înregistrare Logare
Puncte:0
Bogdan Stoica avatar Server

Wazuh ignoră un utilizator specific din notificările sudo

drapel us
Bogdan Stoica

Îmi monitorizez serverele folosind Wazuh 4.1.x.Serverele mele sunt Ubuntu și CentOS. Ele sunt, de asemenea, monitorizate folosind Icinga2 și agent NRPE. Wazuh înregistrează toate autentificările sudo sau comenzile rulate cu sudo (ceea ce este bine). Dar, deoarece unele dintre comenzile nrpe trebuie executate cu sudo, aș dori să ignor toate solicitările sudo de la utilizatorul nagios. Ceea ce am incercat pana acum este asta:

Am adăugat un grup personalizat și o regulă personalizată în /var/ossec/etc/rules/local_rules.xml astfel:

<group name="exceptions,">
  <rule id="101101" level="0">
    <if_sid>5402</if_sid>
    <match>sudo:   nagios</match>
    <description>Ignore sudo auth for nagios user</description>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
  <rule id="101102" level="0">
    <if_sid>5402</if_sid>
    <match>sudo:    nrpe</match>
    <description>Ignore sudo auth for nagios user</description>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
</group>

5402 este regula sudo implicită de la Wazuh.

În alerts.log pot vedea asta pentru sudo:

Aug 19 23:05:25 rapoarte sudo: nrpe : TTY=necunoscut ; PWD=/; UTILIZATOR=rădăcină ; COMMAND=/usr/lib64/nagios/plugins/check_procs -c 1: -C nrpe
19 august 23:05:25 raportează sudo: pam_unix(sudo:session): sesiune deschisă pentru utilizator root de (uid=0)
20 august 00:51:27 transfer sudo: pam_unix(sudo:session): sesiune deschisă pentru utilizator root de (uid=0)
20 august 00:51:27 transfer sudo: pam_unix(sudo:session): sesiune închisă pentru utilizator root
** ALERT 1629414327.485693326: - Syslog, sudo, PCI_DSS_10.2.5, PCI_DSS_10.2.2, GPG13_7.6, GPG13_7.8, GPG13_7.13, GDPR_IV_32.2, HIPAA, NIST_800_800_82 6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,
Regula: 5402 (nivel 3) -> „Sudo to ROOT executat cu succes”.
Aug 20 00:51:27 transfer sudo: nagios : TTY=necunoscut ; PWD=/; UTILIZATOR=rădăcină ; COMMAND=/usr/lib/nagios/plugins/check_procs -c 1: --ereg-argument-array=SERVER

Nu pot să-mi dau seama de ce nu sunt aplicate regulile sau ce greșesc. De asemenea, am căutat în jurnalele regulile 101101 sau 101102 și nimic, așa că presupun că nu sunt de fapt aplicate.

UPDATE: Am încercat și cu acest tip de reguli:

<group name="exceptions,">
  <rule id="101101" level="0" frequency="5" timeframe="60">
    <if_matched_sid>5407</if_matched_sid>
    <match>   nrpe :</match>
    <description>Ignore sudo auth for nagios user.</description>
    <options>no_log</options>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
  <rule id="101102" level="0" frequency="5" timeframe="60">
    <if_matched_sid>5407</if_matched_sid>
    <match>   nrpe : </match>
    <description>Ignore sudo auth for nrpe user.</description>
    <options>no_log</options>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
</group>

Aparent, regula 5402 este pentru sudo executat de către root și 5407 este pentru sudo executat de un utilizator obișnuit. Oricum inca nu merge...

Aceeași regulă se potrivește dacă o folosesc <hostname>hostname</hostname> pentru dar asta înseamnă că va ignora totul sudo de la acea gazdă şi nu numai pentru nagios/nrpe utilizator.

100
1 + 0
Puncte:0
Bogdan Stoica avatar Server
drapel us
Bogdan Stoica

În cele din urmă, am venit cu o soluție mixtă: setări Wazuh + Linux PAM

Pentru WAZUH-Manager, am adăugat regula mai jos /var/oseec/etc/rules/local_rules.xml

<group name="exceptions,">
  <rule id="101101" level="0">
    <if_sid>5402</if_sid>
    <regex>^  nagios|^   nrpe</regex>
    <description>Ignore sudo auth for nagios|nrpe user.</description>
    <options>no_log</options>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
</group>

Ceea ce face, ignoră înregistrarea comenzilor sudo executate de utilizatorii nagios|nrpe

În ceea ce privește scăparea de mesajele generate după o comandă sudo executată de nagios/nrpe (sesiune deschisă|închisă pentru utilizator root), puteți suprima aceste mesaje să apară la /var/log/auth.log (Ubuntu/Debian) sau /var/log/secure (CentOS/Fedora/RedHat) astfel:

Pentru Ubuntu/Debian:

Editați /etc/pam.d/sudo și faceți-l să arate așa:

...
@include common-account
sesiune [success=1 default=ignore] pam_succeed_if.so quiet uid = 0 ruser = nagios
@include common-session-noninteractive

Pentru CentOS/Fedora/RedHat:

Editați /etc/pam.d/system-auth și faceți-l să arate astfel:

...
sesiune opțională pam_keyinit.so revoke
sesiune necesară pam_limits.so
sesiune [success=1 default=ignore] serviciul pam_succeed_if.so în crond quiet use_uid
sesiune [success=1 default=ignore] pam_succeed_if.so quiet uid = 0 ruser = nrpe
sesiune necesară pam_unix.so

În acest fel toate comenzile executate cu sudo de către utilizatorii nagios|nrpe nu mai sunt înregistrate. Dacă alți utilizatori execută comenzi cu sudo, acestea vor fi înregistrate.

Cât despre WAZUH, alerts.log nu mai este poluat și acțiunile ca sudo: nagios : TTY=necunoscut ; PWD=/; UTILIZATOR=rădăcină ; COMMAND=/usr/lib/nagios/plugins/check_blabla sunt ignorate și nu sunt înregistrate.

Alternativ, puteți ignora doar câteva comenzi specifice, cum ar fi:

<group name="exceptions,">
  <rule id="101102" level="0">
    <if_sid>5402</if_sid>
    <field name="command">/usr/lib/nagios/plugins/check_procs|/usr/lib64/nagios/plugins/check_procs</field>
    <description>Rule to ignore sudo command check_procs from nagios|nrpe</description>
    <options>no_log</options>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
</group>

Probabil că aspectul ar fi putut fi realizat pur și simplu cu regulile personalizate Wazuh sau într-o manieră mai elegantă. Pentru cât valorează, funcționează foarte bine.

Sper că ajută!

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.