HIDS基本原理

熟悉HIDS的朋友應(yīng)該了解留特，服務(wù)器的shell監(jiān)控一般有兩種伏恐，一種依靠Linux的audit審計(jì)功能孩哑，比如Wazuh，一種是重編譯和替換bash二進(jìn)制文件翠桦，將shell上執(zhí)行的命令實(shí)時(shí)通過(guò)socket傳遞到服務(wù)端横蜒。

前一種方法優(yōu)點(diǎn)是記錄完整，缺點(diǎn)是會(huì)產(chǎn)生大量的日志销凑，以及audit.rules配置失誤的話導(dǎo)致服務(wù)器宕機(jī)丛晌。

后一種方式雖然日志簡(jiǎn)潔，但如果通過(guò)命令遠(yuǎn)程執(zhí)行漏洞不走服務(wù)器的shell則捕獲不到操作斗幼。在此我主要介紹Wazuh所使用的audit監(jiān)控澎蛛。

audit的原理淺顯來(lái)說(shuō)，linux 用于用戶空間與內(nèi)核空間的中間層叫做syscall蜕窿，是連接用戶態(tài)和內(nèi)核態(tài)的橋梁瓶竭，當(dāng)用戶訪問(wèn)硬件設(shè)備，比如申請(qǐng)系統(tǒng)資源渠羞、操作設(shè)備讀寫、創(chuàng)建新進(jìn)程時(shí)智哀，用戶空間發(fā)起請(qǐng)求次询，內(nèi)核空間負(fù)責(zé)執(zhí)行，syscall提供一套標(biāo)準(zhǔn)接口實(shí)現(xiàn)瓷叫。

當(dāng)用戶空間向內(nèi)核空間發(fā)出syscall時(shí)屯吊，會(huì)產(chǎn)生軟中斷，讓程序由用戶態(tài)進(jìn)入內(nèi)核態(tài)進(jìn)而執(zhí)行相應(yīng)的操作摹菠，每個(gè)syscall都有唯一的系統(tǒng)調(diào)用號(hào)對(duì)應(yīng)盒卸。

這樣做的好處是內(nèi)核空間是在受保護(hù)的地址空間中，用戶空間程序無(wú)法直接執(zhí)行內(nèi)核代碼次氨，也無(wú)法訪問(wèn)內(nèi)核數(shù)據(jù)蔽介。

網(wǎng)上舉例了kill()函數(shù)的執(zhí)行流程：

kill()?->?kill.S?->?swi陷入內(nèi)核態(tài)?->?從sys_call_table查看到sys_kill?->?ret_fast_syscall?->?回到用戶態(tài)執(zhí)行kill()下一行代碼。

參考syscall list：http://man7.org/linux/man-pages/man2/syscalls.2.html

audit框架如下：

Linux 監(jiān)控框架：

除了Wazuh煮寡，開(kāi)源Agent方案還有AuditBeat虹蓄、OSQuery、NxLog等等幸撕，可以根據(jù)規(guī)模和平臺(tái)的大小進(jìn)行選擇薇组，各種入侵檢測(cè)方案。

audit開(kāi)啟風(fēng)險(xiǎn)

規(guī)則配置建議

部署完wazuh-agent后坐儿，需要通過(guò)auditctl配置一些監(jiān)控規(guī)則律胀，auditctl官方文檔中介紹宋光，過(guò)多的規(guī)則將導(dǎo)致性能下降，建議合并規(guī)則炭菌，比如：

auditctl?-a?exit,always?-S?open?-F?success=0

auditctl?-a?exit,always?-S?truncate?-F?success=0

可以合并為一條規(guī)則：

auditctl?-a?exit,always?-S?open?-S?truncate?-F?success=0

此外罪佳，善用文件系統(tǒng)審核，比如如果只關(guān)注/etc中的文件娃兽，而不關(guān)心/usr或者/sbin菇民，可以寫作：

auditctl?-a?exit,always?-S?open?-S?truncate?-F?dir=/etc?-F?success=0

audit規(guī)則文件注意事項(xiàng)

audit規(guī)則文件默認(rèn)路徑為/etc/audit/audit.rules，非常需要注意的參數(shù)：

-e?[0..2]? ? 當(dāng)參數(shù)為0時(shí)投储，暫時(shí)禁用審核第练；為1時(shí)，啟用審核玛荞；為2時(shí)娇掏，不符合審核配置的操作將被拒絕

Set?enabled?flag.?When?0?is?passed,?this?can?be?used?to?temporarily?disable?auditing.?When?1?is?passed?as?an?argument,?it?will?enable?auditing.?To?lock?the?audit?configuration?so?that?it?can't?be?changed,?pass?a?2?as?the?argument.?Locking?the?configuration?is?intended?to?be?the?last?command?in?audit.rules?for?anyone?wishing?this?feature?to?be?active.?Any?attempt?to?change?the?configuration?in?this?mode?will?be?audited?and?denied.?The?configuration?can?only?be?changed?by?rebooting?the?machine.

-f?[0..2]? ?當(dāng)參數(shù)為0時(shí)，內(nèi)核出現(xiàn)的嚴(yán)重錯(cuò)誤會(huì)被忽略勋眯；為1時(shí)婴梧，當(dāng)緩沖區(qū)耗盡或發(fā)生越界訪問(wèn)時(shí)會(huì)在/var/log/audit/audit.log日志中報(bào)錯(cuò)；為2時(shí)客蹋，到用戶控件的audit守護(hù)進(jìn)程傳輸錯(cuò)誤塞蹭、backlog超出限制、內(nèi)存不足以及超出速率限制都會(huì)導(dǎo)致auditd使主機(jī)panic來(lái)阻止進(jìn)一步的操作讶坯。

Set?failure?flag?0=silent?1=printk?2=panic.?This?option?lets?you?determine?how?you?want?the?kernel?to?handle?critical?errors.?Example?conditions?where?this?flag?is?consulted?includes:?transmission?errors?to?userspace?audit?daemon,?backlog?limit?exceeded,?out?of?kernel?memory,?and?rate?limit?exceeded.?The?default?value?is?1.?Secure?environments?will?probably?want?to?set?this?to?2.

-p?[r|w|x|a] 文件系統(tǒng)監(jiān)控將觸發(fā)的權(quán)限訪問(wèn)類型番电，r =讀取，w =寫入辆琅，x =執(zhí)行漱办，a =屬性更改，讀和寫默認(rèn)是syscall中省略的婉烟，會(huì)導(dǎo)致產(chǎn)生過(guò)多日志

Describe?the?permission?access?type?that?a?file?system?watch?will?trigger?on.?r=read,?w=write,?x=execute,?a=attribute?change.?These?permissions?are?not?the?standard?file?permissions,?but?rather?the?kind?of?syscall?that?would?do?this?kind?of?thing.?The?read?&?write?syscalls?are?omitted?from?this?set?since?they?would?overwhelm?the?logs.?But?rather?for?reads?or?writes,?the?open?flags?are?looked?at?to?see?what?permission?was?requested.

已知問(wèn)題如下：

1娩井、默認(rèn)audit.rules中，默認(rèn)緩沖區(qū)buffer的大小為-b?320似袁，有可能導(dǎo)致緩沖瓶頸洞辣，官方建議是將這個(gè)值翻倍也就是設(shè)置為640，視具體測(cè)試情況而定叔营，當(dāng)發(fā)生時(shí)日志報(bào)錯(cuò)為：audit:?backlog?limit?exceeded

2屋彪、當(dāng)-f 的參數(shù)設(shè)置為2時(shí)，由于錯(cuò)誤日志超出限制绒尊，audit使主機(jī)通過(guò)重啟的方式來(lái)應(yīng)對(duì)畜挥，造成嚴(yán)重事故

在我司環(huán)境中，由于只存在Linux 64位系統(tǒng)婴谱，我只對(duì)execve進(jìn)程執(zhí)行syscall進(jìn)行監(jiān)控蟹但，因此只對(duì)服務(wù)器配置一條規(guī)則：

auditctl -a exit,always -F arch=b64 -S execve -k audit-wazuh-c

并且在規(guī)則配置前躯泰，會(huì)強(qiáng)制檢查audit.conf（或者auditctl -s）檢查參數(shù)的配置，當(dāng)-e/enabled华糖、-f/failure 參數(shù)為2時(shí)麦向，則不允許auditctl規(guī)則的建立。

參考：

https://www.freebuf.com/articles/es/222976.html

https://linux.die.net/man/8/auditctl

https://linux.die.net/man/7/audit.rules

https://www.cnblogs.com/zl1991/p/6543634.html