Watchdog 檢查作業系統正在執行中的程式是否非列表名單內 2024 05

輔助監控伺服器的潛在危機資訊安全層之"常駐程式"

     常駐程式僅Unix/Linux系統才有的功能

     "常駐程式"與"執行程式"的功能有些相同,下列比較兩者不同點
     執行程式:
         *.檢測特定的重要程式
         *.指定執行程式數量較少
         *.檢測執行程式有最低執行數量與最高執行數量之警報值
     常駐程式:
         *.檢測作業系統所有正面列表的執行程式,找出未列表的執行程式
         *.指定執行程式數量較多可達768支程式
         *.警報條件為不在指定的範圍內為非法執行,警報條件成立

     大部份的伺服器都已安裝資安防護的防毒軟體,Watchdog資訊維運系統也加強對主機安全做防護措失
     "常駐程式"的功能是其中一項

     "常駐程式"是伺服主機在資訊安全層的輔助監測功能之一
     維運系統對於伺服器是採全面監控,而不放過任何有可能造成主機營運異常的事件
     當上述情況發生時,Watchdog資訊維運系統即會發佈警報並且執行警報機制,務求達到整體妥善率的防護加強

     監控"常駐程式"的系統規格
       偵測目的: 檢查作業系統正在執行中的程式是否非列表名單內
       監測目標: 程式名稱
       警報條件: 執行中
       即時資訊: 正常/警報發佈
       資訊收集: 訊息,警報發佈/解除時間點
       緊急處置: 通報,執行預定程式
       警報臨界值: 執行中

     下圖為常駐程式的主要偵測畫面:

常駐程式,合法名單,執行之程式

     常駐程式功能,為了全面的管理好偵測目標中,屬於Unix與Linux系列作業系統下的常駐程式
     其偵測目的即為檢查作業系統正在執行中的程式是否為合法名單中可以執行之程式,若不是在名單內則視為非法執行
     即會發佈警報並且執行警報機制,最主要的目的就是整體資安防護的加強!!

     進入常駐程式功能的畫面,請如下圖點選伺服主機的偵測狀態,進入主偵測頁面後,點選常駐程式的圖形即可進入:

偵測名單的伺服主機

下圖為常駐程式功能的簡易使用說明,在偵測狀態內點選問號可以來到此畫面

常駐程式,主機資訊,虛擬主機,伺服資訊

     以下為使用說明之文字敘述與補充:

     常駐程式是使用正面列表的方式,將作業系統,應用系統,與使用者常用的命令建立在合法表單內
     當偵測系統查出執行程式未在列表中則視為異常非法

     建立合法表單有三類
        *.系統執行程式 - 伺服主機內建的執行程式
        *.建議名單 - 系統常用的命令
        *.使用者自定 - 應用系統
     建立合法表單
        *.先用"目前執行程式"取得目前伺服主機正在執行的程式做為基礎,存檔後即為
            "系統執行程式"的合法表單,但亦會複蓋目前的"目前執行程式"表單
        *.建立/修改/刪除三種合法表單內容

     開始偵測 - 勾選合法表單與啟用後按"確定"
        *.表單內容基本上是使用 'Full PATH',如: /bin/ls
        *.表單內容可使用前碼比對如:"/usr/bin/wdogc_"表示,偵測時只要前碼符合
            "/usr/bin/wdogc_"即為合法,但要勾選"比對"欄位
        *.勾選合法表單時是將勾選的表單內容合法化
        *."目前執行程式"當按下[確定]後系統會在120秒內取得資訊,若超過時間而未能取得資訊,則放棄

     本系統功能有提供短期的警報分析圖與長期的資料清單

上圖的警報分析圖可以看出[svrprg]這支程式4/25(一)的01點到06點45分有出現異常

下圖為選擇三月份的長期資料清單

系統管理,偵測功能,整體偵測,應用程式,程式當掉

在此畫面選擇要查看的月份

指令控制,重新開機,即時監控,即時監測,即時偵測

     上圖為三月份的長期資料清單

     在使用常駐程式功能請先需要了解的是,其模糊比對是僅比對程式前數個字碼之名稱
     例如:程式名稱"test_svrprg"的程式,在定義或偵測的程式名稱為"test",當設定好之後
     系統則會判定test_svrprg,test_stys或是test_abc等都是合法程式

     另外需注意以下兩點:
       *.使用者即時使用之程式名稱,例如:vi
       *.作業系統定是啟用之程式名稱

     依照上面的說明,簡單的說常駐程式功能的監測目標即為合法執行之程式名稱為正面列表
     有效的協助維運人員管理Unix/Linux的程式功能,並且24小時不中斷的監控,以避免發生資訊安全層的潛在危機等狀況

     在使用本功能需要注意考慮的重點有下列幾個特性:
       *.伺服器並非個人電腦
       *.任何非法程式基本上都是儲存於硬碟內的檔案,而要從根本檢查起
       *.任何一個不能執行的程式僅能稱為檔案,而檔案基本上是不會對系統有重大的影響
       *.不能執行的非法新增檔案或遭竄改的檔案則表示本台伺服器的系統安全己出現問題

     "常駐程式"的設定使用說明

     要設定"常駐程式:功能,請由偵測名單進入點選伺服主機的項目之後,選擇常駐程式的文字連結即可進入,如下圖:

偵測名單,伺服主機,常駐程式

點選之後即會進入到以下的主設定畫面:

     常駐程式功能是使用正面列表的方式,將作業系統,應用系統與使用者常用的命令建立在合法的表單內
     當偵測系統查出應該執行的程式未在列表中則視為異常非法

     合法表單有三類,如下:
       *.系統執行程式-伺服主機內建的執行程式(目前執行程式)

系統執行程式,伺服器負載,網頁回復,還原網頁,Unix伺服器,

如果點選目前執行程式,系統會自動去偵測目前有哪些程式正在執行,然後產生在設定名單之中
*.建議名單-系統常用的命令

建議名單,維運人員

建議名單為Watchdog系統預先設定好的建議名單,由維運人員搭配運用
*.使用者自定-應用系統

使用者名單,維運管理人員

     最後的使用者名單提供給維運管理人員自行運用.

     另外此三種名單採用勾選的方式,可以合並偵測,而名單內的通用欄位可以參照通用功能說明,特定的欄位如下:
       1.模糊比對:點選此功能之後,系統在比對上,只會比對程式前的數碼之名稱
          例如:程式名稱"test_svrprg"的程式,在定義或偵測的程式名稱為"test"
          當設定好之後,系統則會判定test_svrprg,test_stys或是test_abc等都是合法程式
       2.程式名稱:此欄位為必要輸入的欄位,需要輸入完整的程式名稱.

     點選偵測設定主畫面的HELP會出現下圖,使用說明的參考

終端管理,管理終端,系統服務,系統停止,系統當掉

     操作本功能的流程還有需要先建立合法表單,先用[目前執行程式]取得目前伺服主機正在執行的程式做為基礎
     存檔後即為[系統執行程式]的合法表單,但亦會複蓋目前的[目前執行程式]的表單
     在建立,修改與刪除三種合法表單內容之後,即可開始偵測,勾選合法表單與啟用後再按[確定]
        *.表單內容基本上是使用 "Full PATH",如: /bin/ls
        *.表單內容可使用前碼比對如:"/usr/bin/wdogc_"表示,偵測時只要前碼符合
            "/usr/bin/wdogc_"即為合法,但要勾選"比對"欄位
        *.勾選合法表單時是將勾選的表單內容合法化
        *.[目前執行程式]當按下[確定]後系統會在120秒內取得資訊,若超過時間而未能取得資訊,則放棄

回到首頁