7.9. 監査用の PAM の設定
7.9.1. pam_tty_audit の設定
Red Hat Enterprise Linux の監査システムは、
pam_tty_audit
PAM モジュールを使用して、指定したユーザーの TTY 入力の監査を有効または無効にします。監査されたユーザーがログインすると、ユーザーは正確なキー入力を /var/log/audit/audit.log
ファイルに pam_tty_audit
記録します。モジュールは auditd
デーモンと連携するため、設定前に有効にされていることを確認し pam_tty_audit
ます。詳細は、「監査
サービスの起動」を参照してください。
TTY 監査のユーザー名を指定する場合は、以下の形式で
/etc/pam.d/system-auth
および enable
オプションを使用して disable
および /etc/pam.d/password-auth
ファイルを変更します。
session required pam_tty_audit.so disable=username,username2 enable=username
オプションにコンマで区切られたユーザー名を 1 つ以上指定できます。
disable
または enable
オプションを指定すると、同じユーザー名と一致する以前のオプションが上書きされます。TTY 監査を有効にすると、そのユーザーが開始したすべてのプロセスが継承されます。特に、ユーザーがデーモンを再起動する場合は、TTY 監査を有効にし、これらのユーザーの監査が明示的に無効にされていない限り、他のユーザーであっても TTY 入力を監査します。したがって、PAM を使用するほとんどのデーモンでは、を最初のオプション disable=*
として使用することが推奨されます。
重要
デフォルトで
pam_tty_audit
は、TTY が パスワードエントリーモードの場合、はキーログを記録しません。以下の方法でオプションと他の log_passwd
オプションを追加して、ロギングを再度有効にできます。session required pam_tty_audit.so disable=username,username2 enable=username log_passwd
モジュールを有効にすると、入力は
auditd
デーモンによって書き込まれた /var/log/audit/audit.log
ファイルに記録されます。TTY の監査が最初にバッファーに保存し、レコードを定期的に書き込み、監査されたユーザーがログアウトすると、入力がすぐにログに記録されないことに注意してください。audit.log
ファイルには、バックスペース、削除、戻りキー、コントロールキーなど、指定したユーザーが入力する すべて のキーが含まれます。の内容は人間が判読できる形式ですが、aureport ユーティリティーの使用が容易である可能性があります。これにより、TTY レポートが読みやすくなる形式で提供 audit.log
されます。以下のコマンドは、root で使用できます。
~]# aureport --tty
以下の例は、すべての端末で
root
ユーザーのアクション pam_tty_audit
を追跡し、入力を確認する方法を示しています。
例7.8 pam_tty_audit で root アクションのログを記録する設定
/etc/pam.d/system-auth
および /etc/pam.d/password-auth
ファイルの session
セクションに以下の行を入力します。
session required pam_tty_audit.so disable=* enable=root
aureport --tty コマンドを使用してログを表示します。
root
ユーザーが TTY コンソールの約 11:00 o'clock にログインし、pwd コマンドを発行しようとしますが、その ls 代わりに削除して発行すると、レポートは以下のようになります。
~]# aureport --tty -ts today | tail
40. 08/28/2014 11:00:27 901 0 ? 76 bash "pwd",<backspace>,<backspace><backspace>,"ls",<ret>
41. 08/28/2014 11:00:29 903 0 ? 76 bash <^D>
詳細は、
pam_tty_audit(8)
man ページのを参照してください。