Logira ist ein eBPF-basiertes Laufzeit-Audit-Tool für Linux, das verfolgt, was KI-Agenten und Automatisierung tatsächlich auf Betriebssystemebene tun. Es zeichnet Prozessausführung, Dateiaktivität und Netzwerkaktivität mithilfe von cgroup v2-Laufbereichs-Tracking auf und ordnet Ereignisse einzelnen überwachten Läufen zu.

Hauptmerkmale

Das Tool bietet lokalen Speicher pro Lauf sowohl im JSONL- als auch im SQLite-Format für Zeitachsenüberprüfung und Abfragen. Es enthält standardmäßige Erkennungsregeln mit Fokus auf KI-Agenten-Auditing, mit optionalen benutzerdefinierten YAML-Regeln. Logira ist von Haus aus rein beobachtend – es zeichnet auf und erkennt, blockiert oder erzwingt jedoch nie.

Standard-Erkennungen

• Schreiben von Anmeldedaten und Geheimnissen: ~/.ssh, ~/.aws, kube/gcloud/docker config, .netrc, .git-credentials, Registry-Anmeldedaten
• Lesen sensibler Anmeldedaten: SSH-Private Keys, AWS-Anmeldedaten/Konfiguration, kubeconfig, docker config, .netrc, .git-credentials
• Persistenz- und Konfigurationsänderungen: Schreibvorgänge unter /etc, systemd-Einheiten, cron, Benutzer-Autostart-Einträge, Shell-Startdateien
• Temporäre Dropper: Ausführbare Dateien, die unter /tmp, /dev/shm, /var/tmp erstellt werden
• Verdächtige Exec-Muster: curl|sh, wget|sh, Tunneling-/Reverse-Shell-Tools und -Flags, base64-Decodierung mit Shell-Hinweisen
• Agent-Sicherheit destruktive Muster: rm -rf, git clean -fdx, find -delete, mkfs, terraform destroy und ähnliche Befehle
• Netzwerk-Ausgang: Verdächtige Zielports und Zugriffe auf Cloud-Metadaten-Endpunkte

Installation

Empfohlene Installation über Skript:

curl -fsSL https://raw.githubusercontent.com/melonattacker/logira/main/install.sh | sudo bash

Oder manuelle Installation aus Release-Tarball:

tar -xzf logira_vX.Y.Z_linux-<arch>.tar.gz
cd logira_vX.Y.Z_linux-<arch>
sudo ./install-local.sh

Nach Installation oder Upgrade den Daemon neu starten:

sudo systemctl daemon-reload
sudo systemctl restart logirad.service
sudo systemctl status logirad.service --no-pager

Ausführung

Der Root-Daemon logirad läuft über systemd. Installationsschritte umfassen:

# 1) eBPF-Objekte generieren (nur erforderlich, falls fehlend)
make generate

2) systemd-Unit installieren
sudo install -D -m 0644 packaging/systemd/logirad.service /etc/systemd/system/logirad.service
3) Daemon-Binary installieren (Unit standardmäßig auf /usr/local/bin/logirad)
sudo install -m 0755 ./logirad /usr/local/bin/logirad
4) (Empfohlen) systemd auf die eBPF .o-Dateien über eine Umgebungsdatei verweisen
sudo mkdir -p /etc/logira
sudo tee /etc/logira/logirad.env > /dev/null << 'EOF'
LOGIRA_EXEC_BPF_OBJ=/absolute/path/to/collector/linux

Benutzerdefinierte Regeln können pro Lauf mit logira run --rules <file> angehängt werden.