Home
  •  

Правило предупреждения об ошибке проверки подлинности SSH

Microsoft.Linux.Universal.LogFile.Syslog.SSHAuth.PAM.Root.Failure.Alert (Rule)

Правило предупреждения для обнаружения ошибок проверки подлинности SSH.

Knowledge Base article:

Сводка

В файлах системного журнала обнаружен сбой проверки подлинности SSH с учетной записью привилегированного пользователя.

Конфигурация

Это правило по умолчанию отключено. Его можно включить с помощью переопределения, указав отдельные экземпляры универсального Linux или группу экземпляров универсального Linux. Если это правило включено, параметр RegExpFilter должен замещаться шаблоном регулярного выражения, подходящим для целевой ОС Linux и ее версии. Сообщения об отдельных проблемах в системном журнале могут зависеть от ОС и версии.

Причины

Проблема могла быть вызвана вводом неправильного пароля или попыткой использовать неправильное имя пользователя. Однако если такая проблема возникает постоянно, это может указывать на попытку получить несанкционированный доступ.

Решения

В описании предупреждения и (или) элемента выходных данных содержится информация об обнаруженной проблеме. Если возник сбой, то для диагностики проблемы просмотрите сведения о связанном событии и любых других событиях, возникших примерно в то же время.

Element properties:

TargetMicrosoft.Linux.Universal.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Обнаружен сбой проверки подлинности SSH
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Linux.Universal.LogFile.Syslog.SSHAuth.PAM.Root.Failure.Alert" Target="Universal!Microsoft.Linux.Universal.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] Redhat6 SSH False -->

    <!-- [INPUT] Dec  6 01:48:30 scxcrd64-rhel6-01 sshd[15029]: Failed password for root from 172.30.170.58 port 18319 ssh2 -->

    <!-- [INPUT] Jul 31 20:06:25 scxcrd64-rhel6-01 sshd[16764]: Failed password for invalid user root from 172.30.181.43 port 2899 ssh2 -->

    <!-- [INPUT-MISS] Dec  6 01:49:18 scxcrd64-rhel6-01 sshd[15053]: Failed password for zoyang from 172.30.170.58 port 18320 ssh2 -->

    <!-- [INPUT-MISS] Dec  7 22:44:00 scxcrd64-rhel6-01 sshd[19637]: Failed password for invalid user jasd from 172.30.168.209 port 34514 ssh2 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <RegExpFilter>\s+sshd\[[[:digit:]]+\]: Failed password for (invalid user )?root from \S+</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Linux.Universal.LogFile.Syslog.SSHAuth.PAM.Root.Failure.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>