Можно ли войти, когда пользователь выходит из сеанса в Linux с помощью Auditctl?
Мой нынешний audit.rules
к пользователям относятся:
-w /etc/login.defs -p xwa -k login
-w /etc/securetty -p xwa -k login
-w /var/log/faillog -p xwa -k login
-w /var/log/lastlog -p xwa -k login
-w /var/log/tallylog -p xwa -k login
-w /var/log/secure -p xwa -k login
Я не вижу ничего очевидного в /var/log
что я могу посмотреть, поэтому я предполагаю, что это потребует дополнительной настройки?
Это очень сильно зависит от того, какую ОС / дистрибутив вы используете:
Fedora 20 и RHEL7 используют systemd
, поэтому все действия входа / выхода можно просмотреть с помощью journalctl
:
Jul 17 11:14:08 pris.crapsteak.org login[23256]: pam_unix(login:session): session opened for user root by LOGIN(uid=0)
Jul 17 11:14:08 pris.crapsteak.org login[23256]: ROOT LOGIN ON tty2
Jul 17 11:14:26 pris.crapsteak.org login[23256]: pam_unix(login:session): session closed for user root
В RHEL6 эти действия регистрируются в /var/log/auth.log
.
Для конфигурации, специфичной для auditd
, посмотрите отличное введение в систему аудита от Скотта Пакиз примера конфигурации в этой статье:
-w /var/run/utmp -p wa -k session
-w /var/log/wtmp -p wa -k session
-w /var/log/btmp -p wa -k session
Следующие три файла (utmp, wtmp, btmp) хранят текущее состояние входа каждого пользователя, историю входа / выхода и неудачные попытки входа соответственно. Таким образом, их мониторинг будет сообщать нам всякий раз, когда используется учетная запись или неудачная попытка входа в систему, или, более конкретно, всякий раз, когда эти файлы будут изменены, что будет включать злонамеренное скрытие следов.