Certains outils parfois très prisés des sysadmins se révèlent être aussi efficaces pour un usage en sécurité, que ce soit en offensif ou défensif. C’est le cas de sysdig, que nous allons utiliser dans le cadre de détection d’intrusion.
La détection et la prévention d’intrusion sont revenues à la mode avec les solutions EDR (End-point Detection and Response) des éditeurs, mais quand est-il des solutions libres ? Nous vous proposons de tenter de commencer à faire soi-même sa détection d’intrusion sur une machine GNU/Linux.
Pour cela, il nous faudrait un outil capable de décortiquer les actions menées au niveau du système d’exploitation. Un administrateur système pourrait penser à des logiciels en userland, mais il arrive parfois que ces outils soient limités en termes de détection. Alors que faire ? Écrire un nouveau wrapper ? Modifier la libc ? Et pourquoi ne pas réaliser cette surveillance au niveau du noyau lui-même ? Une idée moins saugrenue qu’il n’y paraît.
1. Surveiller oui, mais depuis le noyau
En surveillant depuis l’espace utilisateur, nous nous heurtons à des limitations. La première est que si le processus de surveillance est lancé avec un compte non...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première