PAM - "검사 통과; 사용자 알 수 없음" syslog 메시지 비활성화

tag-icon tag-icon logs sshd pam authentication syslog
PAM - "검사 통과; 사용자 알 수 없음" syslog 메시지 비활성화

요약:우리는 SSHD와 함께 PAM을 사용합니다. CentOS와 Ubuntu가 환경에 존재합니다. SSHD 오류가 발생할 때마다알 수없는 사용자, 이는 두 개의 메시지를 생성합니다. 메시지 중 하나가 알 수 없는 사용자 이름을 제공하지 않아 SIEM을 중단시킵니다. 메시지를 SIEM에 삭제하는 대신 소스에서 추출하고 싶습니다. 현재 추가 PAM 인증 메시지가 여전히 필요합니다.

그렇긴 하지만, 다음 PAM 메시지는 다른 PAM 메시지와 중복되므로 이 메시지를 침묵시키는 방법을 찾으려고 노력 중입니다. 모든 낮은 수준의 PAM 메시지가 더 높은 수준의 sshd syslog 메시지와 중복될 수도 있지만, 추가 조정을 하기 전에 최소한 쓸모 없는 PAM 메시지를 먼저 침묵시키고 싶습니다.

쓸모없는 PAM 메시지:

    sshd[] pam_unix(sshd:auth): check pass; user unknown

위의 내용은 다음과 같은 보다 자세한 메시지에 대해 중복됩니다(거의 즉시 전송됨).

sshd[] pam_sss(sshd:auth): received for user <user>: 10 (User not known to the underlying authentication module)

나는 이 두 가지가 sshd 자체에서 생성된 상위 수준 메시지와 중복될 수도 있다고 생각합니다.

sshd[] error: PAM: User not known to the underlying authentication module for illegal user <user> from <ip>

나는 서로 다른 파일들이 어떻게 서로 연결되어 있는지 이해하기 위해 PAM의 몇 가지 매뉴얼 페이지를 파헤쳐 보았습니다.

syslog 메시지에 따르면 이는 PAM 인증 모듈과 관련이 있다고 생각됩니다. 따라서 pass-auth SL로 연결된 비밀번호-auth-ac 파일을 보면 다음과 같은 내용이 있습니다.

auth required pam_env.so
auth required pam_faildelay.so delay=20000000
auth [default=1 ignore=ignore success=ok] pam_succeed_if.so uid >=1000 quiet
auth [default=1 ignore=ignore success=ok] pam_localuser.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth sufficient pam_sss.so forward_pass
auth required pam_deny.so

위의 가정이 정확하다면 확인을 트리거하는 행은 4번째 행인 pam_localuser.so에 있을 것으로 예상됩니다. 그러나 그 줄은 결과를 무시하라고 지시하므로 다음 생각은 syslog 항목에서 참조하는 auth full pam_unix.so 줄이나 pam_sss 줄에서 실제로 생성될 수도 있다는 것이었습니다. 매뉴얼 페이지를 읽고 파일을 수정하여 해당 줄에 대한 조용한 주장을 제공했지만 작동하지 않습니다.

제어 플래그적절한동일한[성공=완료 new_authtok_reqd=완료 기본값=무시], 내가 올바르게 이해했다면,기본값 = 무시또한 이 시스템 로그가 무시되도록 해야 합니다. 나는 이 시점에서 그것이 실제로 그 라인에서 생성되지 않고 있다고 추측하고 있으며, 다음에 어디를 봐야 할지 약간 혼란스럽습니다.

이 문제와 관련된 몇 가지 질문이 있습니다.

  1. 로깅을 시도하고 중지하기 위해 올바른 파일을 보고 있습니까? 그렇다면 "확인 통과; 사용자 알 수 없음" 메시지를 제거하는 방법에 대해 어떤 오해가 있습니까?

  2. SSHD용 PAM에서 생성된 syslog를 보다 적극적으로 비활성화하려면 가장 좋은 방법은 무엇입니까?

  3. 한 단계 더 나아가 PAM에서 생성된 모든 시스템 로그를 비활성화하려면 가장 좋은 방법은 무엇입니까? (syslog 서버로 전달하기 위해 rsyslog 필터링을 수정하는 대신 PAM에서 이 기능을 끄고 싶습니다.)

  4. 마지막으로, 위 옵션 중 하나를 변경하고 싶다고 가정할 때 지속적인 변경을 만드는 가장 좋은 방법은 무엇입니까? 파일은 자동으로 생성된다는 경고를 표시하지만 authconfig 명령을 사용하여 이러한 유형의 변경을 수행하는 방법을 완전히 모르겠습니다.

티아. 이 문제가 다른 곳에서 다루어졌다면 방향을 알려주세요. 이 글을 게시하기 전에 여기와 Reddit에서 몇 가지 조사를 해보았지만 내가 하고 싶은 것과 일치하는 것을 아무것도 보지 못했고 분명히 맨 페이지에 모든 것을 잘 정리할 수 없었습니다.

관련 정보