Настройка подключаемых модулей проверки подлинности (PAM) для аудита событий входа
В этой статье приведен пример процедуры настройки подключаемых модулей проверки подлинности (PAM) для аудита событий входа в SSH, Telnet и терминал для установленного экземпляра Ubuntu 20.04 или 18.04 без изменений.
Конфигурации PAM могут быть разными на устройствах и в дистрибутивах Linux.
Дополнительные сведения см. в разделе Сборщик журналируемых данных (сборщик на основе событий).
Примечание.
Defender для Интернета вещей планирует выйти из эксплуатации микроагента 1 августа 2025 года.
Необходимые компоненты
Прежде чем начать, убедитесь, что у вас есть микроагент Defender для Интернета вещей.
Для настройки PAM требуются технические знания.
Дополнительные сведения см. в руководстве по установке микроагента Defender для Интернета вещей.
Изменение конфигурации PAM для регистрации событий входа и выхода
В этой процедуре приведен пример процедуры для настройки сбора данных о событиях входа.
Наш пример приведен для ОС Ubuntu 20.04 или 18.04 без модификаций, и описанные здесь действия могут быть другими для вашей системы.
Найдите следующие файлы:
/etc/pam.d/sshd/etc/pam.d/login
Добавьте приведенные ниже строки в конец каждого файла.
// report login session [default=ignore] pam_exec.so type=open_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 0 // report logout session [default=ignore] pam_exec.so type=close_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 1
Изменение конфигурации PAM для регистрации сбоев входа
В этой процедуре приведен пример процедуры для настройки сбора данных о неудачных попытках входа.
Пример в этой процедуре приведен для ОС Ubuntu 18.04 или 20.04 без модификаций. Перечисленные ниже файлы и команды могут быть другими в зависимости от конфигурации или вследствие изменений.
Найдите файл
/etc/pam.d/common-authи следующие строки в нем:# here are the per-package modules (the "Primary" block) auth [success=1 default=ignore] pam_unix.so nullok_secure # here's the fallback if no module succeeds auth requisite pam_deny.soВ этом разделе выполняется проверка подлинности через модуль
pam_unix.so. В случае сбоя проверки подлинности этот раздел переходит к модулюpam_deny.soдля предотвращения доступа.Замените указанные строки кода следующими:
# here are the per-package modules (the "Primary" block) auth [success=1 default=ignore] pam_unix.so nullok_secure auth [success=1 default=ignore] pam_exec.so quiet /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 2 auth [success=1 default=ignore] pam_echo.so # here's the fallback if no module succeeds auth requisite pam_deny.soВ этом измененном разделе PAM пропускает один модуль и переходит к модулю
pam_echo.so, а затем пропускает модульpam_deny.soи успешно выполняет проверку подлинности.В случае ошибки PAM продолжает работу и регистрирует ошибку входа в файле журнала агента, а затем пропускает один модуль и переходит к модулю
pam_deny.so, который блокирует доступ.
Проверка конфигурации
В этой процедуре объясняется, как проверить правильность настроек PAM для аудита событий входа.
Войдите на устройство с помощью SSH, а затем выполните выход.
Войдите на устройство с помощью SSH, используя неверные учетные данные, чтобы инициировать событие ошибки входа.
Получите доступ к устройству и выполните следующую команду:
cat /var/lib/defender_iot_micro_agent/pam.logУбедитесь, что в журнал занесены строки, аналогичные приведенным ниже, для успешного входа (
open_session), выхода (close_session) и ошибки входа (auth):2021-10-31T18:10:31+02:00,16356631,2589842,open_session,sshd,user,192.168.0.101,ssh,0 2021-10-31T18:26:19+02:00,16356719,199164,close_session,sshd, user,192.168.0.201,ssh,1 2021-10-28T17:44:13+03:00,163543223,3572596,auth,sshd,user,143.24.20.36,ssh,2Повторите процедуру проверки, используя подключения Telnet и терминала.
Следующие шаги
Дополнительные сведения см. в коллекции событий микроагента.