dans RHEL / CENTOS 7
  3. Comment configurer l'authentification à deux facteurs (Google Authenticator) pour les connexions SSH
  4. Connexion sans mot de passe SSH en utilisant SSH Keygen en 5 étapes faciles
  5. Comment exécuter la commande «sudo» sans entrer un mot de passe en Linux

Dans cet article, nous avons décrit comment configurer PAM pour l'audit de la contribution pour des utilisateurs spécifiques sur Centos / Rhel. Si vous avez des questions ou des idées supplémentaires à partager, utilisez le commentaire ci-dessous.

Réinitialisez un mot de passe d'administrateur Joomla à partir d'un terminal Linux
Voici un couple simple à suivre les étapes sur la réinitialisation d'un mot de passe Joomla à partir d'un terminal Linux. Ce guide suppose que vous av...
Définir et récupérer un cookie en utilisant Perl et CGI
Il existe plusieurs paramètres qui peuvent être définis lors de la création d'un cookie. Cela ne s'applique pas uniquement à Perl et CGI mais à tous l...
Comment se réveiller sur l'hôte pris en charge LAN sur le réseau à l'aide de Linux
Comment se réveiller sur l'hôte pris en charge LAN sur le réseau à l'aide de Linux...