SSH を使用してログインの失敗の検出を設定する方法

Document created by Tomo_Fujita Employee on Feb 26, 2015
Version 1Show Document
  • View in full screen mode

文書番号: JTEC000102

 

製品名:Privileged Identity Manager

 

バージョン:All

 

OS:Unix/Linux

 

◆ 内容

Access Control SSH を使用してログインの失敗の検出と処理を設定する方法

 

◆ 詳細内容

本書では、 HP-UX の PAM 実装および OpenSSH に固有の設定について説明します。他の Unix および SSH 実装または PAM 実装では、動作が異なる場合があります。

説明
Unix システムへのブルートフォース攻撃を防ぐために、 CA Access Control for Unix は対象となる

ホストでのユーザログオンの失敗を検出し、の内容に応じてユーザ ID を無効にすることができます。
CA Access Control が提供する 「serevu」 モジュールは、ユーザ ID を無効化させる機能を持ち、

いったん無効になったユーザ ID を任意で再度有効化させることもできます。
本書では、 SSH で発生したログインの失敗を検出して処理するように CA Access Control (以下、 CA AC)

を設定する方法について説明します。
本書は、ssh 、PAM 、seosd 、および serevu でのログインの失敗時におけるデータの流れを理解するのに役立ちます。

 

ソリューション
最新バージョンの CAAC では、 install_base スクリプトは、ベースラインセキュリティパックのルールの適用中に必要な設定を作成します。
「serevu」 モジュールを設定すれば、 PAM を利用するアプリケーションを通じたログオンの失敗を検出することができます。

PAM (Pluggable Authentication Modules) は、最近の Unix 系 OS でデフォルトで使用されている認証サブシステムです。
「serevu」を PAM で使用できるようにするには、 seos.ini 設定ファイルで以下のトークンを設定する必要があります。

[pam_seos]
serevu_use_pam_seos = yes

sshd で PAM 認証を利用するように設定するには、 /etc/opt/ssh/sshd_config で以下のように設定します。

UsePAM yes

これにより、ログインが失敗した PAM システムに sshd デーモンがシグナルを送信できるようになります。
次に、 sshd からの PAM シグナルをインターセプトできるように CAAC を設定する必要があります。

これを行うには、以下の行を /etc/pam.conf に追加します。

sshd auth optional /usr/lib/security/pam_seos.sl

ローカルの seosdb が sshd の loginappl レコードを保持していることも確認します。
必要に応じて、 selang に以下の内容を追加してください。

AC> nr loginappl SSHD loginpath(/usr/sbin/sshd) loginseq(SGRP SUID) defaccess(x)

/opt/CA/AccessControl/log/pam_seos_failed_logins.log(r8.0 では /opt/CA/eTrustAccessControl … )

ファイル内で ssh クライアントでのログインの失敗があるかどうか確認してください。

データの流れを要約すると、以下のようになります。

sshd のログインが失敗すると、 PAM にシグナルを送信します。
   ↓
CA AC がこの PAM シグナルをインターセプトし、 pam_seos_failed_logins.log に情報を書き込みます。
   ↓
serevu はそのログを定期的にスキャンし、内容に応じた処理を行います。

各ユーザが無効になるまでのログイン失敗回数は、 seos.ini で設定できます。

[serevu]
def_fail_count = 3

seload で serevu を自動的に起動するには、 seos.ini に以下を追加します。

[daemons]
serevu = yes

 

すべて正常に完了すると、 syslog には以下のような情報が表示されます
(この例でのサンプルユーザは 「test1」 です)。

Jul 5 15:15:32 HPUX9000 sshd[18058]: Failed keyboard-interactive/pam for test1 from 130.119.109.47 port 1615 ssh2
Jul 5 15:15:57 HPUX9000 above message repeats 3 times
Jul 5 15:15:57 HPUX9000 serevu[17997]: serevu: User test1 Revoked.(3 failed password attempts)
...
Jul 5 15:22:02 HPUX9000 serevu[17997]: serevu: User test1 re-enabled

seaudit には以下のような情報が表示されます。

05 Jul 2006 15:15:35 A LOGIN test1 17 8 130.119.109.47 sshd
...
05 Jul 2006 15:15:56 A LOGIN test1 0 5 130.119.109.47 serevu
...
05 Jul 2006 15:15:57 I LOGINDISABLE test1 0 5 130.119.109.47 serevu
...
05 Jul 2006 15:22:02 E LOGINENABLE test1 0 5 130.119.109.47 serevu

 

以上


このドキュメントは米国サポートサイトに掲載されているナレッジベース: TEC407515 を翻訳し、加筆したものです。

TITLE : How to configure detection and handling of failed logins through SSH.This document describes the considerations specificly for HP-UX's PAM implementation and for OpenSSH. Other Unices and SSH or PAM implementations may work differently.

 

 

Attachments

    Outcomes