Mich kotzt das ein bisschen an, dass diese Bullshit Lösungen im Linux-Bereich immer mehr um sich greifen.
Immer mehr Leute, die noch nie Malware auseinander genommen haben bekommen grundliegende Sicherheitskonzepte nicht mal angewendet meinen sie könnten das mit irgend welchen Eigenbastellösungen wieder gerade ziehen. Das ist genau das was Windows in den 90ern dahin geführt hat wo es war.
Deswegen passiert gerade sowas hier:
https://www.heise.de/security/meldung/M ... 21393.html
Nicht auf die reihe bekommen regelmäßig Kernel Updates und Intel Patches einzuspielen aber jetzt wild auf Aktionismus gegen Nutzer mit SSH-Keys gehen und so tun als hätte man verstanden, was das passiert ist:
https://www.heise.de/news/Nach-Angriff- ... 70267.html
Jungs der ist root. Wenn der euren SSH manipuliert, dann nicht weil er das muss, sondern weil er es kann. Der braucht auf euren Systemen weder Keys noch Passwörter. Die nimmt der allenfalls mit weil er sie eventuell noch wo anders gebrauchen kann.
Wenn ihr nicht mal euer /usr und /etc ro bekommt und SELinux selbst unter RHEL zu aufwänig ist, dann braucht ihr mit sicherem logging nicht anfangen...
Ne ist nicht. Einfach Quatsch. Nutzt ausgetretene Wege, bevor ihr irgend welchen fancy scheiß erfindet. Das kosten nutzen Verhältnis ist einfach viel besser wenn es irgend wo einen Weg gäbe mit weniger Aufwand mehr zu erreichen hätten das schon andere vor euch gemacht. An Linux Security sind jetzt wirklich schon ein paar mehr Leute mit mehr Ahnung gesessen.
Wenn Malware den auditd killt dann mindestens sicher per signal() malwareentwickler können nämlich im Gegensatz zum standard-admin C. Und dann hat der auditd genau gar nie eine Chance das noch raus zu schreiben bevor er stirbt das ist nicht mal ne race-Condtion der Kernel regelt das explizit, dass signal schneller als das resceduling ist.
Alle ohne 100% Perfektionsanspruch Maßnahmen sind im Security Bereich einfach Quatsch. Wenn ihr selbst ohne Malwareschreiberfahrung auf Anhieb seht, wie man das umgeht, kannst du dich drauf verlassen, dass Metasploit und jeder andere Baukasten das seit mindestens 20 Jahren drin haben und jedes noch so doofe Scriptkiddie das umgeht ohne was davon zu wissen.
Das gilt insbesondere für euren sodo/su Bullshit da steht aus gutem Grund dran, dass diese log-user nur Informativ sind. Damit könnt ihr einen fahrlässigen Admin erwischen. Aber absolut jeder
bösartige Nutzer wird seine Aktionen irgend jemand zu schieben, der sich nach ihm einloggt (oder wenigstens einen 2. Login fälschen). Das macht ganz sicher jede Malware, die root-rechte bekommt. Wer root ist, kann auch Dateien ändern ohne inotify zu triggern. (Wobei das wohl weniger verbreitet ist.) Und der wird auch keine netzwerk-Sockets auf machen, die man irgend wo (netstat) sehen könnte sondern halt direkt selbst kommunizieren. Ganz sicher wird er aber den auditd entweder stumm schalten oder mit falschen Nachrichten füttern inklusive des Datums, dass er irgend wann in die Vergangenheit setzt und der der wird auch git fälschen können.
Ernsthaft: Lasst das. Entweder ihr macht es richtig, wie HZB oder ihr lasst es sein. Aber die Aktion hier klingt für mich wieder nach irgend welchem Zeug das gemacht wird, damit man auch irgend was getan hat und im besten Fall nicht schädlich ist. Aber garantiert wird das nicht den Aufwand wert sein der hier getrieben wird.
Aber dieser ganze Quatsch der von dem braven Admin ausgeht, der sich per ssh anmeldet, mit sudo root wird und dann dann mit der bash und vim arbeitet mag ganz nett für die Dokumentation sein. Die triggern schön eure Events wir ihr das wollt. Gegen Angreifer, die praktisch immer eigene Tools mitbringen, die eben gerade darauf getrimmt sind möglichst klein zu sein und eben keine Spuren zu hinterlassen und keine Events zu triggern ist das absolut sinnlos. Die kommen werden eventuell noch irgend wie Standardkonform root und dann sitzen die mit ihren Tools im RAM und laufen und hinterlassen eben keine Spuren mehr insbesondere werden die keine verdächtigen Systemcalls im eigenen Namen machen. Der macht kein execve sondern manipuliert sich selbst. Der läuft nicht im Hintergrund sondern attatched sich an irgend einen eh schon laufenden "harmlosen" Prozess...