Home
  •  

Cambio de contraseña correcto de usuario que no es raíz (SUSE Linux Enterprise Server 11)

Microsoft.ACS.Linux.SLES.11.Password.Change.From.User.Succeeded (Rule)

Regla para recopilar eventos de cambio de contraseña correctos desde un usuario que no es raíz

Knowledge Base article:

Resumen

Se ha detectado una operación correcta de cambio de contraseña de una cuenta de usuario en los archivos de registro del sistema.

Causas

Se cambió correctamente una contraseña en el sistema. Este monitor permite a los administradores del sistema realizar un seguimiento de los cambios de contraseñas.

Resoluciones

La descripción de la alerta y/o el elemento de datos de salida contiene información sobre el evento detectado. Si la actividad parece sospechosa, compruebe los detalles de los eventos asociados, así como cualquier otro evento ocurrido aproximadamente a la hora de este evento.

Element properties:

TargetMicrosoft.ACS.Linux.SLES.11.ACSEndPoint
CategoryEventCollection
EnabledTrue
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
WA WriteAction Microsoft.ACS.Unix.SecureEventLogWriter Default

Source Code:

<Rule ID="Microsoft.ACS.Linux.SLES.11.Password.Change.From.User.Succeeded" Enabled="true" Target="Microsoft.ACS.Linux.SLES.11.ACSEndPoint" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>

      <LogFile>/var/log/messages</LogFile>

      <!-- [TYPE] SUSE Password True -->

      <!-- [INPUT] Oct 19 09:58:36 scxcr-sles11-03 passwd[5589]: password changed - account=jeffcof, uid=1005, by=1005 -->

      <!-- [EXPECTED] date="Oct 19 09:58:36"; hostname="scxcr-sles11-03"; process="passwd"; processId="5589"; user="jeffcof"; clientUser="jeffcof" -->

      <RegExpFilter>\s+passwd\[[[:digit:]]+\]: password changed - account=\S+,</RegExpFilter>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">

      <RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'passwd)\[(?'processId'\d+)\]: password changed - account=(?=(?'clientUser'\S+),)(?'user'\S+), uid=\d+, by=(?!0)\d+</RegExp>

      <EventType>1</EventType>

      <EventId>27004</EventId>

      <BackrefOverrides>sessionName="Password changed"</BackrefOverrides>

    </WriteAction>

  </WriteActions>

</Rule>