Linux

W tej lekcji:

• Dowiesz się jak złapać atakującego za rękę: gdzie zajrzeć i czego szukać w razie podejrzenia, że w Twoim systemie linuksowym działa włamywacz lub "dzieją się dziwne rzeczy";
• Jak znajdować ślady i próby zacierania śladów: jak podejrzane pliki i procesy ukrywają się w systemie;
• Jak wykrywać podejrzane ruchy: nauczysz się wizualizować i analizować w czasie rzeczywistym aktywność sieciową systemu (z poziomu terminala!);
• Co i jak skonfigurować, aby w razie ataku w systemie pozostało jak najwięcej informacji o jego przebiegu.
• Logi i więcej:
  • wszystkie możliwe źródła zapisanych zdarzeń
  • syslog, journald i dmesg - co, gdzie i dlaczego jest logowane (lub nie)
  • poza /var/log - gdzie/jak szukać logów usług i aplikacji
    nie tylko historia Basha - przydatne ślady po użyciu narzędzi administracyjnych/programistycznych
    auditd/SElinux - czego ciekawego można się dowiedzieć z ich logów
• co się dzieje w kontenerach
• metryki wydajności (CPU/RAM/IO) a włamania i analiza powłamaniowa
• o prewencji - jak sensownie zbierać logi, jak silnie monitorować najważniejsze dla nas procesy i pliki
• Analiza i wizualizacja aktywności sieciowej
  • czy można zauważyć nietypowy ruch (eksfiltracja danych, komunikacja z C2), nie mając dużego i ciężkiego IDSa
    nie tylko tcpdump i wireshark - garść mniej znanych narzędzi, które warto mieć pod ręką
• Przegląd technik ukrywania się stosowanych przez włamywaczy oraz sposoby ich wykrywania
  • fałszywe nazwy procesów, pozornie nieistniejące / ukryte pliki i inne triki
  • nieoczywiste lokalizacje złośliwych plików i ustawień, persystencja

W tej lekcji:

• Przypomnienie podstaw (w tym suid, sgid, restricted deletion)
• Listy ACL, atrybuty i capabilities
• SELinux:
  • koncepcja i logika działania
  • jak diagnozować i prawidłowo (!) rozwiązywać typowe problemy