Pravidlo výstrahy pro zjišťování selhání ověření procesu SSH
V systémových souborech protokolu bylo zjištěno selhání ověřování SSH jako kořenového účtu.
Chyba mohla být způsobena chybným zadáním hesla nebo pokusem o použití neplatného uživatelského jména. Nicméně trvalá chyba by mohla naznačovat, že se někdo pokouší získat neoprávněný přístup.
Popis upozornění a/nebo výstupní datové položky obsahuje informace o vzniklém problému. Pokud dojde k chybě, zkontrolujte podrobnosti přidružené události a dalších událostí, ke kterým došlo okolo doby průběhu této chyby a diagnostikujte problém.
Target | Microsoft.Linux.SLES.10.Computer | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Linux.SLES.10.LogFile.Syslog.SSHAuth.PAM.Root.Failure.Alert" Target="Microsoft.Linux.SLES.10.Computer" Enabled="true" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] SUSE SSH False -->
<!-- [INPUT] Oct 12 15:50:50 sles-101-cjc sshd[12959]: error: PAM: Authentication failure for root from 192.168.233.130 -->
<!-- [INPUT] Oct 12 15:54:57 sles-101-cjc sshd[13159]: error: PAM: Authentication failure for illegal user root from 192.168.233.130 -->
<!-- [INPUT-MISS] Oct 12 15:50:43 sles-101-cjc sshd[12936]: error: PAM: Authentication failure for ccrammo from 192.168.233.130 -->
<!-- [INPUT-MISS] Oct 12 15:55:06 sles-101-cjc sshd[13164]: error: PAM: Authentication failure for illegal user ccrammo from 192.168.233.130 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/messages</LogFile>
<RegExpFilter>\s+sshd\[[[:digit:]]+\]: error: PAM: Authentication failure for (illegal user )?root from \S+</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Linux.SLES.10.LogFile.Syslog.SSHAuth.PAM.Root.Failure.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>