auditctl - registrando quando um usuário efetua logout

2

É possível registrar quando um usuário faz logout de uma sessão no Linux usando o Auditctl?

Meus audit.rules atuais relacionados aos usuários são:

-w /etc/login.defs -p xwa -k login
-w /etc/securetty -p xwa -k login
-w /var/log/faillog -p xwa -k login
-w /var/log/lastlog -p xwa -k login
-w /var/log/tallylog -p xwa -k login
-w /var/log/secure -p xwa -k login

Eu não consigo ver nada óbvio em /var/log que eu possa assistir, então eu suponho que isso vai precisar de mais alguma configuração?

    
por Kiksy 17.07.2014 / 11:09

1 resposta

1

Isso depende muito de qual distribuição / sistema operacional você está usando:

  • O Fedora 20 e o RHEL7 usam systemd , então todas as ações de login / logout podem ser visualizadas usando journalctl :

    Jul 17 11:14:08 pris.crapsteak.org login[23256]: pam_unix(login:session): session opened for user root by LOGIN(uid=0)
    Jul 17 11:14:08 pris.crapsteak.org login[23256]: ROOT LOGIN ON tty2
    Jul 17 11:14:26 pris.crapsteak.org login[23256]: pam_unix(login:session): session closed for user root
    
  • No RHEL6, essas ações são registradas em /var/log/auth.log .

Para uma configuração específica para auditd , confira a excelente introdução à auditoria sistema por Scott Pack , a partir da configuração de exemplo nesse artigo:

-w /var/run/utmp -p wa -k session
-w /var/log/wtmp -p wa -k session
-w /var/log/btmp -p wa -k session

The next three files (utmp, wtmp, btmp) store the current login state of each user, login/logout history, and failed login attempts respectively. So monitoring these will let us know any time an account is used, or failed login attempt, or more specifically whenever these files get changed which will include malicious covering of tracks.

    
por 17.07.2014 / 11:23