PAM コンフィギュレーションファイルの変更
Incident Management が一般に使用できるようになりました。 Incident Management が広範に使用できるようになりました。
<  Back to rules search

PAM コンフィギュレーションファイルの変更

Classification:

コンプライアンス

Framework:

Control:

概要

目標

pam.d ディレクトリへの変更を検出します。

戦略

Linux の Pluggable Authentication Modules (PAM) は、アプリケーションやサービスの認証を提供しています。PAM システム内での認証モジュールは、/etc/pam.d/ ディレクトリの下で設定、構成されています。サイバーアタッカーは、認証プロセスをくぐり抜け、システムの証明書を見破る目的で、PAM 内の認証モジュールを変更、追加しようとすることがあります。

トリアージと対応

  1. /etc/pam.d/ への変更を確認します。
  2. 変更が既知のシステム設定やメンテナンスの一環として行われたのかを確認します。
  3. 変更が未承認である場合は、問題のホストを既知の安全な PAM コンフィギュレーションへロールバックするか、システムを既知の安全なシステムイメージと置き換えます。