作者:洪小叶
内核测试
内核测试需要占用更多的系统资源。一旦启动该功能,屏幕上立即显示出了大量的信息,而此时我们甚至根本就没有碰键盘。可以选择监控以下几个调用:open、setuid、setgid、chown、link、mkdir、chroot和exit。我只尝试了很少的命令(比如创建一个目录等)。我必须要关闭“即时打开日志”功能,因为信息在屏幕上显示得太快,我根本无法看清楚。
内核日志记录了你确切的意图。所以如果你想知道在内核级上的一些细节或者你想监测某一应用程序在系统上的性能,它还是非常有用的。
实际应用
在Linux上,有很多可用的日志文件,但是相比较而言,使用SNARE可以比使用Syslog记录得更为详细。Syslog更多关注的是内核和进程(邮件、常驻程序、打印和认证),而SNARE则同时还关注连接、文件访问、文件修改。此外,在设置规则时,SNARE更加灵活。我们可以使用一般的表达式来创建过滤器,而这在syslog中是不允许的。
为了阻止黑客在入侵完以后修改日志文件,隐藏自己的行迹,我们可以建立一个安全的、中央式的日志服务器。对于这种配置,SNARE非常理想。在Audit Configuration屏幕上,只需点几下鼠标,即可完成设置。在此,可以选择本地日志、对网络上的主机日志或者二者都选,这主要取决于本地主机上的可用磁盘空间,以及在远程主机上的可用磁盘空间。
SNARE并不是一个典型的基于主机的IDS。事实上很多基于主机的IDS都会把对系统的一些关键文件的操作记录在数据库中。这样,如果怀疑存在问题时,你可以重新运行一下脚本来看一看运行脚本所带来的后果。而SNARE则着眼于实时地观测文件是否被修改,并且当某一事件发生时可以通过电子邮件通知系统管理员。在SNARE中,我们可以设置什么样的事件需要通知我们(主要是基于Critical-、Warning-、Priority-、Information-、Clear-不同级别产生的信息),以及每小时可以传输的最大的信息数。
此外,当有事故发生时,审查的日志文件可以为法院调查提供帮助。所以,建议把监控文件更名(注意如果重命名监控文件,那么就要重新配置启动文件,因为它会寻找auditd进程),也就是说不要使用audit。这样,入侵者就不会意识到审查监控程序的存在。事后,你就会有一份入侵者行为的很完整的记录。
审核以及司法上的需求是使用这种日志系统的另外一个重要原因。如果你需要C2级别的日志记录或者由于法律的原因需要保留日志的细节,SNARE都可以非常灵活地替你完成这些任务。
优点和缺点
应该说,SNARE的缺点并不是很多。首先,SNARE会占用一定的CPU和内存,并且当系统繁忙时,这种情况尤为严重。解决的办法是对你的audit.conf文件进行更细化的配置。其次,它只能在较新的内核中运行,所以如果你使用的是Red Hat 7.1以前的Linux版本,那么你将无法使用它。再次就是我发现它对系统的硬件配置要求比较高,所以在使用前你需要测试一下,看一看你的CPU是否有足够的能力来运行它。
对于那些疲惫不堪的系统管理员来说,它的优点是显而易见的。SNARE的安装和配置过程都非常的简单,并且一旦设置好audit.conf文件,并且编译和运行系统后,就可以把整个系统打包,然后在别的服务器上把文件放在相应的位置,就可以使用相同的配置了。还有最重要的一点,也是最大的优点:它是免费的。
SNARE是Intersect Alliance为Linux社区提供的一个非常不错的工具。它可配置性强、便于携带并且易于使用。SNARE不是像大多数基于主机的IDS系统那样,监控特定的端口并且关闭一些有威胁的连接。它是一个更全面的内核日志工具,虽然它要占用一些CPU、内存和磁盘资源,但是它在却在Linux上以非常简单的方式实现了审查的功能。