Wazuh ละเว้นผู้ใช้ specifc จากการแจ้งเตือน sudo

ฉันกำลังตรวจสอบเซิร์ฟเวอร์ของฉันโดยใช้ Wazuh 4.1.xเซิร์ฟเวอร์ของฉันคือ Ubuntu และ CentOS พวกเขายังได้รับการตรวจสอบโดยใช้ตัวแทน Icinga2 และ NRPE Wazuh กำลังบันทึกการพิสูจน์ตัวตน sudo หรือคำสั่งทั้งหมดที่รันด้วย sudo (ซึ่งก็ใช้ได้) แต่เนื่องจากคำสั่ง nrpe บางคำสั่งจำเป็นต้องดำเนินการด้วย sudo ฉันจึงขอเพิกเฉยต่อคำขอ sudo ทั้งหมดจากผู้ใช้ nagios สิ่งที่ฉันได้ลองไปแล้วคือ:

ฉันได้เพิ่มกลุ่มที่กำหนดเองและกฎที่กำหนดเองใน /var/ossec/etc/rules/local_rules.xml ดังนี้:

<group name="exceptions,">
  <rule id="101101" level="0">
    <if_sid>5402</if_sid>
    <match>sudo:   nagios</match>
    <description>Ignore sudo auth for nagios user</description>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
  <rule id="101102" level="0">
    <if_sid>5402</if_sid>
    <match>sudo:    nrpe</match>
    <description>Ignore sudo auth for nagios user</description>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
</group>

5402 เป็นกฎ sudo เริ่มต้นจาก Wazuh

ใน alerts.log ฉันเห็นสิ่งนี้สำหรับ sudo:

19 ส.ค. 23:05:25 น. รายงาน sudo: nrpe : TTY=unknown ; พวด=/ ; USER=ราก ; คำสั่ง=/usr/lib64/nagios/plugins/check_procs -c 1: -C nrpe
19 ส.ค. 23:05:25 น. รายงาน sudo: pam_unix(sudo:session): เซสชันเปิดสำหรับผู้ใช้รูทโดย (uid=0)
20 ส.ค. 00:51:27 น. การถ่ายโอน sudo: pam_unix(sudo:session): เซสชันเปิดสำหรับผู้ใช้รูทโดย (uid=0)
20 ส.ค. 00:51:27 น. การถ่ายโอน sudo: pam_unix(sudo:session): ปิดเซสชันสำหรับผู้ใช้รูท
** Alert 1629414327.485693326: - syslog,sudo,pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC. 6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,
กฎ: 5402 (ระดับ 3) -> 'ดำเนินการ sudo ถึง ROOT สำเร็จ'
20 ส.ค. 00:51:27 น. การโอน sudo: nagios : TTY=unknown ; พวด=/ ; USER=ราก ; คำสั่ง =/usr/lib/nagios/plugins/check_procs -c 1: --ereg-argument-array=SERVER

ฉันไม่สามารถเข้าใจได้ว่าเหตุใดจึงไม่ใช้กฎหรือสิ่งที่ฉันทำผิด ฉันยังค้นหาบันทึกสำหรับกฎ 101101 หรือ 101102 และไม่มีอะไร ดังนั้นฉันจึงถือว่ากฎเหล่านั้นไม่ได้ถูกนำไปใช้จริง

UPDATE: ลองใช้กฎประเภทนี้ด้วย:

<group name="exceptions,">
  <rule id="101101" level="0" frequency="5" timeframe="60">
    <if_matched_sid>5407</if_matched_sid>
    <match>   nrpe :</match>
    <description>Ignore sudo auth for nagios user.</description>
    <options>no_log</options>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
  <rule id="101102" level="0" frequency="5" timeframe="60">
    <if_matched_sid>5407</if_matched_sid>
    <match>   nrpe : </match>
    <description>Ignore sudo auth for nrpe user.</description>
    <options>no_log</options>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
</group>

เห็นได้ชัดว่ากฎ 5402 ใช้สำหรับ sudo ที่ดำเนินการโดยรูทและ 5407 สำหรับ sudo ที่ดำเนินการโดยผู้ใช้ทั่วไป ยังไงก็ใช้งานไม่ได้...

กฎเดียวกันตรงกันถ้าฉันใช้ <hostname>hostname</hostname> แต่นั่นหมายความว่ามันจะไม่สนใจทั้งหมด ซูโด จากโฮสต์นั้นและไม่ใช่เฉพาะสำหรับ nagios/nrpe ผู้ใช้

ในที่สุดฉันก็พบวิธีแก้ปัญหาแบบผสม: การตั้งค่า Wazuh + Linux PAM

สำหรับ WAZUH-Manager ฉันได้เพิ่มกฎด้านล่างเข้าไปแล้ว /var/oseec/etc/rules/local_rules.xml

<group name="exceptions,">
  <rule id="101101" level="0">
    <if_sid>5402</if_sid>
    <regex>^  nagios|^   nrpe</regex>
    <description>Ignore sudo auth for nagios|nrpe user.</description>
    <options>no_log</options>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
</group>

มันทำอะไร มันไม่สนใจการบันทึกคำสั่ง sudo ที่ดำเนินการโดยผู้ใช้ nagios|nrpe

สำหรับการกำจัดข้อความที่สร้างขึ้นหลังจากคำสั่ง sudo ที่ดำเนินการโดย nagios/nrpe (เซสชันเปิด|ปิดสำหรับผู้ใช้รูท) คุณสามารถระงับข้อความนี้ไม่ให้ปรากฏ /var/log/auth.log (อูบุนตู/เดเบียน) หรือ /var/log/secure (CentOS/Fedora/RedHat) ดังนี้:

สำหรับอูบุนตู/เดเบียน:

แก้ไข /etc/pam.d/sudo และทำให้มีลักษณะดังนี้:

...
@รวมบัญชีทั่วไป
เซสชัน [success=1 default=ignore] pam_succeed_if.so uid = 0 ruser = nagios
@รวมเซสชันทั่วไปที่ไม่โต้ตอบ

สำหรับ CentOS/Fedora/RedHat:

แก้ไข /etc/pam.d/system-auth และทำให้มีลักษณะดังนี้:

...
เซสชั่นทางเลือก pam_keyinit.so ยกเลิก
ต้องการเซสชัน pam_limits.so
เซสชัน [success=1 default=ignore] บริการ pam_succeed_if.so ใน use_uid ที่เงียบสงบ
เซสชัน [success=1 default=ignore] pam_succeed_if.so uid = 0 ruser = nrpe
ต้องการเซสชัน pam_unix.so

ด้วยวิธีนี้คำสั่งทั้งหมดที่ดำเนินการด้วย sudo โดยผู้ใช้ nagios|nrpe จะไม่ถูกบันทึกอีกต่อไป หากผู้ใช้รายอื่นรันคำสั่งด้วย sudo คำสั่งเหล่านั้นจะถูกบันทึก

สำหรับ WAZUH นั้น alerts.log จะไม่ถูกปนเปื้อนอีกต่อไปและการกระทำเช่น sudo: nagios : TTY=ไม่ทราบ ; พวด=/ ; USER=ราก ; คำสั่ง=/usr/lib/nagios/plugins/check_blabla ถูกละเว้นและไม่ถูกบันทึก

หรือคุณสามารถละเว้นเฉพาะบางคำสั่งเช่น:

<group name="exceptions,">
  <rule id="101102" level="0">
    <if_sid>5402</if_sid>
    <field name="command">/usr/lib/nagios/plugins/check_procs|/usr/lib64/nagios/plugins/check_procs</field>
    <description>Rule to ignore sudo command check_procs from nagios|nrpe</description>
    <options>no_log</options>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
</group>

รูปลักษณ์อาจเป็นไปได้ง่ายๆ ด้วยกฎที่กำหนดเองของ Wazuh หรือในลักษณะที่หรูหรากว่านี้ สำหรับสิ่งที่คุ้มค่าก็ใช้งานได้ดี

ฉันหวังว่ามันจะช่วยได้!