次の方法で共有

Pluggable Authentication Modules (PAM) を構成してサインイン イベントを監査する

  • [アーティクル]

この記事では、変更されていない Ubuntu 20.04 または18.04 のインストールで SSH、Telnet、およびターミナルのサインイン イベントを監査するように、Pluggable Authentication Modules (PAM) を構成するためのサンプル プロセスを示します。

PAM の構成は、デバイスと Linux ディストリビューションで異なる場合があります。

詳細については、「ログイン コレクター (イベントベースのコレクター)」を参照してください。

Note

Defender for IoT のマイクロ エージェントは 2025 年 8 月 1 日に廃止される予定です。

前提条件

作業を開始する前に、Defender for IoT マイクロ エージェントがインストールされていることを確認してください。

PAM を構成するには、技術的な知識が必要です。

詳細については、「チュートリアル: Defender for IoT マイクロ エージェントをインストールする」を参照してください。

サインインおよびサインアウトのイベントを報告するように PAM の構成を変更する

この手順では、成功したサインイン イベントの収集を構成するためのサンプル プロセスを示します。

この例は、変更されていない Ubuntu 20.04 または18.04 のインストールに基づいており、このプロセスの手順はシステムによって異なる場合があります。

  1. 次のファイルを見つけます。

    • /etc/pam.d/sshd
    • /etc/pam.d/login

  2. 各ファイルの末尾に次の行を追加します。

    // report login
session [default=ignore] pam_exec.so type=open_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 0

// report logout
session [default=ignore] pam_exec.so type=close_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 1

サインイン エラーを報告するように PAM の構成を変更する

この手順では、失敗したサインイン試行の収集を構成するためのサンプル プロセスを示します。

この手順のこの例は、変更されていない Ubuntu 18.04 または20.04 のインストールに基づいています。 下に示すファイルとコマンドは、構成ごとに、あるいは変更の結果として、異なる場合があります。

  1. /etc/pam.d/common-auth ファイルを見つけて、次の行を探します。

    # here are the per-package modules (the "Primary" block)
auth    [success=1 default=ignore]  pam_unix.so nullok_secure
# here's the fallback if no module succeeds
auth    requisite           pam_deny.so

    このセクションでは、pam_unix.so モジュールを使用して認証を行います。 認証エラーが発生した場合、アクセスを防ぐための pam_deny.so モジュールまで進みます。

  2. 示されたコード行を、以下に置き換えます。

    # here are the per-package modules (the "Primary" block)
auth	[success=1 default=ignore]	pam_unix.so nullok_secure
auth	[success=1 default=ignore]	pam_exec.so quiet /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 2
auth	[success=1 default=ignore]	pam_echo.so
# here's the fallback if no module succeeds
auth	requisite			pam_deny.so

    この変更されたセクションでは、PAM はモジュールを 1 つスキップして pam_echo.so モジュールに進み、pam_deny.so モジュールをスキップして認証が正常に行われます。

    エラーが発生した場合、PAM は、エージェントのログ ファイルにサインイン エラーを報告し続け、モジュールを 1 つスキップして pam_deny.so モジュールに進みます。これにより、アクセスがブロックされます。

構成を検証する

この手順では、サインイン イベントを監査するために PAM が正しく構成されていることを確認する方法について説明します。

  1. SSH を使用してデバイスにサインインしてから、サインアウトします。

  2. 間違った資格情報で SSH を使用してデバイスにサインインし、失敗のサインイン イベントを発生させます。

  3. デバイスにアクセスし、次のコマンドを実行します。

    cat /var/lib/defender_iot_micro_agent/pam.log

  4. 成功したサインイン (open_session)、サインアウト (close_session)、サインイン エラー (auth) について、次のような行がログに記録されていることを確認します。

    2021-10-31T18:10:31+02:00,16356631,2589842,open_session,sshd,user,192.168.0.101,ssh,0
2021-10-31T18:26:19+02:00,16356719,199164,close_session,sshd, user,192.168.0.201,ssh,1
2021-10-28T17:44:13+03:00,163543223,3572596,auth,sshd,user,143.24.20.36,ssh,2

  5. Telnet とターミナル接続を使用して、検証手順を繰り返します。

次のステップ

詳細については、「マイクロ エージェントのイベント コレクション」を参照してください。