Giriş gabygynyň ulanyjy işjeňligini barlamak üçin PAM-y nädip sazlamaly


Linux Audit boýunça dowam edýän seriýamyz, bu makalanyň dördünji bölüminde, pam_tty_audit guralyny ulanýan aýratyn ulanyjylar üçin Linux TTY girişini (Logging Shell User Activity) auditi üçin PAM-y nädip düzmelidigini düşündireris.

Linux PAM (Plugable Autentifikasiýa Modullary) programmalarda we dürli ulgam hyzmatlarynda tanamaklyk hyzmatlaryny amala aşyrmak üçin ýokary çeýe usuldyr; asyl Unix PAM-dan ýüze çykdy.

Autentifikasiýa funksiýalaryny dört esasy dolandyryş modulyna bölýär, ýagny: hasap modullary, tanamak modullary, parol modullary we sessiýa modullary. Tezisleri dolandyrmak toparlarynyň jikme-jik düşündirişi bu gollanmanyň çäginden daşda.

Audit guraly, görkezilen ulanyjylar üçin TTY girişini barlamagy işjeňleşdirmek ýa-da öçürmek üçin pam_tty_audit PAM modulyny ulanýar. Ulanyjy auditor hökmünde düzülensoň, pam_tty_audit ulanyjynyň terminaldaky hereketlerini yzarlamak üçin auditd bilen bilelikde işleýär we düzülen bolsa, ulanyjynyň takyk düwmelerini ele alyň, soňra/var/log/audit/audit-de ýazyň. hasaba alyş faýly.

Linux-da ulanyjy TTY girişini barlamak üçin PAM sazlamak

Işletmek opsiýasyny ulanyp, belli bir ulanyjylara TTY girişini /etc/pam.d/system-auth we /etc/pam.d/password-auth faýllarynda barlamak üçin PAM sazlap bilersiňiz. Başga bir tarapdan, garaşylşy ýaly, öçürmek ony aşakdaky ulanyjylar üçin aşakdaky formatda öçürýär:

session required pam_tty_audit.so disable=username,username2...  enable=username,username2..

Hakyky ulanyjy düwmeleriniň ýazgylaryny açmak üçin (boşluklar, arka giňişlikler, yzyna gaýtarmak düwmeleri, dolandyryş düwmesi, düwmäni pozmak we başgalar), bu formany ulanyp, log_passwd opsiýasyny beýleki opsiýalar bilen bilelikde goşuň:

session required pam_tty_audit.so disable=username,username2...  enable=username log_passwd

Anyöne islendik konfigurasiýany ýerine ýetirmezden ozal üns beriň:

  • aboveokardaky sintaksisde görkezilişi ýaly, köp ulanyjy atlaryny işletmek ýa-da öçürmek opsiýasyna geçirip bilersiňiz.
  • Islendik bir öçürmek ýa-da işletmek opsiýasy şol bir ulanyjy adyna gabat gelýän öňki tersini ýok edýär.
  • TTY barlagyny açandan soň, kesgitlenen ulanyjy tarapyndan başlanan ähli amallara miras galar.
  • Düwmeleriň urulmagy işjeňleşdirilen bolsa, giriş derrew hasaba alynmaýar, sebäbi TTY barlagy ilki düwmelerini buferde saklaýar we bufer mazmunyny belli wagt aralygynda ýazýar, ýa-da auditor ulanyjy çykandan soň/var/log-a girýär. /audit/audit.log faýly.

Aşakdaky bir meselä seredeliň, bu ýerde beýleki ulgam ulanyjylary üçin TTY barlagyny öçürýän wagtymyz, ulanyjylaryň tecmint düwmelerini goşmak bilen hereketlerini ýazga almak üçin pam_tty_audit düzeris.

Aşakdaky iki konfigurasiýa faýly açyň.

# vi /etc/pam.d/system-auth
# vi /etc/pam.d/password-auth

Sazlama faýllaryna aşakdaky setir goşuň.
sessiýa zerur pam_tty_audit.so disable=* enable=tecmint

Ulanyjy tekmintiniň girizen ähli düwmelerini ele almak üçin, görkezilen log_passwd opsiýasyny goşup bileris.

session required pam_tty_audit.so disable=*  enable=tecmint log_passwd

Indi faýllary ýazdyryň we ýapyň. Ondan soň, aureport kömekçi programmasyny ulanyp, ýazylan islendik TTY giriş üçin auditd log faýlyny görüň.

# aureport --tty

Aboveokardaky çykyşdan, UID 1000 vi/vim redaktory ulanylan, bin atly bukjany döreden we oňa giren, terminaly arassalaýan we ş.m. ulanyjy tekmintini görüp bilersiňiz.

Belli bir wagta deň ýa-da ondan soňky wagt belgileri bilen ýazylan TTY giriş surnallaryny gözlemek üçin, başlangyç senesini/wagtyny kesgitlemek üçin -ts ulanyň we soňuny bellemek üçin -te ulanyň. senesi/wagty.

Aşakda käbir mysallar bar:

# aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
# aureport --tty -ts this-week

Has giňişleýin maglumaty pam_tty_audit adam sahypasynda tapyp bilersiňiz.

# man  pam_tty_audit

Aşakdaky peýdaly makalalary gözden geçiriň.

  1. Linux Serwerlerinde PuTTY bilen\Parol SSH açarlaryny tassyklamak ýok sazlaň
  2. RHEL/CentOS 7-de LDAP esasly tanamaklygy gurmak
  3. SSH girişleri üçin iki faktorly tanamaklygy (Google Authenticator) nädip gurmaly
  4. 5 aňsat ädimde SSH Keygen ulanyp SSH parolsyz giriş
  5. Linux-da parol girizmezden sudo buýrugyny nädip işletmeli

Bu makalada CentOS/RHEL-de belli ulanyjylar üçin giriş barlagyny barlamak üçin PAM-y nädip sazlamalydygyny düşündirdik. Paýlaşmak üçin soraglaryňyz ýa-da goşmaça pikirleriňiz bar bolsa, aşakdaky teswirden peýdalanyň.