Sandfly는 Linux용 에이전트리스 침입 탐지 시스템입니다. 이 제품의 핵심 기능은 보호하려는 Linux 호스트에 아무것도 로드할 필요가 없다는 것입니다. 이는 보호하려는 많은 수의 Linux 시스템에 대해서도 Sandfly를 매우 빠르게 배포할 수 있게 합니다.

에이전트리스 방식은 또한 Sandfly를 매우 낮은 영향도로 만들며, 실행을 위해 커널과의 긴밀한 통합이 필요한 에이전트 기반 시스템과 달리 시스템에 불안정성을 일으킬 가능성이 낮습니다. 패치와 새 패키지로 인해 Sandfly가 실패할 걱정 없이 시스템을 업그레이드할 수 있습니다. 에이전트리스 설계는 또한 매우 오래된 레거시 버전을 포함하여 극히 광범위한 Linux 배포판에서 실행된다는 것을 의미합니다.

SSH 및 시스템 계정 필요

Sandfly가 호스트를 보호하기 위해서는 다음만 필요합니다:

SSH 액세스.
sudo 또는 root 수준 액세스 권한이 있는 시스템 계정.

SSH는 거의 모든 Linux 시스템의 표준 유틸리티입니다. Sandfly가 침입자를 찾기 위해 시스템 영역에 액세스할 수 있도록 하려면 승격된 권한이 있는 계정이 필요합니다. 이 계정은 sudo 권한이 있는 일반 사용자일 수 있으며 root 사용자 로그인 자격 증명일 필요는 없습니다.

Sandfly는 모든 최신 및 많은 구형 Linux 배포판을 스캔할 수 있습니다. Sandfly 포렌식 엔진 모듈은 정적으로 빌드되며 위에서 언급한 시스템 계정 외에는 원격 시스템에서 실행하는 데 아무것도 필요하지 않습니다. Sandfly는 다음과 같은 여러 Linux 아키텍처도 보호할 수 있습니다:

Intel/AMD 64비트
Intel/AMD 32비트
Arm 64/32비트
MIPS
기타

이렇게 많은 아키텍처에서 실행할 수 있다는 것은 Sandfly가 전통적인 Linux 서버뼐만 아니라 SSH 액세스를 허용하는 경우 많은 임베디드 Linux 장치, 네트워크 장비 및 사물 인터넷(IoT)도 감시할 수 있음을 의미합니다.

Sandfly는 원격 시스템의 아키텍처를 결정하고 올바른 모듈을 자동으로 실행합니다. 아키텍처가 지원되지 않는 경우 시스템 작업 중에 이것이 보고됩니다. 지원되지 않는 아키텍처가 있는 경우 Sandfly에 문의하시면 시스템을 보호할 수 있도록 도와드리겠습니다.

📘
참고: 실패한 스캔은 원격 호스트에 영향을 주지 않음
Sandfly 조사의 오류는 치명적이지 않으며 원격 호스트에 영향을 주지 않습니다. 단순히 오류를 보고할 뿐이며 다른 개입은 필요하지 않습니다.