Home
  •  

Regla de alerta de autenticación de SSH mediante contraseña raíz

Microsoft.Solaris.11.LogFile.Syslog.Root.SSHAuth.Password.Alert (Rule)

Regla de alerta para mensajes correctos de SSH como root.

Knowledge Base article:

Resumen

Inicio de sesión directo usando la contraseña de la cuenta raíz detectada.

Configuración

Esta regla está deshabilitada de forma predeterminada. Para habilitar esta regla de supervisión, use invalidaciones para configurar la ruta de acceso al archivo de registro y habilitar la regla. La ruta de acceso al archivo de registro se establece con una propiedad reemplazable denominada LogFile, cuyo valor se debe establecer en la ruta de acceso completa al archivo de registro que recibirá estos eventos, definido en la configuración de syslog. Se pueden usar invalidaciones para cambiar los valores de parámetros para todas las instancias o para instancias o grupos específicos.

Causas

Es posible que se haya concedido a usuarios el acceso a cuentas con privilegios. Esta regla permite a los administradores del sistema realizar el seguimiento de los inicios de sesión directos con la contraseña de la cuenta raíz.

Resoluciones

La descripción de la alerta y/o el elemento de datos de salida contiene información sobre el problema detectado. Si se produce un error, compruebe los detalles de los eventos asociados, así como cualquier otro evento ocurrido aproximadamente a la hora de este error para diagnosticar el problema.

Element properties:

TargetMicrosoft.Solaris.11.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
Se detectó SSH como root correcto
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Solaris.11.LogFile.Syslog.Root.SSHAuth.Password.Alert" Target="Microsoft.Solaris.11.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] Solaris SSH True -->

    <!-- [INPUT] Dec  2 10:53:41 jeffcof-sol11-x86 sshd[1819]: [ID 800047 auth.info] Accepted keyboard-interactive for root from 172.30.170.215 port 38708 ssh2 -->

    <!-- [INPUT-MISS] Dec  2 11:00:01 jeffcof-sol11-x86 sshd[1828]: [ID 800047 auth.info] Accepted publickey for jeffcof from 172.30.170.215 port 47999 ssh2 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/authlog</LogFile>

      <RegExpFilter>[[:space:]]+sshd\[[[:digit:]]+\]: \[.*\] Accepted [^[:space:]]+ for root from [^[:space:]]+</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Solaris.11.LogFile.Syslog.Root.SSHAuth.Password.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>