PAM'i Günlük Kabuğu Kullanıcı Etkinliğini Denetleyecek Şekilde Yapılandırma


Bu, Linux Denetimi üzerine devam eden serimizdir; bu makalenin bu dördüncü bölümünde, Linux TTY girişinin denetimi için PAM'in nasıl yapılandırılacağını açıklayacağız (Kabuk Kullanıcı Etkinliğini Günlüğe Kaydetme) pam_tty_audit aracını kullanan belirli kullanıcılar için.

Linux PAM (Takılabilir Kimlik Doğrulama Modülleri), uygulamalarda ve çeşitli sistem hizmetlerinde kimlik doğrulama hizmetlerinin uygulanmasına yönelik oldukça esnek bir yöntemdir; orijinal Unix PAM'den ortaya çıktı.

Kimlik doğrulama işlevlerini dört ana yönetim modülüne ayırır: hesap modülleri, kimlik doğrulama modülleri, şifre modülleri ve oturum modülleri . Tez yönetim gruplarının ayrıntılı açıklaması bu eğitimin kapsamı dışındadır.

auditd aracı, belirtilen kullanıcılar için TTY girişinin denetlenmesini etkinleştirmek veya devre dışı bırakmak için pam_tty_audit PAM modülünü kullanır. Bir kullanıcı denetlenecek şekilde yapılandırıldığında, pam_tty_audit, kullanıcının terminaldeki eylemlerini izlemek için auditd ile birlikte çalışır ve yapılandırılırsa, kullanıcının yaptığı tam tuş vuruşlarını yakalar, daha sonra bunları /var/log/audit/audit.log dosyasına kaydeder.

Linux'ta Kullanıcı TTY Girişini Denetlemek için PAM'i Yapılandırma

/etc/pam.d/system-auth ve /etc dosyasındaki belirli kullanıcıların TTY girişini denetlemek için PAM'i yapılandırabilirsiniz. Etkinleştirme seçeneğini kullanarak /pam.d/password-auth dosyalarını kullanın. Öte yandan, beklendiği gibi, devre dışı bırakma işlemi belirtilen kullanıcılar için aşağıdaki biçimde kapatır:

session required pam_tty_audit.so disable=username,username2...  enable=username,username2..

Gerçek kullanıcı tuş vuruşlarının (boşluklar, geri alma tuşları, dönüş tuşları, kontrol tuşu, silme tuşu ve diğerleri dahil) günlüğe kaydedilmesini açmak için bu formu kullanarak log_passwd seçeneğini diğer seçeneklerle birlikte ekleyin:

session required pam_tty_audit.so disable=username,username2...  enable=username log_passwd

Ancak herhangi bir yapılandırma yapmadan önce şunu unutmayın:

  • Yukarıdaki sözdiziminde görüldüğü gibi birçok kullanıcı adını etkinleştirme veya devre dışı bırakma seçeneğine iletebilirsiniz.
  • Herhangi bir devre dışı bırakma veya etkinleştirme seçeneği, aynı kullanıcı adıyla eşleşen önceki karşıt seçeneği geçersiz kılar.
  • TTY denetimi etkinleştirildikten sonra, tanımlanan kullanıcı tarafından başlatılan tüm işlemler tarafından devralınır.
  • Tuş vuruşlarının kaydı etkinleştirilirse, TTY denetimi ilk önce tuş vuruşlarını bir arabellekte sakladığından ve arabellek içeriğini belirli aralıklarla veya denetlenen kullanıcı oturumu kapattıktan sonra /var/log dosyasına yazdığından, giriş anında günlüğe kaydedilmez. /audit/audit.log dosyası.

Aşağıdaki bir örneğe bakalım; burada pam_tty_audit'i, tüm terminallerdeki tuş vuruşları da dahil olmak üzere tecmint kullanıcısının eylemlerini kaydedecek ve diğer tüm terminaller için TTY denetimini devre dışı bırakacak şekilde yapılandıracağız. sistem kullanıcıları.

Aşağıdaki iki yapılandırma dosyasını açın.

vi /etc/pam.d/system-auth
vi /etc/pam.d/password-auth

Yapılandırma dosyalarına aşağıdaki satırı ekleyin.
oturum gerekli pam_tty_audit.so devre dışı=* etkinleştirme=tecmint

Ayrıca tecmint kullanıcısı tarafından girilen tüm tuş vuruşlarını yakalamak için gösterilen log_passwd seçeneğini ekleyebiliriz.

session required pam_tty_audit.so disable=*  enable=tecmint log_passwd

Şimdi dosyaları kaydedip kapatın. Daha sonra, aureport yardımcı programını kullanarak kaydedilen herhangi bir TTY girişi için auditd günlük dosyasını görüntüleyin.

aureport --tty

Yukarıdaki çıktıdan, UID'si 1000 olan tecmint kullanıcısının vi/vim düzenleyicisini kullandığını ve adında bir dizin oluşturduğunu görebilirsiniz. bin ve içine taşındı, terminali temizledi vb.

Belirli bir zamana eşit veya sonrasında zaman damgalarıyla kaydedilen TTY giriş günlüklerini aramak için başlangıç tarihini/saatini belirtmek için -ts'yi ve bitişi ayarlamak için -te'yi kullanın. tarih/saat.

Aşağıda bazı örnekler verilmiştir:

aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
aureport --tty -ts this-week

Daha fazla bilgiyi pam_tty_audit kılavuz sayfasında bulabilirsiniz.

man  pam_tty_audit

Aşağıdaki faydalı makalelere göz atın.

  1. Linux Sunucularında PuTTY ile “Parolasız SSH Anahtar Kimlik Doğrulaması”nı Yapılandırma
  2. RHEL/CentOS 7'de LDAP Tabanlı Kimlik Doğrulamayı Ayarlama
  3. SSH Girişleri için İki Faktörlü Kimlik Doğrulama (Google Authenticator) Nasıl Kurulur
  4. 5 Kolay Adımda SSH Keygen Kullanarak SSH Şifresiz Giriş
  5. Linux'ta Parola Girmeden 'sudo' Komutu Nasıl Çalıştırılır

Bu makalede, CentOS/RHEL'deki belirli kullanıcılara yönelik girdilerin denetlenmesi için PAM'in nasıl yapılandırılacağını açıkladık. Paylaşmak istediğiniz sorularınız veya ek fikirleriniz varsa aşağıdaki yorumu kullanın.