Linux文件完整性监控
您可以为支持的Linux机器配置文件完整性监视。在配置该特性之前,请确保您的Linux操作系统满足系统对Insight Agent的要求。必威体育app登录FIM for Linux被验证在以下操作系统上运行:
- Ubuntu 18.04版本
- 雪橇版本12
- Red Hat Enterprise Linux 6,7
/bin目录不支持
Red Hat Enterprise 6和7上的Linux FIM不支持监控/bin目录下的文件。
其他操作系统和版本不能保证支持此特性。
Linux的FIM只监视创建
,写
,删除
您的Linux机器上的活动。
为了让InsightIDR监控Linux机器上的特定文件路径,必须进行配置auditd
兼容性模式略有修改。
为了配置Linux下的FIM,您必须:
配置审计兼容模式
在启动Linux的文件完整性监控之前,必须进行配置Linux资产的审计兼容性模式.没有它,您将无法配置文件完整性监视。
改变audit.rules
在更改此文件之前,请参阅所选Linux发行版的文档,了解如何将audit.rules
文件。
最后audit.rules
文件,您可以根据需要添加其他规则。您必须添加规则来记录活动允许目录路径.
例如,下面的示例格式列出了可以使用FIM监控Linux的目录和子目录:
1-w /bin -p w2-w /etc/group3.-w /etc/passwd4-w /etc/sudoers
这些选项的定义如下:
- w
—在指定的路径或文件中插入手表- p
—描述此路径或文件监视的权限访问
权限选项有:
r
=读w
=写x
=执行一个
=属性更改(例如用户或用户组权限更改)
Linux的FIM将监视w
(写)活动。Insidota2必威联赛ght平台将忽略所有其他权限访问(r
|x
|一个
)类型。
如果您选择监视所有权限选项(- p rwxa
),auditd
输出文件(audit.log
)将捕获所有可用的内核生成的事件。
示例配置
这是一个函数的例子audit.rules
文件:
1#该文件包含加载的auditctl规则2当审计守护进程通过初始化脚本启动时。3.#规则只是要传递的参数4# auditctl。56#第一条规则-删除所有7- d89#增加应对压力事件的缓冲。10对于繁忙的系统,这个值要大一些11- b 81921213#不阻塞以下事件14# USER_AUTH15# USER_START16# USER_END17#用户_18# USER_LOGOUT19# ADD_USER20.# DEL_USER21# ADD_GROUP22# DEL_GROUP23# SERVICE_START24# SERVICE_STOP25#系统调用26# EXECVE2728# REQUIRED (for 必威体育app登录Insight Agent):观察执行系统调用,对于32位系统更改为arch=b3229-a always,exit -F arch=b64 -S execve30.31可以在这一行下面添加其他规则。请参见auditctl手册页32# (for InsightIDR FIM):观察来自以下目录的写事件33-w /bin -p w34-w /etc/group35-w /etc/passwd36-w /etc/sudoers
Linux监测的建议
FIM的目的是仅跟踪和审计关键系统上的关键业务目录上的文件修改。
InsightIDR允许您监控Linux机器上的以下目录:
- / bin
- / boot
- /等
- / sbin
- 工作
- /usr/local/bin
- /usr/local/sbin
- /usr/sbin
- /usr/share/keyrings
- /var/spool/cron
您可以选择在比目录列表更细粒度的基础上进行监视(例如子目录)。
InsightIDR将“忽略”您配置用于监视的任何其他目录路径。但是,如果确定组织需要某些路径,则可以请求将它们添加到允许列表中。
要向allowlist添加扩展,联系Rapid7支持.