Cara Mengonfigurasi PAM untuk Mengaudit Aktivitas Pengguna Logging Shell

Ini adalah seri berkelanjutan kami tentang Audit Linux, di bagian keempat artikel ini, kami akan menjelaskan cara mengonfigurasi PAM untuk mengaudit input Linux TTY (Mencatat Aktivitas Pengguna Shell) untuk pengguna tertentu yang menggunakan alat pam_tty_audit.

Linux PAM (Modul Otentikasi yang Dapat Dicolokkan) adalah metode yang sangat fleksibel untuk mengimplementasikan layanan otentikasi dalam aplikasi dan berbagai layanan sistem; itu muncul dari Unix PAM yang asli.

Ini membagi fungsi autentikasi menjadi empat modul manajemen utama, yaitu: modul akun, modul autentikasi, modul kata sandi, dan modul sesi . Penjelasan rinci tentang kelompok manajemen ini berada di luar cakupan tutorial ini.

Alat auditd menggunakan modul PAM pam_tty_audit untuk mengaktifkan atau menonaktifkan audit masukan TTY untuk pengguna tertentu. Setelah pengguna dikonfigurasi untuk diaudit, pam_tty_audit bekerja bersama dengan auditd untuk melacak tindakan pengguna di terminal dan jika dikonfigurasi, menangkap penekanan tombol yang tepat yang dilakukan pengguna, lalu mencatatnya dalam file /var/log/audit/audit.log.

Mengonfigurasi PAM untuk Mengaudit Input TTY Pengguna di Linux

Anda dapat mengonfigurasi PAM untuk mengaudit masukan TTY pengguna tertentu di /etc/pam.d/system-auth dan /etc /pam.d/password-auth, menggunakan opsi aktifkan. Di sisi lain, seperti yang diharapkan, penonaktifan akan menonaktifkannya untuk pengguna tertentu, dalam format di bawah ini:

session required pam_tty_audit.so disable=username,username2...  enable=username,username2..

Untuk mengaktifkan pencatatan penekanan tombol pengguna sebenarnya (termasuk spasi, spasi mundur, tombol kembali, tombol kontrol, tombol hapus, dan lainnya), tambahkan opsi log_passwd bersama dengan opsi lainnya, menggunakan formulir ini:

session required pam_tty_audit.so disable=username,username2...  enable=username log_passwd

Namun sebelum Anda melakukan konfigurasi apa pun, perhatikan bahwa:

  • Seperti yang terlihat pada sintaks di atas, Anda dapat meneruskan banyak nama pengguna ke opsi aktifkan atau nonaktifkan.
  • Opsi penonaktifan atau pengaktifan apa pun akan menggantikan opsi berlawanan sebelumnya yang cocok dengan nama pengguna yang sama.
  • Setelah mengaktifkan audit TTY, ini diwarisi oleh semua proses yang dimulai oleh pengguna yang ditentukan.
  • Jika perekaman penekanan tombol diaktifkan, input tidak langsung dicatat, karena audit TTY terlebih dahulu menyimpan penekanan tombol dalam buffer dan menulis konten buffer pada interval tertentu, atau setelah pengguna yang diaudit logout, ke dalam /var/log /audit/audit.log file.

Mari kita lihat contoh di bawah ini, di mana kita akan mengonfigurasi pam_tty_audit untuk mencatat tindakan pengguna tecmint termasuk penekanan tombol, di semua terminal, sementara kita menonaktifkan audit TTY untuk semua terminal lainnya pengguna sistem.

Buka dua file konfigurasi berikut ini.

vi /etc/pam.d/system-auth
vi /etc/pam.d/password-auth

Tambahkan baris berikut ke file konfigurasi.
sesi diperlukan pam_tty_audit.jadi nonaktifkan=* aktifkan=tecmint

Dan untuk menangkap semua penekanan tombol yang dimasukkan oleh pengguna tecmint, kita dapat menambahkan opsi log_passwd yang ditampilkan.

session required pam_tty_audit.so disable=*  enable=tecmint log_passwd

Sekarang simpan dan tutup file. Setelah itu, lihat file log auditd untuk setiap masukan TTY yang direkam, menggunakan utilitas aureport.

aureport --tty

Dari output di atas, Anda dapat melihat pengguna tecmint yang UID-nya 1000 menggunakan editor vi/vim, membuat direktori bernama bin dan pindah ke dalamnya, membersihkan terminal dan sebagainya.

Untuk mencari log input TTY yang direkam dengan stempel waktu yang sama dengan atau setelah waktu tertentu, gunakan -ts untuk menentukan tanggal/waktu mulai dan -te untuk mengatur akhir tanggal Waktu.

Berikut beberapa contohnya:

aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
aureport --tty -ts this-week

Anda dapat menemukan informasi lebih lanjut di halaman manual pam_tty_audit.

man  pam_tty_audit

Simak artikel bermanfaat berikut ini.

  1. Konfigurasikan “Otentikasi Kunci SSH Tanpa Kata Sandi” dengan PuTTY di Server Linux
  2. Menyiapkan Otentikasi berbasis LDAP di RHEL/CentOS 7
  3. Cara Mengatur Otentikasi Dua Faktor (Google Authenticator) untuk Login SSH
  4. Login SSH Tanpa Kata Sandi Menggunakan SSH Keygen dalam 5 Langkah Mudah
  5. Cara Menjalankan Perintah 'sudo' Tanpa Memasukkan Kata Sandi di Linux

Pada artikel ini, kami menjelaskan cara mengonfigurasi PAM untuk mengaudit input untuk pengguna tertentu di CentOS/RHEL. Jika Anda memiliki pertanyaan atau ide tambahan untuk dibagikan, gunakan komentar di bawah.