Pluggable Authentication Modules (PAM) configureren om aanmeldingsgebeurtenissen te controleren
Dit artikel bevat een voorbeeldproces voor het configureren van Pluggable Authentication Modules (PAM) om SSH-, Telnet- en terminalaanmeldingsgebeurtenissen te controleren op een ongewijzigde Ubuntu 20.04- of 18.04-installatie.
PAM-configuraties kunnen variëren tussen apparaten en Linux-distributies.
Zie Aanmeldingsverzamelaar (op gebeurtenissen gebaseerde verzamelaar) voor meer informatie.
Vereisten
Voordat u aan de slag gaat, moet u ervoor zorgen dat u een Defender for IoT Micro-agent hebt.
Voor het configureren van PAM is technische kennis vereist.
Zie Zelfstudie: de Defender for IoT-microagent installeren voor meer informatie.
PAM-configuratie wijzigen om aanmeldings- en afmeldingsgebeurtenissen te rapporteren
Deze procedure biedt een voorbeeldproces voor het configureren van de verzameling geslaagde aanmeldingsgebeurtenissen.
Ons voorbeeld is gebaseerd op een ongewijzigde installatie van Ubuntu 20.04 of 18.04 en de stappen in dit proces kunnen verschillen voor uw systeem.
Zoek de volgende bestanden:
/etc/pam.d/sshd
/etc/pam.d/login
Voeg de volgende regels toe aan het einde van elk bestand:
// report login session [default=ignore] pam_exec.so type=open_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 0 // report logout session [default=ignore] pam_exec.so type=close_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 1
De PAM-configuratie wijzigen om aanmeldingsfouten te melden
Deze procedure biedt een voorbeeldproces voor het configureren van de verzameling mislukte aanmeldingspogingen.
Dit voorbeeld in deze procedure is gebaseerd op een ongewijzigde installatie van Ubuntu 18.04 of 20.04. De onderstaande bestanden en opdrachten kunnen verschillen per configuratie of als gevolg van wijzigingen.
Zoek het
/etc/pam.d/common-auth
bestand en zoek naar de volgende regels:# here are the per-package modules (the "Primary" block) auth [success=1 default=ignore] pam_unix.so nullok_secure # here's the fallback if no module succeeds auth requisite pam_deny.so
Deze sectie wordt geverifieerd via de
pam_unix.so
module. In het geval van een verificatiefout gaat deze sectie verder met depam_deny.so
module om toegang te voorkomen.Vervang de aangegeven coderegels door het volgende:
# here are the per-package modules (the "Primary" block) auth [success=1 default=ignore] pam_unix.so nullok_secure auth [success=1 default=ignore] pam_exec.so quiet /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 2 auth [success=1 default=ignore] pam_echo.so # here's the fallback if no module succeeds auth requisite pam_deny.so
In deze gewijzigde sectie slaat PAM één module over naar de
pam_echo.so
module en slaat vervolgens de module over en wordt depam_deny.so
verificatie voltooid.In geval van een fout blijft PAM de aanmeldingsfout rapporteren aan het logboekbestand van de agent en wordt vervolgens één module overgeslagen naar de module, waardoor de
pam_deny.so
toegang wordt geblokkeerd.
Uw configuratie valideren
In deze procedure wordt beschreven hoe u kunt controleren of u PAM correct hebt geconfigureerd om aanmeldingsgebeurtenissen te controleren.
Meld u aan bij het apparaat met behulp van SSH en meld u vervolgens af.
Meld u aan bij het apparaat met behulp van SSH, met behulp van onjuiste referenties om een mislukte aanmeldingsgebeurtenis te maken.
Open uw apparaat en voer de volgende opdracht uit:
cat /var/lib/defender_iot_micro_agent/pam.log
Controleer of regels die vergelijkbaar zijn met de volgende, worden geregistreerd voor een geslaagde aanmelding (
open_session
), afmelding (close_session
) en een mislukte aanmelding (auth
):2021-10-31T18:10:31+02:00,16356631,2589842,open_session,sshd,user,192.168.0.101,ssh,0 2021-10-31T18:26:19+02:00,16356719,199164,close_session,sshd, user,192.168.0.201,ssh,1 2021-10-28T17:44:13+03:00,163543223,3572596,auth,sshd,user,143.24.20.36,ssh,2
Herhaal de verificatieprocedure met Telnet- en terminalverbindingen.
Volgende stappen
Zie Gebeurtenisverzameling microagent voor meer informatie.
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor