PAM: tty audit
Mediante pam_tty_audit podemos auditar lo que ocurren en una sesión, vamos a ver cómo habilitarlo
Para ello deberemos incluir la siguiente linea en la configuración de sshd de PAM (/etc/pam.d/sshd)
session required pam_tty_audit.so enable=*
Deberemos tener auditd arrancado:
# /etc/init.d/auditd status auditd (pid 1152) is running...
Mediante el comando aureport con la opción –tty:
# aureport --tty TTY Report =============================================== # date time event auid term sess comm data =============================================== (...)
Podremos ver lo que se haya introducido y sobre que proceso, por ejemplo, vemos una sesión bash:
20. 01/06/2016 17:02:37 493 500 ? 3 bash "pwd",<ret> 21. 01/06/2016 17:02:38 495 500 ? 3 bash "cd",<ret> 22. 01/06/2016 17:02:44 499 500 ? 3 bash "ls",<ret> 23. 01/06/2016 17:02:43 497 500 ? 3 bash "cd /tm",<tab>,<ret> 24. 01/06/2016 17:02:47 501 500 ? 3 bash "cat yu",<tab>,<ret> 25. 01/06/2016 17:02:50 503 500 ? 3 bash "cd",<ret> 26. 01/06/2016 17:02:53 505 500 ? 3 bash <up>,<up>,<up>,<up>,<up>,<up>,<up>,<ret>
En el caso que tengamos algún tipo interacción en otro binario también veremos las entradas del usuarios. En el siguiente ejemplo vemos que se hace un yum install y se responde con “y” a si queremos instalarlo:
13. 01/06/2016 16:55:08 481 500 ? 3 bash "yum install a",<backspace>,"man ",<ret> 14. 01/06/2016 16:55:10 483 500 ? 3 yum "y",<nl>
Como vemos, no veremos el resultado del autocompletar, ni del history, pero sí que veremos interacciones con otros binarios que el bash que con un history perderíamos.
Deja un comentario: