Escribí un módulo del kernel para reemplazar las rutinas del servicio del kernel de Linux (por ejemplo, llamadas al sistema) con código de seguridad, similar a SELinux o AppArmor, con las principales excepciones de control de conjuntos de reglas sobre la marcha e integración de big data.
Desde la perspectiva de la seguridad, la única forma de usar los servicios del SO desde una aplicación es a través de mi código de supervisión, que está protegido por el ASLR nativo del kernel (Randomization Layout del diseño del espacio de direcciones) y es de solo lectura.
Dado que el código y las llamadas del sistema están marcados como de solo lectura, solo pueden ser omitidos por otro módulo del núcleo, que no se puede cargar sin aprobación en la mayoría de los escenarios de explotación.
El módulo del núcleo se comunica con MongoDB, envía registros y recibe reglas sobre la marcha.
El resultado es que todos los servicios del sistema operativo, como el acceso al disco / archivo, se registran y se pueden detener si se aplica una regla de bloqueo.
¿Hay alguna manera de lograr este resultado de una manera escalable y controlada como se describe anteriormente?
{
"process": "cat",
"pid": 14975,
"accessed file": "/etc/passwd",
"user id": 1000
}