Bisakah Samhain memonitor file yang tidak ada, tetapi mungkin di masa depan?

8

Saya ingin Samhain memantau file, katakan misalnya /root/somefile,. File ini saat ini tidak ada, tetapi saya ingin diberi tahu jika itu dibuat kapan saja.

Saya menambahkan ini ke samhainrc:

[ReadOnly]
file = /root/somefile

Ini menyebabkan Samhain memancarkan entri log ini:

Oct 18 22:54:04 ip-172-31-24-115 Samhain[17123]: CRIT   :  [2018-10-18T22:54:04+0000] interface=<lstat>, msg=<No such file or directory>, userid=<0>, path=</root/somefile>
Oct 18 22:54:04 ip-172-31-24-115 Samhain[17123]: CRIT   :  [2018-10-18T22:54:04+0000] msg=<POLICY MISSING>, path=</root/somefile>
Oct 18 22:54:19 ip-172-31-24-115 Samhain[17157]: INFO   :  [2018-10-18T22:54:19+0000] msg=<Checking       [ReadOnly]>, path=</root/somefile>
Oct 18 22:54:19 ip-172-31-24-115 Samhain[17157]: NOTICE :  [2018-10-18T22:54:19+0000] msg=<Check failed>, path=</root/somefile>

Dan jika saya membuat file ini echo test > /root/somefile, maka saya tidak mendapatkan pelanggaran kebijakan apa pun yang dicatat - penambahan file ini tanpa disadari.

Bagaimana saya bisa mengkonfigurasi Samhain untuk memberi tahu saya jika file yang sebelumnya tidak ada minat dibuat?

The IgnoreMissingopsi konfigurasi akan muncul pada pandangan pertama untuk menjadi berguna, tetapi tidak. Dengan IgnoreMissing = /root/somefilein samhainrc, tidak ada perubahan perilaku. Tampaknya opsi ini ditujukan untuk file yang diharapkan hilang kemudian - ini menekan peringatan jika file dulu ada, tetapi sekarang tidak, misalnya jika proses otomatis menghapus file yang kedaluwarsa.

Meskipun /root/somefilejelas dibuat dalam kasus ini, contoh di mana file yang tidak ada tiba-tiba mulai ada adalah jika file /home/someuser/.ssh/authorized_keystersebut sebelumnya tidak ada tetapi kemudian tiba-tiba ada - ini bisa menjadi pengguna jahat yang mengeksploitasi sesuatu untuk menjatuhkan backdoor memungkinkan mereka untuk masuk sebagai pengguna shell. Ini adalah sesuatu yang saya ingin waspadai.

Dimungkinkan untuk digunakan dir = /home/someuser/.sshuntuk memantau semua perubahan dalam .sshfolder pengguna , tetapi ini tidak membantu: jika itu normal bagi pengguna untuk menggunakan SSH dalam akun mereka, .ssh/known_hostsfile mereka dapat berubah, mereka dapat mengubah mereka ssh_config, dll, dan saya tidak ingin disiagakan oleh mereka. Karena itu saya tidak ingin memantau seluruh direktori selain dari beberapa file yang masuk daftar putih; Saya ingin membiarkan direktori tidak dipantau selain dari file-file penting dan kritis.

linux  security  intrusion-detection 
Richard Downer
sumber
Anda mungkin mengatasinya dengan membuat file kosong. Dalam hal authorized_keysini akan berfungsi dengan baik.
Michael Hampton
@MichaelHampton memang, dan ini adalah solusi yang telah saya gunakan. Itu berarti saya perlu menjaga skrip pengaturan saya membuat file kosong disinkronkan dengan konfigurasi Samhain - kurang dari ideal tetapi tidak berfungsi.
Richard Downer

Jawaban:

0

Jika saya benar mengerti, Anda perlu memonitor semua file dalam dir, kecuali beberapa file atau subdirs:

Anda dapat mencoba selanjutnya:

[ReadOnly] 
    #
    dir=/home/someuser/.ssh 
    # 
    [Attributes] 
    # 
    # less restrictive policy for the directory file itself 
    # 
    file=/home/someuser/.ssh 
    # 
    [IgnoreAll] 
    # 
    # exclude these file and directories 
    #
    file=/home/someuser/.ssh/known_hosts
    #dir=-1/etc/calendar
    #

Informasi lebih lanjut https://www.la-samhna.de/samhain/manual/all-except.html

Ivan Gurzhiy
sumber
"Jika saya benar mengerti, Anda perlu memonitor semua file dalam dir, kecuali beberapa file atau subdirs" - ini tidak benar. Saya tidak ingin memonitor semua file. Saya ingin memantau satu file tertentu (atau sejumlah kecil file) dengan nama yang dikenal dan spesifik, dan mengabaikan yang lainnya. misalnya dalam direktori home pengguna, saya ingin memonitor .bashrc. Saya tidak ingin harus membuat daftar putih setiap file yang mungkin dibuat pengguna di direktori home mereka. Masalahnya adalah bahwa jika .bashrctidak ada sebelumnya, Samhain tidak akan memantaunya sama sekali, dan tidak akan mengingatkan saya jika itu dibuat nanti dengan konten yang bermusuhan.
Richard Downer
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.