Как я могу проверить доступ su через pam.d в RHEL 7

646
Faizan Farooqi

Я системный аудитор с очень ограниченными знаниями ОС Linux. В настоящее время я проверяю сервер RHEL 7 и обнаружил, что группа пользователей проходит аутентификацию через LDAP и использует 'su' через PAM. Я хотел бы знать интерпретацию следующего содержимого файла и где я могу просмотреть их журналы доступа.

etc/pam.d/su  #%PAM-1.0 auth sufficient pam_rootok.so auth [success=2 default=ignore] pam_succeed_if.so use_uid user notingroup bdbadmin auth required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-bdbadmin-access auth required pam_wheel.so use_uid group=bdbadmin auth [success=2 default=ignore] pam_succeed_if.so use_uid user notingroup wheel auth required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-wheel-access auth required pam_wheel.so use_uid group=wheel  "# Uncomment the following line to implicitly trust users in the "wheel" group. "#auth sufficient pam_wheel.so trust use_uid "# Uncomment the following line to require a user to be in the "wheel" group. "#auth required pam_wheel.so use_uid  auth substack system-auth auth include postlogin account sufficient pam_succeed_if.so uid = 0 use_uid quiet account include system-auth password include system-auth session include system-auth session include postlogin session optional pam_xauth.so

Насколько я понимаю, пользователям из группы bdbadmin разрешен доступ su, но я не знаю, где искать список sudoers или их журналы доступа.

Заранее спасибо.

0

1 ответ на вопрос

0
MariusMatutiae

Добро пожаловать в StackExchange, и в частности в SuperUser .

  1. Журнал доступа находится в /var/log/auth.log, и, конечно, его может просматривать только пользователь root .

  2. Команда для перечисления всех членов данной группы является членами, если она установлена ​​на вашем компьютере (это не по умолчанию),

    members sudo

    или вы можете напрямую проанализировать файл / etc / group, который содержит соответствующую информацию,

    grep /etc/group sudo

    и вы можете перепроверить это с 

    group UserName

чтобы увидеть все группы, к которым принадлежит UserName .

  1. Что касается PAM и файла su, вы должны знать, что по умолчанию PAM использует файл конфигурации, расположенный в /etc/pam.conf, если каталог /etc/pam.d/ не является пустым (ваш случай), и в этом случае каталог содержание имеет более высокий приоритет. Синтаксис записей лучше всего узнать, обратившись к руководству здесь ; на этой веб-странице сначала обсуждается синтаксис файла /etc/pam.conf, а затем синтаксис каталога /etc/pam.d/, который несколько отличается (и теперь вы понимаете, почему я должен был упомянуть разницу выше).

Если у вас есть конкретный вопрос о содержании набора правил в su выше, который после прочтения Руководства кажется мне совершенно прозрачным, я буду рад ответить на него, если смогу.

Похожие вопросы