Security

auditctl - 使用者註銷時記錄

  • July 17, 2014

當使用者使用 Auditctl 在 Linux 上註銷會話時是否可以記錄?

我目前audit.rules與使用者相關的是:

-w /etc/login.defs -p xwa -k login
-w /etc/securetty -p xwa -k login
-w /var/log/faillog -p xwa -k login
-w /var/log/lastlog -p xwa -k login
-w /var/log/tallylog -p xwa -k login
-w /var/log/secure -p xwa -k login

我看不到任何明顯的東西/var/log,所以我認為這需要更多配置?

這在很大程度上取決於您使用的作業系統/發行版:

  • Fedora 20 和 RHEL7 使用systemd,因此可以使用以下命令查看所有登錄/註銷操作journalctl
Jul 17 11:14:08 pris.crapsteak.org login[23256]: pam_unix(login:session): session opened for user root by LOGIN(uid=0)
Jul 17 11:14:08 pris.crapsteak.org login[23256]: ROOT LOGIN ON tty2
Jul 17 11:14:26 pris.crapsteak.org login[23256]: pam_unix(login:session): session closed for user root
  • 在 RHEL6 中,這些操作被記錄到/var/log/auth.log.

對於特定於 的配置auditd,請查看Scott Pack 對審計系統的精彩介紹,來自該文章中的範例配置:

-w /var/run/utmp -p wa -k session
-w /var/log/wtmp -p wa -k session
-w /var/log/btmp -p wa -k session

接下來的三個文件(utmp、wtmp、btmp)分別儲存每個使用者的目前登錄狀態、登錄/註銷歷史和失敗的登錄嘗試。因此,監控這些將讓我們知道任何時候使用帳戶,或登錄嘗試失敗,或者更具體地說,每當這些文件被更改時,包括惡意覆蓋軌道。

引用自:https://serverfault.com/questions/613267