.png)
Debian Linux で私の秘密鍵の内容が読み取られるたびに、すぐにアラートを受信したいのですが、どうすればよいですか?
私のサーバーのディスク上の次の場所に RSA 秘密キーが保存されています。
/etc/ssl/private/super-secret.key
これはルートのみが読み取り可能ですが、この秘密鍵が人またはプロセスによって読み取られるたびにログを取得し、アラートと監査の目的でその読み取りイベントのコンテキストを保存したいと考えています。
非常に機密性の高いファイルがディスクから読み取られたときに、すぐに警告するように設定するにはどうすればよいですか?
答え1
これは、次の 2 つのツールを使用して実現できます。
- 監査されたファイルを監視し(むしろ、カーネルにファイルのinodeを監視するように指示し)、すべての読み取りイベントをログに記録します。
/var/log/audit/audit.log - ワズー(またはossec)ファイルを監視し
audit.log、適切な場合に電子メールアラートを送信する
前提条件
まず、auditdをインストールします。
sudo apt-get install auditd
次、wazuhをインストールするこれまでにこれをやったことがなく、サーバーが1台だけの場合は、「オールインワン」インストール。
sudo apt-get install wazuh-manager
監査設定
ファイルを監視するには、ファイルの読み取りアクセス ( ) を/etc/ssl/private/super-secret.key監視する ( ) ための監査ルールを追加します。また、このルールに任意の「キー」名 ( ) を付けて、後で照合できるようにします。-w-p r-k audit-wazuh-private-key-r
cat > /etc/audit/rules.d/watch_private_keys.rules <<'EOF'
# monitor reads of our private keys for wazuh
-w /etc/ssl/private/super-secret.key -p r -k audit-wazuh-private-key-r
EOF
ルールを適用するには、auditdを再起動します。
systemctl restart auditd
auditctl -l
ワズー設定
/var/ossec/etc/ossec.conf監査ログファイルの監視を有効にするには、wazuhメイン構成ファイル()に次の行を追加します。
<localfile>
<location>/var/log/audit/audit.log</location>
<log_format>audit</log_format>
</localfile>
上記のルールの「キー」名を、wazuhが監視するauditdキーのリストに追加します。
grep 'audit-wazuh-private-key-r:read' /var/ossec/etc/lists/audit-keys || echo 'audit-wazuh-private-key-r:read' >> /var/ossec/etc/lists/audit-keys
wazuh ローカルルールファイル ( /var/ossec/etc/rules/local_rules.xml) に次の行を追加して、このイベントがレベル 12 = 「重要度の高いイベント」であり、電子メールアラートをトリガーする必要があることを wazuh に伝えます。
<rule id="100002" level="12">
<if_sid>80700</if_sid>
<match>audit-wazuh-private-key-r</match>
<options>alert_by_email</options>
<description>Audit: Watch - Private Key Read</description>
</rule>
wazuhを再起動
systemctl restart wazuh
これで、ファイルのコンテンツを読み取ろうとすると、/etc/ssl/private/super-secret.key電子メールアラートが送信されるようになります。