Home
  •  

Warnungsregel - Fehler bei der SSH-Authentifizierung

Microsoft.Linux.Universal.LogFile.Syslog.SSHAuth.PAM.Root.Failure.Alert (Rule)

Dies ist eine Warnungsregel für die Erkennung von SSH-Authentifizierungsfehlern.

Knowledge Base article:

Zusammenfassung

In den Systemprotokolldateien wurde ein SSH-Authentifizierungsfehler für das Root-Konto ermittelt.

Konfiguration

Diese Regel ist standardmäßig deaktiviert. Sie kann mit einer Außerkraftsetzung, die auf spezifische Universal Linux-Instanzen oder eine Gruppe von Universal Linux-Instanzen abzielt, aktiviert werden. Wird die Regel aktiviert, muss der Parameter "RegExpFilter" mit einem Muster für reguläre Ausdrücke außer Kraft gesetzt werden, das für die Ziel-Linux-Betriebssysteme in der jeweiligen Version geeignet ist. Systemprotokollmeldungen für bestimmte Bedingungen können je nach Betriebssystem und Version variieren.

Ursachen

Ein Fehler kann durch ein falsch geschriebenes Kennwort oder einen ungültigen Benutzernamen verursacht werden. Ein wiederholter Fehler könnte auf einen Zugriffsversuch durch eine nicht autorisierte Person hinweisen.

Lösungen

Die Beschreibung der Warnung und/oder des Ausgabedatenelements enthält Informationen zum festgestellten Problem. Falls ein Fehler auftritt, überprüfen Sie die entsprechenden Ereignisdetails sowie alle übrigen Ereignisse, die zum Fehlerzeitpunkt aufgetreten sind, um das Problem zu diagnostizieren.

Element properties:

TargetMicrosoft.Linux.Universal.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
SSH-Authentifizierungsfehler
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Linux.Universal.LogFile.Syslog.SSHAuth.PAM.Root.Failure.Alert" Target="Universal!Microsoft.Linux.Universal.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] Redhat6 SSH False -->

    <!-- [INPUT] Dec  6 01:48:30 scxcrd64-rhel6-01 sshd[15029]: Failed password for root from 172.30.170.58 port 18319 ssh2 -->

    <!-- [INPUT] Jul 31 20:06:25 scxcrd64-rhel6-01 sshd[16764]: Failed password for invalid user root from 172.30.181.43 port 2899 ssh2 -->

    <!-- [INPUT-MISS] Dec  6 01:49:18 scxcrd64-rhel6-01 sshd[15053]: Failed password for zoyang from 172.30.170.58 port 18320 ssh2 -->

    <!-- [INPUT-MISS] Dec  7 22:44:00 scxcrd64-rhel6-01 sshd[19637]: Failed password for invalid user jasd from 172.30.168.209 port 34514 ssh2 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <RegExpFilter>\s+sshd\[[[:digit:]]+\]: Failed password for (invalid user )?root from \S+</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Linux.Universal.LogFile.Syslog.SSHAuth.PAM.Root.Failure.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>