Home
  •  

Root 암호 SSH 인증 경고 규칙

Microsoft.Solaris.10.LogFile.Syslog.Root.SSHAuth.Password.Alert (Rule)

SSH 루트 성공 메시지에 대한 경고 규칙입니다.

Knowledge Base article:

요약

루트 계정 암호를 사용하는 직접 로그인이 검색되었습니다.

구성

이 규칙은 기본적으로 비활성화되어 있습니다. 모니터링을 위해 이 규칙을 사용하도록 설정하려면 재정의를 사용하여 로그 파일 경로를 구성하고 규칙을 활성화합니다. 로그 파일 경로는 LogFile라는 재정의 속성으로 설정되고, 값은 syslog 구성에 정의된 대로 이러한 이벤트를 수신하는 로그 파일의 전체 경로와 일치해야 합니다. 모든 인스턴스나 특정 인스턴스 또는 그룹의 매개 변수 값을 변경하는 데 재정의를 사용할 수 있습니다.

원인

사용자가 특권 계정에 대한 액세스 권한을 받았을 수 있습니다. 이 규칙을 통해 시스템 관리자는 루트 계정 암호를 사용하여 직접 로그인을 추적할 수 있습니다.

해결 방법

경고에 대한 설명 및/또는 출력 데이터 항목에 발생한 문제에 대한 정보가 포함되어 있습니다. 오류가 발생하면 관련 이벤트 세부 정보와 이 오류와 비슷한 시기에 발생한 다른 이벤트를 검토하여 문제를 진단하십시오.

Element properties:

TargetMicrosoft.Solaris.10.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
성공한 SSH 루트 감지
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Solaris.10.LogFile.Syslog.Root.SSHAuth.Password.Alert" Target="Microsoft.Solaris.10.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] Solaris SSH True -->

    <!-- [INPUT] Nov  6 11:33:32 scxsun12 sshd[21671]: [ID 800047 auth.info] Accepted keyboard-interactive for root from 10.195.173.98 port 61677 ssh2 -->

    <!-- [INPUT-MISS] Nov  6 13:45:56 scxsun12 sshd[22060]: [ID 800047 auth.info] Accepted publickey for jeffcof from 10.195.173.98 port 61688 ssh2 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/authlog</LogFile>

      <RegExpFilter>[[:space:]]+sshd\[[[:digit:]]+\]: \[.*\] Accepted [^[:space:]]+ for root from [^[:space:]]+</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Solaris.10.LogFile.Syslog.Root.SSHAuth.Password.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>