Dela via

Konfigurera PAM (Pluggable Authentication Modules) för att granska inloggningshändelser

  • Artikel

Den här artikeln innehåller en exempelprocess för att konfigurera PAM (Pluggable Authentication Modules) för att granska SSH-, Telnet- och terminalinloggningshändelser på en oförändrad Ubuntu 20.04- eller 18.04-installation.

PAM-konfigurationer kan variera mellan enheter och Linux-distributioner.

Mer information finns i Inloggningsinsamlare (händelsebaserad insamlare).

Förutsättningar

Kontrollera att du har en Defender for IoT Micro Agent innan du börjar.

För att konfigurera PAM krävs teknisk kunskap.

Mer information finns i Självstudie: Installera Defender för IoT-mikroagenten.

Ändra PAM-konfigurationen för att rapportera inloggnings- och utloggningshändelser

Den här proceduren innehåller en exempelprocess för att konfigurera samlingen av lyckade inloggningshändelser.

Vårt exempel baseras på en oförändrad Ubuntu 20.04- eller 18.04-installation, och stegen i den här processen kan skilja sig åt för ditt system.

  1. Leta upp följande filer:

    • /etc/pam.d/sshd
    • /etc/pam.d/login

  2. Lägg till följande rader i slutet av varje fil:

    // report login
session [default=ignore] pam_exec.so type=open_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 0

// report logout
session [default=ignore] pam_exec.so type=close_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 1

Ändra PAM-konfigurationen för att rapportera inloggningsfel

Den här proceduren innehåller en exempelprocess för att konfigurera samlingen av misslyckade inloggningsförsök.

Det här exemplet i den här proceduren baseras på en oförändrad Ubuntu 18.04- eller 20.04-installation. De filer och kommandon som anges nedan kan variera beroende på konfiguration eller som ett resultat av ändringar.

  1. /etc/pam.d/common-auth Leta upp filen och leta efter följande rader:

    # here are the per-package modules (the "Primary" block)
auth    [success=1 default=ignore]  pam_unix.so nullok_secure
# here's the fallback if no module succeeds
auth    requisite           pam_deny.so

    Det här avsnittet autentiseras via modulen pam_unix.so . I händelse av autentiseringsfel fortsätter det här avsnittet till modulen pam_deny.so för att förhindra åtkomst.

  2. Ersätt de angivna kodraderna med följande:

    # here are the per-package modules (the "Primary" block)
auth	[success=1 default=ignore]	pam_unix.so nullok_secure
auth	[success=1 default=ignore]	pam_exec.so quiet /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 2
auth	[success=1 default=ignore]	pam_echo.so
# here's the fallback if no module succeeds
auth	requisite			pam_deny.so

    I det här ändrade avsnittet hoppar PAM över en modul till modulen pam_echo.so och hoppar sedan över modulen och autentiserar pam_deny.so korrekt.

    Vid fel fortsätter PAM att rapportera inloggningsfelet till agentloggfilen och hoppar sedan över en modul till modulen pam_deny.so , vilket blockerar åtkomsten.

Verifiera konfigurationen

Den här proceduren beskriver hur du kontrollerar att du har konfigurerat PAM korrekt för att granska inloggningshändelser.

  1. Logga in på enheten med hjälp av SSH och logga sedan ut.

  2. Logga in på enheten med hjälp av SSH med felaktiga autentiseringsuppgifter för att skapa en misslyckad inloggningshändelse.

  3. Öppna enheten och kör följande kommando:

    cat /var/lib/defender_iot_micro_agent/pam.log

  4. Kontrollera att rader som liknar följande loggas för en lyckad inloggning (open_session), utloggning (close_session) och ett inloggningsfel (auth):

    2021-10-31T18:10:31+02:00,16356631,2589842,open_session,sshd,user,192.168.0.101,ssh,0
2021-10-31T18:26:19+02:00,16356719,199164,close_session,sshd, user,192.168.0.201,ssh,1
2021-10-28T17:44:13+03:00,163543223,3572596,auth,sshd,user,143.24.20.36,ssh,2

  5. Upprepa verifieringsproceduren med Telnet- och terminalanslutningar.

Nästa steg

Mer information finns i Händelsesamling för mikroagent.