Regla de alerta para mensajes incorrectos de SSH como raíz.
Se detectó un error de autenticación de SSH para la cuenta raíz en los archivos de registro del sistema.
Esta regla está deshabilitada de forma predeterminada. Para habilitar esta regla de supervisión, use invalidaciones para configurar la ruta de acceso al archivo de registro y habilitar la regla. La ruta de acceso al archivo de registro se establece con una propiedad reemplazable denominada LogFile, cuyo valor se debe establecer en la ruta de acceso completa al archivo de registro que recibirá estos eventos, definido en la configuración de syslog. Se pueden usar invalidaciones para cambiar los valores de parámetros para todas las instancias o para instancias o grupos específicos.
Se puede producir un error al introducir incorrectamente una contraseña o al intentar utilizar un nombre de usuario no válido. No obstante, un error continuo puede indicar que alguien está intentado acceder sin autorización.
La descripción de la alerta y/o el elemento de datos de salida contiene información sobre el problema detectado. Si se produce un error, compruebe los detalles de los eventos asociados, así como cualquier otro evento ocurrido aproximadamente a la hora de este error para diagnosticar el problema.
Target | Microsoft.Solaris.10.Computer | ||
Category | EventCollection | ||
Enabled | False | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Solaris.10.LogFile.Syslog.SSHAuth.PAM.Root.Failure.Alert" Target="Microsoft.Solaris.10.Computer" Enabled="false" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] Solaris SSH False -->
<!-- [INPUT] Nov 6 13:51:55 scxsun12 sshd[22123]: [ID 800047 auth.notice] Failed keyboard-interactive for root from 10.195.173.73 port 39057 ssh2 -->
<!-- [INPUT-MISS] Nov 5 17:24:28 scxsun12 sshd[4358]: [ID 800047 auth.notice] Failed keyboard-interactive for jeffcof from 10.195.173.73 port 55229 ssh2 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/authlog</LogFile>
<RegExpFilter>sshd\[[[:digit:]]+\]: \[.*\] Failed (keyboard-interactive|publickey) for root from [^[:space:]]+</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Solaris.10.LogFile.Syslog.SSHAuth.PAM.Root.Failure.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>