Назад | Перейти на главную страницу

auditctl - вход, когда пользователь выходит из системы

Можно ли войти, когда пользователь выходит из сеанса в Linux с помощью Auditctl?

Мой нынешний audit.rules к пользователям относятся:

-w /etc/login.defs -p xwa -k login
-w /etc/securetty -p xwa -k login
-w /var/log/faillog -p xwa -k login
-w /var/log/lastlog -p xwa -k login
-w /var/log/tallylog -p xwa -k login
-w /var/log/secure -p xwa -k login

Я не вижу ничего очевидного в /var/log что я могу посмотреть, поэтому я предполагаю, что это потребует дополнительной настройки?

Это очень сильно зависит от того, какую ОС / дистрибутив вы используете:

  • Fedora 20 и RHEL7 используют systemd, поэтому все действия входа / выхода можно просмотреть с помощью journalctl:

    Jul 17 11:14:08 pris.crapsteak.org login[23256]: pam_unix(login:session): session opened for user root by LOGIN(uid=0)
    Jul 17 11:14:08 pris.crapsteak.org login[23256]: ROOT LOGIN ON tty2
    Jul 17 11:14:26 pris.crapsteak.org login[23256]: pam_unix(login:session): session closed for user root
    
  • В RHEL6 эти действия регистрируются в /var/log/auth.log.

Для конфигурации, специфичной для auditd, посмотрите отличное введение в систему аудита от Скотта Пакиз примера конфигурации в этой статье:

-w /var/run/utmp -p wa -k session
-w /var/log/wtmp -p wa -k session
-w /var/log/btmp -p wa -k session

Следующие три файла (utmp, wtmp, btmp) хранят текущее состояние входа каждого пользователя, историю входа / выхода и неудачные попытки входа соответственно. Таким образом, их мониторинг будет сообщать нам всякий раз, когда используется учетная запись или неудачная попытка входа в систему, или, более конкретно, всякий раз, когда эти файлы будут изменены, что будет включать злонамеренное скрытие следов.