ЕдиныйАгент безопасность в Linux: различия между версиями

Чтобы полностью автоматизировать мониторинг ваших операционных систем, процессов и сетевых интерфейсов, ЕдиныйАгент вносит в вашу систему следующие изменения.

Примечание: ЕдиныйАгент тщательно тестируется, чтобы убедиться, что он оказывает минимальное влияние на производительность вашей системы и соответствует самым высоким стандартам безопасности.

Разрешения

По умолчанию ЕдиныйАгент устанавливается в непривилегированном режиме, в котором привилегии суперпользователя используются один раз для запуска процесса установки. Затем ЕдиныйАгент запускается под непривилегированным пользователем, сохраняя при этом полный набор функций. Дополнительные сведения и системные требования см. в статье Непривилегированный режим ЕдиногоАгента в Linux.

Операции

ЕдиныйАгент выполняет следующие привилегированные операции. В зависимости от того, работает ли ЕдиныйАгент в непривилегированном или привилегированном режиме, объем операций одинаков, различается только базовый механизм. В привилегированном режиме ЕдиныйАгент работает от имени пользователя root, а в непривилегированном режиме используются возможности системы Linux.

•    Доступ к списку открытых сокетов для каждого процесса.
•    Доступ к списку библиотек, загруженных для каждого процесса.
•    Доступ к имени и пути исполняемого файла для каждого процесса.
•    Доступ к параметрам командной строки для каждого процесса.
•    Отслеживание сетевого трафика.
•    Чтение файлов конфигурации приложения.
•    Структурный анализ исполняемых файлов для Go Discovery.
•    Сбор данных мониторинга, связанных с контейнерами Docker.

Если у вас включен мониторинг журналов, привилегии суперпользователя также требуются для:

•    Доступ к системным журналам: /var/log/syslog и /var/log/messages.
•    Доступ к списку обработчиков открытых файлов для каждого процесса (файловая система /proc).
•    Доступ к файлу журнала для каждого процесса.

Изменения операционной системы

Программа установки ЕдиныйАгент вносит в вашу систему следующие изменения:

•    Пользователь dtuser создан. Вы можете изменить имя по умолчанию, используя параметр установки USER.
•    Служба oneagent зарегистрирована в системе init.
•    Службы ABRT (Red Hat) и Apport (Debian) остановлены и отключены.
•    Пользовательский модуль SELinux устанавливается в системах с включенным SELinux. Исходные коды модуля SELinux, установленного установщиком ЕдиныйАгент, по умолчанию доступны в каталоге {install-dir}/agent/SELinuxPolicy, /opt/dynatrace/oneagent/agent/SELinuxPolicy.
•    Устанавливает компоненты ЕдиныйАгент в каталоги системной библиотеки.
•    Настраивает /etc/ld.so.preload для автоматического мониторинга процессов.

Изменение файлов

Установка

Программа установки ЕдиныйАгент изменяет следующие системные файлы:

•    /proc/sys/kernel/core_pattern и /etc/sysctl.conf изменены, чтобы включить обработку дампа ядра с помощью oneagentdumpproc. Первоначальная конфигурация core_pattern по-прежнему будет работать после установки и будет сохранена в /opt/dynatrace/oneagent/agent/conf/original_core_pattern, где вы можете определить свои собственные основные настройки, используя формат, указанный в Руководстве программиста Linux. Дополнительную информацию см. в разделе Обработка дампа ядра Linux.
•    /etc/ld.so.preload изменен, чтобы включить автоматическое внедрение в процессы.

Операции

ЕдиныйАгент изменяет следующие файлы во время своей работы:

•    Оболочка ЕдиныйАгент перезаписывает файл /var/vcap/packages/runc/bin/runc (Garden runc), чтобы разрешить внедрение. Это происходит периодически во время выполнения. Исходный файл сохраняется как runc-original и восстанавливается сценарием удаления.
•    На хостах CRI-O (реализация интерфейса выполнения контейнеров Kubernetes на основе OCI) хук crio (oneagent_crio_injection-0.1.0.json) копируется по пути, указанному в параметре hooks_dir файла конфигурации CRI-O (/etc/ крио/crio.conf). Если параметр hooks_dir не установлен, используется один из путей по умолчанию: /etc/containers/oci/hooks.d/ или /usr/share/containers/oci/hooks.d/. Хук удаляется сценарием удаления.

Добавление файлов

Установка

Программа установки ЕдиныйАгент добавляет в вашу систему следующие файлы:

•    Двоичные файлы и файлы конфигурации ЕдиныйАгент сохраняются в /opt/dynatrace/oneagent. Обратите внимание, что вы можете изменить местоположение с помощью параметра INSTALL_PATH.
•    Сценарии запуска копируются в /etc/init.d в системах с SystemV и в /etc/systemd/system в системах с systemd.
•    liboneagentproc.so размещается в каталогах системных библиотек, которые различаются в зависимости от дистрибутива. Например,
  •        Ubuntu 14.04 (с установленными 32-битными библиотеками): /lib32 и /lib/x86_64-linux-gnu
  •        Федора 25: /lib64
  •        OpenSUSE 42.2: /lib и /lib64
  •        CentOS 7.3 и Red Hat Enterprise Linux 6: /lib и /lib64

Операции

   Временные файлы ЕдиныйАгент и конфигурация среды выполнения сохраняются в /var/lib/dynatrace/oneagent/runtime.

   Постоянная конфигурация ЕдиныйАгент сохраняется в /var/lib/dynatrace/oneagent/config.

   Большие данные времени выполнения, такие как дампы памяти, сохраняются в /var/lib/dynatrace/oneagent/datastorage. Обратите внимание, что вы можете изменить расположение больших данных времени выполнения, используя параметр DATA_STORAGE.

Системные журналы, загруженные ЕдинымАгентом

ЕдиныйАгент загружает определенные системные журналы, чтобы Ключ-Астром мог диагностировать проблемы, которые могут быть вызваны условиями i.