Canary Tokens

Canary файлы для обнаружения несанкционированного доступа

🔧 Team и выше

Обзор

Canary Tokens — это файлы-ловушки, размещённые в критичных директориях. Если кто-то (человек, malware, AI agent) читает, модифицирует или перемещает canary файл — ServerGuard мгновенно детектирует это и отправляет alert. Помогает обнаружить lateral movement, unauthorized exploration и data exfiltration attempts.

Типы токенов

📄Файл-канарейка

Файл в критичной директории (/etc/.flowlink-canary). Детектирует: read, write, delete, chmod, chown.

🌐DNS Canary

Скрытая запись в /etc/resolv.conf или hosts. При DNS запросе на canary domain → alert.

🔑Env Canary

Переменная окружения с уникальным значением. При чтении через /proc → alert.

Размещение

bash

# ServerGuard автоматически размещает canary файлы
# при запуске с --canary flag

/opt/flowlink/bin/flowlink guard --relay http://127.0.0.1:9081 \
  --agent $AGENT_ID \
  start --foreground --canary --watch /etc,/opt

# Canary файлы будут созданы:
# /etc/.flowlink-canary
# /etc/ssh/.flowlink-canary
# /opt/flowlink/.flowlink-canary
# /root/.flowlink-canary

Alert при срабатывании

При обнаружении canary trigger — событие немедленно логируется в audit с severity=HIGH, отправляется webhook notification, и записывается в forensic timeline с blast radius assessment. Можно настроить auto-response: заблокировать агент, отключить SSH, notify SOC.

AI Ops Security