File Linux Paling Penting untuk Dilindungi – Tuan Robot memiliki setidaknya satu hal yang benar dengan file “DAT” itu: File adalah akar dari semua keamanan di Linux. Meskipun pemantauan integritas file merupakan aspek keamanan Windows, ini sangat penting untuk keamanan Linux dan Unix. Mengapa?
File Linux Paling Penting untuk Dilindungi
art4linux – Windows menyembunyikan sebagian besar konfigurasinya di registri di balik Win32 API yang dikontrol dengan ketat. Namun di Linux, konfigurasinya jauh lebih terbuka dan tersedia untuk akses langsung. Selain itu, banyak sumber daya di Linux disajikan sebagai bagian dari sistem file. Dan tentu saja, program yang Anda jalankan baik di Windows maupun Linux adalah file dalam bentuk binary executable atau script.
Baca Juga : 10 Tool dan Software Pemantauan Linux Terbaik untuk Meningkatkan Kinerja Server
Memodifikasi atau mengganti file-file ini memungkinkan penyerang menanamkan instruksi jahat dan sewenang-wenang untuk dieksekusi tanpa disadari.
File paling penting untuk dilindungi di Linux
Jadi, pemantauan integritas file adalah salah satu hal pertama yang perlu Anda pastikan dilakukan dengan benar saat mengamankan Linux dan mendeteksi serangan. Berikut adalah daftar singkat file dan direktori konfigurasi utama di Linux yang disukai penyerang:
- Ada banyak tempat dalam proses startup Linux di mana Anda dapat menyisipkan perintah atau skrip jahat seperti di boot loader Anda (misalnya GRUB atau LILO), parameter Kernel di /proc/cmdline, daemon dan layanan di /etc/system.d , jalankan perintah di /etc/rc.* dan /etc/init.*.
- Tentu saja, orang jahat juga dapat menyiapkan skrip untuk dijalankan sebagai tugas cron. Tapi ada cara licik lain untuk membuat skrip berjalan setiap kali shell Anda dimulai. Misalnya, dengan Bash, Anda perlu menonton /etc/profile, ~/.bash_profile, ~/.bash_login, ~/.profile. /home/user/.bashrc, /etc/bash.bashrc, /etc/profile.d/.
- Penyerang dapat mengesampingkan DNS dan menyebabkan sistem Anda berkomunikasi dengan sistem penipu dengan mengotak-atik file seperti /etc/hosts dan /etc/resolv.conf.
- Perubahan pada /etc/passwd, /etc/shadow, /etc/group, /etc/gshadow semuanya sangat penting untuk dipantau karena di sinilah akun pengguna, grup, dan hash kata sandi disimpan. Terkait dengan itu adalah file di bawah /etc/pam.d tempat kata sandi dan kebijakan penguncian disimpan dan tempat penyerang canggih dapat memasang modul autentikasi pluggable palsu yang mencuri kata sandi.
Daftar file konfigurasi yang perlu dipantau terus berlanjut, tetapi penting juga untuk diingat bahwa risiko modifikasi file lebih dari sekadar file konfigurasi. Kode sebenarnya yang dijalankan Linux adalah file juga – biasanya disebut binari. Jika Anda dapat mengubah kode sistem operasi, Anda dapat membuat OS melakukan apa pun yang Anda inginkan. Sebagian besar binari inti ditemukan di /bin dan /sbin dengan lebih banyak program periferal di /usr/bin dan /usr/local/bin.
Beberapa serangan berbasis file tidak mengharuskan Anda untuk mengubah konten file yang sebenarnya tetapi hanya atributnya sehingga pemantauan integritas file juga tentang mendeteksi perubahan atribut dan izin seperti dengan chattr dan chmod.
Mengapa pemantauan integritas file sangat penting untuk keamanan Linux
Pemantauan integritas file merupakan bagian integral dari keamanan Linux. Tapi FIM biasanya hanya memberi tahu Anda bahwa file berubah, bukan apa yang berubah di file atau siapa yang melakukannya. Di situlah manajemen akses istimewa masuk – terutama log sudo-io yang dapat Anda tonton dengan sudoreplay. FIM menjadi pemicu untuk menyelidiki file yang diubah dan log sesi membantu Anda menentukan siapa, apa, dan bagaimana.
PowerBroker untuk Unix & Linux BeyondTrust menggabungkan FIM dan Manajemen Akun Privileged menjadi satu solusi yang memudahkan untuk tetap mengontrol apa yang terjadi pada sistem Anda.