Como configurar o PAM para auditar a atividade do usuário do Shell de registro
Esta é nossa série contínua sobre Auditoria Linux, nesta quarta parte deste artigo, explicaremos como configurar o PAM para auditoria de entrada Linux TTY (Logging Shell User Activity) para usuários específicos usando a ferramenta pam_tty_audit.
Linux PAM (Módulos de Autenticação Plugáveis) é um método altamente flexível para implementar serviços de autenticação em aplicativos e vários serviços de sistema; ele surgiu do Unix PAM original.
Ele divide as funções de autenticação em quatro módulos principais de gerenciamento, a saber: módulos de conta, módulos de autenticação, módulos de senha e módulos de sessão. >. A explicação detalhada desses grupos de gerenciamento está além do escopo deste tutorial.
A ferramenta auditd usa o módulo PAM pam_tty_audit para ativar ou desativar a auditoria da entrada TTY para usuários específicos. Depois que um usuário estiver configurado para ser auditado, pam_tty_audit funciona em conjunto com o auditd para rastrear as ações do usuário no terminal e, se configurado, capturar as teclas exatas que o usuário digita, em seguida, os registra no arquivo /var/log/audit/audit.log.
Configurando o PAM para auditoria de entrada TTY do usuário no Linux
Você pode configurar o PAM para auditar a entrada TTY de um determinado usuário em /etc/pam.d/system-auth e /etc /pam.d/password-auth, usando a opção enable. Por outro lado, como esperado, a desabilitação desativa para os usuários especificados, no formato abaixo:
session required pam_tty_audit.so disable=username,username2... enable=username,username2..
Para ativar o registro de pressionamentos de teclas reais do usuário (incluindo espaços, backspaces, teclas return, tecla control, tecla delete e outros), adicione a opção log_passwd junto com as outras opções, usando este formulário:
session required pam_tty_audit.so disable=username,username2... enable=username log_passwd
Mas antes de realizar qualquer configuração, observe que:
- Conforme visto na sintaxe acima, você pode passar vários nomes de usuário para a opção ativar ou desativar.
- Qualquer opção de desabilitar ou habilitar substitui a opção oposta anterior que corresponde ao mesmo nome de usuário.
- Após habilitar a auditoria TTY, ela é herdada por todos os processos iniciados pelo usuário definido.
- Se a gravação de pressionamentos de teclas estiver ativada, a entrada não será registrada instantaneamente, pois a auditoria TTY primeiro armazena os pressionamentos de teclas em um buffer e grava o conteúdo do buffer em determinados intervalos, ou após o usuário auditado efetuar logout, no arquivo /var/log arquivo /audit/audit.log.
Vejamos um exemplo abaixo, onde configuraremos pam_tty_audit para registrar as ações do usuário tecmint
incluindo pressionamentos de tecla, em todos os terminais, enquanto desabilitamos a auditoria TTY para todos os outros usuários do sistema.
Abra estes dois arquivos de configuração a seguir.
vi /etc/pam.d/system-auth
vi /etc/pam.d/password-auth
Adicione a seguinte linha aos arquivos de configuração.
sessão necessária pam_tty_audit.so disable=* enable=tecmint
E para capturar todas as teclas digitadas pelo usuário tecmint, podemos adicionar a opção log_passwd mostrada.
session required pam_tty_audit.so disable=* enable=tecmint log_passwd
Agora salve e feche os arquivos. Depois, visualize o arquivo de log auditd para qualquer entrada TTY registrada, usando o utilitário aureport.
aureport --tty
Na saída acima, você pode ver que o usuário tecmint cujo UID é 1000 usou o editor vi/vim, criou um diretório chamado bin e entrei nele, limpei o terminal e assim por diante.
Para pesquisar logs de entrada TTY registrados com carimbos de data/hora iguais ou posteriores a um horário específico, use -ts
para especificar a data/hora de início e -te
para definir o término data hora.
A seguir estão alguns exemplos:
aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
aureport --tty -ts this-week
Você pode encontrar mais informações na página de manual pam_tty_audit.
man pam_tty_audit
Confira os seguintes artigos úteis.
- Configure “Autenticação de chaves SSH sem senha” com PuTTY em servidores Linux
- Configurando autenticação baseada em LDAP no RHEL/CentOS 7
- Como configurar a autenticação de dois fatores (Google Authenticator) para logins SSH
- Login SSH sem senha usando SSH Keygen em 5 etapas fáceis
- Como executar o comando ‘sudo’ sem inserir uma senha no Linux
Neste artigo, descrevemos como configurar o PAM para auditoria de entrada de usuários específicos no CentOS/RHEL. Se você tiver alguma dúvida ou ideia adicional para compartilhar, use o comentário abaixo.