Wie kann ich den Zugriff über pam.d in RHEL 7 überprüfen?

575
Faizan Farooqi

Ich bin ein Systemauditor mit sehr geringen Linux-Kenntnissen. Ich überprüfe derzeit einen RHEL 7-Server und habe festgestellt, dass sich eine Gruppe von Benutzern über LDAP authentifiziert und "su" über PAM verwendet. Ich würde gerne wissen, wie der folgende Inhalt der Datei interpretiert wird und wo ich deren Zugriffsprotokolle einsehen kann.

etc/pam.d/su  #%PAM-1.0 auth sufficient pam_rootok.so auth [success=2 default=ignore] pam_succeed_if.so use_uid user notingroup bdbadmin auth required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-bdbadmin-access auth required pam_wheel.so use_uid group=bdbadmin auth [success=2 default=ignore] pam_succeed_if.so use_uid user notingroup wheel auth required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-wheel-access auth required pam_wheel.so use_uid group=wheel  "# Uncomment the following line to implicitly trust users in the "wheel" group. "#auth sufficient pam_wheel.so trust use_uid "# Uncomment the following line to require a user to be in the "wheel" group. "#auth required pam_wheel.so use_uid  auth substack system-auth auth include postlogin account sufficient pam_succeed_if.so uid = 0 use_uid quiet account include system-auth password include system-auth session include system-auth session include postlogin session optional pam_xauth.so 

Nach meinem Verständnis dürfen die Benutzer in der Gruppe bdbadmin Zugriff haben, aber ich weiß nicht, wo sie nach einer Sudoers-Liste oder ihren Zugriffsprotokollen suchen müssen.

Danke im Voraus.

0

1 Antwort auf die Frage

0
MariusMatutiae

Willkommen bei StackExchange und insbesondere bei SuperUser .

  1. Das Zugriffsprotokoll befindet sich in /var/log/auth.log und kann natürlich nur von root angezeigt werden .

  2. Der Befehl zum Auflisten aller Mitglieder einer bestimmten Gruppe sind Mitglieder, wenn sie auf Ihrem Computer installiert sind (dies ist nicht standardmäßig).

    members sudo 

    oder Sie können die Datei / etc / group, die die relevanten Informationen enthält, direkt parsen.

    grep /etc/group sudo 

    und Sie können das mit überprüfen

    group UserName 

Um alle Gruppen zu sehen, zu denen UserName gehört.

  1. Was PAM und die Datei su angeht, sollten Sie wissen, dass PAM standardmäßig eine Konfigurationsdatei in /etc/pam.conf verwendet, es sei denn, das Verzeichnis /etc/pam.d/ ist nicht leer (Ihr Fall), in diesem Fall das Verzeichnis Inhalt hat höhere Priorität. Die Syntax der Einträge wird am besten durch Bezugnahme auf das Handbuch hier gelernt . Diese Webseite behandelt zuerst die Syntax der Datei /etc/pam.conf, dann die des Verzeichnisses /etc/pam.d/, das sich geringfügig unterscheidet (und nun sehen Sie, warum ich den Unterschied oben erwähnen musste).

Wenn Sie eine bestimmte Frage über den Inhalt des ruleset in haben su oben, die nach dem Lesen der Bedienungsanleitung mir ganz durchsichtig erscheint, werde ich glücklich sein, sie zu beantworten, wenn ich kann.