1. Kspliceユーザーズ・ガイド
  2. Ksplice拡張クライアントの使用方法
  3. Ksplice拡張クライアントでの既知の脆弱性検出機能の使用方法

Ksplice拡張クライアントでの既知の脆弱性検出機能の使用方法

ノート:

既知の脆弱性の検出のサポートは、Ksplice拡張クライアントでのみ使用できます。64ビットARM (aarch64)プラットフォームでは、既知の脆弱性の検出には、UEK7 (5.15.0)以降のカーネルを使用するOracle Linux 8以上が必要です。

Ksplice拡張クライアントがインストールされているサポート対象のシステムで既知の脆弱性を検出する機能が用意されています。この機能は、既知の攻撃ベクトルによって試みられた脆弱性をレポートします。Kspliceで新しい共通脆弱性(CVE)が検出され、パッチが適用されると、異常な状態がトリガーされたときに起動するコードにトリップワイヤが追加されるため、疑わしいアクティビティがないかシステムをモニターできます。

ノート:

すべてのセキュリティ問題にトリップワイヤが追加されているわけではなく、通常の操作でトリップワイヤがトリガーされることもあるため、異常な状態をさらに分析することが必要になる場合があります。

Ksplice拡張クライアントでの既知の脆弱性検出の実行

Ksplice拡張クライアントがインストールされているサポート対象のOracle Linuxシステムで、Kspliceの既知の脆弱性検出を実行できます。この機能は、オンラインとオフラインの両方のKsplice拡張クライアントに対して機能します。

ノート:

この手順では、dnfコマンドを使用して、多くのパッケージ管理アクションを記述します。Oracle Linux 8より前のリリースでは、コマンドを適切なyumコマンドに置き換えてください。

デフォルト構成で既知の脆弱性検出を実行するには:

  1. ksplice-known-exploit-detectionパッケージをインストールします。
    sudo dnf install ksplice-known-exploit-detection
  2. 既知の脆弱性検出を有効にするには、uptrack構成を更新します。

    /etc/uptrack/uptrack.confファイルに次の行を追加します。 

    [Known-Exploit-Detection]
enabled = yes
  3. 実行中のカーネルで既知の脆弱性検出を有効にします。

    kernel upgradeコマンドを実行して、機能を有効にします。 

    sudo ksplice kernel upgrade
  4. 既知の脆弱性検出がカーネルで実行されていることを確認します。

    現在のカーネルに対して機能が有効になっていることを確認します。 

    cat /proc/sys/kernel/known_exploit_detection

    値が0であるか、ファイルがない場合は、カーネル脆弱性検出が有効になっていません。値が1の場合は、システムで既知の脆弱性検出が有効になっています。

ヘルパー・ファイル/usr/sbin/log-known-exploitは、カーネルによって直接起動されます。ヘルプを手動で起動して構成を確認したり、ドライ・ラン・テストを実行するには、次のコマンドを使用します: 

/usr/sbin/log-known-exploit --help

このコマンドには追加で次のオプションおよび引数を指定できます:

-h、--help

ヘルプ・メッセージを表示して終了します。

-c、--config /etc/example.conf

互換性のある構成ファイルを指定します。デフォルトは/etc/log-known-exploit.confです。

-f、--force

root権限を確認することなくコマンドを実行します。

-n、--dry-run

ヘルパー・ファイルによって実行されると想定される出力およびアクションをシミュレートします。

-d、--dummy

サンプル・データを使用して、レポート・ロギングが正しく構成されていることを確認します。

既知の脆弱性ロギングおよび電子メール通知オプションの構成

既知の脆弱性検出機能の構成オプションは、/etc/log-known-exploit.confで設定します。構成ファイルを編集すると、次の動作を制御できます。

  • 電子メール・アラートを設定するには、[email]セクションを編集して、機能を有効にし、配信用の受信者電子メール・アドレスを指定します:
    [email]
enabled: 1
recipients: admin@example.com
    Kspliceの既知の脆弱性検出機能のデフォルト構成では、通常のsyslog機能を使用して、脆弱性への攻撃がsyslogに記録されます。

    ノート:

    電子メール・アラートでは、メール転送エージェントを使用してアウトバウンドまたはローカルのメール配信を処理するように、システムがすでに構成されている必要があります。
  • 指定されていないトリップワイヤのロギング動作を定義するには、defaultの値をリストに追加します。

    たとえば、特に指定しないかぎりトリップワイヤ・レポートをロギングしないようにするには、次のようにします: 

    [actions]
default: ignore
  • ログ記録する必要があるトリップワイヤ・レポートまたは無視する必要があるトリップワイヤ・レポートを指定するには、[actions]構成セクションにルールを追加します。

    たとえば、報告するCVEと無視できるCVEをリストします:

    [actions]
CVE-2024-12345: report
CVE-2024-12346: ignore
    これらの構成エントリによってデフォルトの構成がオーバーライドされることに注意してください。

    また、保存されている構成をオーバーライドするために、別のCVEのトリップワイヤを一時的に無効または有効にすることもできます。「トリップワイヤの一時的な無効化と有効化 」を参照してください。

トリップワイヤの一時的な無効化と有効化

トラブルシューティングが必要なときに、特定のトリップワイヤを手動で無効または有効にすることができます。

  • トリップワイヤの一時的な無効化

    次回の再起動まで特定のトリップワイヤを無効にするには、次のように、/proc/sys/kernel/known_exploit_detection_tripwiresファイルからCVE参照を削除します。 

    echo -n '-CVE-2024-12345' | sudo tee /proc/sys/kernel/known_exploit_detection_tripwires
  • トリップワイヤの一時的な有効化

    特定のトリップワイヤを有効にするには、同じ構成ファイルにCVE参照を再度追加します。 

    echo -n '+CVE-2024-12345' | sudo tee /proc/sys/kernel/known_exploit_detection_tripwires