systemadmin.es > Seguridad > PAM: tty audit

PAM: tty audit

Mediante pam_tty_audit podemos auditar lo que ocurren en una sesión, vamos a ver cómo habilitarlo

Para ello deberemos incluir la siguiente linea en la configuración de sshd de PAM (/etc/pam.d/sshd)

session required pam_tty_audit.so enable=*

Deberemos tener auditd arrancado:

# /etc/init.d/auditd status
auditd (pid  1152) is running...

Mediante el comando aureport con la opción –tty:

# aureport --tty

TTY Report
===============================================
# date time event auid term sess comm data
===============================================
(...)

Podremos ver lo que se haya introducido y sobre que proceso, por ejemplo, vemos una sesión bash:

20. 01/06/2016 17:02:37 493 500 ? 3 bash "pwd",
21. 01/06/2016 17:02:38 495 500 ? 3 bash "cd",
22. 01/06/2016 17:02:44 499 500 ? 3 bash "ls",
23. 01/06/2016 17:02:43 497 500 ? 3 bash "cd /tm",,
24. 01/06/2016 17:02:47 501 500 ? 3 bash "cat yu",,
25. 01/06/2016 17:02:50 503 500 ? 3 bash "cd",
26. 01/06/2016 17:02:53 505 500 ? 3 bash ,,,,,,,

En el caso que tengamos algún tipo interacción en otro binario también veremos las entradas del usuarios. En el siguiente ejemplo vemos que se hace un yum install y se responde con “y” a si queremos instalarlo:

13. 01/06/2016 16:55:08 481 500 ? 3 bash "yum install a",,"man ",
14. 01/06/2016 16:55:10 483 500 ? 3 yum "y",

Como vemos, no veremos el resultado del autocompletar, ni del history, pero sí que veremos interacciones con otros binarios que el bash que con un history perderíamos.

Deja un comentario:

XHTML - Tags permitidos:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>