對于一些非標準發行版的嵌入式 Linux 而言，可能不具備設備登錄（包括本地登錄和遠程 SSH 登錄）事件的內核審計功能，這種情況下，IoT 安全運營中心的安全 Agent 將喪失對異常登錄（例如暴力登錄，暴力提權等）事件的檢測。為了彌補嵌入式 Linux 的這一個特性上的缺失，IoT 安全運營中心的安全 Agent 提供手動配置方案，經過簡單的設置之后，也可以對這些異常登錄事件進行檢測并在 IoT 安全運營中心控制臺上進行威脅預警。

常見的 Linux 發行版系統當中：

1. Ubuntu/Debian

（1）編輯 /etc/pam.d/common-auth 文件，找到下面一行：

auth [success=1 default=ignore] pam_unix.so nullok

修改為：

auth [success=1 default=ignore] pam_unix.so nullok_secure
auth [success=1 default=ignore] pam_exec.so quiet /system/dps/usr/bin/pam_audit 2
auth [success=1 default=ignore] pam_unix.so use_first_pass

（2）編輯 /etc/pam.d/sshd 文件，在末尾添加下面兩行：

session [default=ignore] pam_exec.so type=open_session /system/dps/usr/bin/pam_audit 0
session [default=ignore] pam_exec.so type=close_session /system/dps/usr/bin/pam_audit 1

（3）編輯 /etc/pam.d/login 文件，在末尾添加下面兩行：

session [default=ignore] pam_exec.so type=open_session /system/dps/usr/bin/pam_audit 0
session [default=ignore] pam_exec.so type=close_session /system/dps/usr/bin/pam_audit 1

2. Redhat/CentOS

（1）編輯 /etc/pam.d/password-auth 文件，找到下面一行：

auth sufficient pam_unix.so nullok try_first_pass

修改為：

auth sufficient pam_unix.so nullok_secure try_first_pass
auth [success=1 default=ignore] pam_exec.so quiet /system/dps/usr/bin/pam_audit 2
auth [success=1 default=ignore] pam_unix.so use_first_pass

（2）編輯 /etc/pam.d/sshd 文件，在末尾添加下面兩行：

session [default=ignore] pam_exec.so type=open_session /system/dps/usr/bin/pam_audit 0
session [default=ignore] pam_exec.so type=close_session /system/dps/usr/bin/pam_audit 1

（3）編輯 /etc/pam.d/login 文件，在末尾添加下面兩行：

session [default=ignore] pam_exec.so type=open_session /system/dps/usr/bin/pam_audit 0
session [default=ignore] pam_exec.so type=close_session /system/dps/usr/bin/pam_audit 1

注意：如果您更改了 configure.ini 當中的 DPS_DATA 配置，那么上面所有調用 pam_audit 程序的參數后面必須追加真實的 DPS_DATA 的值，例如如果將 DPS_DATA 配置為 /data/dps_data_new 那么上面所有的調用參數改為：/system/dps/usr/bin/pam_audit 0 /data/dps_data_new

后續步驟：功能和性能評估