Konfigurera PAM (Pluggable Authentication Modules) för granskning av inloggningshändelser
Den här artikeln innehåller en exempelprocess för att konfigurera PLUGGABLE Authentication Modules (PAM) för granskning av SSH-, Telnet- och terminalinloggningshändelser på en oförändrad Ubuntu 20.04- eller 18.04-installation.
PAM-konfigurationer kan variera mellan enheter och Linux-distributioner.
Mer information finns i Inloggningsinsamlare (händelsebaserad insamlare).
Kommentar
Defender for IoT planerar att dra tillbaka mikroagenten den 1 augusti 2025.
Förutsättningar
Kontrollera att du har en Defender for IoT Micro Agent innan du kommer igång.
För att konfigurera PAM krävs teknisk kunskap.
Mer information finns i Självstudie: Installera Defender för IoT-mikroagenten.
Ändra PAM-konfigurationen för att rapportera inloggnings- och utloggningshändelser
Den här proceduren innehåller en exempelprocess för att konfigurera samlingen av lyckade inloggningshändelser.
Vårt exempel baseras på en oförändrad Ubuntu 20.04- eller 18.04-installation, och stegen i den här processen kan skilja sig åt för ditt system.
Leta upp följande filer:
/etc/pam.d/sshd/etc/pam.d/login
Lägg till följande rader i slutet av varje fil:
// report login session [default=ignore] pam_exec.so type=open_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 0 // report logout session [default=ignore] pam_exec.so type=close_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 1
Ändra PAM-konfigurationen för att rapportera inloggningsfel
Den här proceduren innehåller en exempelprocess för att konfigurera samlingen av misslyckade inloggningsförsök.
Det här exemplet i den här proceduren baseras på en oförändrad Ubuntu 18.04- eller 20.04-installation. De filer och kommandon som anges nedan kan skilja sig åt per konfiguration eller som ett resultat av ändringar.
/etc/pam.d/common-authLeta upp filen och leta efter följande rader:# here are the per-package modules (the "Primary" block) auth [success=1 default=ignore] pam_unix.so nullok_secure # here's the fallback if no module succeeds auth requisite pam_deny.soDet här avsnittet autentiserar via modulen
pam_unix.so. I händelse av autentiseringsfel fortsätter det här avsnittet till modulenpam_deny.soför att förhindra åtkomst.Ersätt de angivna kodraderna med följande:
# here are the per-package modules (the "Primary" block) auth [success=1 default=ignore] pam_unix.so nullok_secure auth [success=1 default=ignore] pam_exec.so quiet /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 2 auth [success=1 default=ignore] pam_echo.so # here's the fallback if no module succeeds auth requisite pam_deny.soI det här ändrade avsnittet hoppar PAM över en modul till modulen
pam_echo.sooch hoppar sedan över modulen och autentiserarpam_deny.sokorrekt.Vid fel fortsätter PAM att rapportera inloggningsfelet till agentloggfilen och hoppar sedan över en modul till modulen
pam_deny.so, vilket blockerar åtkomsten.
Verifiera konfigurationen
Den här proceduren beskriver hur du kontrollerar att du har konfigurerat PAM korrekt för att granska inloggningshändelser.
Logga in på enheten med hjälp av SSH och logga sedan ut.
Logga in på enheten med hjälp av SSH med felaktiga autentiseringsuppgifter för att skapa en misslyckad inloggningshändelse.
Öppna enheten och kör följande kommando:
cat /var/lib/defender_iot_micro_agent/pam.logKontrollera att rader som liknar följande loggas för en lyckad inloggning (
open_session), utloggning (close_session) och ett inloggningsfel (auth):2021-10-31T18:10:31+02:00,16356631,2589842,open_session,sshd,user,192.168.0.101,ssh,0 2021-10-31T18:26:19+02:00,16356719,199164,close_session,sshd, user,192.168.0.201,ssh,1 2021-10-28T17:44:13+03:00,163543223,3572596,auth,sshd,user,143.24.20.36,ssh,2Upprepa verifieringsproceduren med Telnet- och terminalanslutningar.
Nästa steg
Mer information finns i Händelsesamling för Mikroagent.