آموزش Security and the Linux Kernel جلد دوم

بخش ۶. نظارت و لاگ‌گیری در هسته لینوکس

فصل ۱. معرفی مکانیزم‌های لاگ‌گیری در هسته لینوکس

• ساختار پیام‌های کرنل

• ارتباط subsystems با حلقه لاگ کرنل

• انواع لاگ‌ها (boot-time، runtime، error handling)

فصل ۲. بررسی dmesg و پیام‌های زمان‌بندی هسته

• نقش dmesg در بررسی رویدادهای سیستمی

• تفاوت با لاگ‌های کاربران و سرویس‌ها

• موقعیت ذخیره پیام‌های dmesg در حافظه

فصل ۳. سیستم لاگ‌گیری سنتی با Syslog

• ساختار فایل‌های syslog.conf و rsyslog.conf

• مسیرهای مهم لاگ کرنل:

  • /var/log/messages

  • /var/log/kern.log

  • /var/log/syslog

• تنظیمات فیلتر کردن پیام‌های کرنل در syslog

فصل ۴. بررسی لاگ‌های کرنل با journalctl و systemd journal

• معرفی سیستم لاگ‌گیری جدید systemd

• تفاوت با syslog و مزایای binary log

• دسته‌بندی لاگ‌ها با واحدهای systemd

• نحوه یافتن لاگ‌های مرتبط با هسته (Kernel Log Priority)

فصل ۵. پیاده‌سازی زیرساخت نظارت امنیتی با Audit Framework

• معماری auditd و تعامل آن با کرنل

• ساختار فایل پیکربندی /etc/audit/auditd.conf

• نحوه تعریف قوانین مانیتورینگ فایل‌ها و رویدادهای حساس

• مسیر فایل لاگ: /var/log/audit/audit.log

فصل ۶. مانیتورینگ وقایع حساس با ابزارهای تحلیل لاگ

• نحوه استفاده از ausearch برای تحلیل لاگ‌ها

• تنظیمات چرخش لاگ (Log Rotation) برای فایل‌های پرحجم

• ساختار لاگ‌های audit و روش طبقه‌بندی آن‌ها

فصل ۷. تنظیمات کرنل برای ثبت دقیق‌تر لاگ‌ها

• متغیرهای sysctl مرتبط با log level

• مسیر پیکربندی: /etc/sysctl.conf یا /etc/sysctl.d/*.conf

• فعال‌سازی پیام‌های debug کرنل برای اهداف تست و تحلیل

فصل ۸. ترکیب لاگ‌گیری با ابزارهای امنیتی سطح بالاتر

• نحوه ادغام auditd با SIEMها

• جمع‌آوری لاگ‌ها با log forwarder (مثلاً rsyslog یا journald remote logging)

• بررسی هشدارهای مرتبط با کرنل در ابزارهای امنیتی مانند Wazuh و OSSEC

بخش ۷. به‌روزرسانی و سخت‌سازی امنیتی هسته

فصل 1. انواع به‌روزرسانی‌های کرنل لینوکس

• معرفی روش‌های به‌روزرسانی هسته (Compile از سورس، استفاده از بسته‌های رسمی)

• تفاوت بین Minor Update و Major Upgrade

• اهمیت به‌روزرسانی‌های امنیتی و Patchهای CVE

فصل 2. بررسی و اعمال وصله‌های امنیتی (Kernel Patching)

• ساختار وصله‌های امنیتی کرنل (Patch Files)

• نحوه تست و ارزیابی Patch قبل از اعمال دائمی

• نگهداری نسخه‌های قدیمی برای Rollback

فصل 3. به‌روزرسانی زنده هسته (Live Kernel Patching)

• مفهوم Live Patching و مزایای آن در سرورهای تولیدی

• معرفی ابزارهای رایج: kpatch، kGraft و livepatch (Canonical/Red Hat)

• بررسی محدودیت‌ها و شرایط استفاده در توزیع‌های مختلف

فصل 4. سخت‌سازی کرنل با تنظیمات سیستم

• معرفی تنظیمات امنیتی در sysctl

• فعال‌سازی محدودیت‌های نوشتاری روی فضای حافظه (مثلاً mmap restrictions)

• محدود کردن امکان بارگذاری ماژول‌ها در زمان اجرا

• غیر فعال‌سازی کرنل دیباگ در سیستم‌های Production

فصل 5. استفاده از کرنل‌های سفارشی سخت‌سازی‌شده

• معرفی Grsecurity و HardenedBSD

• قابلیت‌های امنیتی Grsecurity (مانند Role-based Access Control، Kernel Integrity Protection)

• مقایسه PaX با قابلیت‌های جدید upstream مانند CFI

فصل 6. استفاده از ویژگی‌های امنیتی سخت‌افزاری

• فعال‌سازی DEP/NX و بررسی پشتیبانی CPU

• پشتیبانی از SMEP/SMAP و کاربرد آن‌ها در سخت‌سازی سطح پایین

• نقش Secure Boot و TPM در امنیت کرنل

فصل 7. پیاده‌سازی سیاست‌های سخت‌افزاری سطح کرنل

• محدود سازی سیستم‌کال‌ها از طریق Policyهای تعریف‌شده

• جداسازی فضای حافظه بین کاربر و کرنل (User-Kernel Memory Isolation)

• بررسی قابلیت‌های جدید مانند Kernel Lockdown Mode در لینوکس‌های جدید

فصل 8. ارزیابی وضعیت امنیتی کرنل

• روش‌های شناسایی وضعیت امنیتی فعلی سیستم

• مقایسه هسته پیش‌فرض با نسخه‌های Hardened

• بررسی گزارش‌های upstream در مورد کرنل‌های پایدار و LTS

بخش ۸. Sandboxing و جداسازی پردازشی

فصل 1. معرفی مفاهیم ایزوله‌سازی (Sandboxing) در سطح هسته

• تعریف Sandboxing و کاربردهای آن

• تفاوت بین Sandbox سطح کاربر و Sandbox مبتنی بر هسته

• نقش Sandboxing در کاهش سطح حمله (Attack Surface)

فصل 2. Namespaceها در لینوکس و انواع آن‌ها

• معرفی Namespace و نحوه عملکرد آن

• بررسی انواع Namespace:

  • Mount (mnt)

  • Process ID (pid)

  • Network (net)

  • UTS (hostname & domainname)

  • User (uid, gid)

  • IPC (Inter-Process Communication)

  • Cgroup Namespace (cgroup)

• ساختار جداسازی منابع با استفاده از Namespaceها

• کاربرد عملی در کانتینرها و سیستم‌های multi-tenant

فصل 3. کنترل منابع با استفاده از Cgroups

• معرفی Cgroups (Control Groups)

• نسخه ۱ و نسخه ۲ از Cgroup

• محدودسازی منابع CPU، RAM، Disk I/O و Network

• ترکیب Cgroup و Namespace برای ایزوله‌سازی کامل

فصل 4. پیاده‌سازی فرآیندهای محدود شده (Sandboxed Processes)

• ایجاد فرآیندهای جداشده با ترکیب Namespace و Cgroup

• بررسی نمونه‌های کاربردی: اجرای یک سرویس در فضای محدود

• استفاده از ابزارهایی مانند unshare و chroot

• تفاوت chroot با namespace-based isolation

فصل 5. Seccomp و فیلتر کردن System Callها

• معرفی Seccomp و حالت‌های مختلف آن (strict vs filter mode)

• جلوگیری از فراخوانی‌های خطرناک در برنامه‌ها

• محدودسازی syscallها برای فرآیندهای خاص

• کاربرد Seccomp در امنیت برنامه‌های کاربردی (مثلاً مرورگرها و کانتینرها)

فصل 6. معرفی ابزارهای آماده برای ایزوله‌سازی

• بررسی Bubblewrap و Firejail

• مقایسه عملکرد و معماری آن‌ها

• پیاده‌سازی sandbox برای اجرای مرورگر یا ابزار خط فرمان

• استفاده از این ابزارها در محیط‌های بدون container

فصل 7. eBPF و نقش آن در کنترل امنیتی پویا

• معرفی eBPF و نحوه عملکرد آن

• استفاده از eBPF برای بررسی رفتار برنامه‌ها در زمان اجرا

• پیاده‌سازی sandboxing سطح پایین با استفاده از eBPF

• کاربرد eBPF در نظارت و مانیتورینگ امنیتی پیشرفته

فصل 8. ترکیب تکنیک‌ها برای ایجاد sandbox کامل

• ترکیب Seccomp، Namespace، Cgroup و eBPF

• معماری کامل یک محیط ایزوله‌شده امن

• بررسی مثال‌های واقعی در Docker، systemd-nspawn و Kubernetes

بخش ۹. آسیب‌پذیری‌های رایج و روش‌های کاهش خطرات

فصل ۱. Race Conditions در هسته لینوکس

• تعریف Race Condition در زمینه کرنل و حافظه اشتراکی

• بررسی نمونه‌های واقعی از Race Condition در Subsystemهای مختلف کرنل (مثل VFS و Network Stack)

• روش‌های طراحی ایمن برای جلوگیری از Race Condition (مثل Locking، Atomic Operations)

فصل ۲. Use-After-Free و خطرات آن

• مفهوم Use-After-Free و نحوه بروز در محیط‌های حافظه کرنل

• بررسی آسیب‌پذیری‌های مشهور ناشی از Use-After-Free در ماژول‌های کرنل

• تکنیک‌های شناسایی و جلوگیری از این نوع حملات در توسعه ماژول‌ها یا Patchهای امنیتی

فصل ۳. Stack Overflow و Heap Overflow

• مقایسه Stack و Heap در فضای هسته

• سناریوهای واقعی سوءاستفاده از سرریز در حافظه کرنل

• مکانیسم‌های سخت‌سازی مانند Stack Canaries و Memory Poisoning

فصل ۴. NULL Pointer Dereference و سوءاستفاده‌های ناشی از آن

• تحلیل آسیب‌پذیری‌هایی که از طریق دسترسی به آدرس NULL منجر به اجرای کد می‌شوند

• خطرات ویژه در ماژول‌های شخص ثالث یا درایورهای سفارشی

• نقش تنظیمات حافظه کرنل در جلوگیری از سوءاستفاده

فصل ۵. Privilege Escalation (افزایش سطح دسترسی)

• معرفی انواع روش‌های Escalation در سطح کرنل (Vertical و Horizontal)

• بررسی آسیب‌پذیری‌های Exploit شده برای دستیابی به دسترسی root

• استراتژی‌های طراحی برای محدودسازی تأثیر Exploit در سطح سیستم

فصل ۶. Kernel Info Leaks

• اهمیت جلوگیری از درز اطلاعات حساس (مثل Layout حافظه یا آدرس‌های کرنل)

• منابع رایج نشت اطلاعات در سیستم‌کال‌ها، دایرکتوری‌ها و لاگ‌های کرنل

• روش‌های کاهش خطر از طریق Masking و Filtering اطلاعات

فصل ۷. ضعف در کنترل دسترسی حافظه مشترک (Shared Memory)

• مشکلات امنیتی در اشتراک‌گذاری حافظه بین فرآیندها یا Threadها

• تحلیل مواردی مثل حملات Timing یا Fault Injection در استفاده از حافظه مشترک

فصل ۸. حملات مبتنی بر Predictable Values

• توضیح ساختارهایی مانند PID, ASLR Base Address و Stack Layout که قابل پیش‌بینی می‌شوند

• نقش تصادفی‌سازی امن در مقاوم‌سازی کرنل در برابر حملات brute-force

فصل ۹. Double-Free و Memory Corruption

• تشریح چرخه تخصیص و آزادسازی حافظه در کرنل

• بررسی چالش‌های حافظه آزادشده و تأثیر آن بر ناپایداری یا Exploitation

فصل ۱۰. روش‌های پیشگیرانه و دفاع در عمق (Defense in Depth)

• استفاده از چندین لایه حفاظت برای محدود کردن دامنه حملات موفق

• طراحی ماژول‌ها با رعایت اصل “کمترین سطح دسترسی”

• بررسی معماری امنیتی مبتنی بر LSM، Namespaces و Cgroups به‌عنوان لایه‌های مکمل محافظتی

بخش ۱۰. امنیت کرنل در محیط‌های ابری و مجازی‌سازی

فصل ۱. معماری امنیتی کرنل در زیرساخت‌های مجازی و ابری

• تفکیک سطح امنیت کرنل میزبان و مهمان

• نقش Hypervisor در پیاده‌سازی امنیت کرنل

• مدل Threat در مجازی‌سازی کامل، نیمه‌مجازی و container-based

فصل ۲. ایزوله‌سازی منابع در محیط‌های چند مستاجری (Multi-Tenancy)

• پیاده‌سازی Isolation با استفاده از Namespaces

• جداسازی منابع حافظه، پردازنده و شبکه با Cgroups

• مقابله با نشت اطلاعات بین کانتینرها یا ماشین‌های مجازی

فصل ۳. امنیت کرنل در Docker و سایر Container Runtimes

• استفاده از فضای نام (Namespace) و کنترل گروه (Cgroup) در سطح کرنل

• بررسی سطح دسترسی‌های کانتینر (rootless containers)

• محدودسازی syscallها و استفاده از seccomp و AppArmor در کانتینرها

فصل ۴. کنترل‌های امنیتی در KVM و QEMU

• مدل‌های ایزوله‌سازی پردازش‌های مهمان در KVM

• بررسی قابلیت‌ها و پیکربندی‌های امنیتی در QEMU

• تأثیر استفاده از IOMMU و vhost-user در امنیت دسترسی سخت‌افزار

فصل ۵. پیاده‌سازی sVirt و MAC در مجازی‌سازی

• مفهوم sVirt و نحوه ترکیب آن با SELinux یا AppArmor

• نقش sVirt در ایزوله‌سازی ماشین‌های مجازی بر اساس Policy

• افزایش سخت‌سازی مجازی‌سازی با LSM در محیط KVM

فصل ۶. بررسی Hypervisor-level Attacks و راهکارهای پیشگیرانه

• تهدیداتی مانند VM Escape و Side-channel Attacks

• استفاده از Virtualization-aware Kernel Security

• محافظت از میزبان در برابر ماشین‌های مهمان ناامن

فصل ۷. امنیت کرنل در Kubernetes و Orchestration Systems

• بررسی امنیت کرنل گره‌های Worker و Master

• نقش Container Runtime Interface (CRI) در سطح امنیت کرنل

• استفاده از Pod Security Standards و کنترل سطح دسترسی کرنلی

فصل ۸. استفاده از مکانیزم‌های Integrity و Sandboxing در زیرساخت ابری

• راهکارهای حفاظت از کرنل در برابر تغییرات غیرمجاز

• بررسی قابلیت‌های integrity checking در زمان اجرا

• سناریوهای عملی برای ایجاد sandbox در سطح Pod یا VM

فصل ۹. مفاهیم امنیت در Kernel-as-a-Service (KaaS) و سیستم‌های بی‌سرور

• پیاده‌سازی امنیت در محیط‌هایی که کاربران مستقیماً به کرنل دسترسی ندارند

• نقش Immutable Kernel و به‌روزرسانی امن در محیط‌های KaaS

• بررسی قابلیت‌های امنیتی ارائه‌شده توسط ارائه‌دهندگان ابری

فصل ۱۰. ارزیابی و ممیزی امنیت کرنل در محیط‌های مجازی‌شده

• چک‌لیست‌های بررسی امنیت کرنل در زیرساخت‌های ابری

• روش‌های ارزیابی وضعیت امنیتی Kernel در VM و Container

• تحلیل تهدید در محیط‌های Hybrid Cloud و Multi-Cloud