Home
  •  

Waarschuwingsregel voor de SSH-verificatie van het root-wachtwoord

Microsoft.Linux.Universal.LogFile.Syslog.Root.SSHAuth.Password.Alert (Rule)

Waarschuwingsregel voor de detectie van het root-wachtwoord via SSH-verificatie

Knowledge Base article:

Samenvatting

Direct aanmelden met het gedetecteerde wachtwoord voor het root-account.

Configuratie

Deze regel is standaard uitgeschakeld. De regel kan worden ingeschakeld met een overschrijving die gericht is op een specifiek exemplaar van Universal Linux, alle exemplaren van Universal Linux of een groep exemplaren van Universal Linux. Als deze regel wordt ingeschakeld, moet de parameter RegExpFilter worden overschreven met een reguliere-expressiepatroon dat geschikt is voor de bedoelde combinatie van Linux-besturingssysteem en versie. Systeemlogboekberichten voor specifieke condities kunnen variëren tussen besturingssystemen en versies.

Oorzaken

Gebruikers hebben mogelijk toegang gekregen tot beschermde accounts. Met deze waarschuwingsregel kunnen systeembeheerders directe aanmeldingen met het root-accountwachtwoord bijhouden.

Oplossingen

De beschrijving van de waarschuwing en/of het uitvoergegevensitem bevat informatie over de gebeurtenis die is opgetreden. Als deze gebeurtenis verdacht lijkt, controleert u de gekoppelde gebeurtenisgegevens en eventuele andere gebeurtenissen die rond de tijd van deze gebeurtenis zijn opgetreden.

Element properties:

TargetMicrosoft.Linux.Universal.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
Aanmelding bij het systeem gedetecteerd via SSH met het root-wachtwoord
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Linux.Universal.LogFile.Syslog.Root.SSHAuth.Password.Alert" Target="Universal!Microsoft.Linux.Universal.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <!-- [TYPE] Redhat6 SSH True -->

  <!-- [INPUT] Dec  6 00:57:45 scxcrd64-rhel6-01 sshd[14769]: Accepted password for root from 10.217.5.101 port 52268 ssh2 -->

  <!-- [INPUT] Jul 31 20:04:31 scxcrd64-rhel6-01 sshd[16729]: Accepted publickey for root from 172.30.182.25 port 35550 ssh2 -->

  <!-- [INPUT-MISS] Dec  6 01:49:37 scxcrd64-rhel6-01 sshd[15053]: Accepted password for zoyang from 172.30.170.58 port 18320 ssh2 -->

  <DataSources>

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <RegExpFilter>\s+sshd\[[[:digit:]]+\]: Accepted \S+ for root from \S+</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Linux.Universal.LogFile.Syslog.Root.SSHAuth.Password.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>