Краткий конспект выступления Николая Климова на интенсиве для CISO Код ИБ Профи
Николай Климов
Старший системный архитектор в Департамент информационных технологий г.Москва
4 принципа безопасности
1. Знай свою систему
2. Что работает в системе
3. Как оно взаимодействует
4. С чем оно взаимодействует
Защита важна, но и наблюдение необходимо. Если ты не знаешь, что пошло не так, то ты проиграл.
Меньше привилегий - лучше! Не нужно давать пользователям, менеджерам, руководителям больше привилегий, чем им необходимо
Знай своего врага. Необходимо знать как он может атаковать, научиться использовать его инструменты, понимать его методы
Что такое Auditd
Система аудита Linux Audit предназначена для отслеживания
событий операционной системы, относящихся к информационной безопасности в том
числе. Основываясь на заданных администратором правилах, система Audit
записывает как можно больше информации об отслеживаемых событиях.
Возможности системы аудита:
- Журналирование даты, времени и типа произошедшего события;
- Ассоциирование события с пользователем, вызвавшего событие;
- Журналирование попыток модификации собственной конфигурации, попыток доступа к журналам аудита;
- Журналирование работы механизмов, используемых при аутентификации (например SSH, Kerberos и т.д.);
- Наблюдение за доступом к файлам и каталогам;
- Мониторинг системных вызовов ядра;
- Журналирование запуска приложений пользователями системы;
- Запись команд, запускаемых пользователем
- Мониторинг доступа к сети
Закрывает требования:
Controlled Access Protection Profile (CAPP)
Labeled Security Protection Profile (LSPP)
Rule Set Base Access Control (RSBAC)
National Industrial Security Program Operating Manual (NISPOM)
Federal Information Security Management Act (FISMA)
Payment Card Industry — Data Security Standard (PCI-DSS)
Security Technical Implementation Guides (STIG)
ФСТЭК России (17/21 Приказы)
Pluggable Authentication Modules
Указание загрузить модуль аутентификации pam_loginuid.so для приложений, отвечающих за вход в систему (login, sshd и т. д.), отражено в конфигурации PAM
ОБРАТНАЯ СОВМЕСТИМОСТЬ
Для обеспечения совместимости с предыдущими версиями auditd (привет RHEL 6.3) использовать: -S syscall1 -S syscall2 вместо -S syscall1,syscall2 -F auid!=-1 вместо -F auid!=unset
ОСТАНОВКА, НО НЕ ОТКЛЮЧЕНИЕ
Остановка userspaceдемонаauditdчерезservice audit stopотключает сбор и доставку событий фреймворк в ядре продолжит следить за системными вызовами, занимая ресурсы CPU.
СКОРОСТЬ ОТРАБОТКИ
-a always,exit -F arch=b64 -S execve,execveat быстрее, чем -a always,exit -F arch=b64 -S execve -a always,exit -F arch=b64 -S execveat
ОПАСНЫЙ ВЫЗОВ
Отслеживание системного вызова ptrace может вызвать большую нагрузку на систему, вплоть до отказа в обслуживании. Для предотвращения этого в обязательном порядке указывать "потолок" по: а) размеру очереди событий б) макс. количеству событий, обрабатываемых в секунду, он же ratelimit
Если вам интересна эта тема, вы можете ознакомиться с ней более подробно:
Auditd демон который поможет в расследовании
Выступление Николая Климова на интенсиве для CISO Код ИБ Профи