Auditd демон который поможет в расследовании

Выступление Николая Климова на интенсиве для CISO Код ИБ Профи

Код ИБ

Краткий конспект выступления Николая Климова на интенсиве для CISO Код ИБ Профи

Николай Климов
Старший системный архитектор в Департамент информационных технологий г.Москва

4 принципа безопасности

1. Знай свою систему
2. Что работает в системе
3. Как оно взаимодействует
4. С чем оно взаимодействует

Защита важна, но и наблюдение необходимо. Если ты не знаешь, что пошло не так, то ты проиграл.

Меньше привилегий - лучше! Не нужно давать пользователям, менеджерам, руководителям больше привилегий, чем им необходимо

Знай своего врага. Необходимо знать как он может атаковать, научиться использовать его инструменты, понимать его методы

Что такое Auditd

Система аудита Linux Audit предназначена для отслеживания событий операционной системы, относящихся к информационной безопасности в том числе. Основываясь на заданных администратором правилах, система Audit записывает как можно больше информации об отслеживаемых событиях.

Возможности системы аудита:

- Журналирование даты, времени и типа произошедшего события;

- Ассоциирование события с пользователем, вызвавшего событие;

- Журналирование попыток модификации собственной конфигурации, попыток доступа к журналам аудита;

- Журналирование работы механизмов, используемых при аутентификации (например SSH, Kerberos и т.д.);

- Наблюдение за доступом к файлам и каталогам;

- Мониторинг системных вызовов ядра;

- Журналирование запуска приложений пользователями системы;

- Запись команд, запускаемых пользователем

- Мониторинг доступа к сети

Закрывает требования:

Controlled Access Protection Profile (CAPP)

Labeled Security Protection Profile (LSPP)

Rule Set Base Access Control (RSBAC)

National Industrial Security Program Operating Manual (NISPOM)

Federal Information Security Management Act (FISMA)

Payment Card Industry — Data Security Standard (PCI-DSS)

Security Technical Implementation Guides (STIG)

ФСТЭК России (17/21 Приказы)

Pluggable Authentication Modules

Указание загрузить модуль аутентификации pam_loginuid.so для приложений, отвечающих за вход в систему (login, sshd и т. д.), отражено в конфигурации PAM

ОБРАТНАЯ СОВМЕСТИМОСТЬ

Для обеспечения совместимости с предыдущими версиями auditd (привет RHEL 6.3) использовать: -S syscall1 -S syscall2 вместо -S syscall1,syscall2 -F auid!=-1 вместо -F auid!=unset

ОСТАНОВКА, НО НЕ ОТКЛЮЧЕНИЕ

Остановка userspaceдемонаauditdчерезservice audit stopотключает сбор и доставку событий фреймворк в ядре продолжит следить за системными вызовами, занимая ресурсы CPU.

СКОРОСТЬ ОТРАБОТКИ

-a always,exit -F arch=b64 -S execve,execveat быстрее, чем -a always,exit -F arch=b64 -S execve -a always,exit -F arch=b64 -S execveat

ОПАСНЫЙ ВЫЗОВ

Отслеживание системного вызова ptrace может вызвать большую нагрузку на систему, вплоть до отказа в обслуживании. Для предотвращения этого в обязательном порядке указывать "потолок" по: а) размеру очереди событий б) макс. количеству событий, обрабатываемых в секунду, он же ratelimit

Если вам интересна эта тема, вы можете ознакомиться с ней более подробно:

Посмотреть мастер-класс целиком