AIDE Self Protection - лучшие практики
Я настроил довольно простой сервер и попытался сделать его безопасным, используя некоторые инструменты и некоторые рекомендации, которые, я думаю, не так уж и плохи.
Я придумал использовать AIDE, которая является быстрой реализацией системы обнаружения вторжений. Я выполняю ежедневную проверку, которая отправляет мне по почте результаты несоответствия уровня файловой системы между замороженным состоянием системы, базой данных и текущим состоянием системы. Работает красиво.
Далее я предполагаю, что база данных AIDE размещена на устройстве только для чтения, например, на USB-накопителе с блокировкой записи.
Теперь несколько сценариев, которые я придумал. Злоумышленник каким-то образом входит в систему и замечает, что в системе работает AIDE. У этого умного парня уже есть хороший инструмент, который заменяет исполняемый файл AIDE, так что его работа не показывается мне почтой, а меняется обычная система, например, изменения в файле журнала. Должно быть выполнимо. Или просто он меняет конфигурацию AIDE, так что его изменения исключаются из проверки.
Учитывая это, я рассматриваю AIDE только как своего рода бремя, с которым приходится сталкиваться атакующему, но, по сути, не причиняет ему особого вреда.
Я ошибся?
Защищает ли AIDE мою систему только от злоумышленников, которые не имеют необходимого количества разрешений в системе?
Есть ли смысл проводить проверку чаще, чем раз в день?
(Помните, что это большой объем дискового ввода-вывода)
1 ответ
Я ошибся?
Ваш анализ верен, но я думаю, что здесь есть нюанс.
Есть ли смысл проводить проверку чаще, чем раз в день?
Частота проверки определяет гранулярность обнаружения изменений. Более часто == обнаруживать изменения быстрее, но какое время для вас имеет значение? В моей собственной работе ежедневно это нормально, но реже используется, когда система сканирует много дисков.
Защищает ли AIDE мою систему только от злоумышленников, которые не имеют необходимого количества разрешений в системе?
Это важный вопрос.
Прежде всего, признайте, что это только детективный контроль. Он ничего не исправляет, он только предупреждает вас, что что-то не так. Предоставляемая им "защита" может быть ложно-положительной и ложно-отрицательной - либо она предупреждает об изменении, которое вас не волнует (это проблема настройки и может быть решена другими способами), либо не предупреждает вас о изменение, о котором вы заботитесь, обычно потому, что оно его не видит [потому что инструмент был изменен или база данных была изменена] или потому, что изменение было разработано так, чтобы оно не было видимым для инструмента (например, они продуманно разработали изменение с помощью тот же размер и хэш). Я собираюсь игнорировать эту последнюю возможность в дальнейшем, так как это, как правило, тоже проблема настройки.
Вернуться к вопросу. AIDE может сканировать систему на наличие изменений. Я думаю, что многие люди используют его с базой данных и механизмом сканирования на самом хосте, и это позволяет идентифицировать изменения без особых усилий. Это полезно в том случае, если агент изменений не знает или не имеет прав на изменение двоичного файла и базы данных AIDE. Фактически, это довольно распространенный случай, и он действительно полезен в 99% случаев, когда у вас нет APT с ресурсами национального государства. Отправьте отчет об изменениях по почте и, возможно, даже сбросьте базу данных, чтобы не сообщать об изменениях дважды. Жизнь довольно хороша.
Как вы указали, если злонамеренный агент изменений имеет доступ к двоичному файлу AIDE и / или к базе данных, и / или к библиотекам, которые открывают файлы с диска (т.е. AIDE открывает файл, а библиотека говорит: "Без изменений, нет, сэр!"). независимо от того, как выглядит диск) вам тоже не повезло. Есть несколько вещей, которые вы можете сделать в этом сценарии APT. Многие люди, например, хранят базу данных на носителе с однократной записью, хранящемся в автономном режиме, и монтируют двоичные файлы AIDE, БД и т. Д. Только в течение периода обслуживания. Еще лучший подход: клонировать реальный диск с помощью механизма, который невидим для ОС, и загрузить систему с отдельного хоста с золотым копированием, где хранятся двоичные файлы AIDE, БД и библиотеки доступа к диску; смонтируйте диск и запустите отчет для этой клонированной копии. Я подозреваю, что, вероятно, все еще существуют сценарии, которые могут вызвать ложные негативы, но я не вижу ничего случайного.
Все зависит от того, сколько работы вы готовы сделать, учитывая, что это просто детективный контроль. Кто твой противник? Сколько денег вы получили? Каково влияние компромисса в целостности? Есть ли другие подходы?
AIDE - невероятно полезный инструмент. Я написал другие инструменты вокруг этого. Но это не совершенство.