Linux文件完整性监控
您可以为支持的Linux机器配置文件完整性监视。在配置该特性之前,请确保您的Linux操作系统满足系统对Insight Agent的要求。必威体育app登录FIM for Linux被验证在以下操作系统上运行:
- Ubuntu 18.04版本
- 雪橇版本12
- Red Hat Enterprise Linux 6,7
/bin目录不支持
Red Hat Enterprise 6和7上的Linux FIM不支持监控/bin目录下的文件。
其他操作系统和版本不能保证支持此特性。
Linux的FIM只监视创建,写,删除您的Linux机器上的活动。
为了让InsightIDR监控Linux机器上的特定文件路径,必须进行配置auditd兼容性模式略有修改。
为了配置Linux下的FIM,您必须:
配置审计兼容模式
在启动Linux的文件完整性监控之前,必须进行配置Linux资产的审计兼容性模式.没有它,您将无法配置文件完整性监视。
改变audit.rules
在更改此文件之前,请参阅所选Linux发行版的文档,了解如何将audit.rules文件。
最后audit.rules文件,您可以根据需要添加其他规则。您必须添加规则来记录活动允许目录路径.
例如,下面的示例格式列出了可以使用FIM监控Linux的目录和子目录:
1
-w /bin -p w
2
-w /etc/group
3.
-w /etc/passwd
4
-w /etc/sudoers
这些选项的定义如下:
- w—在指定的路径或文件中插入手表- p—描述此路径或文件监视的权限访问
权限选项有:
r=读w=写x=执行一个=属性更改(例如用户或用户组权限更改)
Linux的FIM将监视w(写)活动。Insidota2必威联赛ght平台将忽略所有其他权限访问(r|x|一个)类型。
如果您选择监视所有权限选项(- p rwxa),auditd输出文件(audit.log)将捕获所有可用的内核生成的事件。
示例配置
这是一个函数的例子audit.rules文件:
1
#该文件包含加载的auditctl规则
2
当审计守护进程通过初始化脚本启动时。
3.
#规则只是要传递的参数
4
# auditctl。
5
6
#第一条规则-删除所有
7
- d
8
9
#增加应对压力事件的缓冲。
10
对于繁忙的系统,这个值要大一些
11
- b 8192
12
13
#不阻塞以下事件
14
# USER_AUTH
15
# USER_START
16
# USER_END
17
#用户_
18
# USER_LOGOUT
19
# ADD_USER
20.
# DEL_USER
21
# ADD_GROUP
22
# DEL_GROUP
23
# SERVICE_START
24
# SERVICE_STOP
25
#系统调用
26
# EXECVE
27
28
# REQUIRED (for 必威体育app登录Insight Agent):观察执行系统调用,对于32位系统更改为arch=b32
29
-a always,exit -F arch=b64 -S execve
30.
31
可以在这一行下面添加其他规则。请参见auditctl手册页
32
# (for InsightIDR FIM):观察来自以下目录的写事件
33
-w /bin -p w
34
-w /etc/group
35
-w /etc/passwd
36
-w /etc/sudoers
Linux监测的建议
FIM的目的是仅跟踪和审计关键系统上的关键业务目录上的文件修改。
InsightIDR允许您监控Linux机器上的以下目录:
- / bin
- / boot
- /等
- / sbin
- 工作
- /usr/local/bin
- /usr/local/sbin
- /usr/sbin
- /usr/share/keyrings
- /var/spool/cron
您可以选择在比目录列表更细粒度的基础上进行监视(例如子目录)。
InsightIDR将“忽略”您配置用于监视的任何其他目录路径。但是,如果确定组织需要某些路径,则可以请求将它们添加到允许列表中。
要向allowlist添加扩展,联系Rapid7支持.