Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

7.9. 監査用の PAM の設定

7.9.1. pam_tty_audit の設定

Red Hat Enterprise Linux の監査システムは、pam_tty_audit PAM モジュールを使用して、指定したユーザーの TTY 入力の監査を有効または無効にします。監査されたユーザーがログインすると、ユーザーは正確なキー入力を /var/log/audit/audit.log ファイルに pam_tty_audit 記録します。モジュールは auditd デーモンと連携するため、設定前に有効にされていることを確認し pam_tty_auditます。詳細は、監査 サービスの起動」を参照してください。
TTY 監査のユーザー名を指定する場合は、以下の形式で /etc/pam.d/system-auth および enable オプションを使用して disable および /etc/pam.d/password-auth ファイルを変更します。
 session required pam_tty_audit.so disable=username,username2 enable=username
オプションにコンマで区切られたユーザー名を 1 つ以上指定できます。disable または enable オプションを指定すると、同じユーザー名と一致する以前のオプションが上書きされます。TTY 監査を有効にすると、そのユーザーが開始したすべてのプロセスが継承されます。特に、ユーザーがデーモンを再起動する場合は、TTY 監査を有効にし、これらのユーザーの監査が明示的に無効にされていない限り、他のユーザーであっても TTY 入力を監査します。したがって、PAM を使用するほとんどのデーモンでは、を最初のオプション disable=* として使用することが推奨されます。
重要
デフォルトで pam_tty_audit は、TTY パスワードエントリーモードの場合、はキーログを記録しません。以下の方法でオプションと他の log_passwd オプションを追加して、ロギングを再度有効にできます。
 session required pam_tty_audit.so disable=username,username2 enable=username log_passwd 
モジュールを有効にすると、入力は auditd デーモンによって書き込まれた /var/log/audit/audit.log ファイルに記録されます。TTY の監査が最初にバッファーに保存し、レコードを定期的に書き込み、監査されたユーザーがログアウトすると、入力がすぐにログに記録されないことに注意してください。audit.log ファイルには、バックスペース、削除、戻りキー、コントロールキーなど、指定したユーザーが入力する すべて のキーが含まれます。の内容は人間が判読できる形式ですが、aureport ユーティリティーの使用が容易である可能性があります。これにより、TTY レポートが読みやすくなる形式で提供 audit.log されます。以下のコマンドは、root で使用できます。
~]# aureport --tty
以下の例は、すべての端末で root ユーザーのアクション pam_tty_audit を追跡し、入力を確認する方法を示しています。

例7.8 pam_tty_audit で root アクションのログを記録する設定

/etc/pam.d/system-auth および /etc/pam.d/password-auth ファイルの session セクションに以下の行を入力します。
session    required     pam_tty_audit.so disable=* enable=root
aureport --tty コマンドを使用してログを表示します。root ユーザーが TTY コンソールの約 11:00 o'clock にログインし、pwd コマンドを発行しようとしますが、その ls 代わりに削除して発行すると、レポートは以下のようになります。
~]# aureport --tty -ts today | tail			
40. 08/28/2014 11:00:27 901 0 ? 76 bash "pwd",<backspace>,<backspace><backspace>,"ls",<ret>
41. 08/28/2014 11:00:29 903 0 ? 76 bash <^D>
詳細は、pam_tty_audit(8) man ページのを参照してください。