Czym jest Volatility?

Volatility to zaawansowany, otwartoźródłowy framework do analizy zrzutów pamięci RAM (tzw. memory forensics). Kiedy dochodzi do incydentu bezpieczeństwa, “twardy” dysk to tylko część historii. Pamięć RAM zawiera ulotny, ale niezwykle cenny obraz tego, co działo się w systemie w momencie ataku.

Volatility pozwala analitykom “wejść” do zamrożonego stanu pamięci i odtworzyć działające procesy, otwarte połączenia sieciowe, załadowane moduły jądra, a nawet odzyskać fragmenty danych, które nigdy nie zostały zapisane na dysku. Jest to jedno z najważniejszych narzędzi w dziedzinie Digital Forensics and Incident Response (DFIR).

Co to jest Wazuh?

Wazuh to darmowa platforma open-source służąca do monitorowania bezpieczeństwa, wykrywania zagrożeń i reagowania na incydenty. Łączy w sobie funkcje SIEM (Security Information and Event Management) oraz XDR (Extended Detection and Response).

Mówiąc prościej: jeśli Suricata (o której pisaliśmy wcześniej) jest strażnikiem pilnującym bramy (sieci), to Wazuh jest systemem kamer i czujników wewnątrz każdego pokoju (serwera). Analizuje to, co dzieje się na samym systemie.

Jak działa Wazuh?

System składa się z dwóch głównych elementów:

Co to jest Suricata?

Suricata to otwartoźródłowy, wysokowydajny silnik do monitorowania bezpieczeństwa sieci (NSM), wykrywania intruzów (IDS) i zapobiegania włamaniom (IPS). Jest to potężne narzędzie, które analizuje ruch sieciowy w czasie rzeczywistym, szukając w nim śladów złośliwej aktywności, takiej jak ataki hakerskie, malware czy próby skanowania portów.

Jest to główny konkurent dla starszego projektu Snort, oferujący jednak nowoczesną architekturę wielowątkową, co pozwala mu na znacznie wydajniejszą pracę na współczesnych procesorach wielordzeniowych.

Co to jest LKRG?

LKRG (Linux Kernel Runtime Guard) to zaawansowany moduł jądra, którego celem jest ochrona systemu Linux przed exploitami i złośliwym oprogramowaniem próbującym zmodyfikować działające jądro.

W przeciwieństwie do antywirusów, które szukają sygnatur znanych plików, LKRG działa na znacznie niższym poziomie. Monitoruje on integralność struktur jądra w czasie rzeczywistym. Można o nim myśleć jak o “systemie alarmowym”, który sprawdza, czy nikt nie próbuje podmienić kodu jądra lub nielegalnie zmienić uprawnień procesu.

Co to jest Ftrace?

Jeśli kiedykolwiek zastanawiałeś się, co dokładnie robi jądro Linuksa, gdy Twój program wywołuje read(), albo dlaczego system nagle zwolnił, ftrace (Function Tracer) jest odpowiedzią.

ftrace to oficjalny, wbudowany w jądro mechanizm śledzenia (tracingu). Pozwala on na monitorowanie wywołań funkcji wewnątrz jądra, śledzenie opóźnień (latency), przełączeń kontekstu i wielu innych zdarzeń systemowych z mikrosekundową dokładnością.

Wymagania jądra

Aby korzystać z ftrace, jądro musi być skompilowane z odpowiednimi opcjami. W większości standardowych dystrybucji (Ubuntu, Fedora, Debian) są one włączone domyślnie. Jeśli jednak kompilujesz własne jądro, upewnij się, że masz ustawione:

Co to jest dmesg?

dmesg (skrót od “display message” lub “driver message”) to jedno z najważniejszych i najprostszych narzędzi diagnostycznych w każdym systemie Linux. Pozwala ono na odczytanie komunikatów z bufora pierścieniowego jądra (kernel ring buffer).

Pomyśl o tym buforze jak o czarnej skrzynce Twojego systemu. Jądro Linuksa, od samego startu komputera, zapisuje w nim wszystkie ważne informacje: co wykryło, jakie sterowniki załadowało, czy napotkało jakieś błędy. dmesg to polecenie, które pozwala nam zajrzeć do tej skrzynki.

Co to jest strace?

W świecie Linuksa, większość operacji, jakie wykonuje program – od otwarcia pliku, przez połączenie z siecią, aż po odczytanie czasu – odbywa się za pośrednictwem wywołań systemowych (system calls). Są to specjalne funkcje jądra, które programy “proszą” o wykonanie niskopoziomowych zadań.

strace (skrót od “system call trace”) to potężne narzędzie diagnostyczne, które pozwala na “podsłuchanie” i wyświetlenie wszystkich tych wywołań systemowych, jakie wykonuje dany proces w czasie rzeczywistym. Dzięki temu możemy dokładnie zobaczyć, co program robi “pod maską”.

Wstęp: Dlaczego monitorowanie jest kluczowe?

Wydajność systemu Linux jest jak puls organizmu – regularne sprawdzanie pozwala wykryć problemy, zanim staną się krytyczne. Niezależnie od tego, czy zarządzasz serwerem produkcyjnym, czy po prostu chcesz zoptymalizować swój desktop, znajomość podstawowych narzędzi do monitorowania w czasie rzeczywistym jest absolutnie niezbędna.

W tym artykule przedstawimy Top 5 narzędzi wiersza poleceń, które pomogą Ci szybko zdiagnozować, co dzieje się z Twoim systemem.

1. top i htop - Królowie monitorowania procesów

top

top to klasyczne narzędzie, które dostarcza dynamicznego widoku procesów działających w systemie. Domyślnie sortuje procesy według zużycia CPU, odświeżając widok co kilka sekund.

Dlaczego warto kompilować własne jądro?

Większość użytkowników Linuksa korzysta z gotowych jąder dostarczanych przez dystrybucję. Jest to wygodne i w zupełności wystarczające. Jednak kompilacja własnego jądra otwiera świat nowych możliwości i jest fundamentalną umiejętnością dla każdego, kto chce dogłębnie zrozumieć działanie systemu.

Główne powody, dla których warto to zrobić:

• Optymalizacja: Możesz usunąć niepotrzebne sterowniki i funkcje, tworząc jądro idealnie dopasowane do Twojego sprzętu, co może (choć nie musi) przełożyć się na lepszą wydajność i szybszy start systemu.
• Najnowsze funkcje: Dostęp do najnowszych funkcji, sterowników i poprawek bezpieczeństwa, zanim trafią one do oficjalnych repozytoriów Twojej dystrybucji.
• Nauka: To najlepszy sposób, aby zobaczyć “od kuchni”, jak zbudowany jest system operacyjny.
• Wsparcie dla sprzętu: Czasami jedyny sposób, aby uruchomić bardzo nowy lub nietypowy sprzęt, to włączenie eksperymentalnych sterowników w jądrze.

Ten przewodnik przeprowadzi Cię przez cały proces, krok po kroku.

Ostatnia deska ratunku

Wyobraź sobie sytuację: zarządzasz zdalnym serwerem, który nagle przestaje odpowiadać. Nie możesz zalogować się przez SSH, strony internetowe nie działają, a pingi wracają z opóźnieniem lub wcale. Jedyne, co Ci pozostaje, to “twardy” restart przez panel dostawcy hostingu, ryzykując utratę niezapisanych danych i uszkodzenie systemu plików.

A co, jeśli istnieje sposób, aby “porozmawiać” z jądrem, nawet gdy reszta systemu nie działa? Tą ostatnią deską ratunku jest właśnie Magiczny klawisz SysRq.