如何在 RHEL 7 中通过 pam.d 审核 su 访问

如何在 RHEL 7 中通过 pam.d 审核 su 访问

我是一名系统审计员,对 Linux 操作系统的了解非常有限。我目前正在审计一台 RHEL 7 服务器,发现一组用户正在通过 LDAP 进行身份验证,并通过 PAM 使用“su”。我想知道以下文件内容的解释,以及在哪里可以查看他们的访问日志。

etc/pam.d/su

#%PAM-1.0
auth        sufficient  pam_rootok.so
auth           [success=2 default=ignore] pam_succeed_if.so use_uid user notingroup bdbadmin
auth           required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-bdbadmin-access
auth           required pam_wheel.so use_uid group=bdbadmin
auth           [success=2 default=ignore] pam_succeed_if.so use_uid user notingroup wheel
auth           required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-wheel-access
auth           required pam_wheel.so use_uid group=wheel

"# Uncomment the following line to implicitly trust users in the "wheel" group.
"#auth      sufficient  pam_wheel.so trust use_uid
"# Uncomment the following line to require a user to be in the "wheel" group.
"#auth      required    pam_wheel.so use_uid

auth        substack    system-auth
auth        include     postlogin
account     sufficient  pam_succeed_if.so uid = 0 use_uid quiet
account     include     system-auth
password    include     system-auth
session     include     system-auth
session     include     postlogin
session     optional    pam_xauth.so

据我了解,bdbadmin 组中的用户可以进行 su 访问,但我不知道在哪里查找 sudoers 列表或他们的访问日志。

提前致谢。

答案1

欢迎来到StackExchange,特别是超级用户

  1. 访问日志位于/var/log/auth.log,当然只有

  2. 列出给定组的所有成员的命令是成员,如果你的机器上安装了它(默认情况下没有安装),

    members sudo
    

    或者你可以直接解析/etc/组包含相关信息的文件,

    grep /etc/group sudo
    

    你可以用以下方法再次检查

    group UserName
    

查看所有群组用户名属于。

  1. 至于聚丙烯酰胺和文件,你应该知道默认情况下聚丙烯酰胺使用位于的配置文件/etc/pam.conf 除非目录/etc/pam.d/不为空(您的情况),在这种情况下目录内容具有更高的优先级。条目的语法最好通过参考手册来学习这里;此网页第一的讨论语法/etc/pam.conf文件,然后是/etc/pam.d/目录,这略有不同(现在您明白为什么我必须提到上面的区别了)。

如果你对规则集的内容有具体疑问以上内容,在我阅读手册之后,这些问题对我来说似乎相当透明,如果可以的话,我很乐意回答。

相关内容