熟悉Linux内核安全入侵侦察系统

叶子

　　LIDS( Linux入侵侦察系统)是Linux内核补丁和系统管理员工lidsadm)，它加强了Linux内核。它在内核中实现了一种安全模式 -- 参考模式以及内核中的Mandatory Access Control（命令进入控制）模式。本文将阐述LIDS的功能和如何使用它来建立一个安全的Linux系统。
: @( N: X3 d; L" T1 j4 M6 J) t% ^8 Z0 Y3 @- E
　　为什么选择LIDS $ t% o* `; ^/ F- Q3 L0 f5 r
- ]  M2 X2 S4 x: [1 x2 ~( @
　　随着互连网上Linux越来越受欢迎 ,越来越多现有GNU/LINUX系统上的应用软件中的安全漏洞被发现。很多程序利用了程序员的粗心，例如缓存溢出、格式化代码攻击。当系统安全受到程序的危及，黑客获得ROOT权限以后，整个系统将被入侵者控制。 ; I2 L; i/ ^" a$ m" n% ]/ ~' d! v+ E

! k3 y( l, M$ i7 O- h8 `6 G8 B　　由于代码的开放性，我们可以获得很多所希望Linux应用程序的原代码，并且根据我们的需要来修改。所以bug能很容易地被找到，并很快修补。但是当漏洞被揭示后，而系统管理员疏于给漏洞打补丁，从而造成很容易地就被入侵，更糟的是黑客能获得ROOT SHELL。利用现有的GNU/Linux系统，他为所欲为。这正是LIDS想要解决的问题。
) Y8 a4 C; x' O4 N& r0 a0 p; P! X% Z- S* |0 u3 q$ r6 z
　　首先看看现有的GNU/Linux系统存在哪些问题。 , R5 Y' V; {. V% n' F' o

& i1 w5 l0 B" Y　　文件系统未受到保护
1 {0 N/ `8 p; l" D, X2 k4 Q' U6 z0 H# I: E- ~  L4 A
　　系统中的很多重要的文件，例如 /bin/login，一旦黑客入侵后，他可以上传修改过的login文件来代替/bin/login ，然后他就可以不需要任何登陆名和密码就登陆系统。这常被称为Trojan house。
6 ?' K$ A- R, Q9 I' ^5 B0 L6 ^, h; K
; D- Y( Y5 g5 R, A　　进程未受到保护 * L" Z5 Q+ G  ?  `; ~0 Q

4 H9 T  }' n3 C$ b$ X　　系统上运行的进程是为某些系统功能所服务的，例如HTTPD是一个web服务器来满足远程客户端对于web的需求。作为web服务器系统，保护其进程不被非法终止是很重要的。但是当入侵者获得了ROOT权限后，我们却无能为力。 , h* ~$ |* l) Q; {3 y) s

7 ?; k& z% l2 D: _0 s. [
# g. I' I0 C' A! K% }2 l, D　　系统管理未受保护
0 K( d1 f4 g6 d% \7 u  a1 R* s, ^/ \  A# a
　　很多系统管理，例如，模块的装载/卸载，路由的设置，防火墙的规则，能很容易就被修改，如果用户的ID是0。所以当入侵者获得ROOT权限后，就变得很不安全。
0 @# u( I( o0 Y, n) G# o, r0 r% u, z! p! u( Z
　　超级用户(root)作为ROOT可能滥用权限 # U1 R) p* h3 |7 Y, p6 x. y0 }6 y$ L
7 w' [% j) v& n! ?+ _" V; i" l5 D9 y$ n& X
　　他可以为所欲为，作为ROOT他甚至可以对现有的权限进行修改。 6 P8 C$ `( `" \: T" Z8 O$ r8 r

1 V, B. S0 G$ G　　综上所述，我们发现在现有的Linux系统中的进入控制模式是不足以建立一个安全的Linux系统。我们必须在系统中添加新的模式来解决这些问题。这就是LIDS所要做的。 6 }  d8 r  Z0 I- Y/ ^, N" y

$ W2 ?/ l$ D* I8 j　　LIDS的特色 , N3 j" F- i% @9 A  I7 Q! j, F5 m, U

# G* I/ ]% p0 J　　Linux入侵侦察系统是Linux内核补丁和系统管理员工具，它加强了内核的安全性。它在内核中实现了参考监听模式以及Mandatory Access Control（命令进入控制）模式。当它起作用后，选择文件进入，每一个系统/网络的管理操作，任何使用权限， raw device， mem和 I/O 进入将可以禁止甚至对于ROOT也一样。它使用和扩展了系统的功能，在整个系统上绑定控制设置，在内核中添加网络和文件系统的安全特性，从而加强了安全性。你可以在线调整安全保护，隐藏敏感进程，通过网络接受安全警告等等。
/ ~' \3 s" j. t( m! N1 G1 y! Y' x' @# c, {
　　简而言之，LIDS提供了保护、侦察、响应的功能，从而是LINUX系统内核中的安全模式得以实现。 , J) O0 q1 E8 Q+ K6 p- [- I
" s% z2 v& `& N" I. P3 U
　　保护 ( n7 `- G6 `- `
( p, O! `& M- R! }: O9 o6 T0 I
　　LIDS提供以下的保护： 0 G. t. ]4 G2 L' O, `4 M- f9 S* {! w) D
3 n3 }/ ^0 Q* H4 b( m! g" N9 q' i: V
　　保护硬盘上任何类型的重要文件和目录，任何人包括ROOT都无法改变。能保护重要进程不被终止 能防止非法程序的RAW IO 操作。保护硬盘，包括MBR保护，等等。能保护系统中的敏感文件，防止未被授权者(包括ROOT)和未被授权的程序进入。 / f5 L7 F/ U, r1 I
* {! \$ ?* d6 \; x* [
　　侦察
; E7 g3 O+ R5 x
9 R) N" A. Z% a! }% c. L　　当有人扫描你的主机， LIDS能侦察到并报告系统管理员。LIDS也可以检测到系统上任何违法规则的进程。
1 r5 s: T2 n( H# v' B5 ~$ N% l0 A
1 C3 d% y& @6 {4 D7 D7 t　　响应
7 l/ l* }$ d  X: l$ ?: ]
* o' H0 F, ^6 ?* Z; u$ Y　　当有人违反规则， LIDS会将非法的运作细节记录到受LIDS保护的系统log文件中。LIDS还可以将log信息传到你的信箱中。LIDS也可以马上关闭与用户的对话。 9 P* ?/ B( G4 s5 G) c6 |
1 h% x9 i4 Z8 ]# M3 p
　　建立安全的Linux系统 ' P  l* b, ^+ v; l" M9 U9 O+ O( F
7 K4 ?. J/ d% e! P) m3 `$ W
　　看完了LIDS特性，让我们来看看怎么样一步步地用LIDS建立安全的系统。