Home
  •  

Warnungsregel für die SSH-Authentifizierung des Root-Kennworts

Microsoft.Solaris.9.LogFile.Syslog.Root.SSHAuth.Password.Alert (Rule)

Dies ist eine Warnungsregel für Erfolgsmeldungen zu "SSH as root".

Knowledge Base article:

Zusammenfassung

Direktanmeldung mit dem Kennwort des Stammkontos erkannt.

Konfiguration

Diese Regel ist standardmäßig deaktiviert. Verwenden Sie zur Aktivierung dieser Überwachungsregel Außerkraftsetzungen, mit denen Sie den Pfad der Protokolldatei konfigurieren und die Regel aktivieren. Der Pfad der Protokolldatei wird mithilfe der überschreibbaren Eigenschaft "LogFile" festgelegt. Als Wert muss der vollständige Pfad der Protokolldatei festgelegt werden, von der diese Ereignisse empfangen werden - wie in der Konfiguration des Systemprotokolls definiert. Die für alle Instanzen oder für eine bestimmte Instanz oder Gruppe definierten Parameterwerte können mithilfe von Außerkraftsetzungen geändert werden.

Ursachen

Möglicherweise wurde einigen Benutzern der Zugriff auf privilegierte Konten gewährt. Mit dieser Regel können Systemadministratoren Direktanmeldungen mit dem Kennwort des root-Kontos überwachen.

Lösungen

Die Beschreibung der Warnung und/oder des Ausgabedatenelements enthält Informationen zum festgestellten Problem. Falls ein Fehler auftritt, überprüfen Sie die entsprechenden Ereignisdetails sowie alle übrigen Ereignisse, die zum Fehlerzeitpunkt aufgetreten sind, um das Problem zu diagnostizieren.

Element properties:

TargetMicrosoft.Solaris.9.Computer
CategoryEventCollection
EnabledFalse
Alert GenerateTrue
Alert SeverityInformation
Alert PriorityNormal
RemotableTrue
Alert Message
Erfolgreiche Authentifizierung "SSH as root"
{0}

Member Modules:

ID Module Type TypeId RunAs 
EventDS DataSource Microsoft.Unix.SCXLog.Privileged.Datasource Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Solaris.9.LogFile.Syslog.Root.SSHAuth.Password.Alert" Target="Microsoft.Solaris.9.Computer" Enabled="false" Remotable="true">

  <Category>EventCollection</Category>

  <DataSources>

    <!-- [TYPE] Solaris SSH True -->

    <!-- [INPUT] Nov  9 16:42:25 scxsun14 sshd[14455]: [ID 800047 auth.info] Accepted keyboard-interactive for root from 10.195.173.73 port 35120 ssh2 -->

    <!-- [INPUT-MISS] Nov  9 16:41:32 scxsun14 sshd[14416]: [ID 800047 auth.info] Accepted publickey for jeffcof from 10.195.173.73 port 35119 ssh2 -->

    <DataSource ID="EventDS" TypeID="Unix!Microsoft.Unix.SCXLog.Privileged.Datasource">

      <Host>$Target/Property[Type="Unix!Microsoft.Unix.Computer"]/PrincipalName$</Host>

      <LogFile>/var/log/authlog</LogFile>

      <RegExpFilter>[[:space:]]+sshd\[[[:digit:]]+\]: \[.*\] Accepted [^[:space:]]+ for root from [^[:space:]]+</RegExpFilter>

      <IndividualAlerts>false</IndividualAlerts>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="SystemHealth!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>0</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Solaris.9.LogFile.Syslog.Root.SSHAuth.Password.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue/>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>