Freigeben über

Konfigurieren von PAM (Pluggable Authentication Modules) zum Überwachen von Anmeldeereignissen

  • Artikel

Dieser Artikel enthält ein Beispielverfahren zum Konfigurieren von PAM (Pluggable Authentication Modules) zum Überwachen von SSH-, Telnet- und Terminalanmeldeereignissen in einer nicht geänderten Installation von Ubuntu 20.04 oder 18.04.

PAM-Konfigurationen können zwischen Geräten und Linux-Distributionen variieren.

Weitere Informationen finden Sie unter Anmeldungssammler (ereignisbasierter Sammler).

Hinweis

Bei Defender for IoT soll der Micro-Agent am 1. August 2025 eingestellt werden.

Voraussetzungen

Stellen Sie zunächst sicher, dass Sie über einen Micro-Agent für Defender für IoT verfügen.

Zum Konfigurieren von PAM sind technische Kenntnisse erforderlich.

Weitere Informationen finden Sie unter Tutorial: Installieren des Micro-Agents für Defender for IoT.

Ändern der PAM-Konfiguration zum Melden von Anmelde- und Abmeldeereignissen

Dieses Verfahren enthält einen Beispielprozess zum Konfigurieren der Sammlung erfolgreicher Anmeldeereignisse.

Unser Beispiel basiert auf einer nicht geänderten Installation von Ubuntu 20.04 oder 18.04, und die Schritte in diesem Prozess können sich für Ihr System unterscheiden.

  1. Suchen Sie die folgenden Dateien:

    • /etc/pam.d/sshd
    • /etc/pam.d/login

  2. Fügen Sie am Ende jeder Datei die folgenden Zeilen an:

    // report login
session [default=ignore] pam_exec.so type=open_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 0

// report logout
session [default=ignore] pam_exec.so type=close_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 1

Ändern der PAM-Konfiguration zum Melden von Anmeldefehlern

Dieses Verfahren enthält einen Beispielprozess zum Konfigurieren der Sammlung fehlerhafter Anmeldeversuche.

Dieses Beispiel in diesem Verfahren basiert auf einer nicht geänderten Installation von Ubuntu 18.04 oder 20.04. Die unten aufgeführten Dateien und Befehle können sich je nach Konfiguration oder infolge von Änderungen unterscheiden.

  1. Suchen Sie die Datei /etc/pam.d/common-auth, und suchen Sie nach den folgenden Zeilen:

    # here are the per-package modules (the "Primary" block)
auth    [success=1 default=ignore]  pam_unix.so nullok_secure
# here's the fallback if no module succeeds
auth    requisite           pam_deny.so

    Bei diesem Abschnitt erfolgt die Authentifizierung über das Modul pam_unix.so. Im Falle eines Authentifizierungsfehlers wird dieser Abschnitt mit dem Modul pam_deny.so fortgesetzt, um den Zugriff zu verhindern.

  2. Ersetzen Sie die angegebenen Codezeilen durch Folgendes:

    # here are the per-package modules (the "Primary" block)
auth	[success=1 default=ignore]	pam_unix.so nullok_secure
auth	[success=1 default=ignore]	pam_exec.so quiet /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 2
auth	[success=1 default=ignore]	pam_echo.so
# here's the fallback if no module succeeds
auth	requisite			pam_deny.so

    In diesem geänderten Abschnitt überspringt PAM ein Modul und springt zum Modul pam_echo.so. Anschließend wird das Modul pam_deny.so übersprungen, und die Authentifizierung ist erfolgreich.

    Bei einem Fehler meldet PAM den Anmeldefehler weiterhin an die Agent-Protokolldatei, überspringt ein Modul und springt zum Modul pam_deny.so, das den Zugriff blockiert.

Überprüfen Ihrer Konfiguration

In diesem Verfahren wird beschrieben, wie Sie sicherstellen, dass PAM ordnungsgemäß zum Überwachen von Anmeldeereignissen konfiguriert wurde.

  1. Melden Sie sich mithilfe von SSH beim Gerät an, und melden Sie sich dann ab.

  2. Melden Sie sich mithilfe von SSH beim Gerät an. Verwenden Sie dabei falsche Anmeldeinformationen, um ein nicht erfolgreiches Anmeldeereignis zu erstellen.

  3. Greifen Sie auf Ihr Gerät zu, und führen Sie den folgenden Befehl aus:

    cat /var/lib/defender_iot_micro_agent/pam.log

  4. Vergewissern Sie sich, dass Zeilen wie die folgenden für eine erfolgreiche Anmeldung (open_session), eine erfolgreiche Abmeldung (close_session) und einen Anmeldefehler (auth) protokolliert werden:

    2021-10-31T18:10:31+02:00,16356631,2589842,open_session,sshd,user,192.168.0.101,ssh,0
2021-10-31T18:26:19+02:00,16356719,199164,close_session,sshd, user,192.168.0.201,ssh,1
2021-10-28T17:44:13+03:00,163543223,3572596,auth,sshd,user,143.24.20.36,ssh,2

  5. Wiederholen Sie das Überprüfungsverfahren mit Telnet- und Terminalverbindungen.

Nächste Schritte

Weitere Informationen finden Sie unter Micro-Agent-Ereignissammlung.