PAM: tty audit

Mediante pam_tty_audit podemos auditar lo que ocurren en una sesión, vamos a ver cómo habilitarlo

Para ello deberemos incluir la siguiente linea en la configuración de sshd de PAM (/etc/pam.d/sshd)

session required pam_tty_audit.so enable=*

Deberemos tener auditd arrancado:

# /etc/init.d/auditd status
auditd (pid  1152) is running...

Mediante el comando aureport con la opción –tty:

# aureport --tty

TTY Report
===============================================
# date time event auid term sess comm data
===============================================
(...)

Podremos ver lo que se haya introducido y sobre que proceso, por ejemplo, vemos una sesión bash:

20. 01/06/2016 17:02:37 493 500 ? 3 bash "pwd",<ret>
21. 01/06/2016 17:02:38 495 500 ? 3 bash "cd",<ret>
22. 01/06/2016 17:02:44 499 500 ? 3 bash "ls",<ret>
23. 01/06/2016 17:02:43 497 500 ? 3 bash "cd /tm",<tab>,<ret>
24. 01/06/2016 17:02:47 501 500 ? 3 bash "cat yu",<tab>,<ret>
25. 01/06/2016 17:02:50 503 500 ? 3 bash "cd",<ret>
26. 01/06/2016 17:02:53 505 500 ? 3 bash <up>,<up>,<up>,<up>,<up>,<up>,<up>,<ret>

En el caso que tengamos algún tipo interacción en otro binario también veremos las entradas del usuarios. En el siguiente ejemplo vemos que se hace un yum install y se responde con “y” a si queremos instalarlo:

13. 01/06/2016 16:55:08 481 500 ? 3 bash "yum install a",<backspace>,"man ",<ret>
14. 01/06/2016 16:55:10 483 500 ? 3 yum "y",<nl>

Como vemos, no veremos el resultado del autocompletar, ni del history, pero sí que veremos interacciones con otros binarios que el bash que con un history perderíamos.