Table of Contents

Cómo configurar PAM para auditar la actividad del usuario del shell de registro

Esta es nuestra serie en curso sobre auditoría de Linux. En esta cuarta parte de este artículo, explicaremos cómo configurar PAM. para la auditoría de la entrada de TTY de Linux. (Shell de registro Actividad del usuario) para usuarios específicos que utilizan la herramienta pam_tty_audit.

Linux PAM. ( Módulos de autenticación conectables. es un método muy flexible para implementar servicios de autenticación en aplicaciones y diversos servicios del sistema; surgió del Unix PAM original.

Divide las funciones de autenticación en cuatro módulos de administración principales, a saber: módulos de cuenta. módulos de autenticación. módulos de contraseña. y módulos de sesión. La explicación detallada de estos grupos de administración está fuera del alcance de este tutorial.

La herramienta auditd. utiliza el módulo PAM pam_tty_audit. para habilitar o inhabilitar la auditoría de Entrada TTY. para usuarios específicos. Una vez que un usuario está configurado para ser auditado, pam_tty_audit. trabaja en conjunto con auditd. para rastrear las acciones de un usuario en el terminal y, si está configurado, capturar las pulsaciones de teclas exactas que realiza el usuario. luego los registra en el archivo /var/log/audit/audit.log.

Configuración de PAM para auditar la entrada TTY del usuario en Linux

Puede configurar PAM. para auditar la entrada de TTY. de un usuario en particular en /etc/pam.d/system-auth. y /etc/pam. d/password-auth. usando la opción enable. Por otro lado, como se esperaba, la desactivación lo desactiva para los usuarios especificados, en el siguiente formato:

sesión requerida pam_tty_audit.so disable = username, username2 … enable = username, username2 .. freestar.config .enabled_slots.push

Para activar el registro de las pulsaciones de teclas reales del usuario (incluidos espacios, retrocesos, teclas de retorno, la tecla de control, tecla de eliminación y otras), agregue la opción log_passwd. junto con las otras opciones, usando este formulario:

Se requiere sesión pam_tty_audit.so disable = username, username2 … enable = username log_passwd

Pero antes de realizar cualquier configuraciones, tenga en cuenta que:

Como se ve en la sintaxis anterior, puede pasar muchos nombres de usuario a la opción habilitar o deshabilitar.
Cualquier opción deshabilitar o habilitar anula la anterior opuesta opción que coincide con el mismo nombre de usuario.
Después de habilitar la auditoría de TTY, todos los procesos iniciados por el usuario definido la heredan.
Si la grabación de pulsaciones de teclas está activada, la entrada no se registra instantáneamente, ya que la auditoría de TTY primero almacena las pulsaciones de teclas en un búfer y escribe el contenido del búfer a intervalos determinados, o después de que el usuario auditado cierra la sesión, en el /var/log/audit/audit.log. archivo.

Veamos un ejemplo a continuación, donde configuraremos pam_tty_audit. para registrar las acciones del usuario tecmint, incluidas las pulsaciones de teclas, en todos los terminales, mientras deshabilitamos la auditoría de TTY para todos los demás usuarios del sistema.

Abra estos dos archivos de configuración siguientes.

# vi/etc/pam .d/system-auth # vi/etc/pam.d/password-auth

Agregue la siguiente línea a los archivos de configuración. sesión requerida pam_tty_audit.so disable = * enable = tecmint.

Y para capturar todas las pulsaciones introducidas por el usuario tecmint. podemos agregar el Se muestra la opción log_passwd.

Se requiere sesión pam_tty_audit.so disable = * enable = tecmint log_passwd.

Ahora guarde y cierre los archivos. Luego, vea el archivo de registro auditd. para cualquier entrada de TTY registrada, usando la utilidad aureport.

# aureport–tty Auditar TTY de usuario en Linux

Desde la salida abo Ve, puede ver que el usuario tecmint. cuyo UID. es 1000. usó el editor vi/vim, creó un directorio llamado bin. y se trasladó a él, borró la terminal y así sucesivamente.

Para buscar registros de entrada de TTY registrados con marcas de tiempo iguales o posteriores a una hora específica, use-ts para especificar la fecha/hora de inicio y-te para establecer la fecha/hora de finalización.

Los siguientes son algunos ejemplos:

# aureport–tty-ts 25/09/2017 00:00:00-te 26/09/2017 23:00:00 # aureport–tty-ts esta-semana

Puede encontrar más información, en la página de manual de pam_tty_audit.

# man pam_tty_audit

Verificar los siguientes artículos útiles.

Configure la “Autenticación de claves SSH sin contraseña” con PuTTY en servidores Linux
Configuración de la autenticación basada en LDAP en RHEL/CentOS 7
Cómo configurar la autenticación de dos factores (Google Authenticator) para inicios de sesión SSH
Inicio de sesión sin contraseña SSH utilizando SSH Keygen en 5 sencillos pasos
Cómo ejecutar el comando “sudo” sin ingresar una contraseña en Linux

En este artículo, describimos cómo configurar PAM para auditar la entrada de usuarios específicos en CentOS/RHEL. Si tiene alguna pregunta o idea adicional para compartir, use el comentario de abajo.

Cómo configurar PAM para auditar la actividad del usuario del shell de registro

Configuración de PAM para auditar la entrada TTY del usuario en Linux

You may also like...

Configuración de la replicación de SysVol en dos Samba4 AD DC con Rsync-Parte 6

Cómo habilitar HTTP/2 en Apache en Ubuntu

Oferta: obtenga el paquete Ethical Hacker y Pentester Pro a su propio precio (Oferta: obtenga el paquete Ethical Hacker y Pentester Pro a su propio precio (valor de $ 1,431), valor de 431)

Tags