Logira est un outil d'audit d'exécution basé sur eBPF pour Linux qui suit ce que les agents IA et l'automatisation font réellement au niveau du système d'exploitation. Il enregistre l'exécution des processus, l'activité des fichiers et l'activité réseau en utilisant le suivi par exécution de cgroup v2, attribuant les événements à des exécutions auditées individuelles.

Fonctionnalités principales

L'outil fournit un stockage local par exécution aux formats JSONL et SQLite pour la revue chronologique et l'interrogation. Il inclut des règles de détection par défaut axées sur l'audit des agents IA, avec des règles YAML personnalisées optionnelles. Logira est conçu pour être en observation uniquement — il enregistre et détecte mais ne bloque ni n'applique jamais.

Détections par défaut

• Écritures d'identifiants et de secrets : ~/.ssh, ~/.aws, config kube/gcloud/docker, .netrc, .git-credentials, identifiants de registre
• Lectures sensibles d'identifiants : clés privées SSH, identifiants/config AWS, kubeconfig, config docker, .netrc, .git-credentials
• Modifications de persistance et de configuration : écritures sous /etc, unités systemd, cron, entrées de démarrage automatique utilisateur, fichiers de démarrage shell
• Déposeurs temporaires : fichiers exécutables créés sous /tmp, /dev/shm, /var/tmp
• Modèles d'exécution suspects : curl|sh, wget|sh, outils et drapeaux de tunneling/shell inverse, décodage base64 avec indices shell
• Modèles destructeurs de sécurité des agents : rm -rf, git clean -fdx, find -delete, mkfs, terraform destroy, et commandes similaires
• Sortie réseau : ports de destination suspects et accès aux points de terminaison de métadonnées cloud

Installation

Installation recommandée via script :

curl -fsSL https://raw.githubusercontent.com/melonattacker/logira/main/install.sh | sudo bash

Ou installation manuelle depuis l'archive de version :

tar -xzf logira_vX.Y.Z_linux-<arch>.tar.gz
cd logira_vX.Y.Z_linux-<arch>
sudo ./install-local.sh

Après l'installation ou la mise à niveau, redémarrez le démon :

sudo systemctl daemon-reload
sudo systemctl restart logirad.service
sudo systemctl status logirad.service --no-pager

Comment exécuter

Le démon racine logirad s'exécute via systemd. Les étapes d'installation incluent :

# 1) Générer les objets eBPF (nécessaire uniquement s'ils manquent)
make generate

2) Installer l'unité systemd
sudo install -D -m 0644 packaging/systemd/logirad.service /etc/systemd/system/logirad.service
3) Installer le binaire du démon (l'unité utilise par défaut /usr/local/bin/logirad)
sudo install -m 0755 ./logirad /usr/local/bin/logirad
4) (Recommandé) Pointer systemd vers les fichiers .o eBPF via un fichier d'environnement
sudo mkdir -p /etc/logira
sudo tee /etc/logira/logirad.env > /dev/null << 'EOF'
LOGIRA_EXEC_BPF_OBJ=/absolute/path/to/collector/linux

Les règles personnalisées peuvent être ajoutées par exécution avec logira run --rules <file>.