Logira — это инструмент аудита времени выполнения на основе eBPF для Linux, который отслеживает, что на самом деле делают ИИ-агенты и автоматизация на уровне операционной системы. Он записывает выполнение процессов, активность файлов и сетевую активность с использованием отслеживания в рамках cgroup v2, приписывая события отдельным аудируемым запускам.

Ключевые особенности

Инструмент предоставляет локальное хранилище на каждый запуск в форматах JSONL и SQLite для просмотра временной шкалы и выполнения запросов. Он включает правила обнаружения по умолчанию, ориентированные на аудит ИИ-агентов, с опциональными пользовательскими правилами в формате YAML. Logira по своей сути работает только в режиме наблюдения — он записывает и обнаруживает, но никогда не блокирует и не применяет принудительные меры.

Обнаружения по умолчанию

• Запись учетных данных и секретов: ~/.ssh, ~/.aws, конфигурации kube/gcloud/docker, .netrc, .git-credentials, учетные данные реестра
• Чтение чувствительных учетных данных: приватные ключи SSH, учетные данные/конфигурация AWS, kubeconfig, конфигурация docker, .netrc, .git-credentials
• Изменения постоянства и конфигурации: записи в /etc, юниты systemd, cron, записи автозапуска пользователя, файлы запуска оболочки
• Временные дропперы: исполняемые файлы, созданные в /tmp, /dev/shm, /var/tmp
• Подозрительные шаблоны выполнения: curl|sh, wget|sh, инструменты и флаги туннелирования/обратной оболочки, декодирование base64 с намеками на оболочку
• Деструктивные шаблоны безопасности агента: rm -rf, git clean -fdx, find -delete, mkfs, terraform destroy и аналогичные команды
• Исходящий сетевой трафик: подозрительные порты назначения и доступ к конечным точкам метаданных облака

Установка

Рекомендуемая установка через скрипт:

curl -fsSL https://raw.githubusercontent.com/melonattacker/logira/main/install.sh | sudo bash

Или ручная установка из архива релиза:

tar -xzf logira_vX.Y.Z_linux-<arch>.tar.gz
cd logira_vX.Y.Z_linux-<arch>
sudo ./install-local.sh

После установки или обновления перезапустите демон:

sudo systemctl daemon-reload
sudo systemctl restart logirad.service
sudo systemctl status logirad.service --no-pager

Как запустить

Корневой демон logirad запускается через systemd. Шаги установки включают:

# 1) Сгенерировать объекты eBPF (только если отсутствуют)
make generate

2) Установить юнит systemd
sudo install -D -m 0644 packaging/systemd/logirad.service /etc/systemd/system/logirad.service
3) Установить бинарный файл демона (юнит по умолчанию использует /usr/local/bin/logirad)
sudo install -m 0755 ./logirad /usr/local/bin/logirad
4) (Рекомендуется) Направить systemd на файлы .o eBPF через файл окружения
sudo mkdir -p /etc/logira
sudo tee /etc/logira/logirad.env > /dev/null << 'EOF'
LOGIRA_EXEC_BPF_OBJ=/absolute/path/to/collector/linux

Пользовательские правила можно добавлять на каждый запуск с помощью logira run --rules <file>.