如何配置 PAM 来审核日志记录 Shell 用户活动

这是我们正在进行的 Linux 审核系列，在本文的第四部分中，我们将解释如何配置 PAM 来审核 Linux TTY 输入（记录 Shell 用户活动）对于使用 pam_tty_audit 工具的特定用户。

Linux PAM（可插拔身份验证模块）是一种高度灵活的方法，用于在应用程序和各种系统服务中实现身份验证服务；它源自最初的 Unix PAM。

它将认证功能分为四大管理模块，分别是：账户模块、认证模块、密码模块和会话模块 。这些管理组的详细说明超出了本教程的范围。

auditd 工具使用 pam_tty_audit PAM 模块来启用或禁用对指定用户的 TTY 输入的审核。一旦将用户配置为要审核，pam_tty_audit 就会与 auditd 结合使用来跟踪用户在终端上的操作，如果已配置，则捕获用户所做的准确击键，然后将它们记录在 /var/log/audit/audit.log 文件中。

在 Linux 中配置 PAM 以审核用户 TTY 输入

您可以配置PAM来审核/etc/pam.d/system-auth和/etc中的特定用户TTY输入/pam.d/password-auth 文件，使用启用选项。另一方面，正如预期的那样，禁用会为指定用户关闭它，格式如下：

session required pam_tty_audit.so disable=username,username2...  enable=username,username2..

要打开记录实际用户击键（包括空格、退格键、返回键、控制键、删除键等），请使用以下形式将 log_passwd 选项与其他选项一起添加：

session required pam_tty_audit.so disable=username,username2...  enable=username log_passwd

但在执行任何配置之前，请注意：

• 如上面的语法所示，您可以将许多用户名传递给启用或禁用选项。
• 任何禁用或启用选项都会覆盖先前匹配相同用户名的相反选项。
• 启用 TTY 审核后，它会被定义的用户启动的所有进程继承。
• 如果激活击键记录，则不会立即记录输入，因为 TTY 审核首先将击键存储在缓冲区中，并以给定的时间间隔或在被审核的用户注销后将缓冲区内容写入 /var/log /audit/audit.log 文件。

让我们看一下下面的示例，其中我们将配置 pam_tty_audit 来记录用户 howtoing 的操作，包括跨所有终端的击键，同时禁用所有其他终端的 TTY 审核系统用户。

打开以下两个配置文件。

vi /etc/pam.d/system-auth
vi /etc/pam.d/password-auth

将以下行添加到配置文件中。
需要会话 pam_tty_audit.sodisable=*enable=howtoing

为了捕获用户howtoing输入的所有击键，我们可以添加如图所示的log_passwd选项。

session required pam_tty_audit.so disable=*  enable=tecmint log_passwd

现在保存并关闭文件。然后，使用 aureport 实用程序查看记录的任何 TTY 输入的 auditd 日志文件。

aureport --tty

从上面的输出中，您可以看到 UID 为 1000 的用户 howtoing 使用 vi/vim 编辑器，创建了一个名为 的目录bin 并移入其中，清理终端等等。

要搜索时间戳等于或晚于特定时间记录的 TTY 输入日志，请使用 -ts 指定开始日期/时间，使用 -te 设置结束日期/时间约会时间。

aureport --tty -ts 09/25/2017 00:00:00 -te 09/26/2017 23:00:00
aureport --tty -ts this-week

man  pam_tty_audit