CHƯƠNG 2 THIẾT KẾ VÀ XÂY DỰNG HỆ THỐNG
2.2 Cấu hình nguồn logs trên Windows và Linux
2.2.3 Cấu hình dịch vụ OSQuery
Dịch vụ OSQuery, được cài đặt trên các máy chủ Linux cho phép ghi bổ sung thêm một số logs cần thiết liên quan đến các lệnh được thực thi, các kết nối được khởi tạo, phục vụ cho việc giám sát an toàn cho máy chủ.
Theo mặc định, hầu hết các bản phân phối linux đều đã được cài đặt một số dịch vụ audit như auditd hoặc cài đặt thêm audit-beat, go-audit. Do vậy, cần vô hiệu hoá các dịch vụ audit trên để cho phép osquery có thể sử dụng tệp audit.rules trong audit framework thực hiện tương tác với kernel của hệ điều hành. Trong tệp audit.rules sẽ cấu hình một số tập luật sau cho phép bắt tất cả các lời gọi hệ thống và các kết nối mạng trên máy chủ.
-a always,exit -F arch=b32 -S execve -a always,exit -F arch=b64 -S execve -a always,exit -F arch=b32 -S bind -a always,exit -F arch=b64 -S bind -a always,exit -F arch=b32 -S connect -a always,exit -F arch=b64 -S connect
Tuy nhiên, với một số bản phân phối Linux có kernel thấp như CentOS6, SUSE12 cần loại bỏ luật audit cho các kiến trúc 32 bits. Để sinh một số logs cần thiết cho việc phát hiện một số hành vi nghi ngờ tấn công trên máy chủ Linux, em đề xuất xây dựng tệp fim.conf chứa cấu hình cho phép giám sát tính toàn vẹn của một số tệp tin và thư mục quan trọng trên hệ thống. Đồng thời, xây dựng tệp
osquery.conf chứa truy vấn đến một số bảng dữ liệu [Bảng 1.8] để sinh các bản ghi lưu trong tệp osqueryd.results.log.
Các truy vấn này có thể thực hiện trên một bảng dữ liệu, hoặc trên nhiều bảng dữ liệu khác nhau. Ví dụ, câu truy vấn sau cho phép lấy thông tin liên quan đến các tiến trình được thực thi từ 3 bảng dữ liệu. Trong đó, bảng process_events chứa thông tin về thời gian và các hành vi của tiến trình. Bảng hash chứa mã băm
59
của tiến trình được thực thi và bảng processes chứa thông tin về tất cả các tiến trình đang chạy trên hệ thống. Kết quả thu được thông tin về thời gian, mã id của tiến trình hiện tại (pid), đường dẫn của tệp thực thi (path), tham số của lệnh thực thi (cmdline), tài khoản thực thi lệnh (auid, guid), mã băm của tệp thực thi (sha1), cùng với đường dẫn (parent_path) và tham số (parent_cmdline) của tiến trình cha đã khởi tạo nó. Thời gian thực hiện truy vấn là sau 10s liên tiếp.
"processes": {
"query":"select p.pid, p.path, p.cmdline, p.cwd, p.mode, p.auid, p.egid, p.euid, p.gid, datetime(p.time, 'unixepoch') as time, pa.path as parent_path, pa.cmdline as parent_cmdline, hash.sha1 as sha1_path from process_events as p, hash, processes as pa where p.path = hash.path and pa.pid = p.parent;", "interval": 10,
"description": "process events collected from the audit framework" },
Theo mặc định, dịch vụ osquery chưa hỗ trợ cấu hình tự rotate (sắp xếp) lại các bản ghi trong logs. Thay vào đó, các bản ghi chứa kết quả của các truy vấn sẽ liên tục được ghi vào tệp logs, dẫn tới tệp này chiếm nhiều dung lượng bộ nhớ, có thể ảnh hưởng tới hoạt động của hệ thống máy chủ. Do vậy, ta có thể sử dụng
logrotate là một tiện ích được tích hợp sẵn trong hầu hết các bản phân phối linux cho phép sắp xếp lại các bản ghi khi tệp logs đầy. Trong luận văn này, em đề xuất thiết lập một số cấu hình trong tệp logrotate_osquery như bên dưới cho phép sắp xếp lại các bản ghi của dịch vụ osquery khi tệp logs bị đầy.
/var/log/osquery/*.log { weekly rotate 4 size 30M compress missingok }
Trong đó, các cấu hình được thiết lập có ý nghĩa sau:
-Cấu hình /var/log/osquery/*.log cho biết sẽ thực hiện sắp xếp lại tất cả các tệp logs trong thư mục /var/log/osquery.
-Giá trị rotate 4 cho phép giữ lại 4 tệp logs cũ sau khi đã sắp xếp lại.
-Thiết lập size 30M sẽ yêu cầu sắp xếp lại tệp này khi kích thước của nó lớn hơn 30MB
60 -Tuỳ chọn compress sẽ thực hiện nén các tệp logs cần sắp xếp, mặc định sử dụng gzip.
-Thiết lập missingok cho biết nếu tệp logs bị mất hoặc không tồn tại thì logrotate sẽ bỏ qua mà không xuất ra thông báo lỗi.