W ostatnim wpisie poznaliśmy podstawy linuxowego systemu audytującego – Audit, potocznie nazywany auditd (po nazwie daemona).
W tym artykule skupimy się na rulkach, które mają na celu monitorowania wywołań systemowych (syscalle) oraz sprawimy, że detekcje przetrwają reboot systemu.
Metody zapewnienia bezpieczeństwa na etapie Quality Assurance – Czyli jakie?
Jesteśmy w projekcie, w którym po pierwsze nie ma czasu na wykonanie testów bezpieczeństwa, po drugie klient nie dał nam budżetu na ich wykonanie, a po trzecie wyobraźmy sobie, że nie potrafimy ich przeprowadzić. Nie mamy specjalistycznej, technicznej wiedzy, aby wykonać takie testy bezpieczeństwa.
Czy w takiej sytuacji jako Quality Assurance, możemy zadbać o bezpieczeństwo?
Linuxowy system audytujący pozwala na generowanie istotnych pod względem bezpieczeństwa eventów na systemie. Opiera swoje działanie na tzw. rulach, czyli detekcjach, które to konfigurujemy, gdy uznamy, że jakiś plik, komenda etc. jest warty „obserwowania”. Informacje, które Audit generuje, są niezbędne/kluczowe w tworzeniu detekcji dla SOCa w SIEMie, analizie po włamaniowej, różnych raportach, wykrywaniu błędnej konfiguracji.
Cowrie lub cowry to pospolita nazwa grupy małych i dużych ślimaków morskich. Natomiast to co nas interesuje to projekt Cowrie SSH / Telnet Honeypot. Rozwiązanie to jest używane głównie do rejestrowania sesji atakującego. Następnie dzięki kamuflażowi mamy szanse nie tylko go wykryć ale i lepiej zrozumieć szczegóły, takie jak narzędzia, metody i procedury.
System jest tak bezpieczny jak jego najsłabsze ogniwo – jak to sprawdzić?
Najczęstszą przyczyną skutecznego przełamywania zabezpieczeń naszych systemów jest nienależyta dbałość lub po prostu niewiedza administratorów. Stare pakiety, nieaktualne usługi, błędy w konfiguracji to często tylko wierzchołek góry lodowej. Jak więc wspomóc się w procesie utwardzania (hardeningu) systemów Linux? Tu jako wsparcia w tym procesie możemu użyć narzędzia Lynis.