Share via

Oturum açma olaylarını denetlemek için Eklenebilir Kimlik Doğrulama Modüllerini (PAM) yapılandırma

  • Makale

Bu makalede, değiştirilmemiş bir Ubuntu 20.04 veya 18.04 yüklemesinde SSH, Telnet ve terminal oturum açma olaylarını denetlemek için Eklenebilir Kimlik Doğrulama Modüllerini (PAM) yapılandırmaya yönelik örnek bir işlem sağlanır.

PAM yapılandırmaları cihazlar ve Linux dağıtımları arasında farklılık gösterebilir.

Daha fazla bilgi için bkz . Oturum açma toplayıcısı (olay tabanlı toplayıcı).

Önkoşullar

Başlamadan önce IoT için Defender Mikro Aracınız olduğundan emin olun.

PAM'nin yapılandırılması teknik bilgi gerektirir.

Daha fazla bilgi için bkz . Öğretici: IoT için Defender mikro aracısını yükleme.

Oturum açma ve oturum kapatma olaylarını raporlamak için PAM yapılandırmasını değiştirme

Bu yordam, başarılı oturum açma olaylarının koleksiyonunu yapılandırmaya yönelik örnek bir işlem sağlar.

Örneğimiz değiştirilmemiş bir Ubuntu 20.04 veya 18.04 yüklemesini temel alır ve bu işlemdeki adımlar sisteminiz için farklı olabilir.

  1. Aşağıdaki dosyaları bulun:

    • /etc/pam.d/sshd
    • /etc/pam.d/login

  2. Her dosyanın sonuna aşağıdaki satırları ekleyin:

    // report login
session [default=ignore] pam_exec.so type=open_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 0

// report logout
session [default=ignore] pam_exec.so type=close_session /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 1

OTURUM açma hatalarını bildirmek için PAM yapılandırmasını değiştirme

Bu yordam, başarısız oturum açma girişimleri koleksiyonunu yapılandırmaya yönelik örnek bir işlem sağlar.

Bu yordamdaki bu örnek, değiştirilmemiş bir Ubuntu 18.04 veya 20.04 yüklemesini temel alır. Aşağıda listelenen dosya ve komutlar yapılandırmaya göre veya değişikliklerin sonucunda farklılık gösterebilir.

  1. /etc/pam.d/common-auth Dosyasını bulun ve aşağıdaki satırları arayın:

    # here are the per-package modules (the "Primary" block)
auth    [success=1 default=ignore]  pam_unix.so nullok_secure
# here's the fallback if no module succeeds
auth    requisite           pam_deny.so

    Bu bölüm, modül aracılığıyla kimlik doğrulaması yapar pam_unix.so . Kimlik doğrulamasının başarısız olması durumunda bu bölüm, erişimi önlemek için modüle pam_deny.so devam eder.

  2. Belirtilen kod satırlarını aşağıdakilerle değiştirin:

    # here are the per-package modules (the "Primary" block)
auth	[success=1 default=ignore]	pam_unix.so nullok_secure
auth	[success=1 default=ignore]	pam_exec.so quiet /usr/libexec/defender_iot_micro_agent/pam/pam_audit.sh 2
auth	[success=1 default=ignore]	pam_echo.so
# here's the fallback if no module succeeds
auth	requisite			pam_deny.so

    Bu değiştirilmiş bölümde PAM modüle pam_echo.so bir modül atlar ve ardından modülü atlar pam_deny.so ve başarıyla kimlik doğrulaması yapar.

    Başarısız olması durumunda PAM, oturum açma hatasını aracı günlük dosyasına bildirmeye devam eder ve ardından modüle pam_deny.so erişimi engelleyen bir modülü atlar.

Yapılandırmanızı doğrulama

Bu yordam, oturum açma olaylarını denetlemek için PAM'yi doğru yapılandırdığınızdan nasıl emin olunduğunu açıklar.

  1. SSH kullanarak cihazda oturum açın ve ardından oturumu kapatın.

  2. Başarısız bir oturum açma olayı oluşturmak için yanlış kimlik bilgilerini kullanarak SSH kullanarak cihazda oturum açın.

  3. Cihazınıza erişin ve aşağıdaki komutu çalıştırın:

    cat /var/lib/defender_iot_micro_agent/pam.log

  4. Başarılı bir oturum açma (), oturum kapatma ()open_sessionclose_session ve oturum açma hatası (auth) için aşağıdakine benzer satırların günlüğe kaydedildiğini doğrulayın:

    2021-10-31T18:10:31+02:00,16356631,2589842,open_session,sshd,user,192.168.0.101,ssh,0
2021-10-31T18:26:19+02:00,16356719,199164,close_session,sshd, user,192.168.0.201,ssh,1
2021-10-28T17:44:13+03:00,163543223,3572596,auth,sshd,user,143.24.20.36,ssh,2

  5. Telnet ve terminal bağlantıları ile doğrulama yordamını tekrarlayın.

Sonraki adımlar

Daha fazla bilgi için bkz. Mikro aracı olay koleksiyonu.