Recherche de site Web

Comment configurer PAM pour auditer l'activité utilisateur du Shell de journalisation

Il s'agit de notre série en cours sur l'audit Linux. Dans cette quatrième partie de cet article, nous expliquerons comment configurer PAM pour l'audit de l'entrée Linux TTY (Logging Shell User Activity) pour des utilisateurs spécifiques utilisant l'outil pam_tty_audit.

Linux PAM (Pluggable Authentication Modules) est une méthode très flexible pour implémenter des services d'authentification dans les applications et divers services système ; il est issu du PAM Unix original.

Il divise les fonctions d'authentification en quatre modules de gestion principaux, à savoir : les modules de compte, les modules d'authentification, les modules de mot de passe et les modules de session . . L'explication détaillée de ces groupes de gestion dépasse le cadre de ce didacticiel.

L'outil auditd utilise le module pam_tty_audit PAM pour activer ou désactiver l'audit des entrées TTY pour les utilisateurs spécifiés. Une fois qu'un utilisateur est configuré pour être audité, pam_tty_audit fonctionne en conjonction avec auditd pour suivre les actions d'un utilisateur sur le terminal et, s'il est configuré, capturer les frappes exactes effectuées par l'utilisateur, puis les enregistre dans le fichier /var/log/audit/audit.log.

Configuration de PAM pour l'audit des entrées TTY de l'utilisateur sous Linux

Vous pouvez configurer PAM pour auditer l'entrée TTY d'un utilisateur particulier dans les fichiers /etc/pam.d/system-auth et /etc. /pam.d/password-auth, en utilisant l'option d'activation. En revanche, comme prévu, la désactivation le désactive pour les utilisateurs spécifiés, au format ci-dessous :

session required pam_tty_audit.so disable=username,username2...  enable=username,username2..

Pour activer la journalisation des frappes réelles de l'utilisateur (y compris les espaces, les retours arrière, les touches de retour, la touche de contrôle, la touche de suppression et autres), ajoutez l'option log_passwd avec les autres options, en utilisant ce formulaire :

session required pam_tty_audit.so disable=username,username2...  enable=username log_passwd

Mais avant d'effectuer une quelconque configuration, notez que :

  • Comme le montre la syntaxe ci-dessus, vous pouvez transmettre de nombreux noms d'utilisateur à l'option d'activation ou de désactivation.
  • Toute option de désactivation ou d'activation remplace l'option opposée précédente qui correspond au même nom d'utilisateur.
  • Après avoir activé l'audit TTY, il est hérité par tous les processus initiés par l'utilisateur défini.
  • Si l'enregistrement des frappes est activé, l'entrée n'est pas enregistrée instantanément, puisque l'audit TTY stocke d'abord les frappes dans un tampon et écrit le contenu du tampon à intervalles donnés, ou après la déconnexion de l'utilisateur audité, dans le /var/log /audit/audit.log.

Regardons un exemple ci-dessous, dans lequel nous allons configurer pam_tty_audit pour enregistrer les actions de l'utilisateur tecmint, y compris les frappes au clavier, sur tous les terminaux, tandis que nous désactivons l'audit TTY pour tous les autres. utilisateurs du système.

Ouvrez ces deux fichiers de configuration suivants.

vi /etc/pam.d/system-auth
vi /etc/pam.d/password-auth

Ajoutez la ligne suivante aux fichiers de configuration.
session requise pam_tty_audit.so Disable=* Enable=tecmint

Et pour capturer toutes les frappes saisies par l'utilisateur tecmint, nous pouvons ajouter l'option log_passwd affichée.

session required pam_tty_audit.so disable=*  enable=tecmint log_passwd

Maintenant, enregistrez et fermez les fichiers. Ensuite, affichez le fichier journal auditd pour toute entrée TTY enregistrée, à l'aide de l'utilitaire aureport.

aureport --tty

À partir du résultat ci-dessus, vous pouvez voir que l'utilisateur tecmint dont l'UID est 1000 a utilisé l'éditeur vi/vim, a créé un répertoire appelé bin et je m'y suis installé, j'ai vidé le terminal et ainsi de suite.

Pour rechercher des journaux d'entrée TTY enregistrés avec des horodatages égaux ou après une heure spécifique, utilisez -ts pour spécifier la date/heure de début et -te pour définir la fin. date/heure.

Voici quelques exemples :

aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
aureport --tty -ts this-week

Vous pouvez trouver plus d'informations dans la page de manuel pam_tty_audit.

man  pam_tty_audit

Consultez les articles utiles suivants.

  1. Configurer « Authentification par clé SSH sans mot de passe » avec PuTTY sur les serveurs Linux
  2. Configuration de l'authentification basée sur LDAP dans RHEL/CentOS 7
  3. Comment configurer l'authentification à deux facteurs (Google Authenticator) pour les connexions SSH
  4. Connexion sans mot de passe SSH à l'aide de SSH Keygen en 5 étapes faciles
  5. Comment exécuter la commande « sudo » sans saisir de mot de passe sous Linux

Dans cet article, nous avons décrit comment configurer PAM pour l'audit des entrées d'utilisateurs spécifiques sur CentOS/RHEL. Si vous avez des questions ou des idées supplémentaires à partager, utilisez le commentaire ci-dessous.