Configurare moduli di autenticazione plug-in (PAM) per controllare gli eventi di accesso
Questo articolo fornisce un processo di esempio per la configurazione dei moduli di autenticazione plug-in (PAM) per controllare gli eventi di accesso SSH, Telnet e terminal in un'installazione Ubuntu 20.04 o 18.04 non modificata.
Le configurazioni dei moduli PAM possono variare tra dispositivi e distribuzioni Linux.
Per altre informazioni, vedere Agente di raccolta account di accesso (agente di raccolta basato su eventi).
Nota
Defender per IoT prevede di ritirare il micro agente il 1° agosto 2025.
Prerequisiti
Prima di iniziare, assicurarsi di disporre di un micro-agente Defender per IoT.
La configurazione di PAM richiede conoscenze tecniche.
Per altre informazioni, vedere Esercitazione: Installare il micro-agente Defender per IoT.
Modificare la configurazione PAM per segnalare gli eventi di accesso e disconnessione
Questa procedura fornisce un processo di esempio per configurare la raccolta di eventi di accesso riusciti.
L'esempio è basato su un'installazione di Ubuntu 20.04 o 18.04 non modificata e i passaggi di questo processo possono variare per il sistema.
Individuare i file seguenti:
/etc/pam.d/sshd/etc/pam.d/login
Aggiungere le righe seguenti alla fine di ogni file:
// report login session [default=ignore] pam_exec.so type=open_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 0 // report logout session [default=ignore] pam_exec.so type=close_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 1
Modificare la configurazione PAM per segnalare gli errori di accesso
Questa procedura fornisce un processo di esempio per la configurazione della raccolta di tentativi di accesso non riusciti.
L'esempio in questa procedura si basa su un'installazione di Ubuntu 18.04 o 20.04 non modificata. I file e i comandi elencati di seguito possono differire per ogni configurazione o a seguito di modifiche.
Individuare il file
/etc/pam.d/common-authe cercare le righe seguenti:# here are the per-package modules (the "Primary" block) auth [success=1 default=ignore] pam_unix.so nullok_secure # here's the fallback if no module succeeds auth requisite pam_deny.soQuesta sezione esegue l'autenticazione tramite il modulo
pam_unix.so. In caso di errore di autenticazione, questa sezione continua con il modulopam_deny.soper impedire l'accesso.Sostituire le righe di codice indicate con quanto segue:
# here are the per-package modules (the "Primary" block) auth [success=1 default=ignore] pam_unix.so nullok_secure auth [success=1 default=ignore] pam_exec.so quiet /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 2 auth [success=1 default=ignore] pam_echo.so # here's the fallback if no module succeeds auth requisite pam_deny.soIn questa sezione modificata, PAM ignora un modulo passando al modulo
pam_echo.soe quindi ignora il modulopam_deny.soed esegue correttamente l'autenticazione.In caso di errore, PAM continua a segnalare l'errore di accesso al file di log dell'agente e quindi ignora un modulo al modulo
pam_deny.so, che blocca l'accesso.
Convalidare la configurazione
Questa procedura descrive come verificare che PAM sia stato configurato correttamente per controllare gli eventi di accesso.
Accedere al dispositivo usando SSH e quindi disconnettersi.
Accedere al dispositivo usando SSH, usando credenziali non corrette per creare un evento di accesso non riuscito.
Accedere al dispositivo ed eseguire il comando seguente:
cat /var/lib/defender_iot_micro_agent/pam.logVerificare che siano registrate righe simili alle seguenti, per un accesso riuscito (
open_session), disconnesso (close_session) e un errore di accesso (auth):2021-10-31T18:10:31+02:00,16356631,2589842,open_session,sshd,user,192.168.0.101,ssh,0 2021-10-31T18:26:19+02:00,16356719,199164,close_session,sshd, user,192.168.0.201,ssh,1 2021-10-28T17:44:13+03:00,163543223,3572596,auth,sshd,user,143.24.20.36,ssh,2Ripetere la procedura di verifica con Telnet e le connessioni del terminale.
Passaggi successivi
Per altre informazioni, vedere Raccolta di eventi di micro-agente.