Configurar módulos de autenticação conectáveis (PAM) para auditar eventos de entrada
Este artigo fornece um processo de exemplo para configurar módulos de autenticação conectáveis (PAM) para auditar eventos de entrada SSH, Telnet e terminal em uma instalação não modificada do Ubuntu 20.04 ou 18.04.
As configurações de PAM podem variar entre dispositivos e distribuições Linux.
Para obter mais informações, consulte Coletor de login (coletor baseado em eventos).
Nota
A Defender for IoT planeja aposentar o microagente em 1º de agosto de 2025.
Pré-requisitos
Antes de começar, certifique-se de que tem um Defender for IoT Micro Agent.
Configurar o PAM requer conhecimento técnico.
Para obter mais informações, consulte Tutorial: Instalar o microagente do Defender for IoT.
Modificar a configuração do PAM para relatar eventos de entrada e saída
Este procedimento fornece um processo de exemplo para configurar a coleção de eventos de entrada bem-sucedidos.
Nosso exemplo é baseado em uma instalação não modificada do Ubuntu 20.04 ou 18.04, e as etapas neste processo podem diferir para o seu sistema.
Localize os seguintes ficheiros:
/etc/pam.d/sshd/etc/pam.d/login
Anexe as seguintes linhas ao final de cada arquivo:
// report login session [default=ignore] pam_exec.so type=open_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 0 // report logout session [default=ignore] pam_exec.so type=close_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 1
Modificar a configuração do PAM para relatar falhas de entrada
Este procedimento fornece um processo de exemplo para configurar a coleção de tentativas de entrada com falha.
Este exemplo neste procedimento é baseado em uma instalação não modificada do Ubuntu 18.04 ou 20.04. Os arquivos e comandos listados abaixo podem diferir de acordo com a configuração ou como resultado de modificações.
Localize o
/etc/pam.d/common-authficheiro e procure as seguintes linhas:# here are the per-package modules (the "Primary" block) auth [success=1 default=ignore] pam_unix.so nullok_secure # here's the fallback if no module succeeds auth requisite pam_deny.soEsta seção é autenticada através do
pam_unix.somódulo. Em caso de falha de autenticação, esta seção continua para o módulo para impedir opam_deny.soacesso.Substitua as linhas de código indicadas pelo seguinte:
# here are the per-package modules (the "Primary" block) auth [success=1 default=ignore] pam_unix.so nullok_secure auth [success=1 default=ignore] pam_exec.so quiet /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 2 auth [success=1 default=ignore] pam_echo.so # here's the fallback if no module succeeds auth requisite pam_deny.soNesta seção modificada, o PAM ignora um módulo para o
pam_echo.somódulo e, em seguida, ignora opam_deny.somódulo e autentica com êxito.Em caso de falha, o PAM continua a relatar a falha de entrada no arquivo de log do agente e, em seguida, ignora um módulo para o módulo, o que bloqueia o
pam_deny.soacesso.
Valide sua configuração
Este procedimento descreve como verificar se você configurou o PAM corretamente para auditar eventos de entrada.
Inicie sessão no dispositivo utilizando SSH e, em seguida, termine sessão.
Entre no dispositivo usando SSH, usando credenciais incorretas para criar um evento de entrada com falha.
Aceda ao seu dispositivo e execute o seguinte comando:
cat /var/lib/defender_iot_micro_agent/pam.logVerifique se linhas semelhantes às seguintes estão registradas, para uma entrada bem-sucedida (
open_session), saída (close_session) e uma falha de entrada (auth):2021-10-31T18:10:31+02:00,16356631,2589842,open_session,sshd,user,192.168.0.101,ssh,0 2021-10-31T18:26:19+02:00,16356719,199164,close_session,sshd, user,192.168.0.201,ssh,1 2021-10-28T17:44:13+03:00,163543223,3572596,auth,sshd,user,143.24.20.36,ssh,2Repita o procedimento de verificação com conexões Telnet e terminal.
Próximos passos
Para obter mais informações, consulte Coleção de eventos do microagente.