Home
  •  

Varningsregel för SSH-autentiseringsfel

Microsoft.Linux.SLES.9.LogFile.Syslog.SSHAuth.PAM.Root.Failure.Alert (Rule)

Varningsregel för identifiering av SSH-autentiseringsfel.

Knowledge Base article:

Sammanfattning

Ett SSH-autentiseringsfel för rotkontot har upptäckts i systemloggfilerna.

Orsaker

Felet kan ha orsakats av ett felstavat lösenord eller ett försök att använda ett ogiltigt användarnamn. Ett återkommande fel kan dock vara en indikation på att någon försöker få obehörig åtkomst.

Lösningar

Information om det påträffade problemet finns i varningsbeskrivningen och/eller utdataposten. Om ett fel inträffar bör du kontrollera detaljinformationen för händelsen samt andra händelser som inträffade vid ungefär samma tid som felet för att kunna diagnostisera orsaken till felet.

Element properties:

TargetMicrosoft.Linux.SLES.9.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
SSH-autentiseringsfel identifierades
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Linux.SLES.9.LogFile.Syslog.SSHAuth.PAM.Root.Failure.Alert" Target="Microsoft.Linux.SLES.9.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] SUSE SSH False -->

    <!-- [INPUT] Nov 30 12:37:40 sles9v4-cjc sshd[11474]: error: PAM: Authentication failure for root from localhost -->

    <!-- [INPUT] Nov 30 12:40:05 sles9v4-cjc sshd[11621]: error: PAM: Authentication failure for illegal user root from localhost -->

    <!-- [INPUT-MISS] Nov 30 12:37:25 sles9v4-cjc sshd[11468]: error: PAM: Authentication failure for ccrammo from localhost -->

    <!-- [INPUT-MISS] Nov 30 12:39:42 sles9v4-cjc sshd[11600]: error: PAM: Authentication failure for illegal user newguy from localhost -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/messages</LogFile>

      <RegExpFilter>\s+sshd\[[[:digit:]]+\]: error: PAM: Authentication failure for (illegal user )?root from \S+</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Linux.SLES.9.LogFile.Syslog.SSHAuth.PAM.Root.Failure.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>