apt-getのアップグレードまたはインストール後に変更されたファイルのリストを受け取りますか？

Question

AIDEやTripwireなどのツールはあまり役に立ちません。あまり賢くない攻撃だけが検出されるからです。攻撃者が root 権限を取得できる場合は、システムバイナリを変更する必要がなくなるか、カーネルに感染して監視システムのデータを偽造する可能性があります。 Tripwireは、攻撃者が痕跡をクリアする時間がある直前に変更を報告するので、役に立ちます。これを行うには、依然として信頼できる外部システムにログをすぐに送信する必要があります。

つまり、実行中にどの権限が変更されたかを知りたい場合は、apt-getシステムコールを追跡できます。アップグレード中に（再）起動されたデーモンを追跡できるため、実行後に追跡を中止します。

strace -o apt.strace -e openat,write sh -c '
  apt-get "$@"
  kill $PPID
' apt-get-wrapper upgrade

ご利用いただくとさらに安くなります。審査しかし、問題はAPTの実行による変更をフィルタリングする方法です。別の監査UIDを使用して実行すると、これを行うことができると思いますapt-get。これはCラッパーを使用すると簡単です。残りの問題は、対応する監査UIDで再起動されたデーモンを実行しないことです。回避策はありません。

Answer 1

AIDEやTripwireなどのツールはあまり役に立ちません。あまり賢くない攻撃だけが検出されるからです。攻撃者が root 権限を取得できる場合は、システムバイナリを変更する必要がなくなるか、カーネルに感染して監視システムのデータを偽造する可能性があります。 Tripwireは、攻撃者が痕跡をクリアする時間がある直前に変更を報告するので、役に立ちます。これを行うには、依然として信頼できる外部システムにログをすぐに送信する必要があります。

つまり、実行中にどの権限が変更されたかを知りたい場合は、apt-getシステムコールを追跡できます。アップグレード中に（再）起動されたデーモンを追跡できるため、実行後に追跡を中止します。

strace -o apt.strace -e openat,write sh -c '
  apt-get "$@"
  kill $PPID
' apt-get-wrapper upgrade

ご利用いただくとさらに安くなります。審査しかし、問題はAPTの実行による変更をフィルタリングする方法です。別の監査UIDを使用して実行すると、これを行うことができると思いますapt-get。これはCラッパーを使用すると簡単です。残りの問題は、対応する監査UIDで再起動されたデーモンを実行しないことです。回避策はありません。

apt-getのアップグレードまたはインストール後に変更されたファイルのリストを受け取りますか？

ベストアンサー1

おすすめ記事