Authentifizierung (sec-auth)

Überwacht fehlgeschlagene Login-Versuche, Root-/Administrator-Anmeldungen und SSH-Konfiguration. Erkennt Brute-Force-Angriffe und unsichere SSH-Einstellungen.

Konfiguration

ParameterTypDefaultBeschreibung
enabledbooltrueModul aktivieren/deaktivieren
failed_login_thresholdint5Schwellwert für fehlgeschlagene Logins pro IP
failed_login_window_minutesint15Zeitfenster für Login-Zählung (Minuten)
alert_on_root_loginbooltrueBei Root-/Admin-Login alarmieren
root_login_allowed_ipslist[]IPs, von denen Root-Login erlaubt ist
audit_ssh_configbooltrueSSH-Konfiguration prüfen (nur Linux)
ssh_config_pathstring/etc/ssh/sshd_configPfad zur sshd_config
expected_permit_root_loginstringnoErwarteter PermitRootLogin-Wert
expected_password_authstringnoErwarteter PasswordAuthentication-Wert
log_pathslist[]Zusätzliche Auth-Log-Pfade
use_journalctlbool/nullnulljournalctl erzwingen (true) oder automatisch erkennen (null)

YAML-Beispiel

sec_auth:
  enabled: true
  failed_login_threshold: 10
  failed_login_window_minutes: 30
  alert_on_root_login: true
  root_login_allowed_ips:
    - "10.0.0.1"
  audit_ssh_config: true
  expected_permit_root_login: "no"
  expected_password_auth: "no"

Diagnose-Codes

CodeSeverityBedeutungEmpfehlung
40000Keine Authentifizierungsprobleme erkannt
40011–2Viele fehlgeschlagene Logins von einer IPIP prüfen, ggf. sperren (fail2ban)
40021–2Root-/Admin-Login von externer IP erkanntZugriff einschränken, SSH-Keys nutzen
40031Fehlgeschlagene Sudo-Versuche oder KontoänderungenBetroffene Konten prüfen
40901Auth-Logs nicht lesbarBerechtigungen prüfen, journalctl testen
60011SSH erlaubt Root-LoginPermitRootLogin no in sshd_config setzen
60021SSH erlaubt Passwort-AuthentifizierungPasswordAuthentication no setzen, SSH-Keys nutzen

Plattform-Unterstützung

  • Linux: Liest /var/log/auth.log oder journalctl -u ssh. SSH-Konfigurationsprüfung.
  • Windows: Wertet das Security Event Log aus (Event-IDs 4625, 4624, etc.).