Logira는 eBPF 기반의 Linux 런타임 감사 도구로, AI 에이전트와 자동화가 OS 수준에서 실제로 수행하는 작업을 추적합니다. cgroup v2 실행 범위 추적을 사용하여 프로세스 실행, 파일 활동, 네트워크 활동을 기록하며, 이벤트를 단일 감사 실행에 귀속시킵니다.

주요 기능

이 도구는 타임라인 검토 및 쿼리를 위해 JSONL 및 SQLite 형식으로 실행별 로컬 저장소를 제공합니다. AI 에이전트 감사에 초점을 맞춘 기본 탐지 규칙을 포함하며, 선택적 사용자 정의 YAML 규칙을 지원합니다. Logira는 설계상 관찰 전용으로, 기록하고 탐지하지만 차단하거나 강제하지 않습니다.

기본 탐지 항목

• 자격 증명 및 비밀 기록: ~/.ssh, ~/.aws, kube/gcloud/docker 구성, .netrc, .git-credentials, 레지스트리 자격 증명
• 민감한 자격 증명 읽기: SSH 개인 키, AWS 자격 증명/구성, kubeconfig, docker 구성, .netrc, .git-credentials
• 지속성 및 구성 변경: /etc 아래 기록, systemd 유닛, cron, 사용자 자동 시작 항목, 셸 시작 파일
• 임시 드롭퍼: /tmp, /dev/shm, /var/tmp 아래 생성된 실행 파일
• 의심스러운 실행 패턴: curl|sh, wget|sh, 터널링/리버스 셸 도구 및 플래그, 셸 힌트가 있는 base64 디코딩
• 에이전트 안전 파괴 패턴: rm -rf, git clean -fdx, find -delete, mkfs, terraform destroy 및 유사 명령
• 네트워크 이그레스: 의심스러운 대상 포트 및 클라우드 메타데이터 엔드포인트 접근

설치

스크립트를 통한 권장 설치 방법:

curl -fsSL https://raw.githubusercontent.com/melonattacker/logira/main/install.sh | sudo bash

또는 릴리스 tarball에서 수동 설치:

tar -xzf logira_vX.Y.Z_linux-<arch>.tar.gz
cd logira_vX.Y.Z_linux-<arch>
sudo ./install-local.sh

설치 또는 업그레이드 후 데몬 재시작:

sudo systemctl daemon-reload
sudo systemctl restart logirad.service
sudo systemctl status logirad.service --no-pager

실행 방법

루트 데몬 logirad는 systemd를 통해 실행됩니다. 설치 단계는 다음과 같습니다:

# 1) eBPF 객체 생성 (누락된 경우에만 필요)
make generate

2) systemd 유닛 설치
sudo install -D -m 0644 packaging/systemd/logirad.service /etc/systemd/system/logirad.service
3) 데몬 바이너리 설치 (유닛은 기본적으로 /usr/local/bin/logirad 사용)
sudo install -m 0755 ./logirad /usr/local/bin/logirad
4) (권장) 환경 파일을 통해 systemd가 eBPF .o 파일을 가리키도록 설정
sudo mkdir -p /etc/logira
sudo tee /etc/logira/logirad.env > /dev/null << 'EOF'
LOGIRA_EXEC_BPF_OBJ=/absolute/path/to/collector/linux

사용자 정의 규칙은 logira run --rules <file>로 실행별로 추가할 수 있습니다.