KP
судо легче трейсится и можно ограничивать
Size: a a a
2021 January 07
GG
Ограничивать - это бред
GG
потому что множество фин учереждений крайне против запуска софта под рутом
Это да
GG
Это типа как ансамбль ограничить. У тебя все равно sudo python3 и приплыли
KP
аудит важнее ограничений
GG
Не судом надо ограничивать, а какой-нибудь х-ней, которая песочницу делает )
KP
судо удобно аудировать
GG
аудит важнее ограничений
Ну, увидишь ты там sudo salt-call И ЧТО?
GG
Опять же для аудита ставим falco и ловим деревья системных вызовов - они соврать не смогут
KP
если в этов ремя суток там не должно быть salt-call то звонок безопасникам и тд
KP
там другой мир
GG
С маппингом по процессам и по дереву вызова
GG
Опять же для аудита ставим falco и ловим деревья системных вызовов - они соврать не смогут
This
GG
И пускай отгрузки в siem смотрят
GG
если в этов ремя суток там не должно быть salt-call то звонок безопасникам и тд
А если должен быть, но он утопает в других таких же вызовах salt-call, что более вероятно ?
GG
@oloremo чего думаешь?
A
судо легче трейсится и можно ограничивать
Не легче. И ограничения не будут работать, т.к. они касаются того, какие команды вызывается через sudo. А после передачи управления вызванной команде полномочия sudo всё: ни аудита, ни ограничений.
A
если в этов ремя суток там не должно быть salt-call то звонок безопасникам и тд
Настройте себе уже auditd/auditbeat
GG
Alexander
Настройте себе уже auditd/auditbeat
+
KP
Alexander
Настройте себе уже auditd/auditbeat
настроили и он с судо как раз отлично работает