.png)
Debian Linux에서 내 개인 키의 내용을 읽을 때마다 즉시 경고를 받고 싶습니다. 어떻게 해야 합니까?
내 서버 디스크의 다음 위치에 RSA 개인 키가 저장되어 있습니다.
/etc/ssl/private/super-secret.key
루트에서만 읽을 수 있지만, 사람이나 프로세스가 이 비밀 키를 읽을 때마다 로그를 갖고, 경고 및 감사 목적으로 해당 읽기 이벤트의 컨텍스트를 저장하고 싶습니다.
매우 민감한 파일을 디스크에서 읽었을 때 즉시 경고를 어떻게 설정합니까?
답변1
이는 다음 두 가지 도구를 사용하여 달성할 수 있습니다.
- 감사파일을 모니터링하고(커널에 파일의 inode를 모니터링하도록 지시하기 위해) 모든 읽기 이벤트를
/var/log/audit/audit.log - 와즈(또는 ossec)을 사용하여 파일을 모니터링
audit.log하고 적절한 경우 이메일 경고를 보냅니다.
전제조건
먼저 auditd를 설치합니다.
sudo apt-get install auditd
다음,wazuh 설치. 이전에 이 작업을 수행한 적이 없고 서버가 하나뿐이라면 아마도 다음을 원할 것입니다."올인원" 설치.
sudo apt-get install wazuh-manager
감사 구성
파일을 모니터링하려면 읽기 액세스( )에 대해 파일을 /etc/ssl/private/super-secret.key감시( )하는 auditd 규칙을 추가 하고 나중에 비교할 수 있도록 이 규칙에 임의의 "키" 이름( )을 제공합니다 .-w-p r-k audit-wazuh-private-key-r
cat > /etc/audit/rules.d/watch_private_keys.rules <<'EOF'
# monitor reads of our private keys for wazuh
-w /etc/ssl/private/super-secret.key -p r -k audit-wazuh-private-key-r
EOF
규칙을 적용하려면 auditd를 다시 시작하세요.
systemctl restart auditd
auditctl -l
wazuh 구성
/var/ossec/etc/ossec.conf감사 로그 파일 모니터링을 활성화하려면 wazuh 기본 구성 파일( )에 다음 줄을 추가하세요.
<localfile>
<location>/var/log/audit/audit.log</location>
<log_format>audit</log_format>
</localfile>
wazuh가 모니터링하는 감사 키 목록에 위 규칙의 "키" 이름을 추가하세요.
grep 'audit-wazuh-private-key-r:read' /var/ossec/etc/lists/audit-keys || echo 'audit-wazuh-private-key-r:read' >> /var/ossec/etc/lists/audit-keys
wazuh 로컬 규칙 파일( )에 다음 줄을 추가하여 /var/ossec/etc/rules/local_rules.xmlwazuh에게 이 이벤트가 레벨 12 = "매우 중요한 이벤트"이고 이메일 경고를 트리거해야 함을 알려줍니다.
<rule id="100002" level="12">
<if_sid>80700</if_sid>
<match>audit-wazuh-private-key-r</match>
<options>alert_by_email</options>
<description>Audit: Watch - Private Key Read</description>
</rule>
다시 시작하세요
systemctl restart wazuh
이제 파일 내용을 읽으려고 하면 /etc/ssl/private/super-secret.key이메일 알림이 전송됩니다.