SSH Kimlik Doğrulaması hatalarının algılanması için uyarı kuralı
Sistem günlük dosyalarında kök hesap için SSH yetkilendirme hatası algılandı.
Bu kural varsayılan olarak devre dışıdır. Belirli Evrensel Linux örnekleri veya bir grup Evrensel Linux örneği hedeflenerek, geçersiz kılma ile etkinleştirilebilir. Bu kural etkinleştirilirse, RegExpFilter parametresi, hedef Linux işletim sistemi ve sürümü için uygun olan bir Normal İfade deseniyle geçersiz kılınmalıdır. Belirli koşullara yönelik sistem günlüğü iletileri, işletim sistemleri ve sürüm arasında farklılık gösterebilir.
Hatanın nedeni yanlış yazılan parola veya geçersiz kullanıcı adı kullanma girişimi olabilir. Ancak kalıcı bir hata, birisinin yetkisiz erişim elde etmeye çalıştığının göstergesi olabilir.
Uyarının ve çıkış verileri öğesinin açıklaması karşılaşılan sorun hakkında bilgi içerir. Bir sorun oluşursa sorunu tanılamak için ilişkili olay ayrıntılarını ve bu hata gerçekleştiği sırada meydana gelen diğer olayları denetleyin.
Target | Microsoft.Linux.Universal.Computer | ||
Category | EventCollection | ||
Enabled | False | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Linux.Universal.LogFile.Syslog.SSHAuth.PAM.Root.Failure.Alert" Target="Universal!Microsoft.Linux.Universal.Computer" Enabled="false" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] Redhat6 SSH False -->
<!-- [INPUT] Dec 6 01:48:30 scxcrd64-rhel6-01 sshd[15029]: Failed password for root from 172.30.170.58 port 18319 ssh2 -->
<!-- [INPUT] Jul 31 20:06:25 scxcrd64-rhel6-01 sshd[16764]: Failed password for invalid user root from 172.30.181.43 port 2899 ssh2 -->
<!-- [INPUT-MISS] Dec 6 01:49:18 scxcrd64-rhel6-01 sshd[15053]: Failed password for zoyang from 172.30.170.58 port 18320 ssh2 -->
<!-- [INPUT-MISS] Dec 7 22:44:00 scxcrd64-rhel6-01 sshd[19637]: Failed password for invalid user jasd from 172.30.168.209 port 34514 ssh2 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/secure</LogFile>
<RegExpFilter>\s+sshd\[[[:digit:]]+\]: Failed password for (invalid user )?root from \S+</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Linux.Universal.LogFile.Syslog.SSHAuth.PAM.Root.Failure.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>