Score:0

Wazuh ละเว้นผู้ใช้ specifc จากการแจ้งเตือน sudo

ธง us

ฉันกำลังตรวจสอบเซิร์ฟเวอร์ของฉันโดยใช้ Wazuh 4.1.xเซิร์ฟเวอร์ของฉันคือ Ubuntu และ CentOS พวกเขายังได้รับการตรวจสอบโดยใช้ตัวแทน Icinga2 และ NRPE Wazuh กำลังบันทึกการพิสูจน์ตัวตน sudo หรือคำสั่งทั้งหมดที่รันด้วย sudo (ซึ่งก็ใช้ได้) แต่เนื่องจากคำสั่ง nrpe บางคำสั่งจำเป็นต้องดำเนินการด้วย sudo ฉันจึงขอเพิกเฉยต่อคำขอ sudo ทั้งหมดจากผู้ใช้ nagios สิ่งที่ฉันได้ลองไปแล้วคือ:

ฉันได้เพิ่มกลุ่มที่กำหนดเองและกฎที่กำหนดเองใน /var/ossec/etc/rules/local_rules.xml ดังนี้:

<group name="exceptions,">
  <rule id="101101" level="0">
    <if_sid>5402</if_sid>
    <match>sudo:   nagios</match>
    <description>Ignore sudo auth for nagios user</description>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
  <rule id="101102" level="0">
    <if_sid>5402</if_sid>
    <match>sudo:    nrpe</match>
    <description>Ignore sudo auth for nagios user</description>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
</group>

5402 เป็นกฎ sudo เริ่มต้นจาก Wazuh

ใน alerts.log ฉันเห็นสิ่งนี้สำหรับ sudo:

19 ส.ค. 23:05:25 น. รายงาน sudo: nrpe : TTY=unknown ; พวด=/ ; USER=ราก ; คำสั่ง=/usr/lib64/nagios/plugins/check_procs -c 1: -C nrpe
19 ส.ค. 23:05:25 น. รายงาน sudo: pam_unix(sudo:session): เซสชันเปิดสำหรับผู้ใช้รูทโดย (uid=0)
20 ส.ค. 00:51:27 น. การถ่ายโอน sudo: pam_unix(sudo:session): เซสชันเปิดสำหรับผู้ใช้รูทโดย (uid=0)
20 ส.ค. 00:51:27 น. การถ่ายโอน sudo: pam_unix(sudo:session): ปิดเซสชันสำหรับผู้ใช้รูท
** Alert 1629414327.485693326: - syslog,sudo,pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC. 6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,
กฎ: 5402 (ระดับ 3) -> 'ดำเนินการ sudo ถึง ROOT สำเร็จ'
20 ส.ค. 00:51:27 น. การโอน sudo: nagios : TTY=unknown ; พวด=/ ; USER=ราก ; คำสั่ง =/usr/lib/nagios/plugins/check_procs -c 1: --ereg-argument-array=SERVER

ฉันไม่สามารถเข้าใจได้ว่าเหตุใดจึงไม่ใช้กฎหรือสิ่งที่ฉันทำผิด ฉันยังค้นหาบันทึกสำหรับกฎ 101101 หรือ 101102 และไม่มีอะไร ดังนั้นฉันจึงถือว่ากฎเหล่านั้นไม่ได้ถูกนำไปใช้จริง

UPDATE: ลองใช้กฎประเภทนี้ด้วย:

<group name="exceptions,">
  <rule id="101101" level="0" frequency="5" timeframe="60">
    <if_matched_sid>5407</if_matched_sid>
    <match>   nrpe :</match>
    <description>Ignore sudo auth for nagios user.</description>
    <options>no_log</options>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
  <rule id="101102" level="0" frequency="5" timeframe="60">
    <if_matched_sid>5407</if_matched_sid>
    <match>   nrpe : </match>
    <description>Ignore sudo auth for nrpe user.</description>
    <options>no_log</options>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
</group>

เห็นได้ชัดว่ากฎ 5402 ใช้สำหรับ sudo ที่ดำเนินการโดยรูทและ 5407 สำหรับ sudo ที่ดำเนินการโดยผู้ใช้ทั่วไป ยังไงก็ใช้งานไม่ได้...

กฎเดียวกันตรงกันถ้าฉันใช้ <hostname>hostname</hostname> แต่นั่นหมายความว่ามันจะไม่สนใจทั้งหมด ซูโด จากโฮสต์นั้นและไม่ใช่เฉพาะสำหรับ nagios/nrpe ผู้ใช้

Score:0
ธง us

ในที่สุดฉันก็พบวิธีแก้ปัญหาแบบผสม: การตั้งค่า Wazuh + Linux PAM

สำหรับ WAZUH-Manager ฉันได้เพิ่มกฎด้านล่างเข้าไปแล้ว /var/oseec/etc/rules/local_rules.xml

<group name="exceptions,">
  <rule id="101101" level="0">
    <if_sid>5402</if_sid>
    <regex>^  nagios|^   nrpe</regex>
    <description>Ignore sudo auth for nagios|nrpe user.</description>
    <options>no_log</options>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
</group>

มันทำอะไร มันไม่สนใจการบันทึกคำสั่ง sudo ที่ดำเนินการโดยผู้ใช้ nagios|nrpe

สำหรับการกำจัดข้อความที่สร้างขึ้นหลังจากคำสั่ง sudo ที่ดำเนินการโดย nagios/nrpe (เซสชันเปิด|ปิดสำหรับผู้ใช้รูท) คุณสามารถระงับข้อความนี้ไม่ให้ปรากฏ /var/log/auth.log (อูบุนตู/เดเบียน) หรือ /var/log/secure (CentOS/Fedora/RedHat) ดังนี้:

สำหรับอูบุนตู/เดเบียน:

แก้ไข /etc/pam.d/sudo และทำให้มีลักษณะดังนี้:

...
@รวมบัญชีทั่วไป
เซสชัน [success=1 default=ignore] pam_succeed_if.so uid = 0 ruser = nagios
@รวมเซสชันทั่วไปที่ไม่โต้ตอบ

สำหรับ CentOS/Fedora/RedHat:

แก้ไข /etc/pam.d/system-auth และทำให้มีลักษณะดังนี้:

...
เซสชั่นทางเลือก pam_keyinit.so ยกเลิก
ต้องการเซสชัน pam_limits.so
เซสชัน [success=1 default=ignore] บริการ pam_succeed_if.so ใน use_uid ที่เงียบสงบ
เซสชัน [success=1 default=ignore] pam_succeed_if.so uid = 0 ruser = nrpe
ต้องการเซสชัน pam_unix.so

ด้วยวิธีนี้คำสั่งทั้งหมดที่ดำเนินการด้วย sudo โดยผู้ใช้ nagios|nrpe จะไม่ถูกบันทึกอีกต่อไป หากผู้ใช้รายอื่นรันคำสั่งด้วย sudo คำสั่งเหล่านั้นจะถูกบันทึก

สำหรับ WAZUH นั้น alerts.log จะไม่ถูกปนเปื้อนอีกต่อไปและการกระทำเช่น sudo: nagios : TTY=ไม่ทราบ ; พวด=/ ; USER=ราก ; คำสั่ง=/usr/lib/nagios/plugins/check_blabla ถูกละเว้นและไม่ถูกบันทึก

หรือคุณสามารถละเว้นเฉพาะบางคำสั่งเช่น:

<group name="exceptions,">
  <rule id="101102" level="0">
    <if_sid>5402</if_sid>
    <field name="command">/usr/lib/nagios/plugins/check_procs|/usr/lib64/nagios/plugins/check_procs</field>
    <description>Rule to ignore sudo command check_procs from nagios|nrpe</description>
    <options>no_log</options>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
</group>

รูปลักษณ์อาจเป็นไปได้ง่ายๆ ด้วยกฎที่กำหนดเองของ Wazuh หรือในลักษณะที่หรูหรากว่านี้ สำหรับสิ่งที่คุ้มค่าก็ใช้งานได้ดี

ฉันหวังว่ามันจะช่วยได้!

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา