Home
  •  

Warnungsregel - Fehler bei der SSH-Authentifizierung

Microsoft.Linux.SLES.11.LogFile.Syslog.SSHAuth.PAM.Root.Failure.Alert (Rule)

Dies ist eine Warnungsregel für die Erkennung von SSH-Authentifizierungsfehlern.

Knowledge Base article:

Zusammenfassung

In den Systemprotokolldateien wurde ein SSH-Authentifizierungsfehler für das Root-Konto ermittelt.

Ursachen

Ein Fehler kann durch ein falsch geschriebenes Kennwort oder einen ungültigen Benutzernamen verursacht werden. Ein wiederholter Fehler könnte auf einen Zugriffsversuch durch eine nicht autorisierte Person hinweisen.

Lösungen

Die Beschreibung der Warnung und/oder des Ausgabedatenelements enthält Informationen zum festgestellten Problem. Falls ein Fehler auftritt, überprüfen Sie die entsprechenden Ereignisdetails sowie alle übrigen Ereignisse, die zum Fehlerzeitpunkt aufgetreten sind, um das Problem zu diagnostizieren.

Element properties:

TargetMicrosoft.Linux.SLES.11.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
SSH-Authentifizierungsfehler
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Linux.SLES.11.LogFile.Syslog.SSHAuth.PAM.Root.Failure.Alert" Target="Microsoft.Linux.SLES.11.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] SUSE SSH False -->

    <!-- [INPUT] Oct  7 17:17:09 sles11-cjc sshd[28526]: error: PAM: Authentication failure for root from 192.168.233.132 -->

    <!-- [INPUT] Oct  7 17:17:09 sles11-cjc sshd[28526]: error: PAM: Authentication failure for illegal user root from 192.168.233.132 -->

    <!-- [INPUT-MISS] Oct  8 09:50:11 sles11-cjc sshd[22952]: error: PAM: Authentication failure for illegal user newguy from localhost -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/messages</LogFile>

      <RegExpFilter>\s+sshd\[[[:digit:]]+\]: error: PAM: Authentication failure for (illegal user )?root from \S+</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Linux.SLES.11.LogFile.Syslog.SSHAuth.PAM.Root.Failure.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>