Архив автора: admin

Аудит Linux

Один из основных столпов практической безопасности – аудит событий.

Без него просто немыслим разбор инцидентов и проведение криминалистических исследований. Не говоря уже о просто нарушении политик безопасности.

В Linux, помимо встроенного syslog и его усовершенствованных последователей, есть демон auditd, специально заточенный на регистрацию событий, связанных с различными видами доступа. Установить auditd можно начиная с ядра 2.6 в любом дистрибутиве.

Auditd позволяет вести слежение за такими событиями, как:

– Запуск и завершение работы системы (перезагрузка, остановка);

– Чтение/запись или изменение прав доступа к файлам;

– Инициация сетевого соединения или изменение сетевых настроек;

– Изменение информации о пользователе или группе;

– Изменение даты и времени;

– Запуск и остановка приложений;

– Выполнение системных вызовов.

Одна из фич auditd – запуск уже вместе с ядром.

Для того, чтобы его активировать, нужно добавить опцию audit=1 в параметры загрузчика.

При установке auditd не регистрирует ничего.

Для его работы требуется настроить правила в файле /etc/audit/audit.rules.

К счастью эксперты по безопасности составили рекомендуемый набор правил, который позволит отслеживать доступ ко всем значимым дефолтным функциям системы.

Списки правил

Для 64-битных систем

Рекомендованный экспертами базовый набор правил для 64-битных систем такой:

-a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time-change 

-a always,exit -F arch=b32 -S adjtimex -S settimeofday -S stime -k time-change 

-a always,exit -F arch=b64 -S clock_settime -k time-change 

-a always,exit -F arch=b32 -S clock_settime -k time-change -w /etc/localtime -p wa -k time-change

-w /etc/group -p wa -k identity 

-w /etc/passwd -p wa -k identity 

-w /etc/gshadow -p wa -k identity 

-w /etc/shadow -p wa -k identity 

-w /etc/security/opasswd -p wa -k identity

-a exit,always -F arch=b64 -S sethostname -S setdomainname -k system-locale 

-a exit,always -F arch=b32 -S sethostname -S setdomainname -k system-locale 

-w /etc/issue -p wa -k system-locale 

-w /etc/issue.net -p wa -k system-locale 

-w /etc/hosts -p wa -k system-locale 

-w /etc/network -p wa -k system-locale 

-w /var/log/faillog -p wa -k logins 

-w /var/log/lastlog -p wa -k logins 

-w /var/log/tallylog -p wa -k logins

-w /var/run/utmp -p wa -k session 

-w /var/log/wtmp -p wa -k session 

-w /var/log/btmp -p wa -k session  

-a always,exit -F arch=b64 -S chmod -S fchmod -S fchmodat -F auid>=500 -F auid!=4294967295 -k perm_mod 

-a always,exit -F arch=b32 -S chmod -S fchmod -S fchmodat -F auid>=500 -F auid!=4294967295 -k perm_mod 

-a always,exit -F arch=b64 -S chown -S fchown -S fchownat -S lchown -F auid>=500 -F auid!=4294967295 -k perm_mod 

-a always,exit -F arch=b32 -S chown -S fchown -S fchownat -S lchown -F auid>=500 -F auid!=4294967295 -k perm_mod 

-a always,exit -F arch=b64 -S setxattr -S lsetxattr -S fsetxattr -S removexattr -S lremovexattr -S fremovexattr -F auid>=500 -F auid!=4294967295 -k perm_mod 

-a always,exit -F arch=b32 -S setxattr -S lsetxattr -S fsetxattr -S removexattr -S lremovexattr -S fremovexattr -F auid>=500 -F auid!=4294967295 -k perm_mod

-a always,exit -F arch=b64 -S creat -S open -S openat -S truncate -S ftruncate -F exit=-EACCES -F auid>=500 -F auid!=4294967295 -k access 

-a always,exit -F arch=b32 -S creat -S open -S openat -S truncate -S ftruncate -F exit=-EACCES -F auid>=500 -F auid!=4294967295 -k access 

-a always,exit -F arch=b64 -S creat -S open -S openat -S truncate -S ftruncate -F exit=-EPERM -F auid>=500 -F auid!=4294967295 -k access 

-a always,exit -F arch=b32 -S creat -S open -S openat -S truncate -S ftruncate -F exit=-EPERM -F auid>=500 -F auid!=4294967295 -k access

-a always,exit -F arch=b64 -S mount -F auid>=500 -F auid!=4294967295 -k mounts -a always,exit -F arch=b32 -S mount -F auid>=500 -F auid!=4294967295 -k mounts

-a always,exit -F arch=b64 -S unlink -S unlinkat -S rename -S renameat -F auid>=500 -F auid!=4294967295 -k delete 

-a always,exit -F arch=b32 -S unlink -S unlinkat -S rename -S renameat -F auid>=500 -F auid!=4294967295 -k delete

-w /etc/sudoers -p wa -k scope

-w /var/log/sudo.log -p wa -k actions

-w /sbin/insmod -p x -k modules 

-w /sbin/rmmod -p x -k modules 

-w /sbin/modprobe -p x -k modules

-a always,exit -F arch=b64 -S init_module -S delete_module -k modules

-w /etc/audit/auditd.conf -p wa -k change-audit-cfg

-w /etc/audit/audit.rules -p wa -k change-audit-cfg

После чего выполнить команду:

find <file_system> -xdev ( -perm -4000 -o -perm -2000 ) -type f | awk ‘{print “-a always,exit -F path=” $1 ” -F perm=x -F auid>=500 -F auid!=4294967295 -k privileged” }’

и результат тоже добавить в audit.rules.

Последней строкой должна быть директива:

-e 2

которая не позволит изменит правила аудита без перезагрузки.

Для 32-битных систем

Рекомендованный экспертами базовый набор правил для 32-битных систем такой:

-a always,exit -F arch=b32 -S adjtimex -S settimeofday -S stime -k time-change 

-a always,exit -F arch=b32 -S clock_settime -k time-change -w /etc/localtime -p wa -k time-change

-w /etc/group -p wa -k identity 

-w /etc/passwd -p wa -k identity 

-w /etc/gshadow -p wa -k identity 

-w /etc/shadow -p wa -k identity 

-w /etc/security/opasswd -p wa -k identity

-a exit,always -F arch=b32 -S sethostname -S setdomainname -k system-locale 

-w /etc/issue -p wa -k system-locale 

-w /etc/issue.net -p wa -k system-locale 

-w /etc/hosts -p wa -k system-locale 

-w /etc/network -p wa -k system-locale 

-w /var/log/faillog -p wa -k logins 

-w /var/log/lastlog -p wa -k logins 

-w /var/log/tallylog -p wa -k logins

-w /var/run/utmp -p wa -k session 

-w /var/log/wtmp -p wa -k session 

-w /var/log/btmp -p wa -k session

-a always,exit -F arch=b32 -S chmod -S fchmod -S fchmodat -F auid>=500 -F auid!=4294967295 -k perm_mod 

-a always,exit -F arch=b32 -S chown -S fchown -S fchownat -S lchown -F auid>=500 -F auid!=4294967295 -k perm_mod 

-a always,exit -F arch=b32 -S setxattr -S lsetxattr -S fsetxattr -S removexattr -S lremovexattr -S fremovexattr -F auid>=500 -F auid!=4294967295 -k perm_mod

-a always,exit -F arch=b32 -S creat -S open -S openat -S truncate -S ftruncate -F exit=-EACCES -F auid>=500 -F auid!=4294967295 -k access 

-a always,exit -F arch=b32 -S creat -S open -S openat -S truncate -S ftruncate -F exit=-EPERM -F auid>=500 -F auid!=4294967295 -k access

-a always,exit -F arch=b32 -S mount -F auid>=500 -F auid!=4294967295 -k mounts

-a always,exit -F arch=b32 -S unlink -S unlinkat -S rename -S renameat -F auid>=500 -F auid!=4294967295 -k delete

-w /etc/sudoers -p wa -k scope

-w /var/log/sudo.log -p wa -k actions

-w /sbin/insmod -p x -k modules 

-w /sbin/rmmod -p x -k modules 

-w /sbin/modprobe -p x -k modules

-a always,exit -F arch=b32 -S init_module -S delete_module -k modules

-w /etc/audit/auditd.conf -p wa -k change-audit-cfg

-w /etc/audit/audit.rules -p wa -k change-audit-cfg

После чего выполнить команду:

find <file_system> -xdev ( -perm -4000 -o -perm -2000 ) -type f | awk ‘{print “-a always,exit -F path=” $1 ” -F perm=x -F auid>=500 -F auid!=4294967295 -k privileged” }’

и результат тоже добавить в audit.rules.

Последней строкой должна быть директива:

-e 2

которая не позволит изменит правила аудита без перезагрузки.

Источник: https://t.me/informhardening



2017-12-03T12:43:15
Аудит ИБ

Очевидец снял на видео смерч в курортном городе Италии‍

По курортному городу Сан-Ремо, расположенному в Италии, прошлись водяные смерчи. Очевидцы сняли на камеру необычное природное явление. Запись произошедшего доступна для просмотра на видеохостинге YouTube.

Ролик демонстрирует, как воду закручивает мощным воздушным потоком и поднимает в небо. Когда один водяной смерч потихоньку уменьшается, сходя на нет, рядом появляется еще одна «воронка». Как сообщает местное издание La Stampa, мощные смерчи повредили множество строений в итальянском городе Сан-Ремо. Но к счастью, в результате природного явления никто не погиб, хотя и не обошлось без пострадавших — три человека получили травмы. Читать

DuckDuckGo: Защита конфиденциальных данных на Windows7

Как защитить личные данные, работая на компьютере под управлением Windows7? Несколько простых советов от команды конфиденциального поисковика DuckDuckGo. Перевод статьи из официального блога компании. Как защитить конфиденциальные данные на Windows7? Несколько простых советов, которые помогут вам защитить конфиденциальные данные на устройствах под управлением Windows7. Перевод некоторых

Автор: Alex Semёnov-Sherin
Дата публикации: 2017-12-02T16:57:00.001+07:00

Беру ответственность за свою жизнь!

На дворе – очередной кризис, и все чаще приходится слышать от людей вопросы: как выжить, где взять деньги, как обрести уверенность в завтрашнем дне? Однако проблема в том, что человек, привыкший плыть по течению, ищущий опору во внешних обстоятельствах, чаще всего в конце жизни оказывается у разбитого корыта. И упускает даже те шансы на удачу, которые все же приходят в его жизнь. Потому что надеется, что все должно наладится само собой и без усилий.
Читать

Какую видеокарту выбрать для игр на 2018 год?

Из видеокарт я вижу только 2 варианта для игр. Не буду говорить для тех кто может легко позволить купить себе жтх 1070 или 1080, а скажу только про основную массу, желающие приобрести более качественный товар за адекватную цену. Скажу свое мнение, а ваше мнение можете оставить в комментарии. Читать