Ricerca nel sito web

Come configurare PAM per controllare la registrazione dell'attività dell'utente della shell?

introduzione

Nell'era digitale di oggi, la sicurezza è della massima importanza. L’aumento delle minacce informatiche e delle violazioni dei dati ha dimostrato che nessun sistema è completamente sicuro. Gli amministratori di sistema e i professionisti IT devono adottare misure proattive per proteggere i propri sistemi e dati.

Una di queste misure è l'uso di Pluggable Authentication Modules (PAM) per l'autenticazione degli utenti. PAM è un potente strumento che consente agli amministratori di sistema di personalizzare il processo di autenticazione per i propri sistemi.

Consente l'uso di più metodi di autenticazione, come password, token e dati biometrici, tra gli altri. Questa flessibilità semplifica la gestione dei controlli di accesso da parte degli amministratori e garantisce che solo gli utenti autorizzati possano accedere ai dati sensibili.

Comprendere PAM e Audit

Spiegazione di PAM (Pluggable Authentication Modules)

PAM, o Pluggable Authentication Modules, è una funzionalità di sicurezza nella maggior parte dei sistemi Linux che consente agli amministratori di configurare la modalità di autenticazione degli utenti. Con PAM, gli amministratori possono impostare regole di autenticazione per applicazioni, servizi o componenti di sistema specifici. Ciò aggiunge un ulteriore livello di sicurezza al sistema consentendo agli amministratori di controllare il modo in cui gli utenti accedono e accedono alle risorse.

Panoramica di Auditd (daemon di controllo)

Auditd è il demone di controllo che viene eseguito su sistemi Linux per monitorare vari eventi che si verificano sul sistema. Registra una serie di eventi inclusi eventi del kernel, registri delle applicazioni e chiamate di sistema. Il demone di controllo fornisce informazioni dettagliate sull'attività dell'utente sul sistema, incluso chi ha eseguito quali azioni e quando le ha eseguite.

Come PAM e Auditd collaborano per la registrazione delle attività degli utenti

PAM e Auditd lavorano insieme per fornire una soluzione completa per la registrazione delle attività degli utenti. Quando un utente accede utilizzando PAM, genera un evento di autenticazione registrato da Auditd. Questo evento contiene informazioni su chi ha effettuato l'accesso, cosa ha fatto durante l'accesso e quando si è disconnesso.

Combinando questi due strumenti, gli amministratori possono tenere traccia di tutte le attività degli utenti sul sistema ed essere avvisati di qualsiasi comportamento sospetto. La comprensione generale di questi due strumenti aiuta a capire come viene eseguito il controllo della sicurezza sui sistemi Linux nelle grandi organizzazioni con più utenti che hanno accesso a dati sensibili.

Configurazione di PAM per la registrazione delle attività degli utenti

Installazione dei pacchetti necessari

Prima di configurare PAM per la registrazione delle attività degli utenti, è necessario installare i pacchetti richiesti. I due pacchetti essenziali sono "audit" e "audit-libs". Questi possono essere installati utilizzando il gestore pacchetti della tua distribuzione Linux.

Ad esempio, in CentOS, puoi installare questi pacchetti utilizzando il comando "sudo yum install -y audit audit-libs". Assicurati che entrambi questi pacchetti siano installati prima di procedere con i passaggi successivi.

Modifica del file /etc/pam.d/system-auth

La configurazione per PAM si trova nella directory `/etc/pam.d/` sulla maggior parte delle distribuzioni Linux. Il file che dobbiamo modificare è "system-auth". Questo file contiene le regole di autenticazione applicate ai servizi a livello di sistema come login e sudo.

Per aggiungere la registrazione dell'attività dell'utente, dobbiamo aggiungere una regola per essa. Apri `/etc/pam.d/system-auth` utilizzando il tuo editor di testo preferito.

Individua la riga che inizia con "auth" e aggiungi "required pam_tty_audit.so abilita=always" alla fine di questa riga. Ciò garantirà che ogni autenticazione riuscita verrà registrata da auditd.

Aggiunta di regole di controllo al file

Dobbiamo anche modificare alcune impostazioni nei file di configurazione di Auditd in modo che registri tutte le attività dell'utente in modo appropriato. Apri `/etc/audit/audit.rules` con un editor di testo e aggiungi queste righe alla fine:

## Log all commands run by users. -a always,exit -F arch=b64 -S execve -F uid=0 -F auid!=0 -k root_activity 
-a always,exit -F arch=b32 -S execve -F uid=0 -F auid!=0 -k root_activity 
## Log user login/logout activity. 
-w /var/run/faillock/ -p wa -k logins -w /var/log/tallylog -p wa -k logins

Queste regole registreranno tutti i comandi eseguiti dagli utenti e l'attività di accesso/disconnessione dell'utente. Dopo queste modifiche, salvare il file e uscire dall'editor di testo.

Ora è necessario riavviare il servizio auditd affinché queste impostazioni abbiano effetto. Puoi farlo usando il comando "sudo systemctl restart auditd.service".

Ora abbiamo configurato con successo PAM per la registrazione delle attività degli utenti. Nella sezione successiva configureremo Auditd per la registrazione delle attività degli utenti.

Configurazione di Auditd per la registrazione delle attività degli utenti

Installazione dei pacchetti necessari

Prima di configurare Auditd, dobbiamo innanzitutto installare i pacchetti necessari. L'installazione di questi pacchetti varia a seconda della distribuzione.

In CentOS e RHEL, utilizzare il seguente comando −

sudo yum install audit

Nei sistemi Ubuntu/Debian, puoi utilizzare il seguente comando −

sudo apt-get install auditd

Modifica del file /etc/audit/audit.rules

Dopo aver installato il pacchetto di audit, dobbiamo configurare il suo file di regole. Per impostazione predefinita, registra solo alcuni eventi come le attività di avvio e arresto del sistema. Puoi aggiungere più regole modificando il file /etc/audit/audit.rules per includere regole personalizzate per la registrazione delle attività degli utenti.

Per modificare questo file, esegui −

sudo nano /etc/audit/audit.rules

Aggiunta di regole per registrare l'attività dell'utente

Sono disponibili varie opzioni in Auditd per la registrazione delle attività degli utenti, ad esempio l'accesso o l'uscita da un sistema da parte degli utenti, l'esecuzione di comandi con privilegi sudo e altro ancora. Possiamo aggiungere queste regole aggiungendo righe specifiche nel nostro file audit.rules.

Ad esempio, se vogliamo registrare tutti i comandi eseguiti utilizzando i diritti di accesso sudo, aggiungeremo una regola come segue −

-a always,exit -F path=/usr/bin/sudo -F perm=x -F auid>=1000 -F auid!=4294967295 -k privileged-commands

La riga precedente genererà registri ogni volta che qualcuno esegue il comando "sudo" con privilegi. Allo stesso modo, puoi aggiungere regole diverse in base alle tue esigenze, come il monitoraggio delle modifiche apportate a file o directory critici o il monitoraggio dei tentativi di accesso non riusciti.

, La configurazione di Auditd è solo una parte della configurazione di PAM per il controllo dell'attività dell'utente della shell; tuttavia è una parte essenziale del processo.

Seguendo i passaggi sopra descritti, puoi assicurarti di aver configurato il tuo sistema per registrare tutte le attività utente necessarie. Pertanto, tieni presente che un'attenta configurazione di PAM e Auditd è fondamentale per monitorare l'attività dell'utente e mantenere un sistema sicuro.

Test della registrazione delle attività degli utenti

Una volta che PAM e Auditd sono stati configurati correttamente per registrare l'attività dell'utente, è importante testare la registrazione per assicurarsi che funzioni correttamente. Questa sezione tratterà il processo passo passo di creazione di utenti e attività di prova e di controllo dei log per garantire la corretta registrazione.

Creazione di utenti e attività di test

Il primo passo nel testare la registrazione delle attività degli utenti è creare utenti di prova ed eseguire varie attività sul sistema come tali utenti. Questo processo ti consentirà di vedere come PAM e Auditd registrano le varie azioni eseguite da diversi utenti sul sistema.

Per creare un utente di prova, utilizza il comando 'useradd' seguito da un nome utente a tua scelta. Ad esempio −

$ sudo useradd -m testuser1

Dopo aver creato un utente di prova, passa a quell'account utente utilizzando "su" o "sudo", quindi esegui varie attività come l'apertura di file, l'esecuzione di comandi o la modifica delle impostazioni di sistema.

Controllo dei registri per garantire la corretta registrazione

Dopo aver eseguito varie attività come utenti diversi sul sistema, è il momento di verificare se PAM e Auditd hanno registrato correttamente queste azioni. Utilizzare il seguente comando −

$ sudo ausearch -ua <username>

Questo comando visualizzerà tutti i record di controllo associati a un nome utente specifico. Inoltre, puoi anche visualizzare i log utilizzando "journalctl" o un editor di testo come "nano". L'esame dei log in questo modo può aiutare a identificare eventuali errori o lacune nella registrazione.

Conclusione

La corretta configurazione di PAM per la registrazione delle attività degli utenti è fondamentale per mantenere elevati standard di sicurezza. Come abbiamo discusso, PAM fornisce un modo eccellente per proteggere il nostro sistema e, se combinato con Auditd, può registrare ogni attività di un utente della shell.

In questo articolo abbiamo imparato come configurare PAM per la registrazione delle attività degli utenti e come configurare Auditd per lo stesso scopo. Abbiamo anche esaminato come possiamo verificare se le nostre impostazioni funzionano correttamente.

Articoli correlati: