Version vom 10. Oktober 2022, 16:59 Uhr

Grundsätzliches

Pluggable Authentication Modules (PAM) auf Unix-basierten Systemen sind nützlich, um das Anmeldeverhalten zu ändern und die Authentifizierung auf verschiedene Weise zu erzwingen.
Angenommen, während einer Red-Team-Übung wurde ein Linux-Host kompromittiert.
Zuerst erstellen wir ein Bash-Skript, das immer dann aufgerufen wird, wenn eine neue Authentifizierung erfolgt.

#!/bin/sh
echo " $(date) $PAM_USER, $(cat -), From: $PAM_RHOST" >> /var/log/toomanysecrets.log

Die Variablen sind PAM-spezifisch und werden über das Modul pam_exec.so verfügbar=
Hier ist die Bedeutung der Variablen

Die Ergebnisse werden in eine Protokolldatei unter /var/log/toomanysecrets.log geleitet
Um zu verhindern, dass alle Benutzer die Datei lesen, sollten Sie sie vorab erstellen und chmod ausführen, z.

@@ Zeile 7: / Zeile 7: @@
   #!/bin/sh
   echo " $(date) $PAM_USER, $(cat -), From: $PAM_RHOST" >> /var/log/toomanysecrets.log
+;Die Variablen sind PAM-spezifisch und werden über das Modul pam_exec.so verfügbar=
+;Hier ist die Bedeutung der Variablen:
+*$PAM_USER: Der eingegebene Benutzername.
+*$PAM_RHOST: Der Remote-Host (normalerweise die IP-Adresse)
+*$(cat -): Dies liest stdin und enthält das Passwort, das das Skript abruft
+;Die Ergebnisse werden in eine Protokolldatei unter /var/log/toomanysecrets.log geleitet
+;Um zu verhindern, dass alle Benutzer die Datei lesen, sollten Sie sie vorab erstellen und chmod ausführen, z.