Я системный аудитор с очень ограниченными знаниями ОС Linux. В настоящее время я проверяю сервер RHEL 7 и обнаружил, что группа пользователей проходит аутентификацию через LDAP и использует 'su' через PAM. Я хотел бы знать интерпретацию следующего содержимого файла и где я могу просмотреть их журналы доступа.

etc/pam.d/su

#%PAM-1.0
auth        sufficient  pam_rootok.so
auth           [success=2 default=ignore] pam_succeed_if.so use_uid user notingroup bdbadmin
auth           required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-bdbadmin-access
auth           required pam_wheel.so use_uid group=bdbadmin
auth           [success=2 default=ignore] pam_succeed_if.so use_uid user notingroup wheel
auth           required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-wheel-access
auth           required pam_wheel.so use_uid group=wheel

"# Uncomment the following line to implicitly trust users in the "wheel" group.
"#auth      sufficient  pam_wheel.so trust use_uid
"# Uncomment the following line to require a user to be in the "wheel" group.
"#auth      required    pam_wheel.so use_uid

auth        substack    system-auth
auth        include     postlogin
account     sufficient  pam_succeed_if.so uid = 0 use_uid quiet
account     include     system-auth
password    include     system-auth
session     include     system-auth
session     include     postlogin
session     optional    pam_xauth.so

Насколько я понимаю, пользователям группы bdbadmin разрешен доступ su, но я не знаю, где искать список sudoers или их журналы доступа.

Заранее спасибо.

|источник

1 ответ1

0

Добро пожаловать в StackExchange, и в частности в SuperUser.

  1. Журнал доступа находится в /var/log/auth.log, и, конечно, его может просматривать только пользователь root.

  2. Команда для перечисления всех членов данной группы является членами, если она установлена на вашем компьютере (это не по умолчанию),

    members sudo

    или вы можете напрямую проанализировать файл /etc/group, который содержит соответствующую информацию,

    grep /etc/group sudo

    и вы можете перепроверить это с 

    group UserName

чтобы увидеть все группы, к которым принадлежит UserName .

  1. Что касается PAM и файла su, вы должны знать, что по умолчанию PAM использует файл конфигурации, расположенный в /etc/pam.conf, если каталог /etc/pam.d/ не является пустым (ваш случай), и в этом случае каталог содержание имеет более высокий приоритет. Синтаксис записей лучше всего узнать, обратившись к руководству здесь ; на этой веб-странице сначала обсуждается синтаксис файла /etc/pam.conf, а затем синтаксис каталога /etc/pam.d/, который несколько отличается (и теперь вы понимаете, почему я должен был упомянуть разницу выше).

Если у вас есть конкретный вопрос о содержании набора правил в su выше, который после прочтения Руководства кажется мне совершенно прозрачным, я буду рад ответить на него, если смогу.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .