다음을 통해 공유

로그인 이벤트를 감사하도록 PAM(플러그형 인증 모듈) 구성

  • 아티클

이 문서에서는 수정되지 않은 Ubuntu 20.04 또는 18.04 설치에서 SSH, Telnet, 터미널 로그인 이벤트를 감사하도록 PAM(플러그형 인증 모듈)을 구성하는 샘플 프로세스를 제공합니다.

PAM 구성은 디바이스와 Linux 배포판에 따라 다를 수 있습니다.

자세한 내용은 로그인 수집기(이벤트 기반 수집기)를 참조하세요.

필수 조건

시작하기 전에 IoT용 Defender 마이크로 에이전트가 있는지 확인합니다.

PAM을 구성하려면 기술 지식이 필요합니다.

자세한 내용은 자습서: Defender for IoT 마이크로 에이전트 설치를 참조하세요.

로그인 및 로그아웃 이벤트를 보고하도록 PAM 구성 수정

이 절차에서는 성공적인 로그인 이벤트 컬렉션을 구성하기 위한 샘플 프로세스를 제공합니다.

이 예제는 수정되지 않은 Ubuntu 20.04 또는 18.04 설치를 기반으로 하며 이 프로세스의 단계는 시스템에 따라 다를 수 있습니다.

  1. 다음 파일을 찾습니다.

    • /etc/pam.d/sshd
    • /etc/pam.d/login

  2. 각 파일의 끝에 다음 줄을 추가합니다.

    // report login
session [default=ignore] pam_exec.so type=open_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 0

// report logout
session [default=ignore] pam_exec.so type=close_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 1

로그인 실패를 보고하도록 PAM 구성 수정

이 절차에서는 실패한 로그인 시도의 컬렉션을 구성하기 위한 샘플 프로세스를 제공합니다.

이 절차의 이 예제는 수정되지 않은 Ubuntu 18.04 또는 20.04 설치를 기반으로 합니다. 아래에 나열된 파일 및 명령은 구성별로 또는 수정의 결과로 다를 수 있습니다.

  1. /etc/pam.d/common-auth 파일을 찾아 다음 줄을 찾습니다.

    # here are the per-package modules (the "Primary" block)
auth    [success=1 default=ignore]  pam_unix.so nullok_secure
# here's the fallback if no module succeeds
auth    requisite           pam_deny.so

    이 섹션에서는 pam_unix.so 모듈을 통해 인증합니다. 인증 실패의 경우 이 섹션은 액세스를 방지하기 위해 pam_deny.so 모듈로 계속 이동됩니다.

  2. 표시된 코드 줄을 다음으로 바꿉니다.

    # here are the per-package modules (the "Primary" block)
auth	[success=1 default=ignore]	pam_unix.so nullok_secure
auth	[success=1 default=ignore]	pam_exec.so quiet /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 2
auth	[success=1 default=ignore]	pam_echo.so
# here's the fallback if no module succeeds
auth	requisite			pam_deny.so

    이 수정된 섹션에서 PAM은 모듈 하나를 pam_echo.so 모듈로 건너뛰고, pam_deny.so 모듈을 건너뛰고 성공적으로 인증합니다.

    실패 시 PAM은 계속해서 에이전트 로그 파일에 로그인 실패를 보고한 다음, 한 모듈을 pam_deny.so 모듈로 건너뛰어 액세스를 차단합니다.

구성 유효성 검사

이 절차에서는 로그인 이벤트를 감사하도록 PAM을 올바르게 구성했는지 확인하는 방법을 설명합니다.

  1. SSH를 사용하여 디바이스에 로그인한 다음, 로그아웃합니다.

  2. 잘못된 자격 증명을 사용하여 SSH를 사용하여 디바이스에 로그인하여 실패한 로그인 이벤트를 만듭니다.

  3. 디바이스에 액세스하고 다음 명령을 실행합니다.

    cat /var/lib/defender_iot_micro_agent/pam.log

  4. 로그인 성공(open_session), 로그아웃(close_session), 로그인 실패(auth)에 대해 다음과 유사한 줄이 기록되었는지 확인합니다.

    2021-10-31T18:10:31+02:00,16356631,2589842,open_session,sshd,user,192.168.0.101,ssh,0
2021-10-31T18:26:19+02:00,16356719,199164,close_session,sshd, user,192.168.0.201,ssh,1
2021-10-28T17:44:13+03:00,163543223,3572596,auth,sshd,user,143.24.20.36,ssh,2

  5. Telnet 및 터미널 연결을 사용하여 확인 절차를 반복합니다.

다음 단계

자세한 내용은 마이크로 에이전트 이벤트 컬렉션을 참조하세요.