对于一些非标准发行版的嵌入式 Linux 而言,可能不具备设备登录(包括本地登录和远程 SSH 登录)事件的内核审计功能,这种情况下,IoT 安全运营中心的安全 Agent 将丧失对异常登录(例如暴力登录,暴力提权等)事件的检测。为了弥补嵌入式 Linux 的这一个特性上的缺失,IoT 安全运营中心的安全 Agent 提供手动配置方案,经过简单的设置之后,也可以对这些异常登录事件进行检测并在 IoT 安全运营中心控制台上进行威胁预警。
常见的 Linux 发行版系统当中:
1. Ubuntu/Debian
(1)编辑 /etc/pam.d/common-auth 文件,找到下面一行:
auth [success=1 default=ignore] pam_unix.so nullok
修改为:
auth [success=1 default=ignore] pam_unix.so nullok_secure
auth [success=1 default=ignore] pam_exec.so quiet /system/dps/usr/bin/pam_audit 2
auth [success=1 default=ignore] pam_unix.so use_first_pass
(2)编辑 /etc/pam.d/sshd 文件,在末尾添加下面两行:
session [default=ignore] pam_exec.so type=open_session /system/dps/usr/bin/pam_audit 0
session [default=ignore] pam_exec.so type=close_session /system/dps/usr/bin/pam_audit 1
(3)编辑 /etc/pam.d/login 文件,在末尾添加下面两行:
session [default=ignore] pam_exec.so type=open_session /system/dps/usr/bin/pam_audit 0
session [default=ignore] pam_exec.so type=close_session /system/dps/usr/bin/pam_audit 1
2. Redhat/CentOS
(1)编辑 /etc/pam.d/password-auth 文件,找到下面一行:
auth sufficient pam_unix.so nullok try_first_pass
修改为:
auth sufficient pam_unix.so nullok_secure try_first_pass
auth [success=1 default=ignore] pam_exec.so quiet /system/dps/usr/bin/pam_audit 2
auth [success=1 default=ignore] pam_unix.so use_first_pass
(2)编辑 /etc/pam.d/sshd 文件,在末尾添加下面两行:
session [default=ignore] pam_exec.so type=open_session /system/dps/usr/bin/pam_audit 0
session [default=ignore] pam_exec.so type=close_session /system/dps/usr/bin/pam_audit 1
(3)编辑 /etc/pam.d/login 文件,在末尾添加下面两行:
session [default=ignore] pam_exec.so type=open_session /system/dps/usr/bin/pam_audit 0
session [default=ignore] pam_exec.so type=close_session /system/dps/usr/bin/pam_audit 1
注意:如果您更改了 configure.ini 当中的 DPS_DATA 配置,那么上面所有调用 pam_audit 程序的参数后面必须追加真实的 DPS_DATA 的值,例如如果将 DPS_DATA 配置为 /data/dps_data_new 那么上面所有的调用参数改为:/system/dps/usr/bin/pam_audit 0 /data/dps_data_new
后续步骤:功能和性能评估
文档内容是否对您有帮助?