Home
  •  

Pravidlo výstrahy selhání příkazu SU

Microsoft.Linux.Universal.LogFile.Syslog.SU.Command.Root.Failure.Alert (Rule)

Pravidlo výstrahy pro zprávy o selhání převodu příkazu SU na kořenový příkaz.

Knowledge Base article:

Souhrn

V souborech protokolů systému byl zjištěn chybný příkaz su.

Konfigurace

Ve výchozím nastavení je toto pravidlo zakázané. Může být povoleno přepsáním zacíleným na konkrétní instance systému Universal Linux nebo na skupinu instancí systému Universal Linux. Pokud je toto pravidlo aktivní, pak by měl být parametr RegExpFilter přepsán pomocí vzorce regulárního výrazu, který je vhodný pro cílový operační systém Linux a verzi. Zprávy systémového protokolu se za určitých podmínek mohou lišit podle operačních systémů a verzí.

Příčiny

Byl proveden neúspěšný pokus o zvýšení oprávnění pomocí příkazu su. K této situaci mohlo dojít chybným zadáním hesla nebo pokusem o použití neplatného uživatelského jména. Nicméně trvalá chyba by mohla naznačovat podezřelou aktivitu.

Řešení

Popis výstrahy a/nebo položky výstupních dat obsahuje informace o vzniklé události. Pokud se využití su zdá podezřelé, zkontrolujte podrobnosti přidružené události a dalších událostí, ke kterým došlo okolo doby průběhu této události.

Element properties:

TargetMicrosoft.Linux.Universal.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Bylo zjištěno selhání převodu příkazu SU na kořenový příkaz.
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Linux.Universal.LogFile.Syslog.SU.Command.Root.Failure.Alert" Target="Universal!Microsoft.Linux.Universal.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] Redhat6 SU False -->

    <!-- [INPUT] Dec  6 01:30:47 scxcrd64-rhel6-01 su: pam_unix(su-l:auth): authentication failure; logname=zoyang uid=504 euid=0 tty=pts/0 ruser=zoyang rhost=  user=root -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <RegExpFilter>su: \S+\(\S+\): authentication failure; logname=\S+ .* user=root</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Linux.Universal.LogFile.Syslog.SU.Command.Root.Failure.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>