운영 체제의 무결성을 보장하는 방법은 무엇입니까?

운영 체제의 무결성을 보장하는 방법은 무엇입니까?

정보 보안에서 무결성이란 탐지 없이는 데이터를 수정할 수 없음을 의미합니다.

이 답변물론 내 관심을 불러일으켰던 것은 내 운영 체제의 무결성을 보장하고 싶었기 때문입니다.여기. 보안 카메라 프로젝트가 있고 각 사진을 폴더에 저장한다고 가정해 보겠습니다. 나는 fswebcam -program, crontab 및 일부 bash 스크립트를 사용하여 사진 캡처를 자동화합니다. 나는 아주 낮은 예산으로 중고품 가게에서 오래된 노트북과 오래된 카메라를 재사용하고 인터넷 연결이 없는 등의 몇 가지 제한 사항을 적용하여 이 작업을 수행했습니다. obsd OS가 내가 사용할 수는 있지만 사용하지 않는 추가 기능, 아마도 일종의 편집증 모드를 제공하는지 확실하지 않습니다. 기본적으로 각 비교에는 명확하게 사전 정의된 일정이 있습니다. 사진을 찍고(스크립트 실행...) 파일에 저장합니다. - 차이가 있으면 경고가 발생합니다. 운영 체제의 나머지 부분을 정지시켜 다른 서비스에서 완전히 사용할 수 없게 만드는 방법이 있는지 모르겠습니다. 일부 랩톱은 슈팅 게임이 될 수 있고, 한 랩톱은 수신기 또는 핵심 데이터 센터가 될 수 있습니다.

  • 함께 작동할 수 있는 obsd 노트북을 사용하여 이를 수행하는 방법은 무엇입니까?
  • 사진을 삭제할 수 없거나 삭제 후 흔적이 남도록 운영 체제의 무결성을 보장하는 방법은 무엇입니까?
  • 슈터와 리시버를 어떤 패턴으로 배치하시겠습니까? 서로 다른 모드에 있나요? 왜?

관련되어 있지만 동일하지는 않음

  1. 선호하는 무결성 모니터링 소프트웨어는 무엇입니까?
  2. 서버 소프트웨어 무결성을 확인하시겠습니까?

답변1

물리적 보안이 필요하지 않은 경우 소규모 물리적 공격자 그룹에 대해서도 OpenBSD가 작업을 수행할 수 있는 것으로 보입니다. 단, 완벽한 버그 폭풍이 발생하고 커널 모드에서 허용할 수 있는 제대로 선택되지 않은 전 세계적으로 액세스 가능한 서비스가 없으면 OpenBSD가 해당 작업을 수행할 수 있습니다. 임의의 코드를 실행합니다.

chflags(1)을 읽으십시오. 루트가 파일을 수정하거나 삭제하는 것을 방지할 수도 있습니다. 기본적으로 sappnd를 사진 디렉토리로 설정하고 securelevel(7)을 -> 2로 이동하면 작업이 수행됩니다. 또한 다른 모든 항목도 보호해야 합니다(noexec, nodev 및 rc 스크립트로 표시되지 않은 파티션에 특별한 주의를 기울이십시오). 하지만 문제가 발생하더라도 기존 사진에서 플래그를 제거하려면 시스템을 재부팅해야 합니다.

다음과 같은 것을 결합하십시오이것누군가가 귀하의 사진을 조작하려고 하는 것을 눈치채지 못하는 것은 어렵습니다.

스냅샷을 찍는 머신은 디스크에 기록할 필요도 없기 때문에(시스템 로그 제외) 추가로 잠글 수 있습니다.

답변2

무단 접근을 막을 수 없다면운영 체제그리고하드웨어, Write-Once 저장소를 사용하지 않고 시스템의 무결성을 보장하는 방법을 이해하지 못합니다.

답변3

설명하는 응용 프로그램에는 반드시 OS 수준 무결성이 필요하지 않습니다. 물리적으로 파일 삭제/덮어쓰기를 허용하지 않는 WORM(Write Once Read Many Drive)을 사용할 수 있습니다.

또는 적은 비용으로 TPM이 포함된 머신을 구입할 수 있습니다(WORM 드라이브를 구입하는 것보다 여전히 비쌉니다).

또는 chroot 환경에서 Tripwire를 사용하세요.

답변4

특정 예에 대해 좀 더 쉽게 생각하면 각 이미지의 해시를 오프사이트로 보낼 수 있습니다(전체 이미지를 감당할 수 없는 경우).

오프사이트 서비스에 "추가" 기능(물론 읽기)만 있는지 확인하십시오. 즉, 소스 시스템이 기존 기록을 삭제할 수 없습니다.

마지막으로 원본 서버를 오프사이트 해시 기록과 비교하는 트립와이어 오프사이트 스크립트가 있습니다.

이것이 귀하의 질문에 대한 답변인지 확실하지 않지만 외부 세계(제3자)에 의지하지 않고 시스템의 무결성을 절대적으로 보장할 수 있는 쉬운 방법은 없습니다. 이것도 100% 보장되는 것은 아니지만 적어도 모든 시스템의 손상 위험을 크게 줄여줍니다.

관련 정보