PAM (Pluggable Authentication Modules) Günlükleri

PAM (Pluggable Authentication Modules): Servislere göre farklı kimlik denetleme yöntemleri belirleyebilmeyi sağlayan bir sistemdir. Eski Linux sistemlerde “su”,” login”, “passwd” gibi bir program kullanıcının kimlik doğrulamasını yapmak istediğinde gerekli bilgiye /etc/passwd altındaki dosyadan ulaşırdı.

PAM_Unix’den gelen kayıtlar, işletim sistemine bağlı olarak farklı formatlarda olabilir. Ayrışırken çok fazla sorun yaratabilir.

Mevcut Formatlar:

process_name(pam_unix)[pid]:
process_name[pid]: (pam_unix)
process_name: pam_unix(process_name):

Başarılı Giriş:

Jul  7 10:51:24 srbarriga su(pam_unix)[14592]: session opened for user test2 by (uid=10101)
Jul  7 10:52:14 srbarriga sshd(pam_unix)[17365]: session opened for user test by (uid=508)
Nov 17 21:41:22 localhost su[8060]: (pam_unix) session opened for user root by (uid=0)
Nov 11 22:46:29 localhost vsftpd: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=1.2.3.4

Oturum Kapatıldı:

Jul  7 10:53:07 srbarriga su(pam_unix)[14592]: session closed for user test

Giriş Hatalı:

Jul  7 10:55:56 srbarriga sshd(pam_unix)[16660]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=192.168.20.111  user=root
Jul  7 10:59:12 srbarriga vsftpd(pam_unix)[25073]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=192.168.20.111

Geçersiz Kullanıcı Girişi Denemesi:

Jul  7 10:59:49 srbarriga vsftpd(pam_unix)[25073]: check pass; user unknown

Kaynaklar:
http://bidb.itu.edu.tr/eskiler/seyirdefteri/blog/2013/09/06/pam-(eklemlenebilen-kimlik-kanıtlama-modülleri)
https://ossec-docs.readthedocs.io/en/latest/log_samples/

Site Footer