Comparteix a través de


Configuración de módulos de autenticación conectables (PAM) para auditar eventos de inicio de sesión

En este artículo se proporciona un proceso de ejemplo para configurar módulos de autenticación conectables (PAM) para auditar los eventos de inicio de sesión de SSH, Telnet y terminal en una instalación de Ubuntu 20.04 o 18.04 sin modificar.

Las configuraciones de PAM pueden variar entre dispositivos y distribuciones de Linux.

Para más información, consulte Recopilador de inicio de sesión (recopilador basado en eventos).

Nota:

Defender para IoT planea retirar el microagente el 1 de agosto de 2025.

Requisitos previos

Antes de empezar, asegúrese de que tiene un microagente de Defender para IoT.

La configuración de PAM requiere conocimientos técnicos.

Para obtener más información, vea Tutorial: Instalación del microagente de Defender para IoT.

Modificación de la configuración de PAM para notificar eventos de inicio y cierre de sesión

Este procedimiento proporciona un proceso de ejemplo para configurar la recopilación de eventos de inicio de sesión correctos.

Nuestro ejemplo se basa en una instalación de Ubuntu 20.04 o 18.04 sin modificar y los pasos de este proceso pueden diferir para el sistema.

  1. Busque los archivos siguientes:

    • /etc/pam.d/sshd
    • /etc/pam.d/login
  2. Anexe las líneas siguientes al final de cada archivo:

    // report login
    session [default=ignore] pam_exec.so type=open_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 0
    
    // report logout
    session [default=ignore] pam_exec.so type=close_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 1
    

Modificación de la configuración de PAM para notificar errores de inicio de sesión

Este procedimiento proporciona un proceso de ejemplo para configurar la recopilación de intentos de inicio de sesión incorrectos.

Este ejemplo de este procedimiento se basa en una instalación de Ubuntu 18.04 o 20.04 sin modificar. Los archivos y comandos que se enumeran a continuación pueden diferir por configuración o como resultado de modificaciones.

  1. Busque el archivo /etc/pam.d/common-auth y busque las líneas siguientes:

    # here are the per-package modules (the "Primary" block)
    auth    [success=1 default=ignore]  pam_unix.so nullok_secure
    # here's the fallback if no module succeeds
    auth    requisite           pam_deny.so
    

    Esta sección se autentica a través del módulo pam_unix.so. En caso de error de autenticación, esta sección continúa en el módulo pam_deny.so para impedir el acceso.

  2. Reemplace las líneas de código indicadas por lo siguiente:

    # here are the per-package modules (the "Primary" block)
    auth	[success=1 default=ignore]	pam_unix.so nullok_secure
    auth	[success=1 default=ignore]	pam_exec.so quiet /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 2
    auth	[success=1 default=ignore]	pam_echo.so
    # here's the fallback if no module succeeds
    auth	requisite			pam_deny.so
    

    En esta sección modificada, PAM omite un módulo al módulo pam_echo.so y, a continuación, omite el módulo pam_deny.so y se autentica correctamente.

    En caso de error, PAM continúa informando del error de inicio de sesión al archivo de registro del agente y, a continuación, omite un módulo al módulo pam_deny.so, lo que bloquea el acceso.

Validación de la configuración

En este procedimiento se describe cómo comprobar que ha configurado PAM correctamente para auditar los eventos de inicio de sesión.

  1. Inicie sesión en el dispositivo mediante SSH y, a continuación, cierre sesión.

  2. Inicie sesión en el dispositivo mediante SSH con credenciales incorrectas para crear un evento de inicio de sesión incorrecto.

  3. Acceda al dispositivo y ejecute el siguiente comando:

    cat /var/lib/defender_iot_micro_agent/pam.log
    
  4. Compruebe que se registran líneas similares a las siguientes para un inicio de sesión correcto (open_session), un cierre de sesión (close_session) y un error de inicio de sesión (auth):

    2021-10-31T18:10:31+02:00,16356631,2589842,open_session,sshd,user,192.168.0.101,ssh,0
    2021-10-31T18:26:19+02:00,16356719,199164,close_session,sshd, user,192.168.0.201,ssh,1
    2021-10-28T17:44:13+03:00,163543223,3572596,auth,sshd,user,143.24.20.36,ssh,2
    
  5. Repita el procedimiento de comprobación con Telnet y conexiones de terminal.

Pasos siguientes

Para obtener más información, vea Recopilación de eventos de microagente.