Home
  •  

Gyökér szintű jelszó SSH hitelesítésének riasztási szabálya

Microsoft.Solaris.10.LogFile.Syslog.Root.SSHAuth.Password.Alert (Rule)

Riasztási szabály az SSH gyökérként való sikeres végrehajtásának üzeneteihez.

Knowledge Base article:

Összefoglalás

A rendszergazdafiók jelszavának közvetlen bejelentkezési használata észlelhető.

Konfiguráció

Ez a szabály alapértelmezetten letiltott. A szabály bekapcsolható a figyeléshez, ha felülírással konfigurálja a naplófájl elérési útját, és engedélyezi a szabályt. A naplófájl elérési útja a felülírható, LogFile nevű tulajdonsággal van beállítva, az értékét annak a naplófájlnak a teljes elérési útjára kell beállítani, amelyik ezeket az eseményeket fogadni fogja, ahogyan az a rendszernaplózás konfigurálásánál meg lett adva. A felülírás használható minden példány, illetve a megadott példányok vagy csoportok paraméterértékének megváltoztatásához.

Okok

Előfordulhat, hogy egyes felhasználók korlátozott hozzáférésű fiókokhoz kaptak elérési jogot. Ez a szabály lehetővé teszi a rendszergazdáknak a rendszergazdafiók jelszava közvetlen bejelentkezési használatának nyomon követését.

Megoldások

A riasztás és/vagy a kimeneti adatelem leírása tartalmazza az észlelt probléma ismertetését. A probléma diagnosztizálása érdekében tekintse meg a vonatkozó esemény részleteit, illetve azokat az eseményeket, amelyek nem sokkal a hiba előtt vagy után történtek.

Element properties:

TargetMicrosoft.Solaris.10.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
SSH gyökérként való sikeres végrehajtása észlelhető
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Solaris.10.LogFile.Syslog.Root.SSHAuth.Password.Alert" Target="Microsoft.Solaris.10.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] Solaris SSH True -->

    <!-- [INPUT] Nov  6 11:33:32 scxsun12 sshd[21671]: [ID 800047 auth.info] Accepted keyboard-interactive for root from 10.195.173.98 port 61677 ssh2 -->

    <!-- [INPUT-MISS] Nov  6 13:45:56 scxsun12 sshd[22060]: [ID 800047 auth.info] Accepted publickey for jeffcof from 10.195.173.98 port 61688 ssh2 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/authlog</LogFile>

      <RegExpFilter>[[:space:]]+sshd\[[[:digit:]]+\]: \[.*\] Accepted [^[:space:]]+ for root from [^[:space:]]+</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Solaris.10.LogFile.Syslog.Root.SSHAuth.Password.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>