作者:洪小葉 內核測試 內核測試需要占用更多的系統資源。一旦啟動該功能,屏幕上立即顯示出了大量的信息,而此時我們甚至根本就沒有碰鍵盤。可以選擇監控以下幾個調用:open、setuid、setgid、chown、link、mkdir、chroot和exit。我只嘗試了很少的命令(比如創建一個目錄等)。我必須要關閉“即時打開日志”功能,因為信息在屏幕上顯示得太快,我根本無法看清楚。 內核日志記錄了你確切的意圖。所以如果你想知道在內核級上的一些細節或者你想監測某一應用程序在系統上的性能,它還是非常有用的。 實際應用 在Linux上,有很多可用的日志文件,但是相比較而言,使用SNARE可以比使用Syslog記錄得更為詳細。Syslog更多關注的是內核和進程(郵件、常駐程序、打印和認證),而SNARE則同時還關注連接、文件訪問、文件修改。此外,在設置規則時,SNARE更加靈活。我們可以使用一般的表達式來創建過濾器,而這在syslog中是不允許的。 為了阻止黑客在入侵完以後修改日志文件,隱藏自己的行跡,我們可以建立一個安全的、中央式的日志服務器。對於這種配置,SNARE非常理想。在Audit Configuration屏幕上,只需點幾下鼠標,即可完成設置。在此,可以選擇本地日志、對網絡上的主機日志或者二者都選,這主要取決於本地主機上的可用磁盤空間,以及在遠程主機上的可用磁盤空間。 SNARE並不是一個典型的基於主機的IDS。事實上很多基於主機的IDS都會把對系統的一些關鍵文件的操作記錄在數據庫中。這樣,如果懷疑存在問題時,你可以重新運行一下腳本來看一看運行腳本所帶來的後果。而SNARE則著眼於實時地觀測文件是否被修改,並且當某一事件發生時可以通過電子郵件通知系統管理員。在SNARE中,我們可以設置什麼樣的事件需要通知我們(主要是基於Critical-、Warning-、Priority-、Information-、Clear-不同級別產生的信息),以及每小時可以傳輸的最大的信息數。 此外,當有事故發生時,審查的日志文件可以為法院調查提供幫助。所以,建議把監控文件更名(注意如果重命名監控文件,那麼就要重新配置啟動文件,因為它會尋找auditd進程),也就是說不要使用audit。這樣,入侵者就不會意識到審查監控程序的存在。事後,你就會有一份入侵者行為的很完整的記錄。 審核以及司法上的需求是使用這種日志系統的另外一個重要原因。如果你需要C2級別的日志記錄或者由於法律的原因需要保留日志的細節,SNARE都可以非常靈活地替你完成這些任務。 優點和缺點 應該說,SNARE的缺點並不是很多。首先,SNARE會占用一定的CPU和內存,並且當系統繁忙時,這種情況尤為嚴重。解決的辦法是對你的audit.conf文件進行更細化的配置。其次,它只能在較新的內核中運行,所以如果你使用的是Red Hat 7.1以前的Linux版本,那麼你將無法使用它。再次就是我發現它對系統的硬件配置要求比較高,所以在使用前你需要測試一下,看一看你的CPU是否有足夠的能力來運行它。 對於那些疲憊不堪的系統管理員來說,它的優點是顯而易見的。SNARE的安裝和配置過程都非常的簡單,並且一旦設置好audit.conf文件,並且編譯和運行系統後,就可以把整個系統打包,然後在別的服務器上把文件放在相應的位置,就可以使用相同的配置了。還有最重要的一點,也是最大的優點:它是免費的。 SNARE是Intersect Alliance為Linux社區提供的一個非常不錯的工具。它可配置性強、便於攜帶並且易於使用。SNARE不是像大多數基於主機的IDS系統那樣,監控特定的端口並且關閉一些有威脅的連接。它是一個更全面的內核日志工具,雖然它要占用一些CPU、內存和磁盤資源,但是它在卻在Linux上以非常簡單的方式實現了審查的功能。
