Samhain può monitorare un file che non esiste, ma potrebbe in futuro?

8

Vorrei che Samhain monitorasse un file, per esempio /root/somefile,. Questo file non esiste attualmente, ma vorrei essere avvisato se viene creato in qualsiasi momento.

Aggiungo questo a samhainrc:

[ReadOnly]
file = /root/somefile

Questo fa sì che Samhain emetta queste voci di registro:

Oct 18 22:54:04 ip-172-31-24-115 Samhain[17123]: CRIT   :  [2018-10-18T22:54:04+0000] interface=<lstat>, msg=<No such file or directory>, userid=<0>, path=</root/somefile>
Oct 18 22:54:04 ip-172-31-24-115 Samhain[17123]: CRIT   :  [2018-10-18T22:54:04+0000] msg=<POLICY MISSING>, path=</root/somefile>
Oct 18 22:54:19 ip-172-31-24-115 Samhain[17157]: INFO   :  [2018-10-18T22:54:19+0000] msg=<Checking       [ReadOnly]>, path=</root/somefile>
Oct 18 22:54:19 ip-172-31-24-115 Samhain[17157]: NOTICE :  [2018-10-18T22:54:19+0000] msg=<Check failed>, path=</root/somefile>

E se creo questo file con echo test > /root/somefile, allora non ottengo alcuna violazione delle politiche registrata - l'aggiunta di questo file è stata notata.

Come posso configurare Samhain per avvisarmi se viene creato un file di interesse inesistente in precedenza?

L' IgnoreMissingopzione di configurazione sembrerebbe a prima vista utile, ma non lo è. Con IgnoreMissing = /root/somefilein samhainrc, non vi è alcun cambiamento nel comportamento. Sembra che questa opzione sia pensata per i file che dovrebbero scomparire in un secondo momento - elimina un avviso se un file esisteva, ma ora non lo fa, ad esempio se un processo automatizzato elimina i file non aggiornati.

Sebbene /root/somefilesia ovviamente inventato in questo caso, un esempio di dove un file inesistente inizia improvvisamente a esistere è se il file /home/someuser/.ssh/authorized_keysnon esisteva in precedenza ma poi improvvisamente esiste - questo potrebbe essere un utente malintenzionato che ha sfruttato qualcosa per rilasciare una backdoor permettendo per accedere come utente shell. Questo è qualcosa di cui vorrei essere avvisato.

È possibile utilizzare dir = /home/someuser/.sshper monitorare tutte le modifiche nella .sshcartella dell'utente, ma ciò non è utile: se è normale che l'utente utilizzi SSH nel proprio account, il loro .ssh/known_hostsfile potrebbe cambiare, potrebbero cambiare il loro ssh_config, ecc. E non voglio essere avvisato da quelli. Pertanto non voglio monitorare l'intera directory a parte alcuni file nella whitelist; Voglio lasciare la directory non monitorata a parte file specifici e critici.

linux  security  intrusion-detection 
Richard Downer
fonte
È possibile aggirare il problema creando un file vuoto. In questo caso authorized_keysfunzionerebbe benissimo.
Michael Hampton,
@MichaelHampton in effetti, e questa è la soluzione alternativa che ho usato. Significa che devo mantenere il mio script di installazione creando file vuoti sincronizzati con la configurazione di Samhain - meno che ideale ma funziona.
Richard Downer,

Risposte:

0

Se ho capito bene, è necessario monitorare tutti i file in dir, tranne alcuni file o sottodir:

Puoi provare dopo:

[ReadOnly] 
    #
    dir=/home/someuser/.ssh 
    # 
    [Attributes] 
    # 
    # less restrictive policy for the directory file itself 
    # 
    file=/home/someuser/.ssh 
    # 
    [IgnoreAll] 
    # 
    # exclude these file and directories 
    #
    file=/home/someuser/.ssh/known_hosts
    #dir=-1/etc/calendar
    #

Maggiori informazioni https://www.la-samhna.de/samhain/manual/all-except.html

Ivan Gurzhiy
fonte
"Se ho capito bene, è necessario monitorare tutti i file in dir, tranne alcuni file o sottocartelle" - questo non è corretto. Non voglio monitorare tutti i file. Voglio monitorare un file specifico (o un numero limitato di file) con nomi noti e specifici e ignorare tutti gli altri. ad es. nella home directory di un utente, voglio monitorare .bashrc. Non voglio inserire nella whitelist ogni singolo file che un utente potrebbe creare nella propria directory home. Il problema è che se .bashrcnon esiste in anticipo, Samhain non lo monitorerà affatto e non mi avviserà se verrà creato in seguito con contenuti ostili.
Richard Downer,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.