Настройка подключаемых модулей проверки подлинности (PAM) для аудита событий входа

В этой статье приведен пример процедуры настройки подключаемых модулей проверки подлинности (PAM) для аудита событий входа в SSH, Telnet и терминал для установленного экземпляра Ubuntu 20.04 или 18.04 без изменений.

Конфигурации PAM могут быть разными на устройствах и в дистрибутивах Linux.

Дополнительные сведения см. в разделе Сборщик журналируемых данных (сборщик на основе событий).

Предварительные требования

Прежде чем начать, убедитесь, что у вас есть микроагент Defender для Интернета вещей.

Для настройки PAM требуются технические знания.

Дополнительные сведения см. в статье Руководство. Установка микроагента Defender для Интернета вещей.

Изменение конфигурации PAM для регистрации событий входа и выхода

В этой процедуре приведен пример процедуры для настройки сбора данных о событиях входа.

Наш пример приведен для ОС Ubuntu 20.04 или 18.04 без модификаций, и описанные здесь действия могут быть другими для вашей системы.

1. Найдите следующие файлы:

   • /etc/pam.d/sshd
   • /etc/pam.d/login

2. Добавьте приведенные ниже строки в конец каждого файла.

   // report login
   session [default=ignore] pam_exec.so type=open_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 0
   
   // report logout
   session [default=ignore] pam_exec.so type=close_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 1
   

Изменение конфигурации PAM для регистрации сбоев входа

В этой процедуре приведен пример процедуры для настройки сбора данных о неудачных попытках входа.

Пример в этой процедуре приведен для ОС Ubuntu 18.04 или 20.04 без модификаций. Перечисленные ниже файлы и команды могут быть другими в зависимости от конфигурации или вследствие изменений.

1. Найдите файл /etc/pam.d/common-auth и следующие строки в нем:

   # here are the per-package modules (the "Primary" block)
   auth    [success=1 default=ignore]  pam_unix.so nullok_secure
   # here's the fallback if no module succeeds
   auth    requisite           pam_deny.so
   

   В этом разделе выполняется проверка подлинности через модуль pam_unix.so. В случае сбоя проверки подлинности этот раздел переходит к модулю pam_deny.so для предотвращения доступа.

2. Замените указанные строки кода следующими:

   # here are the per-package modules (the "Primary" block)
   auth	[success=1 default=ignore]	pam_unix.so nullok_secure
   auth	[success=1 default=ignore]	pam_exec.so quiet /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 2
   auth	[success=1 default=ignore]	pam_echo.so
   # here's the fallback if no module succeeds
   auth	requisite			pam_deny.so
   

   В этом измененном разделе PAM пропускает один модуль и переходит к модулю pam_echo.so, а затем пропускает модуль pam_deny.so и успешно выполняет проверку подлинности.

   В случае ошибки PAM продолжает работу и регистрирует ошибку входа в файле журнала агента, а затем пропускает один модуль и переходит к модулю pam_deny.so, который блокирует доступ.

Проверка конфигурации

В этой процедуре объясняется, как проверить правильность настроек PAM для аудита событий входа.

1. Войдите на устройство с помощью SSH, а затем выполните выход.

2. Войдите на устройство с помощью SSH, используя неверные учетные данные, чтобы инициировать событие ошибки входа.

3. Получите доступ к устройству и выполните следующую команду:

   cat /var/lib/defender_iot_micro_agent/pam.log
   

4. Убедитесь, что в журнал занесены строки, аналогичные приведенным ниже, для успешного входа (open_session), выхода (close_session) и ошибки входа (auth):

   2021-10-31T18:10:31+02:00,16356631,2589842,open_session,sshd,user,192.168.0.101,ssh,0
   2021-10-31T18:26:19+02:00,16356719,199164,close_session,sshd, user,192.168.0.201,ssh,1
   2021-10-28T17:44:13+03:00,163543223,3572596,auth,sshd,user,143.24.20.36,ssh,2
   

5. Повторите процедуру проверки, используя подключения Telnet и терминала.

Дальнейшие действия

Дополнительные сведения см. в разделе Сбор событий микроагента.