Delen via

Pluggable Authentication Modules (PAM) configureren om aanmeldingsgebeurtenissen te controleren

  • Artikel

Dit artikel bevat een voorbeeldproces voor het configureren van Pluggable Authentication Modules (PAM) om SSH-, Telnet- en terminalaanmeldingsgebeurtenissen te controleren op een ongewijzigde Ubuntu 20.04- of 18.04-installatie.

PAM-configuraties kunnen variëren tussen apparaten en Linux-distributies.

Zie Aanmeldingsverzamelaar (op gebeurtenissen gebaseerde verzamelaar) voor meer informatie.

Vereisten

Voordat u aan de slag gaat, moet u ervoor zorgen dat u een Defender for IoT Micro-agent hebt.

Voor het configureren van PAM is technische kennis vereist.

Zie Zelfstudie: de Defender for IoT-microagent installeren voor meer informatie.

PAM-configuratie wijzigen om aanmeldings- en afmeldingsgebeurtenissen te rapporteren

Deze procedure biedt een voorbeeldproces voor het configureren van de verzameling geslaagde aanmeldingsgebeurtenissen.

Ons voorbeeld is gebaseerd op een ongewijzigde installatie van Ubuntu 20.04 of 18.04 en de stappen in dit proces kunnen verschillen voor uw systeem.

  1. Zoek de volgende bestanden:

    • /etc/pam.d/sshd
    • /etc/pam.d/login

  2. Voeg de volgende regels toe aan het einde van elk bestand:

    // report login
session [default=ignore] pam_exec.so type=open_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 0

// report logout
session [default=ignore] pam_exec.so type=close_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 1

De PAM-configuratie wijzigen om aanmeldingsfouten te melden

Deze procedure biedt een voorbeeldproces voor het configureren van de verzameling mislukte aanmeldingspogingen.

Dit voorbeeld in deze procedure is gebaseerd op een ongewijzigde installatie van Ubuntu 18.04 of 20.04. De onderstaande bestanden en opdrachten kunnen verschillen per configuratie of als gevolg van wijzigingen.

  1. Zoek het /etc/pam.d/common-auth bestand en zoek naar de volgende regels:

    # here are the per-package modules (the "Primary" block)
auth    [success=1 default=ignore]  pam_unix.so nullok_secure
# here's the fallback if no module succeeds
auth    requisite           pam_deny.so

    Deze sectie wordt geverifieerd via de pam_unix.so module. In het geval van een verificatiefout gaat deze sectie verder met de pam_deny.so module om toegang te voorkomen.

  2. Vervang de aangegeven coderegels door het volgende:

    # here are the per-package modules (the "Primary" block)
auth	[success=1 default=ignore]	pam_unix.so nullok_secure
auth	[success=1 default=ignore]	pam_exec.so quiet /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 2
auth	[success=1 default=ignore]	pam_echo.so
# here's the fallback if no module succeeds
auth	requisite			pam_deny.so

    In deze gewijzigde sectie slaat PAM één module over naar de pam_echo.so module en slaat vervolgens de module over en wordt de pam_deny.so verificatie voltooid.

    In geval van een fout blijft PAM de aanmeldingsfout rapporteren aan het logboekbestand van de agent en wordt vervolgens één module overgeslagen naar de module, waardoor de pam_deny.so toegang wordt geblokkeerd.

Uw configuratie valideren

In deze procedure wordt beschreven hoe u kunt controleren of u PAM correct hebt geconfigureerd om aanmeldingsgebeurtenissen te controleren.

  1. Meld u aan bij het apparaat met behulp van SSH en meld u vervolgens af.

  2. Meld u aan bij het apparaat met behulp van SSH, met behulp van onjuiste referenties om een mislukte aanmeldingsgebeurtenis te maken.

  3. Open uw apparaat en voer de volgende opdracht uit:

    cat /var/lib/defender_iot_micro_agent/pam.log

  4. Controleer of regels die vergelijkbaar zijn met de volgende, worden geregistreerd voor een geslaagde aanmelding (open_session), afmelding (close_session) en een mislukte aanmelding (auth):

    2021-10-31T18:10:31+02:00,16356631,2589842,open_session,sshd,user,192.168.0.101,ssh,0
2021-10-31T18:26:19+02:00,16356719,199164,close_session,sshd, user,192.168.0.201,ssh,1
2021-10-28T17:44:13+03:00,163543223,3572596,auth,sshd,user,143.24.20.36,ssh,2

  5. Herhaal de verificatieprocedure met Telnet- en terminalverbindingen.

Volgende stappen

Zie Gebeurtenisverzameling microagent voor meer informatie.