Home
  •  

Varningsregel för rotlösenord för SSH-autentisering

Microsoft.Solaris.11.LogFile.Syslog.Root.SSHAuth.Password.Alert (Rule)

Varningsregel för lyckad SSH som rotmeddelanden.

Knowledge Base article:

Sammanfattning

Direkt inloggning använder det rotkontolösenord som har identifierats.

Konfiguration

Som standard är den här regeln inaktiverad. Om du vill använda den här regeln för övervakning ska du använda åsidosättningar för att konfigurera sökvägen till loggfilen och aktivera regeln. Sökvägen till loggfilen anges med åsidosättningsegenskapen LogFile och värdet måste bestå av den fullständiga sökvägen till loggfilen som ska ta emot de händelser som definierats i systemloggkonfigurationen. Du kan använda åsidosättningar för att ändra parametervärden för alla instanser eller för specifika instanser eller grupper.

Orsaker

Användare kan ha beviljats åtkomst till behöriga konton. Med den här regeln kan systemadministratörer spåra direkta inloggningar som använder rotkontolösenordet.

Lösningar

Information om det påträffade problemet finns i varningsbeskrivningen och/eller utdataposten. Om ett fel inträffar bör du kontrollera detaljinformationen för händelsen samt andra händelser som inträffade vid ungefär samma tid som felet för att kunna diagnostisera orsaken till felet.

Element properties:

TargetMicrosoft.Solaris.11.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
SSH lyckades eftersom rot identifierade
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Solaris.11.LogFile.Syslog.Root.SSHAuth.Password.Alert" Target="Microsoft.Solaris.11.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] Solaris SSH True -->

    <!-- [INPUT] Dec  2 10:53:41 jeffcof-sol11-x86 sshd[1819]: [ID 800047 auth.info] Accepted keyboard-interactive for root from 172.30.170.215 port 38708 ssh2 -->

    <!-- [INPUT-MISS] Dec  2 11:00:01 jeffcof-sol11-x86 sshd[1828]: [ID 800047 auth.info] Accepted publickey for jeffcof from 172.30.170.215 port 47999 ssh2 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/authlog</LogFile>

      <RegExpFilter>[[:space:]]+sshd\[[[:digit:]]+\]: \[.*\] Accepted [^[:space:]]+ for root from [^[:space:]]+</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Solaris.11.LogFile.Syslog.Root.SSHAuth.Password.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>