Đặt toàn bộ máy chủ linux dưới sự kiểm soát nguồn (git)

Tôi đang suy nghĩ về việc đặt toàn bộ máy chủ linux của mình dưới sự kiểm soát phiên bản bằng git. Lý do đằng sau đó là cách dễ nhất để phát hiện các sửa đổi / rootkit độc hại. Tất cả những gì tôi nghĩ ngây thơ là cần thiết để kiểm tra tính toàn vẹn của hệ thống: Gắn kết phân vùng linux mỗi tuần bằng cách sử dụng hệ thống cứu hộ, kiểm tra xem kho git vẫn chưa được xử lý và sau đó đưa ra trạng thái git để phát hiện bất kỳ thay đổi nào được thực hiện cho hệ thống .

Ngoài sự lãng phí rõ ràng trong không gian đĩa, còn có tác dụng phụ tiêu cực nào khác không?

Đó có phải là một ý tưởng hoàn toàn điên rồ?

Đây có phải là một cách an toàn để kiểm tra rootkit vì rất có thể tôi sẽ phải loại trừ ít nhất / dev và / Proc?

Đó là một "Ý tưởng tồi" (tm). Ngoài ra, kho lưu trữ của bạn sẽ chạy chậm vì tất cả đều tệ, và trở nên tồi tệ hơn khi mọi sửa đổi được lưu giữ.

Hãy thử quản lý tập trung, như con rối / cengine / đầu bếp. Điều đó sẽ giữ mọi thứ như bạn mong đợi và hoàn nguyên những thay đổi bất ngờ.

Kết hợp điều đó với một cái gì đó như iwatch để nhận email về các thay đổi tệp trái phép.

Kết hợp thêm với các tập tin vòng / phút nếu cần để triển khai các ứng dụng tùy chỉnh.

Ném vào một cái gì đó như rkhunter hoặc chkrootkit ngay bây giờ và sau đó cho đá và bạn nên đi.

Công việc hoàn thành.

Một cách khác là thiết lập tripwire , đây là phần mềm GPL lướt qua tất cả các tệp quan trọng trên hệ thống của bạn và xác định những thay đổi theo cách bạn đã xác định là không thể chấp nhận được. Thay đổi có thể được định nghĩa đơn giản là mtime, thông qua số inode, tất cả các cách để kiểm tra tổng thể mã hóa mạnh.

Phải mất một số thiết lập và điều chỉnh nếu bạn không muốn nhận được nhiều báo cáo mỗi đêm về các tệp đã thay đổi trong /var/run , thay đổi trong tệp máy khách DHCP /etcvà tương tự, nhưng nếu bạn gặp rắc rối đó, thì đó có thể là thực sự rất hữu ích

Cơ sở dữ liệu thuộc tính tệp được ký bằng khóa mà máy không biết, điều này giúp bạn tự tin rằng không có công cụ nào thay đổi độc hại cơ sở dữ liệu hoặc các nhị phân tripwire. Để chắc chắn hoàn toàn, bạn có thể ghi một bản sao của các công cụ và cơ sở dữ liệu tripwire vào phương tiện chỉ đọc, có thể được gắn trên máy chủ và được sử dụng để xác minh tất cả các thay đổi kể từ khi đĩa được ghi, nếu cần phân tích pháp y hoàn chỉnh.

Nếu bạn sẽ làm điều này, điều quan trọng là phải thiết lập và chạy bộ ba dây trước khi máy được triển khai, hoặc bạn không bao giờ có thể hoàn toàn chắc chắn rằng một số người dùng độc hại không có cơ hội lây nhiễm máy trước đó đã vấp ngã.

Tôi không nghĩ rằng điều này có thể hoạt động, nhưng như một thử nghiệm tôi muốn xem điều gì sẽ xảy ra nếu bạn làm điều này chỉ với thư mục / etc. Đó là nơi lưu giữ hầu hết các thông tin cấu hình.

@Sirex đã cung cấp một câu trả lời rất tốt rồi, nhưng nếu bạn muốn tiến thêm một bước với bảo mật, cách tốt nhất để đối phó với nó là phòng ngừa trước tiên sau đó phát hiện.

Hãy thử thiết lập một hệ thống với / hệ thống tập tin được gắn ở chế độ chỉ đọc. Tạo / tmp một ramfs riêng được gắn với tùy chọn noexec, gật đầu. Để hệ thống hoạt động, bạn thực sự chỉ cần / var để được gắn đọc-ghi. Vì vậy, / Đồng thời sử dụng bản vá bảo mật cho kernel của bạn để hạn chế hơn nữa quyền truy cập vào tài nguyên của người dùng, ví dụ thử grsec. Sử dụng tường lửa với các quy tắc hạn chế nhất có thể.

Một số bản phân phối cung cấp tài liệu mở rộng về việc làm cứng hệ thống. Ví dụ:

• Bảo vệ Hướng dẫn sử dụng Debian
• Cố định Debian Wiki

Tôi nghĩ rằng đó là một ý tưởng tốt để phân tích những thay đổi mà một công cụ thực hiện trong hệ thống của bạn:

1. cài đặt Linux trần trong máy ảo
2. khởi tạo git gốc
3. cài đặt công cụ bạn muốn phân tích
4. xem tất cả các thay đổi cuộn được thực hiện trong hệ thống của bạn

... Xóa VM

Bạn sẽ phải thêm rất nhiều thư mục vào .gitignore tập tin mặc dù như Proc, v.v.

Đối với các tình huống mà bạn chỉ muốn giữ các thư mục nhất định trên toàn bộ hệ thống tệp dưới sự kiểm soát phiên bản, cách tiếp cận sau có thể hoạt động:

Đầu tiên, tạo một kho lưu trữ Git ở /cấp độ:

$ cd /
# git init

Sau đó, tạo một /.gitignoredanh sách trắng chỉ một số thư mục nhất định, ví dụ như chỉ danh sách trắng /path/to/versioned/config/folder/(dựa trên /programming//a/11018557/320594 ):

/*
!/path/
/path/*
!/path/to/
/path/to/*
!/path/to/versioned/
/path/to/versioned/*
!/path/to/versioned/config/
/path/to/versioned/config/*
!/path/to/versioned/config/folder/
!/.gitignore

Sau đó tạo một cam kết đầu tiên:

# git add -A
# git commit -m "Initial commit"

Và sau đó thêm các thư mục bổ sung mà bạn muốn dưới sự kiểm soát phiên bản theo yêu cầu.

Tái bút

Ngoài phương pháp trước, nếu bạn cần giữ / etc / dưới kiểm soát phiên bản, bạn có thể thích sử dụng etckeeper( https://etckeeper.branchable.com/ ) để tạo phiên bản thư mục cụ thể đó vì nó chuyên dụng hơn cho mục đích đó ( ví dụ, nó tự động cam kết sau khi cài đặt các gói).