Home
  •  

Pravidlo výstrahy ověření procesu SSH kořenového hesla

Microsoft.Linux.Universal.LogFile.Syslog.Root.SSHAuth.Password.Alert (Rule)

Pravidlo výstrahy pro zjišťování kořenového hesla prostřednictvím ověření procesu SSH

Knowledge Base article:

Souhrn

Bylo zjištěno přímé přihlášení pomocí hesla kořenového účtu.

Konfigurace

Ve výchozím nastavení je toto pravidlo zakázané. Může být povoleno přepsáním zacíleným na konkrétní instance systému Universal Linux nebo na skupinu instancí systému Universal Linux. Pokud je toto pravidlo aktivní, pak by měl být parametr RegExpFilter přepsán pomocí vzorce regulárního výrazu, který je vhodný pro cílový operační systém Linux a verzi. Zprávy systémového protokolu se za určitých podmínek mohou lišit podle operačních systémů a verzí.

Příčiny

Uživatelům byl možná povolen přístup k privilegovaným účtům. Toto pravidlo pro výstrahy umožňuje správcům systému sledovat přímé přihlášení pomocí hesla kořenového účtu.

Řešení

Popis výstrahy a/nebo položky výstupních dat obsahuje informace o vzniklé události. Pokud se tato událost zdá podezřelá, zkontrolujte podrobnosti přidružené události a dalších událostí, ke kterým došlo okolo doby průběhu této události.

Element properties:

TargetMicrosoft.Linux.Universal.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
Bylo zjištěno přihlášení k systému prostřednictvím procesu SSH pomocí kořenového hesla.
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Linux.Universal.LogFile.Syslog.Root.SSHAuth.Password.Alert" Target="Universal!Microsoft.Linux.Universal.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <!-- [TYPE] Redhat6 SSH True -->

  <!-- [INPUT] Dec  6 00:57:45 scxcrd64-rhel6-01 sshd[14769]: Accepted password for root from 10.217.5.101 port 52268 ssh2 -->

  <!-- [INPUT] Jul 31 20:04:31 scxcrd64-rhel6-01 sshd[16729]: Accepted publickey for root from 172.30.182.25 port 35550 ssh2 -->

  <!-- [INPUT-MISS] Dec  6 01:49:37 scxcrd64-rhel6-01 sshd[15053]: Accepted password for zoyang from 172.30.170.58 port 18320 ssh2 -->

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <RegExpFilter>\s+sshd\[[[:digit:]]+\]: Accepted \S+ for root from \S+</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Linux.Universal.LogFile.Syslog.Root.SSHAuth.Password.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>