Linux súkromne i pracovne v2.0 (13. časť)

Sysdig/falco V predošlej časti seriálu sme nástroj Falco definovali ako behaviorálny monitor, ktorý pomocou vopred zadaných pravidiel deteguje podozrivé správanie sledovaných aktivít. Pokiaľ v prípade Sysdig hovoríme o sledovaní špecifických znakov (signatúr), pri ktorom je vyhodnocované neštandardné správanie každej aplikácie (každého procesu) samostatne, v prípade Falco hovoríme o porovnávaní udalostí so všeobecne platným súborom pravidiel. V prípade zhody nedochádza k aktívnej reakcii na neštandardné správanie aplikácií (vrátane tých bežiacich v kontajneroch), ale k relevantnému informovaniu používateľa. Falco na svoju činnosť nepotrebuje neustále aktualizovaný zoznam všetkých možných neštandardných stavov. Naopak, deteguje zvláštne správanie aktivít, resp. neštandardné systémové volania vo všeobecnej rovine. Výhodná vlastnosť nástroja Falco je už spomínaná podpora linuxových kontajnerov a flexibilných notifikačných metód. Architektúra sysdig/falco Falco hodnotí správanie vykonávaných aktivít na základe súboru pravidiel. Pri ich špecifikácii využívame flexibilitu výrazov nástroja Sysdig. Opakujúce sa časti reťazcov pravidiel dokážeme nahradiť makrami. Pravidlá ukladáme do súboru yaml, ktorého syntax je nasledujúca: Pravidlo   meno opis podmienka výstup priorita Identifikácia pravidla Bližší opis pravidla Filtrovací výraz (s možnosťou referencie na makro) Správa pre používateľa (môže obsahovať podrobné detaily o udalosti) Stupeň dôležitosti Makro   meno podmienka Identifikácia makra Úryvok filtrovacieho výrazu vkladaný do pravidiel Dôležitá súčasť každej podmienky (condition), resp. filtrovacieho výrazu (filtering expressions) je definícia typu pomocou klauzuly „evt.type=“. Špecifikácia výstupu pravidla (output) je určená na formátovanie tých detailov o zachytenej udalosti, ktoré majú byť zobrazené používateľovi. Upozornenie (podanie in ... Zobrazit Galériu