Home
  •  

Sudo non valido (AIX 7)

Microsoft.ACS.AIX.7.Sudo.Invalid (Rule)

Regola per raccogliere gli eventi per nessun privilegio per le operazioni di sudo

Knowledge Base article:

Riepilogo

Nei file di registro di sistema è stato rilevato un comando "sudo" non valido.

Cause

L'utente ha tentato di ottenere l'accesso agli account con privilegi. Questo monitoraggio consente agli amministratori di sistema di tenere traccia dell'utilizzo di "sudo".

Risoluzioni

La descrizione dell'avviso e/o l'elemento dati di output contiene informazioni sull'evento rilevato. Se l'attività appare sospetta, controllare i dettagli sull'evento associato e altri eventi verificatisi alla stessa ora di questo.

Element properties:

TargetMicrosoft.ACS.AIX.7.ACSEndPoint
CategoryEventCollection
EnabledFalse
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
WA WriteAction Microsoft.ACS.Unix.SecureEventLogWriter Default

Source Code:

<Rule ID="Microsoft.ACS.AIX.7.Sudo.Invalid" Enabled="false" Target="Microsoft.ACS.AIX.7.ACSEndPoint" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>

      <LogFile>/var/log/syslog.log</LogFile>

      <!--

                 Note: We need SUDO version 1.6.9p17-1 or later to capture this rule.  Prior versions give a an error like the following if the user isn't allowed to access sudo:

                 

                 Oct  5 10:35:03 scxomd-aix7-01 auth|security:alert sudo:  jeffcof : parse error in /etc/sudoers near line -1 ; TTY=pts/2 ; PWD=/home/jeffcof ; USER=root ; COMMAND=/usr/bin/ls

            -->

      <!-- [TYPE] AIX SUDO False -->

      <!-- [INPUT] Oct  5 10:59:44 scxomd-aix7-01 auth|security:alert sudo:  jeffcof : user NOT in sudoers ; TTY=pts/2 ; PWD=/home/jeffcof ; USER=root ; COMMAND=/usr/bin/ls -->

      <!-- [EXPECTED] date="Oct  5 10:59:44"; hostname="scxomd-aix7-01"; process="sudo"; clientUser="root"; user="jeffcof"; sessionName="/usr/bin/ls" -->

      <!-- [INPUT] Oct  5 11:04:49 scxomd-aix7-01 auth|security:alert sudo:  jeffcof : user NOT in sudoers ; TTY=pts/2 ; PWD=/home/jeffcof ; USER=root ; COMMAND=/usr/bin/ls -lR -->

      <!-- [EXPECTED] date="Oct  5 11:04:49"; hostname="scxomd-aix7-01"; process="sudo"; clientUser="root"; user="jeffcof"; sessionName="/usr/bin/ls -lR" -->

      <RegExpFilter>sudo:[[:space:]]*[^[:space:]]+[[:space:]]*: user NOT in sudoers ; TTY=.* ; USER=[^[:space:]]+ ; COMMAND=.+</RegExpFilter>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">

      <RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+).+ (?'process'sudo):\s*(?'user'\S+)\s*: user NOT in sudoers ; TTY=.* ; USER=(?'clientUser'\S+) ; COMMAND=(?'sessionName'.+)</RegExp>

      <EventType>0</EventType>

      <EventId>27003</EventId>

    </WriteAction>

  </WriteActions>

</Rule>