लॉगिंग शेल उपयोगकर्ता गतिविधि ऑडिट करने के लिए PAM कॉन्फ़िगर कैसे करें
यह लिनक्स ऑडिटिंग पर हमारी चल रही श्रृंखला है, इस लेख के इस चौथे भाग में, हम बताएंगे कि लिनक्स TTY इनपुट (लॉगिंग शेल उपयोगकर्ता गतिविधि) की ऑडिटिंग के लिए PAM कॉन्फ़िगर कैसे करें pam_tty_audit टूल का उपयोग करने वाले विशिष्ट उपयोगकर्ताओं के लिए।
लिनक्स PAM ( प्लग करने योग्य प्रमाणीकरण मॉड्यूल ) अनुप्रयोगों और विभिन्न सिस्टम सेवाओं में प्रमाणीकरण सेवाओं को लागू करने के लिए एक अत्यधिक लचीला तरीका है; यह मूल यूनिक्स PAM से उभरा है।
यह प्रमाणीकरण कार्यों को चार प्रमुख प्रबंधन मॉड्यूल में विभाजित करता है, अर्थात्: खाता मॉड्यूल , प्रमाणीकरण मॉड्यूल , पासवर्ड मॉड्यूल और सत्र मॉड्यूल । शोध प्रबंध समूहों का विस्तृत विवरण इस ट्यूटोरियल के दायरे से परे है।
निर्दिष्ट उपयोगकर्ताओं के ऑडिटिंग TTY इनपुट को सक्षम या अक्षम करने के लिए ऑडिट उपकरण pam_tty_audit PAM मॉड्यूल का उपयोग करता है। जब एक उपयोगकर्ता को ऑडिट करने के लिए कॉन्फ़िगर किया जाता है, तो pam_tty_audit टर्मिनल पर एक उपयोगकर्ता कार्यों को ट्रैक करने के लिए ऑडिट के साथ मिलकर काम करता है और यदि कॉन्फ़िगर किया गया है, तो उपयोगकर्ता द्वारा किए गए सटीक की-स्ट्रोक पर कब्जा करता है, फिर उन्हें /var/log/audit/audit.log फ़ाइल में रिकॉर्ड करता है।
लिनक्स में उपयोगकर्ता TTY इनपुट की ऑडिटिंग के लिए PAM कॉन्फ़िगर करना
आप किसी विशेष उपयोगकर्ताओं को ऑडिट करने के लिए PAM कॉन्फ़िगर कर सकते हैं /etc/pam.d/system-auth और आदि में TTY इनपुट। सक्षम विकल्प का उपयोग करके /pam.d/password-auth फ़ाइलें। दूसरी ओर, उम्मीद के मुताबिक, विकलांग इसे निर्दिष्ट उपयोगकर्ताओं के लिए बंद कर देता है, नीचे प्रारूप में:
session required pam_tty_audit.so disable=username,username2... enable=username,username2..
वास्तविक उपयोगकर्ता कीस्ट्रोक्स (रिक्त स्थान, बैकस्पेस, रिटर्न कुंजियाँ, नियंत्रण कुंजी, डिलीट की और अन्य सहित) की लॉगिंग चालू करने के लिए, इस फॉर्म का उपयोग करके अन्य विकल्पों के साथ एक साथ log_passwd विकल्प जोड़ें।
session required pam_tty_audit.so disable=username,username2... enable=username log_passwd
लेकिन इससे पहले कि आप कोई कॉन्फ़िगरेशन करें, ध्यान दें:
- As seen in the syntax above, you can pass many usernames to the enable or disable option.
- Any disable or enable option overrides the previous opposite option that matches the same username.
- After enabling TTY auditing, it is inherited by all processes initiated by the defined user.
- If recording of keystrokes is activated, the input is not logged instantly, since TTY auditing first stores the keystrokes in a buffer and writes the buffer content at given intervals, or after the audited user logs out, into the /var/log/audit/audit.log file.
आइए नीचे एक उदाहरण देखें, जहां हम उपयोगकर्ता के कार्यों को रिकॉर्ड करने के लिए pam_tty_audit कॉन्फ़िगर करेंगे, सभी टर्मिनलों सहित कीस्ट्रोक्स सहित उपयोगकर्ता tecmint
, जबकि अन्य सभी के लिए TTY ऑडिटिंग अक्षम करें सिस्टम उपयोगकर्ता।
निम्न दो विन्यास फाइल खोलें।
# vi /etc/pam.d/system-auth # vi /etc/pam.d/password-auth
सत्र आवश्यक pam_tty_audit.so अक्षम = * सक्षम करें = tecmint
और उपयोगकर्ता द्वारा दर्ज किए गए सभी कीस्ट्रोक्स को पकड़ने के लिए tecmint , हम एक दिखाए गए log_passwd विकल्प को जोड़ सकते हैं।
session required pam_tty_audit.so disable=* enable=tecmint log_passwd
अब फाइल्स को सेव करें और बंद करें। बाद में, aureport यूटिलिटी का उपयोग करके रिकॉर्ड किए गए किसी भी TTY इनपुट के लिए ऑडिट लॉग फ़ाइल देखें।
# aureport --tty
उपरोक्त आउटपुट से, आप उपयोगकर्ता को देख सकते हैं tecmint जिसका UID है 1000 vi/vim संपादक का उपयोग किया, नामक एक निर्देशिका बनाई। बिन और इसमें चले गए, टर्मिनल और इतने पर मंजूरी दे दी।
टीटीवाई इनपुट लॉग की खोज करने के लिए समय स्टैम्प के साथ या उसके बाद एक विशेष समय के बाद, स्टैण्ड डेट को निर्धारित करने के लिए -ts
का उपयोग करके अंत सेट करने के लिए -te
का उपयोग करें। दिनांक समय।
निम्नलिखित कुछ उदाहरण हैं:
# aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00 # aureport --tty -ts this-week
आप अधिक जानकारी पा सकते हैं, pam_tty_audit मैन पेज में।
# man pam_tty_audit
उपयोगी लेखों की जाँच करें।
- Configure “No Password SSH Keys Authentication” with PuTTY on Linux Servers
- Setting Up LDAP-based Authentication in RHEL/CentOS 7
- How to Setup Two-Factor Authentication (Google Authenticator) for SSH Logins
- SSH Passwordless Login Using SSH Keygen in 5 Easy Steps
- How to Run ‘sudo’ Command Without Entering a Password in Linux
इस लेख में, हमने वर्णन किया कि सेंटम/आरएचईएल पर विशिष्ट उपयोगकर्ताओं के लिए इनपुट के ऑडिट के लिए पीएएम को कैसे कॉन्फ़िगर किया जाए। यदि आपके पास साझा करने के लिए कोई प्रश्न या अतिरिक्त विचार हैं, तो नीचे से टिप्पणी का उपयोग करें।