Auditando usuários com PAM usando o Aureport do Audit

Publicado por Clandestine em 18/10/2021

[ Hits: 1.262 ]

2 0

Denuncie Favoritos Indicar Impressora

Auditando usuários com PAM usando o Aureport do Audit

Para quem não sabe o PAM possui ótimos módulos que podem auxiliar na auditoria de usuários de forma simples e nativamente, em nossa dica vamos usar o módulo pam_tty_audit.

Para nosso lab vamos usar o CentOS 7.9, porém para outras distribuições é a mesma configuração.

# cat /etc/redhat-release
CentOS Linux release 7.9.2009 (Core)

Criamos o usuário clandestine para teste.

# id clandestine
uid=1000(clandestine) gid=1000(clandestine) grupos=1000(clandestine)

Editamos o arquivo /etc/pam.d/system-auth e adicionamos a linha abaixo no fim do arquivo.

session required pam_tty_audit.so disable=* enable=clandestine log_passwd

Muito fácil de entender a sintaxe, desabilitamos o pam audit para todos os usuários e habilitamos somente para o usuário clandestine junto com a opção log_passwd (função semelhante keylogger).

Você pode passar mais usuários se quiser, basta passar depois da vírgula.

session required pam_tty_audit.so disable=* enable=clandestine,behemoth log_passwd

Prova de Conceito

Vamos executar alguns comandos com o usuário auditado.

# su - clandestine
Último login:Sáb Out 9 08:58:17 EDT 2021em pts/0

touch demonio_do_pantano
ls -lrt demo* ; df -h ; ls -lrt ; rm -rf demo
passwd
Changing password for user clandestine. Changing password for clandestine. (current) UNIX password:

Agora vamos ver os comandos efetuados pelo modulo do PAM, inclusive a senha digitada, para isso vamos usar o comando aureport do serviço audit linux.

# aureport --tty
TTY Report =============================================== # date time event auid term sess comm data =============================================== 1. 09-10-2021 08:45:58 152 0 ? 2 bash "ls ",<ret>,"touch ",<backspace>,"h demonio_do ",<backspace>,"_pantano",<ret>,<ret>,<ret>,"ls -lrt demo",<tab>,<ret>,"exit ",<ret> 2. 09-10-2021 08:47:42 159 0 ? 2 bash "df -h ",<ret>,"ls -lrt ",<ret>,"rm -rf demo",<tab>,<ret>,<ret> 3. 09-10-2021 08:58:24 168 0 ? 2 passwd "toor",<nl>

Isso foi apenas um pequeno exemplo do que podemos usar nativamente, sem a recorrer a essas ferramentas pagas de mercado, para quem quiser entender um pouco como funciona o audit vou deixar o link do meu outro artigo.

Abraços pessoal.

Referências

man pam_tty_audit
[1] Análise de Atividades Suspeitas com Audit [Artigo]

Outras dicas deste autor

SUSE Security Checker

Leitura recomendada

Impedindo usuário de logar

Regras para bloqueio de NetBios do Windows

Nova versão do sshtrix liberada! Mais uma ferramenta para Brute force

Instalação de Módulo de Segurança para Caixa e BB no Slackware Current - Warsaw

Atualização de segurança no EPIC4

Comentários

[1] Comentário enviado por maurixnovatrento em 18/10/2021 - 12:37h

Boa dica.

___________________________________________________________
[code]Conhecimento não se Leva para o Túmulo.
https://github.com/MauricioFerrari-NovaTrento [/code]

0 0