Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Linux Audit per proteggersi dalle minacce interne

Link copiato negli appunti

Solitamente quando si parla di minacce per la sicurezza di una rete, la prima preoccupazione del buon sistemista è quella di prevenire che l´attaccante possa entrare erigendo barriere più o meno alte e muri più o meno infuocati.

Ma cosa succede se la minaccia è già dentro la rete? Soprattutto le aziende con molti computer e molti punti rete, hanno scoperto a proprie spese che molte minacce vengono proprio dall´interno, soprattutto a causa di utenti con privilegi molto alti e distrazione altrettanto elevata (basti pensare ai computer lasciati incustoditi durante la pausa caffè).

Addirittura un´indagine della FBI ha rilevato che circa la metà delle intrusioni partono direttamente dall´interno.

Proprio per correre in soccorso di situazioni simili è nato il Linux Audit Daemon, un modulo per il kernel Linux in grado di tenere sottocchio i movimenti degli utenti, soprattutto quelli con maggiori autorizzazioni, e generare un allarme in caso di comportamenti sospetti.

Il demone può controllare vari aspetti del sistema, in primis eventuali violazioni alle politiche SELinux (Linux Audit è sviluppato in casa RedHat).

Si tratta di uno strumento passivo che non va a rinforzare le difese, ma si limita a monitorare quello che accade, interagendo con gli Intrusion Detection System. Ad esempio OSSEC, un IDS di cui abbiamo già parlato, può usare il Linux Audit per migliorare la capacità di rilevamento di eventuali intrusioni.

Inoltre, essendo strettamente integrato nel kernel, Linux Audit è praticamente immune ad eventuali rootkit che venissero installati sulla macchina controllata. Per tutti i bravi sistemisti è doveroso un approfondimento.

Ti consigliamo anche