Регистрация Войти
Рейтинг:0
Bogdan Stoica avatar Server

Wazuh игнорирует определенного пользователя из уведомлений sudo

флаг us
Bogdan Stoica

Я слежу за своими серверами с помощью Wazuh 4.1.x.Мои серверы Ubuntu и CentOS. Они также контролируются с помощью агента Icinga2 и NRPE. Wazuh регистрирует все проверки подлинности sudo или команды, запущенные с помощью sudo (и это нормально). Но поскольку некоторые команды nrpe необходимо выполнять с помощью sudo, я хотел бы игнорировать все запросы sudo от пользователя nagios. То, что я пробовал до сих пор, это:

Я добавил пользовательскую группу и пользовательское правило в /var/ossec/etc/rules/local_rules.xml следующим образом:

<group name="exceptions,">
  <rule id="101101" level="0">
    <if_sid>5402</if_sid>
    <match>sudo:   nagios</match>
    <description>Ignore sudo auth for nagios user</description>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
  <rule id="101102" level="0">
    <if_sid>5402</if_sid>
    <match>sudo:    nrpe</match>
    <description>Ignore sudo auth for nagios user</description>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
</group>

5402 — правило sudo по умолчанию от Wazuh.

В alerts.log я вижу это для sudo:

19 августа 23:05:25 сообщает sudo: nrpe : TTY=unknown ; ПВД=/ ; ПОЛЬЗОВАТЕЛЬ=корень ; КОМАНДА=/usr/lib64/nagios/plugins/check_procs -c 1: -C nrpe
19 августа, 23:05:25 сообщает sudo: pam_unix(sudo:session): сеанс открыт для пользователя root пользователем (uid=0)
20 августа 00:51:27 передача sudo: pam_unix(sudo:session): сеанс открыт для пользователя root пользователем (uid=0)
20 августа 00:51:27 передача sudo: pam_unix(sudo:session): сеанс закрыт для пользователя root
** Alert 1629414327.485693326: - SYSLOG, SUDO, PCI_DSS_10.2.5, PCI_DSS_10.2.2, GPG13_7.6, GPG13_7.8, GPG13_7.13, GDPR_IV_32.2, HIPAA_164.313. 6, tsc_CC6.8, tsc_CC7.2, tsc_CC7.3,
Правило: 5402 (уровень 3) -> «Успешный sudo для ROOT выполнен».
20 августа 00:51:27 передача sudo: nagios: TTY=неизвестно; ПВД=/ ; ПОЛЬЗОВАТЕЛЬ=корень ; КОМАНДА=/usr/lib/nagios/plugins/check_procs -c 1: --ereg-argument-array=СЕРВЕР

Я не могу понять, почему правила не применяются или что я делаю неправильно. Я также искал в журналах правила 101101 или 101102 и ничего, поэтому я предполагаю, что они на самом деле не применяются.

ОБНОВЛЕНИЕ: Также пробовал с такими правилами:

<group name="exceptions,">
  <rule id="101101" level="0" frequency="5" timeframe="60">
    <if_matched_sid>5407</if_matched_sid>
    <match>   nrpe :</match>
    <description>Ignore sudo auth for nagios user.</description>
    <options>no_log</options>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
  <rule id="101102" level="0" frequency="5" timeframe="60">
    <if_matched_sid>5407</if_matched_sid>
    <match>   nrpe : </match>
    <description>Ignore sudo auth for nrpe user.</description>
    <options>no_log</options>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
</group>

По-видимому, правило 5402 предназначено для sudo, выполняемого пользователем root, а правило 5407 — для sudo, выполняемого обычным пользователем. Всё равно не работает...

То же правило соответствует, если я использую <hostname>hostname</hostname> но это означает, что он будет игнорировать все судо с этого хоста и не только для нагиос/нрпе пользователь.

100
1 + 0
Рейтинг:0
Bogdan Stoica avatar Server
флаг us
Bogdan Stoica

В конце концов я придумал смешанное решение: настройки Wazuh + Linux PAM.

Для WAZUH-Manager я добавил правило ниже в /var/oseec/etc/rules/local_rules.xml

<group name="exceptions,">
  <rule id="101101" level="0">
    <if_sid>5402</if_sid>
    <regex>^  nagios|^   nrpe</regex>
    <description>Ignore sudo auth for nagios|nrpe user.</description>
    <options>no_log</options>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
</group>

Что он делает, так это игнорирует протоколирование команд sudo, выполняемых пользователями nagios|nrpe

Что касается избавления от сообщений, сгенерированных после команды sudo, выполненной nagios/nrpe (сессия открыта | закрыта для пользователя root), вы можете подавить появление этих сообщений в /var/log/auth.log (Убунту/Дебиан) или /var/журнал/безопасный (CentOS/Fedora/RedHat) следующим образом:

Для Ubuntu/Debian:

Отредактируйте файл /etc/pam.d/sudo и придайте ему следующий вид:

...
@include общая учетная запись
сеанс [success=1 по умолчанию=игнорировать] pam_succeed_if.so тихий uid = 0 ruser = nagios
@include общий-сеанс-неинтерактивный

Для CentOS/Fedora/RedHat:

Отредактируйте файл /etc/pam.d/system-auth и придайте ему следующий вид:

...
необязательный отзыв сеанса pam_keyinit.so
требуется сеанс pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so сервис в crond тихий use_uid
сеанс [success=1 по умолчанию=игнорировать] pam_succeed_if.so тихий uid = 0 ruser = nrpe
требуется сеанс pam_unix.so

Таким образом, все команды, выполняемые с помощью sudo пользователями nagios|nrpe, больше не регистрируются. Если какие-либо другие пользователи выполняют команды с помощью sudo, они будут зарегистрированы.

Что касается WAZUH, то журнал alerts.log больше не загрязняется и такие действия, как sudo: nagios: TTY=неизвестно; ПВД=/ ; ПОЛЬЗОВАТЕЛЬ=корень ; КОМАНДА=/usr/lib/nagios/plugins/check_blabla игнорируются и не регистрируются.

В качестве альтернативы вы можете игнорировать только некоторые определенные команды, такие как:

<group name="exceptions,">
  <rule id="101102" level="0">
    <if_sid>5402</if_sid>
    <field name="command">/usr/lib/nagios/plugins/check_procs|/usr/lib64/nagios/plugins/check_procs</field>
    <description>Rule to ignore sudo command check_procs from nagios|nrpe</description>
    <options>no_log</options>
    <group>pci_dss_10.2.5,pci_dss_10.2.2,gpg13_7.6,gpg13_7.8,gpg13_7.13,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,nist_800_53_AC.6,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
  </rule>
</group>

Вероятно, такой вид можно было бы получить просто с помощью пользовательских правил Wazuh или более элегантным способом. Для чего это стоит, это работает просто отлично.

Я надеюсь, что это помогает!

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.