Pesquisa de site

Como configurar o PAM para auditar a atividade do usuário do Shell de registro


Esta é nossa série contínua sobre Auditoria Linux, nesta quarta parte deste artigo, explicaremos como configurar o PAM para auditoria de entrada Linux TTY (Logging Shell User Activity) para usuários específicos usando a ferramenta pam_tty_audit.

Linux PAM (Módulos de Autenticação Plugáveis) é um método altamente flexível para implementar serviços de autenticação em aplicativos e vários serviços de sistema; ele surgiu do Unix PAM original.

Ele divide as funções de autenticação em quatro módulos principais de gerenciamento, a saber: módulos de conta, módulos de autenticação, módulos de senha e módulos de sessão. >. A explicação detalhada desses grupos de gerenciamento está além do escopo deste tutorial.

A ferramenta auditd usa o módulo PAM pam_tty_audit para ativar ou desativar a auditoria da entrada TTY para usuários específicos. Depois que um usuário estiver configurado para ser auditado, pam_tty_audit funciona em conjunto com o auditd para rastrear as ações do usuário no terminal e, se configurado, capturar as teclas exatas que o usuário digita, em seguida, os registra no arquivo /var/log/audit/audit.log.

Configurando o PAM para auditoria de entrada TTY do usuário no Linux

Você pode configurar o PAM para auditar a entrada TTY de um determinado usuário em /etc/pam.d/system-auth e /etc /pam.d/password-auth, usando a opção enable. Por outro lado, como esperado, a desabilitação desativa para os usuários especificados, no formato abaixo:

session required pam_tty_audit.so disable=username,username2...  enable=username,username2..

Para ativar o registro de pressionamentos de teclas reais do usuário (incluindo espaços, backspaces, teclas return, tecla control, tecla delete e outros), adicione a opção log_passwd junto com as outras opções, usando este formulário:

session required pam_tty_audit.so disable=username,username2...  enable=username log_passwd

Mas antes de realizar qualquer configuração, observe que:

  • Conforme visto na sintaxe acima, você pode passar vários nomes de usuário para a opção ativar ou desativar.
  • Qualquer opção de desabilitar ou habilitar substitui a opção oposta anterior que corresponde ao mesmo nome de usuário.
  • Após habilitar a auditoria TTY, ela é herdada por todos os processos iniciados pelo usuário definido.
  • Se a gravação de pressionamentos de teclas estiver ativada, a entrada não será registrada instantaneamente, pois a auditoria TTY primeiro armazena os pressionamentos de teclas em um buffer e grava o conteúdo do buffer em determinados intervalos, ou após o usuário auditado efetuar logout, no arquivo /var/log arquivo /audit/audit.log.

Vejamos um exemplo abaixo, onde configuraremos pam_tty_audit para registrar as ações do usuário tecmint incluindo pressionamentos de tecla, em todos os terminais, enquanto desabilitamos a auditoria TTY para todos os outros usuários do sistema.

Abra estes dois arquivos de configuração a seguir.

vi /etc/pam.d/system-auth
vi /etc/pam.d/password-auth

Adicione a seguinte linha aos arquivos de configuração.
sessão necessária pam_tty_audit.so disable=* enable=tecmint

E para capturar todas as teclas digitadas pelo usuário tecmint, podemos adicionar a opção log_passwd mostrada.

session required pam_tty_audit.so disable=*  enable=tecmint log_passwd

Agora salve e feche os arquivos. Depois, visualize o arquivo de log auditd para qualquer entrada TTY registrada, usando o utilitário aureport.

aureport --tty

Na saída acima, você pode ver que o usuário tecmint cujo UID é 1000 usou o editor vi/vim, criou um diretório chamado bin e entrei nele, limpei o terminal e assim por diante.

Para pesquisar logs de entrada TTY registrados com carimbos de data/hora iguais ou posteriores a um horário específico, use -ts para especificar a data/hora de início e -te para definir o término data hora.

A seguir estão alguns exemplos:

aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
aureport --tty -ts this-week

Você pode encontrar mais informações na página de manual pam_tty_audit.

man  pam_tty_audit

Confira os seguintes artigos úteis.

  1. Configure “Autenticação de chaves SSH sem senha” com PuTTY em servidores Linux
  2. Configurando autenticação baseada em LDAP no RHEL/CentOS 7
  3. Como configurar a autenticação de dois fatores (Google Authenticator) para logins SSH
  4. Login SSH sem senha usando SSH Keygen em 5 etapas fáceis
  5. Como executar o comando ‘sudo’ sem inserir uma senha no Linux

Neste artigo, descrevemos como configurar o PAM para auditoria de entrada de usuários específicos no CentOS/RHEL. Se você tiver alguma dúvida ou ideia adicional para compartilhar, use o comentário abaixo.