Varningsregel för lyckad SSH som rotmeddelanden.
Direkt inloggning använder det rotkontolösenord som har identifierats.
Som standard är den här regeln inaktiverad. Om du vill använda den här regeln för övervakning ska du använda åsidosättningar för att konfigurera sökvägen till loggfilen och aktivera regeln. Sökvägen till loggfilen anges med åsidosättningsegenskapen LogFile och värdet måste bestå av den fullständiga sökvägen till loggfilen som ska ta emot de händelser som definierats i systemloggkonfigurationen. Du kan använda åsidosättningar för att ändra parametervärden för alla instanser eller för specifika instanser eller grupper.
Användare kan ha beviljats åtkomst till behöriga konton. Med den här regeln kan systemadministratörer spåra direkta inloggningar som använder rotkontolösenordet.
Information om det påträffade problemet finns i varningsbeskrivningen och/eller utdataposten. Om ett fel inträffar bör du kontrollera detaljinformationen för händelsen samt andra händelser som inträffade vid ungefär samma tid som felet för att kunna diagnostisera orsaken till felet.
Target | Microsoft.Solaris.11.Computer | ||
Category | EventCollection | ||
Enabled | False | ||
Alert Generate | True | ||
Alert Severity | Information | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
|
ID | Module Type | TypeId | RunAs |
---|---|---|---|
EventDS | DataSource | Microsoft.Unix.SCXLog.Privileged.Datasource | Default |
GenerateAlert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Solaris.11.LogFile.Syslog.Root.SSHAuth.Password.Alert" Target="Microsoft.Solaris.11.Computer" Enabled="false" Remotable="true">
<Category>EventCollection</Category>
<DataSources>
<!-- [TYPE] Solaris SSH True -->
<!-- [INPUT] Dec 2 10:53:41 jeffcof-sol11-x86 sshd[1819]: [ID 800047 auth.info] Accepted keyboard-interactive for root from 172.30.170.215 port 38708 ssh2 -->
<!-- [INPUT-MISS] Dec 2 11:00:01 jeffcof-sol11-x86 sshd[1828]: [ID 800047 auth.info] Accepted publickey for jeffcof from 172.30.170.215 port 47999 ssh2 -->
<DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">
<Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>
<LogFile>/var/log/authlog</LogFile>
<RegExpFilter>[[:space:]]+sshd\[[[:digit:]]+\]: \[.*\] Accepted [^[:space:]]+ for root from [^[:space:]]+</RegExpFilter>
<IndividualAlerts>false</IndividualAlerts>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>0</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Solaris.11.LogFile.Syslog.Root.SSHAuth.Password.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue/>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>