Home
  •  

Root PAM SSH 인증 경고 규칙

Microsoft.Linux.SLES.9.LogFile.Syslog.SSHAuth.PAM.Root.Success.Alert (Rule)

PAM SSH를 통한 Root 인증 검색에 대한 경고 규칙입니다.

Knowledge Base article:

요약

루트 계정으로의 직접 로그인이 검색되었습니다.

원인

사용자가 권한 있는 계정에 대한 액세스 권한을 부여 받았을 수 있습니다. 이 모니터를 통해 시스템 관리자는 루트 사용자로의 직접 로그인을 추적할 수 있습니다.

해결 방법

경고에 대한 설명 및/또는 출력 데이터 항목에 발생한 이벤트에 대한 정보가 포함되어 있습니다. 이 이벤트가 의심스러운 경우 관련 이벤트 정보 및 이 이벤트 시간에 발생한 다른 이벤트를 확인하십시오.

Element properties:

TargetMicrosoft.Linux.SLES.9.Computer
CategoryEventCollection
EnabledTrue
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
인증을 위해 "root" 계정을 사용하여 SSH를 통해 로그인된 시스템 감지
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Linux.SLES.9.LogFile.Syslog.SSHAuth.PAM.Root.Success.Alert" Target="Microsoft.Linux.SLES.9.Computer" Enabled="true" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] SUSE SSH True -->

    <!-- [INPUT] Jul  6 22:47:41 scxom64-sles9-03 sshd[12904]: Accepted keyboard-interactive/pam for root from 172.30.180.171 port 22635 ssh2 -->

    <!-- [INPUT] Oct 13 04:46:19 linux sshd[6834]: Accepted publickey for root from ::ffff:192.168.233.130 port 35342 ssh2 -->

    <!-- [INPUT-MISS] Jul  6 22:49:08 scxom64-sles9-03 sshd[12934]: Accepted keyboard-interactive/pam for ccrammo from 172.30.180.171 port 22641 ssh2 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/messages</LogFile>

      <RegExpFilter>\s+sshd\[[[:digit:]]+\]: Accepted \S+ for root from \S+</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Linux.SLES.9.LogFile.Syslog.SSHAuth.PAM.Root.Success.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>