要約:私たちはSSHDとPAMを使用しています。 CentOSとUbuntuが環境に存在します。 SSHDエラーが発生するたびに不明なユーザー、これは2つのメッセージを生成します。メッセージの1つが不明なユーザー名を提供していないため、SIEMを中断します。メッセージをSIEMに削除するのではなく、ソースから抽出したいと思います。現在、追加のPAM認証メッセージが依然として必要です。
しかし、次のPAMメッセージは他のPAMメッセージと重複しているため、このメッセージを沈黙させる方法を見つけようとしています。すべての低レベルのPAMメッセージは、より高いレベルのsshd syslogメッセージと重複する可能性がありますが、追加の調整を行う前に、少なくとも役に立たないPAMメッセージを最初に沈黙させたいと思います。
役に立たないPAMメッセージ:
sshd[] pam_unix(sshd:auth): check pass; user unknown
上記は、以下のより詳細なメッセージに対して重複します(ほぼ即座に送信されます)。
sshd[] pam_sss(sshd:auth): received for user <user>: 10 (User not known to the underlying authentication module)
私はこれら2つがsshd自体によって生成された上位レベルのメッセージと重複する可能性があると思います。
sshd[] error: PAM: User not known to the underlying authentication module for illegal user <user> from <ip>
私は、異なるファイルがどのように互いにリンクされているかを理解するために、PAMのいくつかのマニュアルページを調べました。
syslog メッセージによると、これは PAM 認証モジュールに関連していると考えられます。したがって、pass-auth SLで接続されたパスワード-auth-acファイルを見ると、次のようなものがあります。
auth required pam_env.so
auth required pam_faildelay.so delay=20000000
auth [default=1 ignore=ignore success=ok] pam_succeed_if.so uid >=1000 quiet
auth [default=1 ignore=ignore success=ok] pam_localuser.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth sufficient pam_sss.so forward_pass
auth required pam_deny.so
上記の仮定が正しい場合、検証をトリガーする行は4行目のpam_localuser.soにあると予想されます。しかし、その行は結果を無視するように指示するので、次の考えはsyslogエントリで参照されるauth full pam_unix.so行またはpam_sss行で実際に生成される可能性があることでした。マニュアルページを読んでファイルを修正して、その行に対する静かな主張を提供しましたが、うまくいきませんでした。
制御フラグ適切同じ[成功=完了new_authtok_reqd=完了デフォルト=無視]、私が正しく理解したなら、デフォルト = 無視また、このシステムログを無視する必要があります。私はこの時点でそれが実際にその行で生成されていないと推測しています。
この問題に関するいくつかの質問があります。
ログを試して停止するために正しいファイルを見ていますか?もしそうなら、「確認パス;ユーザー不明」メッセージを削除する方法についてどのような誤解がありますか?
SSHD用PAMで生成されたsyslogをより積極的に無効にするための最良の方法は何ですか?
さらに一歩進んで、PAMで生成されたすべてのシステムログを無効にするための最良の方法は何ですか? (syslogサーバーに転送するためにrsyslogフィルタリングを変更する代わりに、PAMでこの機能をオフにしたいと思います。)
最後に、上記のオプションのいずれかを変更したいと仮定して、継続的な変更を行う最良の方法は何ですか?ファイルは自動的に生成されるという警告を表示しますが、authconfigコマンドを使用してこのタイプの変更を実行する方法を完全にはわかりません。
ティア。この問題が他の場所で対処された場合は、方向を教えてください。この記事を投稿する前に、こことRedditでいくつかの調査をしてみましたが、私がやりたいことと一致するものは何も見ていませんでした。