Linux: Detectando / impedindo a modificação do sistema ou uso do modo de usuário único

Navegue suas respostas
2

Trabalhando com uma solução de backup e pode usar alguma assistência de segurança. Por favor, veja abaixo.

O processo

Para o nosso negócio de edição, temos um servidor de backup externo que atualizamos todas as noites usando o rsync via SSH. O script de backup:

  • Acorda a máquina remota
  • Monta os volumes criptografados
  • Analisa os arquivos na matriz RAID local em comparação com os discos criptografados LUKS individuais na máquina de backup
  • Divide-os para caber nessas unidades de backup com o mínimo possível de transferência de dados
  • Rsync's
  • Desmonta os volumes criptografados
  • Realiza testes SMART para arredondar as coisas
  • Coloca a máquina remota para dormir

O problema

Como o processo está agora, toda transferência de dados é criptografada, e as próprias unidades são criptografadas (exceto o próprio sistema) com a senha para o LUKS enviada através do servidor remoto. Isso é mais seguro, mas, teoricamente, um funcionário mal-intencionado no site remoto pode invadir o sistema e monitorar o tráfego por meio de algo como:

  • Inicializando no modo de usuário único
  • Alterar senha do root
  • Inicialize normalmente
  • Fazer login como root
  • Altere o arquivo de senha e oculte os rastros
  • Monitore todas as ocorrências, nomes de arquivos, sistemas de arquivos de acesso quando o script faz o controle remoto e monta as unidades

Existe uma maneira de superar isso, ou detectar esses tipos de ataques no local, sem reescrever tudo para criptografar antes de enviar para o servidor remoto (o que tornaria nosso processo muito mais intensivo em disco e / ou largura de banda? falando muitos TBs de dados).

Obrigado.

    
por Fmstrat 11.08.2015 / 20:03

2 respostas

0

Aqui estão alguns pensamentos, deixe-me saber se isso é viável.

Acesso físico

Supondo que você esteja usando servidores near-enterprise , por exemplo. HP, Dell , você pode obter uma placa de gerenciamento remoto para o servidor que permite o monitoramento fora de banda. Você pode configurar alertas para saber quando: 

The machine is powered on.
The anti-tamper switches on the enclosure are tripped.
When there is a pending or active hardware problem.

No seu caso, você gostaria de saber quando o servidor ficar online quando você não esperava. Se a placa de gerenciamento remoto ficar inacessível ou se o servidor estiver ligado quando você não esperava, você deverá ser alertado. ou seja, nagios ou scripts internos.

Você também pode ter câmeras de vigilância por vídeo que enviarão vídeos ou fotos de alguém que esteja perto do hardware ou entrando na sala.

Integridade de arquivos

Você pode usar ferramentas como AIDE, Tripwire, Samhain, OSSEC para criar um banco de dados de integridade de arquivo no terminal remoto e copiá-lo de volta ao servidor (talvez em uma pasta nomeada por data) e comparar os bancos de dados cópia local e cópia remota. Cabe a você escrever regras que desativem seu rsync se determinados arquivos ou condições forem atendidos. Você teria que decidir a lógica que atende às necessidades de sua organização, quando um humano é alertado e obrigado a intervir. O OSSEC também pode criar diffs de arquivos em diretórios que você especifica.

O rsync usado no modo --dry-run pode até ser usado em seu script para determinar se a intervenção humana é necessária. para que você possa comparar seus arquivos locais e remotos para ver o que mudou

    
por 11.08.2015 / 20:29
1

Em teoria, se a sua máquina tiver um chip TPM, você poderá usá-lo para Inicialização Confiável (ou seja, armazenar algumas chaves no chip TPM que só podem ser carregadas se a cadeia do MBR até o local desejado permanecer inalterada). A chave pode então ser usada para criptografar alguma partição local que contém informações como as chaves SSH, de modo que se a inicialização confiável falhar, o servidor SSH não poderá mais se levantar (ou todo o software do lado do servidor, incluindo /etc/shadow etc. )

Mas, na prática, é muito trabalhoso configurar (TrustedGRUB bootloader, kernel customizado, decidir quais arquivos "medir"), torna a atualização do seu sistema um problema (obviamente, como para o TPM uma atualização do seu software é indistinguível de um ataque Maid Maid) e isso também significa que você não será capaz de inicializar no modo de usuário único (ou de um DVD ao vivo) sozinho sem fazer o boot confiável falhar (a menos que você tenha as chaves armazenadas em algum lugar) fora do local como um backup e não se esqueça de colocá-los novamente no TPM depois que você acionou suas próprias armadilhas:)

    
por 11.08.2015 / 20:51

Tags

Depois de tornar minha VM altamente disponível, recebo o erro “Não foi possível encontrar o switch Ethernet” ao tentar migrar ao vivo Como fazer a atualização automática de Java para pequenas organizações com usuários não administradores?