Oturum açma olaylarını denetlemek için Eklenebilir Kimlik Doğrulama Modüllerini (PAM) yapılandırma
Bu makalede, değiştirilmemiş bir Ubuntu 20.04 veya 18.04 yüklemesinde SSH, Telnet ve terminal oturum açma olaylarını denetlemek için Eklenebilir Kimlik Doğrulama Modüllerini (PAM) yapılandırmaya yönelik örnek bir işlem sağlanır.
PAM yapılandırmaları cihazlar ve Linux dağıtımları arasında farklılık gösterebilir.
Daha fazla bilgi için bkz . Oturum açma toplayıcısı (olay tabanlı toplayıcı).
Önkoşullar
Başlamadan önce IoT için Defender Mikro Aracınız olduğundan emin olun.
PAM'nin yapılandırılması teknik bilgi gerektirir.
Daha fazla bilgi için bkz . Öğretici: IoT için Defender mikro aracısını yükleme.
Oturum açma ve oturum kapatma olaylarını raporlamak için PAM yapılandırmasını değiştirme
Bu yordam, başarılı oturum açma olaylarının koleksiyonunu yapılandırmaya yönelik örnek bir işlem sağlar.
Örneğimiz değiştirilmemiş bir Ubuntu 20.04 veya 18.04 yüklemesini temel alır ve bu işlemdeki adımlar sisteminiz için farklı olabilir.
Aşağıdaki dosyaları bulun:
/etc/pam.d/sshd
/etc/pam.d/login
Her dosyanın sonuna aşağıdaki satırları ekleyin:
// report login session [default=ignore] pam_exec.so type=open_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 0 // report logout session [default=ignore] pam_exec.so type=close_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 1
OTURUM açma hatalarını bildirmek için PAM yapılandırmasını değiştirme
Bu yordam, başarısız oturum açma girişimleri koleksiyonunu yapılandırmaya yönelik örnek bir işlem sağlar.
Bu yordamdaki bu örnek, değiştirilmemiş bir Ubuntu 18.04 veya 20.04 yüklemesini temel alır. Aşağıda listelenen dosya ve komutlar yapılandırmaya göre veya değişikliklerin sonucunda farklılık gösterebilir.
/etc/pam.d/common-auth
Dosyasını bulun ve aşağıdaki satırları arayın:# here are the per-package modules (the "Primary" block) auth [success=1 default=ignore] pam_unix.so nullok_secure # here's the fallback if no module succeeds auth requisite pam_deny.so
Bu bölüm, modül aracılığıyla kimlik doğrulaması yapar
pam_unix.so
. Kimlik doğrulamasının başarısız olması durumunda bu bölüm, erişimi önlemek için modülepam_deny.so
devam eder.Belirtilen kod satırlarını aşağıdakilerle değiştirin:
# here are the per-package modules (the "Primary" block) auth [success=1 default=ignore] pam_unix.so nullok_secure auth [success=1 default=ignore] pam_exec.so quiet /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 2 auth [success=1 default=ignore] pam_echo.so # here's the fallback if no module succeeds auth requisite pam_deny.so
Bu değiştirilmiş bölümde PAM modüle
pam_echo.so
bir modül atlar ve ardından modülü atlarpam_deny.so
ve başarıyla kimlik doğrulaması yapar.Başarısız olması durumunda PAM, oturum açma hatasını aracı günlük dosyasına bildirmeye devam eder ve ardından modüle
pam_deny.so
erişimi engelleyen bir modülü atlar.
Yapılandırmanızı doğrulama
Bu yordam, oturum açma olaylarını denetlemek için PAM'yi doğru yapılandırdığınızdan nasıl emin olunduğunu açıklar.
SSH kullanarak cihazda oturum açın ve ardından oturumu kapatın.
Başarısız bir oturum açma olayı oluşturmak için yanlış kimlik bilgilerini kullanarak SSH kullanarak cihazda oturum açın.
Cihazınıza erişin ve aşağıdaki komutu çalıştırın:
cat /var/lib/defender_iot_micro_agent/pam.log
Başarılı bir oturum açma (), oturum kapatma ()
open_session
close_session
ve oturum açma hatası (auth
) için aşağıdakine benzer satırların günlüğe kaydedildiğini doğrulayın:2021-10-31T18:10:31+02:00,16356631,2589842,open_session,sshd,user,192.168.0.101,ssh,0 2021-10-31T18:26:19+02:00,16356719,199164,close_session,sshd, user,192.168.0.201,ssh,1 2021-10-28T17:44:13+03:00,163543223,3572596,auth,sshd,user,143.24.20.36,ssh,2
Telnet ve terminal bağlantıları ile doğrulama yordamını tekrarlayın.
Sonraki adımlar
Daha fazla bilgi için bkz. Mikro aracı olay koleksiyonu.