Home
  •  

Ongeldige sudo (Solaris 11)

Microsoft.ACS.Solaris.11.Sudo.Invalid (Rule)

Regel voor het verzamelen van gebeurtenissen voor geen bevoegdheden voor sudo-bewerkingen

Knowledge Base article:

Samenvatting

Er is een ongeldige sudo-opdracht aangetroffen in de logboekbestanden van het systeem.

Oorzaken

De gebruiker heeft geprobeerd toegang te krijgen tot beschermde accounts. Met deze monitor kunnen systeembeheerders het gebruik van 'sudo' bijhouden.

Oplossingen

De beschrijving van de waarschuwing en/of het uitvoergegevensitem bevat informatie over de gebeurtenis die is opgetreden. Als de activiteit verdacht lijkt, controleert u de details van de bijbehorende gebeurtenis en alle andere gebeurtenissen die rond dezelfde tijd hebben plaatsgevonden.

Element properties:

TargetMicrosoft.ACS.Solaris.11.ACSEndPoint
CategoryEventCollection
EnabledFalse
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
WA WriteAction Microsoft.ACS.Unix.SecureEventLogWriter Default

Source Code:

<Rule ID="Microsoft.ACS.Solaris.11.Sudo.Invalid" Enabled="false" Target="Microsoft.ACS.Solaris.11.ACSEndPoint" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Host/Property[Type="Unix!Microsoft.Unix.Computer"]/NetworkName$</Host>

      <LogFile>/var/log/authlog</LogFile>

      <!-- [TYPE] Solaris SUDO False -->

      <!-- [INPUT] Jan 10 13:20:21 jeffcof-sol11-x86 sudo: [ID 702911 auth.alert]  jeffcof : user NOT in sudoers ; TTY=pts/5 ; PWD=/var/log ; USER=root ; COMMAND=/usr/bin/ls -->

      <!-- [EXPECTED] date="Jan 10 13:20:21"; hostname="jeffcof-sol11-x86"; process="sudo"; user="jeffcof"; clientUser="root"; sessionName="/usr/bin/ls" -->

      <RegExpFilter>[[:space:]]sudo: \[.*\][[:space:]]+[^[:space:]]+ : user NOT in sudoers ; TTY=.* ; USER=[^[:space:]]+ ; COMMAND=.*</RegExpFilter>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WA" TypeID="ACS.Unix!Microsoft.ACS.Unix.SecureEventLogWriter">

      <RegExp>(?'date'\S+\s+\d+\s+\d+:\d+:\d+)\s+(?:\S+:)?(?'hostname'\S+)\s+(?'process'sudo): \[.*\]\s+(?'user'\S+) : user NOT in sudoers ; TTY=.* ; USER=(?'clientUser'\S+) ; COMMAND=(?'sessionName'.*)</RegExp>

      <EventType>0</EventType>

      <EventId>27003</EventId>

    </WriteAction>

  </WriteActions>

</Rule>