Linux:檢測/阻止系統修改或使用單使用者模式
通過備份解決方案工作,並且可以使用一些安全幫助。請看下文。
過程
對於我們的編輯業務,我們有一個異地備份伺服器,我們每晚使用 rsync over SSH 進行更新。備份腳本:
- 喚醒遠端機器
- 掛載加密卷
- 與備份電腦上的單個 LUKS 加密磁碟相比,分析本地 RAID 陣列上的文件
- 將它們拆分以適應那些備份驅動器,並儘可能少地傳輸數據
- 同步的
- 解除安裝加密卷
- 進行 SMART 測試以解決問題
- 使遠端機器進入睡眠狀態
問題
就目前的流程而言,所有數據傳輸都是加密的,並且驅動器本身(除了系統本身)使用通過遠端伺服器發送的 LUKS 密碼進行加密。這主要是安全的,但理論上遠端站點的惡意工作人員可以闖入系統並通過以下方式監控流量:
- 引導至單使用者模式
- 更改根密碼
- 正常開機
- 以 root 身份登錄
- 改回密碼文件,隱藏痕跡
- 當腳本遠端進入並安裝驅動器時,監視所有正在進行的操作、文件名、訪問文件系統
有沒有辦法克服這個問題,或者檢測這些類型的現場攻擊,而不需要在發送到遠端伺服器之前重寫所有要加密的東西(這會使我們的過程更加磁碟和/或頻寬密集,我們說的是很多 TB數據的)。
謝謝。
這裡有一些想法,讓我知道這是否可行。
物理訪問
假設您使用的是近乎企業級的伺服器,例如*HP、Dell,*那麼您可以獲得伺服器的遠端管理卡,允許帶外監控。您可以設置警報,以便知道何時:
The machine is powered on. The anti-tamper switches on the enclosure are tripped. When there is a pending or active hardware problem.
在您的情況下,您會想知道伺服器何時上線,而您卻沒想到它會上線。如果遠端管理卡無法訪問,或者伺服器在您未預料到的情況下打開了電源,那麼您應該收到警報。即nagios 或內部腳本。
您還可以擁有影片監控攝像頭,該攝像頭將發送任何接近硬體或進入房間的人的影片或圖片。
文件完整性
您可以使用 AIDE、Tripwire、Samhain、OSSEC 等工具在遠端端創建文件完整性數據庫,然後將其複制回您的伺服器(可能在以日期命名的文件夾中),然後比較本地副本上的數據庫和遠端複製。如果滿足某些文件或條件,則由您編寫禁用 rsync 的規則。您必須決定適合您組織需求的邏輯,此時會提醒人員並要求進行干預。OSSEC 還可以在您指定的目錄中創建文件差異。
–dry-run 模式中使用的 Rsync 甚至可以在您的腳本中使用,以確定是否需要人工干預。 所以你可以比較你的本地和遠端文件,看看有什麼變化