लॉगिंग शेल उपयोगकर्ता गतिविधि ऑडिट करने के लिए PAM कॉन्फ़िगर कैसे करें

यह लिनक्स ऑडिटिंग पर हमारी चल रही श्रृंखला है, इस लेख के इस चौथे भाग में, हम बताएंगे कि लिनक्स TTY इनपुट (लॉगिंग शेल उपयोगकर्ता गतिविधि) की ऑडिटिंग के लिए PAM कॉन्फ़िगर कैसे करें pam_tty_audit टूल का उपयोग करने वाले विशिष्ट उपयोगकर्ताओं के लिए।

लिनक्स PAM ( प्लग करने योग्य प्रमाणीकरण मॉड्यूल ) अनुप्रयोगों और विभिन्न सिस्टम सेवाओं में प्रमाणीकरण सेवाओं को लागू करने के लिए एक अत्यधिक लचीला तरीका है; यह मूल यूनिक्स PAM से उभरा है।

यह प्रमाणीकरण कार्यों को चार प्रमुख प्रबंधन मॉड्यूल में विभाजित करता है, अर्थात्: खाता मॉड्यूल , प्रमाणीकरण मॉड्यूल , पासवर्ड मॉड्यूल और सत्र मॉड्यूल । शोध प्रबंध समूहों का विस्तृत विवरण इस ट्यूटोरियल के दायरे से परे है।

निर्दिष्ट उपयोगकर्ताओं के ऑडिटिंग TTY इनपुट को सक्षम या अक्षम करने के लिए ऑडिट उपकरण pam_tty_audit PAM मॉड्यूल का उपयोग करता है। जब एक उपयोगकर्ता को ऑडिट करने के लिए कॉन्फ़िगर किया जाता है, तो pam_tty_audit टर्मिनल पर एक उपयोगकर्ता कार्यों को ट्रैक करने के लिए ऑडिट के साथ मिलकर काम करता है और यदि कॉन्फ़िगर किया गया है, तो उपयोगकर्ता द्वारा किए गए सटीक की-स्ट्रोक पर कब्जा करता है, फिर उन्हें /var/log/audit/audit.log फ़ाइल में रिकॉर्ड करता है।

लिनक्स में उपयोगकर्ता TTY इनपुट की ऑडिटिंग के लिए PAM कॉन्फ़िगर करना

आप किसी विशेष उपयोगकर्ताओं को ऑडिट करने के लिए PAM कॉन्फ़िगर कर सकते हैं /etc/pam.d/system-auth और आदि में TTY इनपुट। सक्षम विकल्प का उपयोग करके /pam.d/password-auth फ़ाइलें। दूसरी ओर, उम्मीद के मुताबिक, विकलांग इसे निर्दिष्ट उपयोगकर्ताओं के लिए बंद कर देता है, नीचे प्रारूप में:

session required pam_tty_audit.so disable=username,username2...  enable=username,username2..

वास्तविक उपयोगकर्ता कीस्ट्रोक्स (रिक्त स्थान, बैकस्पेस, रिटर्न कुंजियाँ, नियंत्रण कुंजी, डिलीट की और अन्य सहित) की लॉगिंग चालू करने के लिए, इस फॉर्म का उपयोग करके अन्य विकल्पों के साथ एक साथ log_passwd विकल्प जोड़ें।

session required pam_tty_audit.so disable=username,username2...  enable=username log_passwd

लेकिन इससे पहले कि आप कोई कॉन्फ़िगरेशन करें, ध्यान दें:

  • As seen in the syntax above, you can pass many usernames to the enable or disable option.
  • Any disable or enable option overrides the previous opposite option that matches the same username.
  • After enabling TTY auditing, it is inherited by all processes initiated by the defined user.
  • If recording of keystrokes is activated, the input is not logged instantly, since TTY auditing first stores the keystrokes in a buffer and writes the buffer content at given intervals, or after the audited user logs out, into the /var/log/audit/audit.log file.

आइए नीचे एक उदाहरण देखें, जहां हम उपयोगकर्ता के कार्यों को रिकॉर्ड करने के लिए pam_tty_audit कॉन्फ़िगर करेंगे, सभी टर्मिनलों सहित कीस्ट्रोक्स सहित उपयोगकर्ता tecmint , जबकि अन्य सभी के लिए TTY ऑडिटिंग अक्षम करें सिस्टम उपयोगकर्ता।

निम्न दो विन्यास फाइल खोलें।

# vi /etc/pam.d/system-auth
# vi /etc/pam.d/password-auth

सत्र आवश्यक pam_tty_audit.so अक्षम = * सक्षम करें = tecmint

और उपयोगकर्ता द्वारा दर्ज किए गए सभी कीस्ट्रोक्स को पकड़ने के लिए tecmint , हम एक दिखाए गए log_passwd विकल्प को जोड़ सकते हैं।

session required pam_tty_audit.so disable=*  enable=tecmint log_passwd

अब फाइल्स को सेव करें और बंद करें। बाद में, aureport यूटिलिटी का उपयोग करके रिकॉर्ड किए गए किसी भी TTY इनपुट के लिए ऑडिट लॉग फ़ाइल देखें।

# aureport --tty

उपरोक्त आउटपुट से, आप उपयोगकर्ता को देख सकते हैं tecmint जिसका UID है 1000 vi/vim संपादक का उपयोग किया, नामक एक निर्देशिका बनाई। बिन और इसमें चले गए, टर्मिनल और इतने पर मंजूरी दे दी।

टीटीवाई इनपुट लॉग की खोज करने के लिए समय स्टैम्प के साथ या उसके बाद एक विशेष समय के बाद, स्टैण्ड डेट को निर्धारित करने के लिए -ts का उपयोग करके अंत सेट करने के लिए -te का उपयोग करें। दिनांक समय।

निम्नलिखित कुछ उदाहरण हैं:

# aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
# aureport --tty -ts this-week

आप अधिक जानकारी पा सकते हैं, pam_tty_audit मैन पेज में।

# man  pam_tty_audit

उपयोगी लेखों की जाँच करें।

  1. Configure “No Password SSH Keys Authentication” with PuTTY on Linux Servers
  2. Setting Up LDAP-based Authentication in RHEL/CentOS 7
  3. How to Setup Two-Factor Authentication (Google Authenticator) for SSH Logins
  4. SSH Passwordless Login Using SSH Keygen in 5 Easy Steps
  5. How to Run ‘sudo’ Command Without Entering a Password in Linux

इस लेख में, हमने वर्णन किया कि सेंटम/आरएचईएल पर विशिष्ट उपयोगकर्ताओं के लिए इनपुट के ऑडिट के लिए पीएएम को कैसे कॉन्फ़िगर किया जाए। यदि आपके पास साझा करने के लिए कोई प्रश्न या अतिरिक्त विचार हैं, तो नीचे से टिप्पणी का उपयोग करें।