Назад | Перейти на главную страницу

Linux: обнаружение / предотвращение модификации системы или использование однопользовательского режима

Работает с решением для резервного копирования и может потребовать некоторой помощи в безопасности. См. Ниже.

Процесс

Для нашего редакционного бизнеса у нас есть внешний сервер резервного копирования, который мы обновляем каждую ночь с помощью rsync через SSH. Скрипт резервного копирования:

Эта проблема

В настоящее время весь процесс передачи данных зашифрован, а сами диски зашифрованы (кроме самой системы) с паролем для LUKS, отправленным через удаленный сервер. Это в основном безопасно, но теоретически злоумышленник на удаленном сайте может проникнуть в систему и отслеживать трафик, например:

Есть ли способ преодолеть это или обнаружить эти типы атак на месте, не переписывая все для шифрования перед отправкой на удаленный сервер (что сделало бы наш процесс намного более интенсивным для диска и / или полосы пропускания, мы говорим о многих ТБ данных).

Спасибо.

Теоретически, если на вашем компьютере есть микросхема TPM, вы можете использовать ее для надежной загрузки (т. Е. Хранить некоторые ключи в микросхеме TPM, которые могут быть загружены только в том случае, если цепочка от MBR до любого места, где вы хотите, не изменилась). Затем ключ можно использовать для шифрования некоторого локального раздела, содержащего информацию, например, ключи SSH, так что в случае сбоя доверенной загрузки сервер SSH больше не сможет встать (или все программное обеспечение на стороне сервера, включая /etc/shadow и т.д.)

Но на практике это большая работа по настройке (загрузчик TrustedGRUB, настраиваемое ядро, решение, какие файлы «измерять»), это делает обновление вашей системы проблемой (очевидно, что для TPM обновление вашего программного обеспечения неотличимо от атаки Evil Maid), и это также означает, что вы больше не сможете самостоятельно загружаться в однопользовательском режиме (или с живого DVD) без сбоя доверенной загрузки (если у вас нет ключей, хранящихся где-то за пределами сайта в качестве резервного и не забудьте снова поместить их в TPM, как только вы активируете свои собственные ловушки :)

Вот некоторые мысли, дайте мне знать, возможно ли это.

Физический доступ

Предполагая, что вы используете серверы, близкие к корпоративным то есть HP, Dell тогда вы можете получить карту удаленного управления для сервера, которая позволяет осуществлять внеполосный мониторинг. Вы можете настроить оповещения, чтобы знать, когда:

The machine is powered on.
The anti-tamper switches on the enclosure are tripped.
When there is a pending or active hardware problem.

В вашем случае вы хотели бы знать, когда сервер выходит в сеть, хотя вы этого не ожидали. Если карта удаленного управления становится недоступной или если сервер включается, когда вы этого не ожидали, вы должны быть предупреждены. то есть nagios или собственные скрипты.

У вас также могут быть камеры видеонаблюдения, которые будут отправлять видео или фотографии любого, кто подходит к оборудованию или входит в комнату.

Целостность файлов

Вы можете использовать такие инструменты, как AIDE, Tripwire, Samhain, OSSEC, чтобы создать базу данных целостности файлов на удаленном конце, затем скопировать ее обратно на свой сервер (возможно, в папку с указанием даты), затем сравнить базы данных в вашей локальной копии и удаленная копия. Вы должны написать правила, которые отключают ваш rsync, если выполняются определенные файлы или условия. Вам нужно будет выбрать логику, которая соответствует потребностям вашей организации, после чего человек будет предупрежден и должен вмешаться. OSSEC также может создавать различия файлов в указанных вами каталогах.

Rsync, используемый в режиме --dry-run, может даже использоваться в вашем скрипте, чтобы определить, требуется ли вмешательство человека. чтобы вы могли сравнить свои локальные и удаленные файлы, чтобы увидеть, что изменилось