Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 4
Спасибо бро, планирую внедрять вазух
Не очень понимаю в чём смысл. Если кто-то ненужный попал в систему и получил права на изменение файлов в /etc (т.е. root), то вся защита уже коту под хвост. Что помешает атакующему поставить модифицированные бинарники или переписать конфиг этого самого wazuh, чтобы он ничего не детектил?
Либо подменить загрузчик исполняемых файлов (что обычно и делают), чтобы wazuh не видел изменений. Или через отладочные функции ядра изолировать wazuh, не изменяя его самого. И т.д.
Это превое, что делают серьёзные трояны под Linux. Ну и вообще им не нужно править этот /etc, они правят сразу утилиту sudo, libpam и прочее. Это если на минималках. А если на максималках, то как говорилось - ld-linux.so, само ядро, модули ядра и т.п. После этого совершенно неважно, что там в passwd.
Детский сад, короче. Целостность системы нужно проверять, загрузку ядра с проверкой целостности через UEFI использовать и SELinux включать и настраивать, а не /etc сканировать.
Модификация будет постфактум, вы получите один из многих индикаторов компрометаций, на этом и выстраивается работа систем мониторинга и оповещений, это один из элементов защиты системы в SIEM. Один из элементов FIM системы файловой целостности. Но если Вы Бог защиты, то просто сделайте сразу крепость, не разменивайтесь на детали )
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Защита критических файлов Linux с помощью Wazuh: пошаговое руководство по настройке мониторинга и сигнализации