pam_ttylog

著者:	A.Yoshiyama <yosshy@debian.or.jp>
バージョン:	1.0.1 (2011/3/29)

はじめに

pam_ttylog とは、ログインシェルの出力を自動的にログファイルに記録する為の PAM モジュールです。拙作の scriptedlogin 2.0.0 のPAM版になります。

従来、セキュリティ等の目的でローカルログインやリモートログインのユーザの操作履歴を取る為に、ユーザのログインシェルの初期実行スクリプト（BASH の .bashrc 等）に script コマンドを埋め込む、カーネルにパッチを当てる、シリアルポートのログプログラムを使用する等のアプローチが取られてきましたが、これらの方法には様々な問題がありました。

カーネルやコマンドにパッチを当てる
- 商用 OS のカーネルやコマンドにパッチを当てて再構築すると、OS のサポートが受けられなくなる
シリアルポートのログプログラムを使用する
- ssh のようなプログラムに対応できない
.bashrc 等で script コマンドを実行する
- 出力された script ログファイルの所有者がログインユーザであるため、ログファイルの参照、改変、削除が容易だった
- 複数の種類のログインシェルがある環境では、script 採取の為の設定が複数箇所に渡る。このため、ユーザがログインシェルを変えた場合、ログ採取未設定のシェルを使用される可能性がある
scriptedlogin を使用する
- プレロードライブラリ方式の scriptedlogin では、OS への依存性が高い上、基本的に全てのプログラムにプレロードされる為、scriptedlogin と同様に main() 以前に実行される事を目的とした他のプレロードライブラリとの衝突の懸念がある

pam_ttylog では、上記の問題を回避する為、/bin/login プログラム実行中の PAM session セクションで script コマンドと同様の環境を整備する方式を採っています。これにより、ログファイルは一般ユーザアカウントのアクセス不可なディレクトリ下に、一般ユーザアカウントが読み書き削除できないパーミッションのファイルとして作成されます。

また、pam_ttylog は PAM モジュール方式を採用しているため、既存の /bin/login や getty、telnet 等、ライブラリ群に一切手を加えないで導入・運用できるようになっています。

実行環境

Linux-PAM を採用している一般的な GNU/Linux システム
- Ubuntu 10.10 で動作確認済み

導入方法

インストールは至ってシンプルです。

ソースアーカイブを展開します。
下記コマンドを実行します:
```
make
su root
make install
```

デフォルトでは、/lib/security 下に pam_ttylog.so 本体、/usr/local/bin 下に操作再生ツール ttylogreplay（script コマンド付属のscriptreplay コマンドの修正版）をインストールします。また、ログファイルは /var/log/pam_ttylog 下に保存されるようになっています。

上記のデフォルト設定を変更したい場合は、Makefile や pam_ttylog.c を修正して下さい。

設定方法

pam_ttylog を使用する為には、各種サービスの PAM 設定ファイルの session セクションで下記のように pam_ttylog を宣言してください。

session optional pam_ttylog.so

動作確認は上記設定を /etc/pam.d/login の末尾に追加して行いました。なお、 login 以外のプログラムの設定ファイルではほとんど試していません（ssh で試した時はダメでした）。

使用上の注意

ログファイルの存在ぐらいは確認しても構いませんが、間違えても現在使用中のシェルのログファイルを cat で表示しないで下さい！無限ループになります。既にログアウトしたシェルの操作履歴なら、内容を表示しても問題ありません。

操作ログファイル

ログファイルは２つあります:

/var/log/pam_ttylog/
  <日付>-<ログイン時刻>-<ユーザ名>-<tty名>：操作ログ
  <日付>-<ログイン時刻>-<ユーザ名>-<tty名>-t：タイミングログ

前者は操作ログそのものです。ざっと操作履歴を確認するためにはこちらの内容を確認して下さい。

後者は前者の出力タイミングを記録したものです（script コマンドの同様の機能と同じ事をしています）。こちらを使用してコンソール操作を「再生」する為には、pam_ttylog に同梱された ttylogreplay コマンドを下記要領で使用します（pam_ttylog と同時にインストールされます）:

ttylogreplay <操作ログ> [<タイミングログ>]

綺麗に表示する為には、ユーザがログインしたターミナル環境と同じ環境で ttylogreplay コマンドを実行する必要があります。

運用上の注意

Important

ユーザのログイン毎にログファイルは増えていきます。ログファイルの整理は怠らないようにして下さい。

制限事項

pam_ttylog は PAM に完全に依存し、/bin/login にある程度依存したツールです。このため、下記のケースではログを採取できません。

ログイン認証に PAM 認証プログラムを使用しない仮想コンソール
GUI ログイン
X 上のターミナル
デフォルト設定の ssh (/etc/ssh/sshd_config の UseLogin オプションを yes に設定して /bin/login を使用すれば、仮想コンソールログインと同様にログが採取できます)

ライセンス

pam_ttylog は script 由来の BSD ライセンス部分と、pam_unix 由来の BSD 似／GNU GPL ver.2(デュアルライセンス)部分がマージされています。この結果、基本的には BSD ライセンスが適用されると考えています。

ttylogreplay は script コマンドの付属ツール、scriptreplay コマンドに手を加えたものです。ライセンスはオリジナルのまま（パブリックドメインの模様）です。

免責表示

pam_ttylog は BSD ライセンスで配布されているフリーソフトウェアです。本プログラムの使用により生じた一切の損害について作者は補償しません。

更新履歴

2011/3/29 : pam_ttylog 1.0.1
- ライセンス表記を修正 (GNU GPL2→BSD)
- README 英語版追加
2011/3/26 : pam_ttylog 1.0.0
- scriptedlogin を PAM に移植
2008/9/21 : scriptedlogin 2.0.0
- script コマンドのログ出力機能を内蔵
2008/9/1 : scriptedlogin 1.0.1
- README 更新
2008/8/31 : scriptedlogin 1.0.0
- 初版リリース