Varningsregel för rotlösenord via SSH-autentisering
Direktinloggning med rotkontots lösenord har upptäckts.
Användare kan ha beviljats åtkomst till behöriga konton. Den här aviseringsregeln gör det möjligt för systemadministratörer att spåra direktinloggningar med rotkontots lösenord.
Information om den påträffade händelsen finns i varningsbeskrivningen och/eller utdataposten. Om händelsen verkar misstänkt bör du kontrollera detaljinformationen för händelsen samt andra händelser som inträffade vid ungefär samma tid som denna.
Target | Microsoft.Linux.RHEL.7.Computer | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Linux.RHEL.7.LogFile.Syslog.Root.SSHAuth.Password.Alert" Target="Microsoft.Linux.RHEL.7.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<!-- [TYPE] Redhat7 SSH True -->
<!-- [INPUT] Dec 6 00:57:45 scxcrd64-rhel7-01 sshd[14769]: Accepted password for root from 10.217.5.101 port 52268 ssh2 -->
<!-- [INPUT] Jul 31 20:04:31 scxcrd64-rhel7-01 sshd[16729]: Accepted publickey for root from 172.30.182.25 port 35550 ssh2 -->
<!-- [INPUT-MISS] Dec 6 01:49:37 scxcrd64-rhel7-01 sshd[15053]: Accepted password for zoyang from 172.30.170.58 port 18320 ssh2 -->
<DataSources>
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/secure</LogFile>
<RegExpFilter>\s+sshd\[[[:digit:]]+\]: Accepted \S+ for root from \S+</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Linux.RHEL.7.LogFile.Syslog.Root.SSHAuth.Password.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>