Home
  •  

Varningsregel för rotautentisering via PAM SSH

Microsoft.Linux.SLES.10.LogFile.Syslog.SSHAuth.PAM.Root.Success.Alert (Rule)

Varningsregel för identifiering av rotautentisering via PAM SSH

Knowledge Base article:

Sammanfattning

Direktinloggning till rotkontot lösenord har upptäckts.

Orsaker

Användare kan ha beviljats åtkomst till behöriga konton. Den här övervakaren gör det möjligt för systemadministratörer att spåra direkta inloggningar som rotanvändare.

Lösningar

Information om den påträffade händelsen finns i varningsbeskrivningen och/eller utdataposten. Om händelsen verkar misstänkt ska du kontrollera den associerade händelseinformationen och andra eventuella händelser som skedde vid ungefär samma tidpunkt som den här händelsen.

Element properties:

TargetMicrosoft.Linux.SLES.10.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
Inloggning i systemet via SSH med användning av rotkontot för autentisering har upptäckts.
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Linux.SLES.10.LogFile.Syslog.SSHAuth.PAM.Root.Success.Alert" Target="Microsoft.Linux.SLES.10.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] SUSE SSH True -->

    <!-- [INPUT] Oct  7 16:54:06 sles-101-cjc sshd[31814]: Accepted keyboard-interactive/pam for root from 192.168.233.130 port 59544 ssh2 -->

    <!-- [INPUT] Oct 13 11:23:37 sles-101-cjc sshd[26268]: Accepted publickey for root from 192.168.233.130 port 43962 ssh2 -->

    <!-- [INPUT-MISS] Oct  7 16:48:23 sles-101-cjc sshd[31574]: Accepted keyboard-interactive/pam for ccrammo from 192.168.233.130 port 44141 ssh2 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/messages</LogFile>

      <RegExpFilter>\s+sshd\[[[:digit:]]+\]: Accepted \S+ for root from \S+</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Linux.SLES.10.LogFile.Syslog.SSHAuth.PAM.Root.Success.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>