Tham gia Đăng nhập
Điểm:0
Bogdan Stoica avatar Server

Wazuh bỏ qua một người dùng cụ thể khỏi thông báo sudo

lá cờ us
Bogdan Stoica

Tôi đang theo dõi máy chủ của mình bằng Wazuh 4.1.x.Máy chủ của tôi là Ubuntu và CentOS. Chúng cũng được theo dõi bằng Icinga2 và tác nhân NRPE. Wazuh đang ghi nhật ký tất cả các xác thực sudo hoặc các lệnh được chạy với sudo (điều này không sao cả). Nhưng vì một số lệnh nrpe cần được thực thi với sudo nên tôi muốn bỏ qua tất cả yêu cầu sudo từ người dùng nagios. Những gì tôi đã thử cho đến nay là:

Tôi đã thêm một nhóm tùy chỉnh và một quy tắc tùy chỉnh trong /var/ossec/etc/rules/local_rules.xml như thế này:

<group name="exceptions,">
  <rule id="101101" level="0">
    <if_sid>5402</if_sid>
    <match>sudo:   nagios</match>
    <description>Ignore sudo auth for nagios user</description>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
  <rule id="101102" level="0">
    <if_sid>5402</if_sid>
    <match>sudo:    nrpe</match>
    <description>Ignore sudo auth for nagios user</description>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
</group>

5402 là quy tắc sudo mặc định từ Wazuh.

Trong alerts.log tôi có thể thấy điều này cho Sudo:

Ngày 19 tháng 8 23:05:25 báo cáo Sudo: nrpe : TTY=unknown ; NKT=/ ; NGƯỜI DÙNG=gốc ; LỆNH=/usr/lib64/nagios/plugins/check_procs -c 1: -C nrpe
Ngày 19 tháng 8 23:05:25 báo cáo Sudo: pam_unix(sudo:session): phiên mở cho người dùng root bởi (uid=0)
20 tháng 8 00:51:27 chuyển sudo: pam_unix(sudo:session): phiên được mở cho người dùng root bởi (uid=0)
Ngày 20 tháng 8 00:51:27 chuyển sudo: pam_unix(sudo:session): đóng phiên cho người dùng root
** Cảnh báo 1629414327.485693326: - Syslog, sudo, pci_dss_10.2.5, pci_dss_10.2.2, gpg13_7.6, gpg13_7.8, gpg13_7.13, gdpr_ 6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,
Quy tắc: 5402 (cấp 3) -> 'Đã thực hiện sudo thành công để ROOT.'
Ngày 20 tháng 8 00:51:27 chuyển sudo: nagios : TTY=unknown ; NKT=/ ; NGƯỜI DÙNG=gốc ; LỆNH=/usr/lib/nagios/plugins/check_procs -c 1: --ereg-argument-array=SERVER

Tôi không thể hiểu tại sao các quy tắc không được áp dụng hoặc tôi đang làm gì sai. Tôi cũng đã tìm kiếm trong nhật ký các quy tắc 101101 hoặc 101102 và không có gì nên tôi cho rằng chúng không thực sự được áp dụng.

CẬP NHẬT: Cũng đã thử với loại quy tắc này:

<group name="exceptions,">
  <rule id="101101" level="0" frequency="5" timeframe="60">
    <if_matched_sid>5407</if_matched_sid>
    <match>   nrpe :</match>
    <description>Ignore sudo auth for nagios user.</description>
    <options>no_log</options>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
  <rule id="101102" level="0" frequency="5" timeframe="60">
    <if_matched_sid>5407</if_matched_sid>
    <match>   nrpe : </match>
    <description>Ignore sudo auth for nrpe user.</description>
    <options>no_log</options>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
</group>

Rõ ràng quy tắc 5402 dành cho sudo được thực thi bởi root và 5407 dành cho sudo được thực thi bởi người dùng thông thường. Dù sao, vẫn không hoạt động ...

Quy tắc tương tự phù hợp nếu tôi sử dụng <hostname>hostname</hostname> for nhưng điều đó ngụ ý rằng nó sẽ bỏ qua tất cả sudo từ máy chủ đó và không chỉ cho nagios/nrpe người dùng.

100
1 + 0
Điểm:0
Bogdan Stoica avatar Server
lá cờ us
Bogdan Stoica

Cuối cùng, tôi đã nghĩ ra một giải pháp hỗn hợp: Cài đặt Wazuh + Linux PAM

Đối với Trình quản lý WAZUH, tôi đã thêm quy tắc dưới đây vào /var/oseec/etc/rules/local_rules.xml

<group name="exceptions,">
  <rule id="101101" level="0">
    <if_sid>5402</if_sid>
    <regex>^  nagios|^   nrpe</regex>
    <description>Ignore sudo auth for nagios|nrpe user.</description>
    <options>no_log</options>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
</group>

Những gì nó làm, nó bỏ qua việc ghi nhật ký các lệnh sudo do người dùng nagios|nrpe thực hiện

Đối với việc loại bỏ các thông báo được tạo sau khi lệnh sudo được thực thi bởi nagios/nrpe (phiên mở|đóng cho người dùng root), bạn có thể ngăn không cho thông báo này xuất hiện trên /var/log/auth.log (Ubuntu/Debian) hoặc /var/log/an toàn (CentOS/Fedora/RedHat) như thế này:

Đối với Ubuntu/Debian:

Chỉnh sửa /etc/pam.d/sudo và làm cho nó trông như thế này:

...
@include tài khoản chung
phiên [thành công=1 mặc định=bỏ qua] pam_succeed_if.so silent uid = 0 ruser = nagios
@include chung-session-noninteractive

Đối với CentOS/Fedora/RedHat:

Chỉnh sửa /etc/pam.d/system-auth và làm cho nó trông như thế này:

...
phiên tùy chọn pam_keyinit.so thu hồi
phiên bắt buộc pam_limits.so
phiên [success=1 default=ignore] dịch vụ pam_succeed_if.so trong khoảng thời gian yên tĩnh use_uid
phiên [thành công=1 mặc định=bỏ qua] pam_succeed_if.so silent uid = 0 ruser = nrpe
phiên bắt buộc pam_unix.so

Bằng cách này, tất cả các lệnh được người dùng nagios|nrpe thực hiện bằng Sudo sẽ không được ghi lại nữa. Nếu bất kỳ người dùng nào khác thực thi các lệnh bằng sudo, những lệnh đó sẽ được ghi lại.

Đối với WAZUH, cảnh báo.log không còn bị ô nhiễm nữa và các hành động như sudo: nagios : TTY=unknown ; NKT=/ ; NGƯỜI DÙNG=gốc ; LỆNH=/usr/lib/nagios/plugins/check_blabla bị bỏ qua và không được ghi lại.

Ngoài ra, bạn chỉ có thể bỏ qua một số lệnh cụ thể như:

<group name="exceptions,">
  <rule id="101102" level="0">
    <if_sid>5402</if_sid>
    <field name="command">/usr/lib/nagios/plugins/check_procs|/usr/lib64/nagios/plugins/check_procs</field>
    <description>Rule to ignore sudo command check_procs from nagios|nrpe</description>
    <options>no_log</options>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
</group>

Có lẽ vẻ ngoài có thể đạt được một cách đơn giản với các quy tắc tùy chỉnh của Wazuh hoặc theo cách thanh lịch hơn. Đối với giá trị của nó, nó hoạt động tốt.

Tôi hy vọng nó sẽ giúp!

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.