Sdílet prostřednictvím

Konfigurace modulů pluggable authentication (PAM) pro audit událostí přihlášení

  • Článek

Tento článek obsahuje ukázkový proces konfigurace modulů pluggable authentication (PAM) pro auditování událostí přihlášení přes SSH, Telnet a terminál na nemodifikované instalaci Ubuntu 20.04 nebo 18.04.

Konfigurace PAM se můžou lišit mezi zařízeními a linuxovými distribucemi.

Další informace naleznete v tématu Kolektor přihlášení (kolektor založený na událostech).

Poznámka:

Defender for IoT plánuje vyřadit mikro agenta 1. srpna 2025.

Požadavky

Než začnete, ujistěte se, že máte agenta Defender for IoT Micro Agent.

Konfigurace PAM vyžaduje technické znalosti.

Další informace najdete v tématu Kurz: Instalace mikro agenta Defenderu pro IoT.

Úprava konfigurace PAM pro hlášení událostí přihlášení a odhlášení

Tento postup poskytuje ukázkový proces pro konfiguraci kolekce úspěšných událostí přihlášení.

Náš příklad je založený na nemodifikované instalaci Ubuntu 20.04 nebo 18.04 a kroky v tomto procesu se můžou pro váš systém lišit.

  1. Vyhledejte následující soubory:

    • /etc/pam.d/sshd
    • /etc/pam.d/login

  2. Na konec každého souboru připojte následující řádky:

    // report login
session [default=ignore] pam_exec.so type=open_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 0

// report logout
session [default=ignore] pam_exec.so type=close_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 1

Úprava konfigurace PAM tak, aby hlásila selhání přihlášení

Tento postup poskytuje ukázkový proces konfigurace kolekce neúspěšných pokusů o přihlášení.

Tento příklad v tomto postupu vychází z nezměněné instalace Ubuntu 18.04 nebo 20.04. Soubory a příkazy uvedené níže se můžou lišit podle konfigurace nebo v důsledku úprav.

  1. /etc/pam.d/common-auth Vyhledejte soubor a vyhledejte následující řádky:

    # here are the per-package modules (the "Primary" block)
auth    [success=1 default=ignore]  pam_unix.so nullok_secure
# here's the fallback if no module succeeds
auth    requisite           pam_deny.so

    Tato část se ověřuje prostřednictvím pam_unix.so modulu. V případě selhání ověřování tento oddíl pokračuje v pam_deny.so modulu, aby se zabránilo přístupu.

  2. Nahraďte uvedené řádky kódu následujícím kódem:

    # here are the per-package modules (the "Primary" block)
auth	[success=1 default=ignore]	pam_unix.so nullok_secure
auth	[success=1 default=ignore]	pam_exec.so quiet /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 2
auth	[success=1 default=ignore]	pam_echo.so
# here's the fallback if no module succeeds
auth	requisite			pam_deny.so

    V této upravené části PAM přeskočí jeden modul do pam_echo.so modulu a pak modul přeskočí pam_deny.so a úspěšně ověří.

    V případě selhání pam dál hlásí selhání přihlášení do souboru protokolu agenta a pak přeskočí jeden modul do pam_deny.so modulu, který blokuje přístup.

Ověření konfigurace

Tento postup popisuje, jak ověřit, že jste pam správně nakonfigurovali pro audit událostí přihlášení.

  1. Přihlaste se k zařízení pomocí SSH a pak se odhlaste.

  2. Přihlaste se k zařízení pomocí SSH a pomocí nesprávných přihlašovacích údajů vytvořte neúspěšnou událost přihlášení.

  3. Přejděte k zařízení a spusťte následující příkaz:

    cat /var/lib/defender_iot_micro_agent/pam.log

  4. Ověřte, že jsou zaprotokolovány řádky podobné následujícímu, pro úspěšné přihlášení (open_session), odhlášení (close_session) a selhání přihlášení (auth):

    2021-10-31T18:10:31+02:00,16356631,2589842,open_session,sshd,user,192.168.0.101,ssh,0
2021-10-31T18:26:19+02:00,16356719,199164,close_session,sshd, user,192.168.0.201,ssh,1
2021-10-28T17:44:13+03:00,163543223,3572596,auth,sshd,user,143.24.20.36,ssh,2

  5. Opakujte postup ověření pomocí telnetu a připojení terminálu.

Další kroky

Další informace najdete v tématu Shromažďování událostí mikro agenta.