Delen via

Pluggable Authentication Modules (PAM) configureren om aanmeldingsgebeurtenissen te controleren

  • Artikel

Dit artikel bevat een voorbeeldproces voor het configureren van Pluggable Authentication Modules (PAM) voor het controleren van SSH-, Telnet- en terminalaanmeldingsgebeurtenissen op een ongewijzigde installatie van Ubuntu 20.04 of 18.04.

PAM-configuraties kunnen variëren tussen apparaten en Linux-distributies.

Zie Aanmeldingsverzamelaar (op gebeurtenissen gebaseerde collector) voor meer informatie.

Notitie

Defender for IoT wil de microagent op 1 augustus 2025 buiten gebruik stellen.

Vereisten

Voordat u aan de slag gaat, moet u ervoor zorgen dat u een Defender for IoT Micro-agent hebt.

Voor het configureren van PAM is technische kennis vereist.

Zie Zelfstudie: De Defender for IoT-microagent installeren voor meer informatie.

PAM-configuratie wijzigen om aanmeldings- en afmeldingsgebeurtenissen te rapporteren

Deze procedure biedt een voorbeeldproces voor het configureren van de verzameling geslaagde aanmeldingsgebeurtenissen.

Ons voorbeeld is gebaseerd op een ongewijzigde installatie van Ubuntu 20.04 of 18.04 en de stappen in dit proces kunnen verschillen voor uw systeem.

  1. Zoek de volgende bestanden:

    • /etc/pam.d/sshd
    • /etc/pam.d/login

  2. Voeg de volgende regels toe aan het einde van elk bestand:

    // report login
session [default=ignore] pam_exec.so type=open_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 0

// report logout
session [default=ignore] pam_exec.so type=close_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 1

De PAM-configuratie wijzigen om aanmeldingsfouten te melden

Deze procedure biedt een voorbeeldproces voor het configureren van de verzameling mislukte aanmeldingspogingen.

Dit voorbeeld in deze procedure is gebaseerd op een ongewijzigde installatie van Ubuntu 18.04 of 20.04. De onderstaande bestanden en opdrachten kunnen per configuratie verschillen of als gevolg van wijzigingen.

  1. Zoek het /etc/pam.d/common-auth bestand en zoek naar de volgende regels:

    # here are the per-package modules (the "Primary" block)
auth    [success=1 default=ignore]  pam_unix.so nullok_secure
# here's the fallback if no module succeeds
auth    requisite           pam_deny.so

    Deze sectie wordt geverifieerd via de pam_unix.so module. In het geval van een verificatiefout gaat deze sectie verder met de pam_deny.so module om toegang te voorkomen.

  2. Vervang de aangegeven coderegels door het volgende:

    # here are the per-package modules (the "Primary" block)
auth	[success=1 default=ignore]	pam_unix.so nullok_secure
auth	[success=1 default=ignore]	pam_exec.so quiet /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 2
auth	[success=1 default=ignore]	pam_echo.so
# here's the fallback if no module succeeds
auth	requisite			pam_deny.so

    In deze gewijzigde sectie slaat PAM één module over naar de pam_echo.so module, waarna de pam_deny.so module wordt overgeslagen en geverifieerd.

    In het geval van een fout blijft PAM het aanmeldingsfout melden in het logboekbestand van de agent en slaat vervolgens één module over naar de pam_deny.so module, waardoor de toegang wordt geblokkeerd.

Uw configuratie valideren

In deze procedure wordt beschreven hoe u kunt controleren of u PAM correct hebt geconfigureerd om aanmeldingsgebeurtenissen te controleren.

  1. Meld u aan bij het apparaat met behulp van SSH en meld u vervolgens af.

  2. Meld u aan bij het apparaat met behulp van SSH en gebruik onjuiste referenties om een mislukte aanmeldingsgebeurtenis te maken.

  3. Open uw apparaat en voer de volgende opdracht uit:

    cat /var/lib/defender_iot_micro_agent/pam.log

  4. Controleer of regels die vergelijkbaar zijn met de volgende logboeken, voor een geslaagde aanmelding (open_session), afmelding (close_session) en een aanmeldingsfout (auth):

    2021-10-31T18:10:31+02:00,16356631,2589842,open_session,sshd,user,192.168.0.101,ssh,0
2021-10-31T18:26:19+02:00,16356719,199164,close_session,sshd, user,192.168.0.201,ssh,1
2021-10-28T17:44:13+03:00,163543223,3572596,auth,sshd,user,143.24.20.36,ssh,2

  5. Herhaal de verificatieprocedure met Telnet- en terminalverbindingen.

Volgende stappen

Zie Gebeurtenisverzameling microagent voor meer informatie.