Tìm hiểu về công cụ hỗ trợ pam_tty_audit trong Linux Auditting

Kiểm tra Linux là gì? Công cụ pam_tty_audit được sử dụng để làm gì?

Kiểm tra Linux

Kiểm tra Linux là việc cần làm đối với mọi quản trị viên hệ thống. Linux Auditting là hệ thống hỗ trợ tìm kiếm thông tin liên quan đến bảo mật trên hệ thống của quản trị viên.

Hệ thống hoạt động dựa trên các cấu hình đã định sẵn. Trong mỗi phiên của người dùng, hệ thống sẽ tạo một File nhật ký để ghi lại. ghi lại càng nhiều thông tin về các sự kiện hiện tại trên hệ thống càng tốt.

Thông tin này sẽ được sử dụng để tìm ra ai đang vi phạm chính sách bảo mật hệ thống hoặc tiết lộ thông tin tại nơi làm việc.

Linux Audit không cung cấp bất kỳ phương pháp bảo mật nào cho hệ điều hành, nó chỉ có thể được sử dụng để phát hiện vi phạm chính sách của người dùng hoặc quản trị viên hệ thống.

Thông tin mà Kiểm toán Linux sẽ ghi lại trong File nhật ký bao gồm:

• Ngày, giờ, loại, kết quả của một hoạt động hoặc sự kiện trên hệ thống
• Các nhãn nhạy cảm của các đối tượng trên hệ thống
• Tất cả các sự kiện khi người dùng đang hoạt động trên hệ thống
• Tất cả các cơ chế xác thực
• Sự thay đổi của dữ liệu với dữ liệu có độ tin cậy của hệ thống.

pam_tty_audit

Khi nó đến công cụ pam_tty_audit Trước tiên chúng ta cần nói về Linux Pam. Linux Pam (Mô-đun xác thực có thể cài đặt ) là một phương pháp xác thực, kiểm tra ứng dụng của các dịch vụ hệ thống rất linh hoạt.

pam_tty_audit là một mô-đun của PAM để chạy hoặc dừng điều khiển TTY (TTY là các câu lệnh trên hệ thống) được nhập từ một người dùng được xác định trước. Khi chạy mô-đun pam_tty_audit sẽ hoạt động cùng với công cụ Auditd (nằm trong gói bên ngoài và cần được cài đặt bằng lệnh apt-get install Auditd) để theo dõi các thao tác của người dùng, lưu trữ chính xác các Key, lệnh người dùng sử dụng và sau đó ghi nó vào File nhật ký tại /var/log/audit/audit.log.

Để có thể sử dụng công cụ này, người dùng cần định cấu hình công cụ kiểm tra để kích hoạt công cụ kiểm tra trong File /etc/pam.d/system-auth và /etc/pam.d/password-auth.

Công cụ này cũng có thể để quản trị viên giám sát một vài người được chỉ định, không phải tất cả người dùng của hệ thống.

Cú pháp của lệnh để cấu hình trông giống như sau:

session required pam_tty_audit.so disable=username,username2... 
enable=username,username2..

Ngoài ra, nếu muốn ghi lại các Key mà người dùng nhập, người quản trị chỉ cần thêm log_passwd sau lệnh trên:

session required pam_tty_audit.so disable=username,username2... 
enable=username,username2.. Log_passwd

Để có thể xem File nhật ký của công cụ kiểm tra này, bạn cần sử dụng tính năng cổng hàng không bằng lệnh: aureport –tty.

Thực hiện trên hệ thống ubuntu.

Đăng nhập trực tiếp

B1: Đầu tiên chúng ta tạo một người dùng với tên techblog và admin bằng lệnh

useradd -m admin -s /bin/bash
 
useradd -m techblog -s /bin/bash

B2: Sau đó chúng ta bắt đầu cấu hình 2 File /etc/pam.d/system-auth và /etc/pam.d/password-auth để sử dụng công cụ kiểm tra trên techblog của người dùng nhưng không phải trên quản trị viên người dùng.

– Tập tin /etc/pam.d/system-auth:

session required pam_tty_audit.so disable=admin enable=techblog

– Tập tin /etc/pam.d/password-auth

session required pam_tty_audit.so disable=admin enable=techblog log_passwd

B3: Đăng nhập vào người dùng techblog và cố gắng tạo File văn bản hoặc thay đổi nhãn công việc để kiểm tra.

Trong ví dụ này, chúng tôi cố gắng tạo một File, sửa đổi File bằng một số lệnh như:

mkdir testfolder # tạo thư mục testfolder

vim testfile # thêm nội dung bên trong

Đây là KIỂM TOÁN TẬP TIN THỬ NGHIỆM

Lối ra # thoát khỏi người dùng

B4: Đăng nhập vào quản trị viên người dùng và cũng thực hiện với người dùng techblog.

Mkdir test2
 Touch test3 
Exit

B5: Truy cập vào người dùng quản trị viên và sử dụng tính năng aureport để kiểm tra các bản ghi trong File nhật ký của kiểm toán. Chúng tôi thấy rằng aureport đã trả lại các hoạt động techblog của người dùng với UID là 1001.

– Sử dụng lệnh aureport –tty Chúng tôi sẽ được trả lại thông tin như dòng bên dưới.

1. 10/12/17 19:23:43 126 1001 ? 3 vim “This is TEST FILE AUDIT”, <esc>, “:x”, <ret>

Bây giờ chúng tôi bật lại kiểm tra kiểm tra trên tất cả người dùng trên hệ thống bằng cách sửa đổi các lệnh trong hai File

session required pam_tty_audit.so enable=*

Chúng tôi tiếp tục sử dụng lệnh aureport –tty sẽ có kết quả sau:

1. 10/12/17 19:25:14 126 1001 ? 3 vim “This is TEST FILE AUDIT1”, <esc>, “:x”, <ret>
 
1. 10/12/17 19:25:28 126 1002 ? 3 vim “This is TEST FILE AUDIT2”, <esc>, “:x”, <ret>

Do đó, aureport đã trả về một kết quả nữa của các hoạt động quản trị viên người dùng với UID là 1002

Đăng nhập qua SSH

B1 :: Cài đặt kiểm tra gói: apt-get install -y Auditd

B2: Chúng tôi xóa các dòng có chứa pam_tty_audit.so có trong File /etc/pam.d/sshd:

sed -i '/pam_tty_audit.so/d' /etc/pam.d/sshd

B3: Thêm dòng lệnh theo cấu trúc trong hai File system-auth và password-auth ở trên vào File /etc/pam.d/sshd:

echo 'session required pam_tty_audit.so enable=username1,...
 
disable=username1,.......' >> /etc/pam.d/sshd

B4: Khởi động lại dịch vụ kiểm toán một lần nữa:

sudo service auditd restart

B5: Tất cả người dùng được chỉ định sẽ được theo dõi và ghi lại hoạt động của họ như khi đăng nhập trực tiếp vào hệ thống.

>> Xem thêm: Kiểm tra hệ thống Linux bằng Công cụ Auditd trên CentOS / RHEL