Home
  •  

Kök Parolası SSH Kimlik Doğrulaması uyarı kuralı

Microsoft.Linux.Universal.LogFile.Syslog.Root.SSHAuth.Password.Alert (Rule)

SSH Kimlik Doğrulaması aracılığıyla Kök Parolası algılamak için uyarı kuralı

Knowledge Base article:

Özet

Kök hesabı parolası kullanılarak doğrudan oturum açma algılandı.

Yapılandırma

Bu kural varsayılan olarak devre dışıdır. Belirli Evrensel Linux örnekleri veya bir grup Evrensel Linux örneği hedeflenerek, geçersiz kılma ile etkinleştirilebilir. Bu kural etkinleştirilirse, RegExpFilter parametresi, hedef Linux işletim sistemi ve sürümü için uygun olan bir Normal İfade deseniyle geçersiz kılınmalıdır. Belirli koşullara yönelik sistem günlüğü iletileri, işletim sistemleri ve sürüm arasında farklılık gösterebilir.

Nedenler

Kullanıcılara ayrıcalıklı hesaplara erişim izni verilmiş olabilir. Bu uyarı kuralı, sistem yöneticilerinin kök hesabı parolası kullanılarak doğrudan açılan oturumları izlemesini sağlar.

Çözümler

Uyarının ve/veya çıktı verisi öğesinin açıklaması, karşılaşılan olayla ilgili bilgiler içerir. Bu olay şüpheli görünürse, ilişkili olay ayrıntılarını ve bu olay gerçekleştiği sırada meydana gelen diğer olayları denetleyin.

Element properties:

TargetMicrosoft.Linux.Universal.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
Sistemde SSH aracılığıyla "kök" parolası kullanılarak oturum açıldığı algılandı
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Linux.Universal.LogFile.Syslog.Root.SSHAuth.Password.Alert" Target="Universal!Microsoft.Linux.Universal.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <!-- [TYPE] Redhat6 SSH True -->

  <!-- [INPUT] Dec  6 00:57:45 scxcrd64-rhel6-01 sshd[14769]: Accepted password for root from 10.217.5.101 port 52268 ssh2 -->

  <!-- [INPUT] Jul 31 20:04:31 scxcrd64-rhel6-01 sshd[16729]: Accepted publickey for root from 172.30.182.25 port 35550 ssh2 -->

  <!-- [INPUT-MISS] Dec  6 01:49:37 scxcrd64-rhel6-01 sshd[15053]: Accepted password for zoyang from 172.30.170.58 port 18320 ssh2 -->

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <RegExpFilter>\s+sshd\[[[:digit:]]+\]: Accepted \S+ for root from \S+</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Linux.Universal.LogFile.Syslog.Root.SSHAuth.Password.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>