Правило предупреждения для обнаружения ошибок проверки подлинности SSH.
В файлах системного журнала обнаружен сбой проверки подлинности SSH с учетной записью привилегированного пользователя.
Проблема могла быть вызвана вводом неправильного пароля или попыткой использовать неправильное имя пользователя. Однако если такая проблема возникает постоянно, это может указывать на попытку получить несанкционированный доступ.
В описании предупреждения и (или) элемента выходных данных содержится информация об обнаруженной проблеме. Если возник сбой, то для диагностики проблемы просмотрите сведения о связанном событии и любых других событиях, возникших примерно в то же время.
Target | Microsoft.Linux.RHEL.6.Computer | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Linux.RHEL.6.LogFile.Syslog.SSHAuth.PAM.Root.Failure.Alert" Target="Microsoft.Linux.RHEL.6.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] Redhat6 SSH False -->
<!-- [INPUT] Dec 6 01:48:30 scxcrd64-rhel6-01 sshd[15029]: Failed password for root from 172.30.170.58 port 18319 ssh2 -->
<!-- [INPUT] Jul 31 20:06:25 scxcrd64-rhel6-01 sshd[16764]: Failed password for invalid user root from 172.30.181.43 port 2899 ssh2 -->
<!-- [INPUT-MISS] Dec 6 01:49:18 scxcrd64-rhel6-01 sshd[15053]: Failed password for zoyang from 172.30.170.58 port 18320 ssh2 -->
<!-- [INPUT-MISS] Dec 7 22:44:00 scxcrd64-rhel6-01 sshd[19637]: Failed password for invalid user jasd from 172.30.168.209 port 34514 ssh2 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/secure</LogFile>
<RegExpFilter>\s+sshd\[[[:digit:]]+\]: Failed password for (invalid user )?root from \S+</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Linux.RHEL.6.LogFile.Syslog.SSHAuth.PAM.Root.Failure.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>