|
- UID
- 99
- 帖子
- 61
- 精华
- 0
- 积分
- 153
- 金币
- 56
- 威望
- 0
- 贡献
- 0
|
熟悉Linux内核安全入侵侦察系统
LIDS( Linux入侵侦察系统)是Linux内核补丁和系统管理员工lidsadm),它加强了Linux内核。它在内核中实现了一种安全模式 -- 参考模式以及内核中的Mandatory Access Control(命令进入控制)模式。本文将阐述LIDS的功能和如何使用它来建立一个安全的Linux系统。 5 [2 p/ Y/ W$ i2 u+ c
) G! ^" I. d2 `. R+ _- Z4 B( v/ w
为什么选择LIDS
; }3 i( V, Q" W% _. U/ a
4 ?5 G/ B4 ^9 T; N$ W* \$ K) e' a, r 随着互连网上Linux越来越受欢迎 ,越来越多现有GNU/LINUX系统上的应用软件中的安全漏洞被发现。很多程序利用了程序员的粗心,例如缓存溢出、格式化代码攻击。当系统安全受到程序的危及,黑客获得ROOT权限以后,整个系统将被入侵者控制。 8 s" Y; ]' t1 y4 _/ D) t
6 ]( _. e8 ~7 [& f. y5 H# m
由于代码的开放性,我们可以获得很多所希望Linux应用程序的原代码,并且根据我们的需要来修改。所以bug能很容易地被找到,并很快修补。但是当漏洞被揭示后,而系统管理员疏于给漏洞打补丁,从而造成很容易地就被入侵,更糟的是黑客能获得ROOT SHELL。利用现有的GNU/Linux系统,他为所欲为。这正是LIDS想要解决的问题。 : X/ M8 a8 E1 _
5 i' F1 K2 f C" T4 ]
首先看看现有的GNU/Linux系统存在哪些问题。
: N7 ?$ m5 Q* q: }& @$ H8 \* ^# H0 [/ Y' A: |5 P/ U! {9 n
文件系统未受到保护
6 K ^7 v$ C( ?& M/ z
' M+ l$ L7 c, Z- R! i, r: @ 系统中的很多重要的文件,例如 /bin/login,一旦黑客入侵后,他可以上传修改过的login文件来代替/bin/login ,然后他就可以不需要任何登陆名和密码就登陆系统。这常被称为Trojan house。
, ~$ p- {/ |6 O& c$ ~: K' I5 p# J3 ~, _* ~% u2 E* {, [6 u
进程未受到保护
- W: A8 ?1 R2 v# `0 a# \4 b# y& @; R' M' c- W3 g7 \9 z
系统上运行的进程是为某些系统功能所服务的,例如HTTPD是一个web服务器来满足远程客户端对于web的需求。作为web服务器系统,保护其进程不被非法终止是很重要的。但是当入侵者获得了ROOT权限后,我们却无能为力。 ; W% l6 N! a( G# Q4 ^- [' s
0 B) m x. ^+ O( M2 F) a$ P. T2 ?9 ?' f, R
系统管理未受保护 4 H% q- k) ?: j/ R1 e0 X
- ^ m" ?) T0 {( g: R+ w8 j) S) H 很多系统管理,例如,模块的装载/卸载,路由的设置,防火墙的规则,能很容易就被修改,如果用户的ID是0。所以当入侵者获得ROOT权限后,就变得很不安全。 $ f0 @' s# J j# z
1 r# A+ K6 ~. L* {+ [( u 超级用户(root)作为ROOT可能滥用权限 / v% T! x& _9 x9 h. ^$ d
/ s6 o, E/ h- k% t: r c3 N 他可以为所欲为,作为ROOT他甚至可以对现有的权限进行修改。 , [9 \7 t9 B; z
4 _* X8 S- r# _# v0 k
综上所述,我们发现在现有的Linux系统中的进入控制模式是不足以建立一个安全的Linux系统。我们必须在系统中添加新的模式来解决这些问题。这就是LIDS所要做的。 0 w- i6 p; p. ?0 a: f6 ^
8 k0 c! T* @3 n( ~5 f LIDS的特色
0 G9 p s& S, q1 X1 R$ _( Y, d
& D' `5 D/ B+ `6 h- Y s3 _- ? Linux入侵侦察系统是Linux内核补丁和系统管理员工具,它加强了内核的安全性。它在内核中实现了参考监听模式以及Mandatory Access Control(命令进入控制)模式。当它起作用后,选择文件进入,每一个系统/网络的管理操作,任何使用权限, raw device, mem和 I/O 进入将可以禁止甚至对于ROOT也一样。它使用和扩展了系统的功能,在整个系统上绑定控制设置,在内核中添加网络和文件系统的安全特性,从而加强了安全性。你可以在线调整安全保护,隐藏敏感进程,通过网络接受安全警告等等。
: L/ P' m, c2 j/ C; c. ~' ]6 p0 h+ ?( F
简而言之,LIDS提供了保护、侦察、响应的功能,从而是LINUX系统内核中的安全模式得以实现。
! K- S$ t0 ^9 P; T
$ R$ k3 f7 Q Y, _6 I 保护
$ {% g% }* ]- ]! R% n! V
- r% \0 `0 B0 n& N1 k LIDS提供以下的保护: 5 u5 q6 R4 R' v& y: B
0 H! H. a4 e4 E* f5 N; t 保护硬盘上任何类型的重要文件和目录,任何人包括ROOT都无法改变。能保护重要进程不被终止 能防止非法程序的RAW IO 操作。保护硬盘,包括MBR保护,等等。能保护系统中的敏感文件,防止未被授权者(包括ROOT)和未被授权的程序进入。
: X! A7 i9 P6 Z; |: f, T
5 _7 Z/ X1 w( F; A( c 侦察
2 j' G4 A- E+ T" K* H) s M3 q
7 M5 t+ Y/ O) P0 ] |6 M 当有人扫描你的主机, LIDS能侦察到并报告系统管理员。LIDS也可以检测到系统上任何违法规则的进程。
2 r9 H! D' i, b$ j2 X* D1 s8 P8 g; W
- n Q6 i( W0 W/ _ 响应
" |( U$ Q& m2 ~- i
, I [9 v3 S5 X% C 当有人违反规则, LIDS会将非法的运作细节记录到受LIDS保护的系统log文件中。LIDS还可以将log信息传到你的信箱中。LIDS也可以马上关闭与用户的对话。 8 i# e- o8 L3 E# L/ y+ p1 l. i
2 W$ o6 s& _/ Y( [7 r( [ 建立安全的Linux系统 * s* x8 g- l. V
: k, m+ c, u# ]* }# T8 d
看完了LIDS特性,让我们来看看怎么样一步步地用LIDS建立安全的系统。 |
|
发表于 2008-1-28 00:07
|