Konfigurasikan Pluggable Authentication Modules (PAM) untuk mengaudit peristiwa kredensial masuk

  • Artikel
  • 2 menit untuk membaca

Artikel ini memberikan proses sampel untuk mengonfigurasi Pluggable Authentication Modules (PAM) untuk mengaudit SSH, Telnet, dan peristiwa kredensial masuk terminal pada penginstalan Ubuntu 20.04 atau 18.04 yang tidak dimodifikasi.

Konfigurasi PAM dapat bervariasi antara perangkat dan distribusi Linux.

Untuk informasi selengkapnya, lihat Pengumpul login (pengumpul berbasis peristiwa).

Prasyarat

Sebelum memulai, pastikan Anda memiliki Agen Mikro Defender untuk IoT.

Mengonfigurasi PAM membutuhkan pengetahuan teknis.

Untuk informasi selengkapnya, lihat Tutorial: Menginstal agen mikro Defender untuk IoT (Pratinjau).

Memodifikasi konfigurasi PAM untuk melaporkan peristiwa kredensial masuk dan keluar

Prosedur ini memberikan proses sampel untuk mengonfigurasi kumpulan peristiwa kredensial masuk yang berhasil.

Contoh kami didasarkan pada penginstalan Ubuntu 20.04 atau 18.04 yang tidak dimodifikasi, dan langkah-langkah dalam proses ini mungkin berbeda untuk sistem Anda.

  1. Temukan file berikut:

    • /etc/pam.d/sshd
    • /etc/pam.d/login

  2. Tambahkan baris berikut ke akhir setiap file:

    // report login
session [default=ignore] pam_exec.so type=open_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 0

// report logout
session [default=ignore] pam_exec.so type=close_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 1

Memodifikasi konfigurasi PAM untuk melaporkan kegagalan kredensial masuk

Prosedur ini memberikan proses sampel untuk mengonfigurasi kumpulan upaya kredensial masuk yang gagal.

Contoh dalam prosedur ini didasarkan pada penginstalan Ubuntu 18.04 atau 20.04 yang tidak dimodifikasi. File dan perintah yang tercantum di bawah ini mungkin berbeda per konfigurasi atau sebagai akibat dari modifikasi.

  1. Temukan file /etc/pam.d/common-auth dan cari baris berikut:

    # here are the per-package modules (the "Primary" block)
auth    [success=1 default=ignore]  pam_unix.so nullok_secure
# here's the fallback if no module succeeds
auth    requisite           pam_deny.so

    Bagian ini mengautentikasi melalui modul pam_unix.so. Jika autentikasi gagal, bagian ini melanjutkan ke modul pam_deny.so untuk mencegah akses.

  2. Ganti baris kode yang ditunjukkan dengan yang berikut ini:

    # here are the per-package modules (the "Primary" block)
auth	[success=1 default=ignore]	pam_unix.so nullok_secure
auth	[success=1 default=ignore]	pam_exec.so quiet /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 2
auth	[success=1 default=ignore]	pam_echo.so
# here's the fallback if no module succeeds
auth	requisite			pam_deny.so

    Di bagian yang dimodifikasi ini, PAM melompati satu modul ke modul pam_echo.so, lalu melompati modul pam_deny.so dan berhasil mengautentikasi.

    Jika gagal, PAM terus melaporkan kegagalan kredensial masuk ke file log agen, lalu melompati satu modul ke modul pam_deny.so, yang memblokir akses.

Memvalidasi konfigurasi Anda

Prosedur ini menjelaskan cara memverifikasi bahwa Anda telah mengonfigurasi PAM dengan benar untuk mengaudit peristiwa kredensial masuk.

  1. Masuk ke perangkat menggunakan SSH, lalu keluar.

  2. Masuk ke perangkat menggunakan SSH, menggunakan info masuk yang salah untuk membuat peristiwa kredensial masuk yang gagal.

  3. Akses perangkat Anda dan jalankan perintah berikut:

    cat /var/lib/defender_iot_micro_agent/pam.log

  4. Verifikasi bahwa baris yang mirip dengan berikut telah dicatat, untuk kredensial masuk yang berhasil (open_session), keluar (close_session), dan kegagalan kredensial masuk (auth):

    2021-10-31T18:10:31+02:00,16356631,2589842,open_session,sshd,user,192.168.0.101,ssh,0
2021-10-31T18:26:19+02:00,16356719,199164,close_session,sshd, user,192.168.0.201,ssh,1
2021-10-28T17:44:13+03:00,163543223,3572596,auth,sshd,user,143.24.20.36,ssh,2

  5. Ulangi prosedur verifikasi dengan koneksi terminal dan Telnet.

Langkah berikutnya

Untuk informasi selengkapnya, lihat Kumpulan peristiwa agen mikro (Pratinjau).