Configurar o PAM (Módulos de Autenticação Conectáveis) para auditar eventos de conexão
Este artigo fornece um processo de exemplo para configurar o PAM (Módulos de Autenticação Conectáveis) a fim de auditar eventos de entrada SSH, Telnet e de terminal em uma instalação não modificada do Ubuntu 20.04 ou 18.04.
As configurações do PAM podem variar entre dispositivos e distribuições do Linux.
Para obter mais informações, confira Coletor de logon (coletor baseado em eventos).
Observação
O Defender para IoT planeja desativar o microagente em 1º de agosto de 2025.
Pré-requisitos
Antes de começar, verifique se você tem um Microagente do Defender para IoT.
A configuração do PAM requer conhecimento técnico.
Para obter mais informações, confira Tutorial: Instalar o microagente do Defender para IoT.
Modificar a configuração do PAM para relatar eventos de entrada e de saída
Este procedimento fornece um processo de exemplo para configurar a coleção de eventos de entrada bem-sucedidos.
Nosso exemplo se baseia em uma instalação não modificada do Ubuntu 20.04 ou 18.04 e as etapas desse processo podem ser diferentes para o seu sistema.
Localize os seguintes arquivos:
/etc/pam.d/sshd/etc/pam.d/login
Acrescente as seguintes linhas ao final de cada arquivo:
// report login session [default=ignore] pam_exec.so type=open_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 0 // report logout session [default=ignore] pam_exec.so type=close_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 1
Modificar a configuração do PAM para relatar falhas de entrada
Este procedimento fornece um processo de exemplo para configurar a coleção de tentativas de entrada com falha.
Este exemplo de procedimento baseia-se em uma instalação não modificada do Ubuntu 18.04 ou 20.04. Os arquivos e comandos listados abaixo podem ser diferentes para cada configuração ou em virtude de modificações.
Localize o arquivo
/etc/pam.d/common-authe procure as seguintes linhas:# here are the per-package modules (the "Primary" block) auth [success=1 default=ignore] pam_unix.so nullok_secure # here's the fallback if no module succeeds auth requisite pam_deny.soEsta seção é autenticada por meio do módulo
pam_unix.so. Em caso de falha de autenticação, esta seção prossegue para o módulopam_deny.soa fim de impedir o acesso.Substitua as linhas de código indicadas pelo seguinte:
# here are the per-package modules (the "Primary" block) auth [success=1 default=ignore] pam_unix.so nullok_secure auth [success=1 default=ignore] pam_exec.so quiet /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 2 auth [success=1 default=ignore] pam_echo.so # here's the fallback if no module succeeds auth requisite pam_deny.soNesta seção modificada, o PAM ignora um módulo para o módulo
pam_echo.so, depois ignora o módulopam_deny.soe se autentica com sucesso.Em caso de falha, o PAM continua relatando a
pam_deny.sofalha de entrada para o arquivo de log do agente e, em seguida, ignora um módulo para o módulo, o que bloqueia o acesso.
Validar sua configuração
Este procedimento descreve como verificar se você configurou o PAM corretamente para auditar eventos de entrada.
Entre no dispositivo usando SSH e, em seguida, saia.
Entre no dispositivo usando SSH, usando credenciais incorretas para criar um evento de entrada com falha.
Acesse o dispositivo e execute o seguinte comando:
cat /var/lib/defender_iot_micro_agent/pam.logVerifique se há linhas semelhantes às seguintes registradas em log para uma entrada bem-sucedida (
open_session), uma saída (close_session) e uma falha de entrada (auth):2021-10-31T18:10:31+02:00,16356631,2589842,open_session,sshd,user,192.168.0.101,ssh,0 2021-10-31T18:26:19+02:00,16356719,199164,close_session,sshd, user,192.168.0.201,ssh,1 2021-10-28T17:44:13+03:00,163543223,3572596,auth,sshd,user,143.24.20.36,ssh,2Repita o procedimento de verificação com conexões de terminal e Telnet.
Próximas etapas
Para obter mais informações, confira Coleta de eventos do microagente.