Home
  •  

Правило предупреждения для ошибки команды SU

Microsoft.Linux.Universal.LogFile.Syslog.SU.Command.Root.Failure.Alert (Rule)

Правило предупреждения для сообщений об ошибке выполнения команды SU to root.

Knowledge Base article:

Сводка

В файлах системного журнала обнаружено неудачное выполнение команды "su".

Конфигурация

Это правило по умолчанию отключено. Его можно включить с помощью переопределения, указав отдельные экземпляры универсальных компьютеров Linux или все экземпляры универсальных компьютеров Linux. Если это правило включено, параметр RegExpFilter необходимо переопределить с использованием шаблона регулярного выражения, подходящего для целевой операционной системы и версии Linux. В разных операционных системах и версиях могут использоваться разные сообщения системного журнала для схожих условий.

Причины

Попытка повышения привилегий с помощью команды "su" завершилась неудачей. Это может быть вызвано вводом неправильного пароля или попыткой использовать неправильное имя пользователя. При этом постоянные сбои могут указывать на подозрительную активность.

Решения

В описании предупреждения и (или) элемента выходных данных содержится информация о возникшем событии. Если обнаружено подозрительное использование команды "su", просмотрите сведения о связанном событии и любых других событиях, возникших примерно в то же время.

Element properties:

TargetMicrosoft.Linux.Universal.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Обнаружена ошибка при выполнении команды SU to root
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Linux.Universal.LogFile.Syslog.SU.Command.Root.Failure.Alert" Target="Universal!Microsoft.Linux.Universal.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] Redhat6 SU False -->

    <!-- [INPUT] Dec  6 01:30:47 scxcrd64-rhel6-01 su: pam_unix(su-l:auth): authentication failure; logname=zoyang uid=504 euid=0 tty=pts/0 ruser=zoyang rhost=  user=root -->

    <!-- [TYPE] Redhat8 SU False -->

    <!-- [INPUT] Dec 25 05:37:24 ost64-rh8-01 su[77807]: pam_unix(su:auth): authentication failure; logname=root uid=1000 euid=0 tty=pts/1 ruser=root rhost=  user=root -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/secure</LogFile>

      <RegExpFilter>su\[*[[:digit:]]*\]*: \S+\(\S+\): authentication failure; logname=\S+ .* user=root</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Linux.Universal.LogFile.Syslog.SU.Command.Root.Failure.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>