熟悉Linux内核安全入侵侦察系统

叶子

　　LIDS( Linux入侵侦察系统)是Linux内核补丁和系统管理员工lidsadm)，它加强了Linux内核。它在内核中实现了一种安全模式 -- 参考模式以及内核中的Mandatory Access Control（命令进入控制）模式。本文将阐述LIDS的功能和如何使用它来建立一个安全的Linux系统。
7 V, S5 S+ R# u- @, [6 K0 T3 R( |' g# q8 i$ D0 y
　　为什么选择LIDS
4 _+ [7 C! C) ^9 T& l& _! e6 u9 j# ]3 s: L7 v8 n' V1 n! f
　　随着互连网上Linux越来越受欢迎 ,越来越多现有GNU/LINUX系统上的应用软件中的安全漏洞被发现。很多程序利用了程序员的粗心，例如缓存溢出、格式化代码攻击。当系统安全受到程序的危及，黑客获得ROOT权限以后，整个系统将被入侵者控制。 * F& u1 h( b. u" r4 G: r& f6 ~

0 h/ W! h1 K# V6 S6 a. Z7 H0 @2 @　　由于代码的开放性，我们可以获得很多所希望Linux应用程序的原代码，并且根据我们的需要来修改。所以bug能很容易地被找到，并很快修补。但是当漏洞被揭示后，而系统管理员疏于给漏洞打补丁，从而造成很容易地就被入侵，更糟的是黑客能获得ROOT SHELL。利用现有的GNU/Linux系统，他为所欲为。这正是LIDS想要解决的问题。
2 M, l+ ^- S; M  i9 J7 {" p
1 J& @- \0 T# T　　首先看看现有的GNU/Linux系统存在哪些问题。
" K( E3 [& O2 f6 e' y1 K1 Q  z0 V
　　文件系统未受到保护
3 [# J4 B) Q: g/ Z! b% J" ]- J9 F, h; p4 J( p: D
　　系统中的很多重要的文件，例如 /bin/login，一旦黑客入侵后，他可以上传修改过的login文件来代替/bin/login ，然后他就可以不需要任何登陆名和密码就登陆系统。这常被称为Trojan house。
% I1 _; P7 ]( O" X0 d
% X" S$ B% K' f　　进程未受到保护 ) Z8 U) E9 L" C# ~! U0 [$ X

, g* G- U7 A& ~6 G　　系统上运行的进程是为某些系统功能所服务的，例如HTTPD是一个web服务器来满足远程客户端对于web的需求。作为web服务器系统，保护其进程不被非法终止是很重要的。但是当入侵者获得了ROOT权限后，我们却无能为力。 & x- j% f% h( t0 G9 {' t

! M8 i/ \* x" V. N7 s8 J  ^* I2 L; a5 I& y* J8 Y2 }
　　系统管理未受保护 ( `0 e8 _$ U# e/ {  K

! a5 _/ P& V; ?7 }　　很多系统管理，例如，模块的装载/卸载，路由的设置，防火墙的规则，能很容易就被修改，如果用户的ID是0。所以当入侵者获得ROOT权限后，就变得很不安全。 5 {" f9 o8 H6 u8 R  g, s( }7 Y6 \

- E% z+ J" q3 [6 b- c　　超级用户(root)作为ROOT可能滥用权限 # P. J' Q4 ^: S" \, n

# x/ I, Y* ?5 y+ ]+ v) g　　他可以为所欲为，作为ROOT他甚至可以对现有的权限进行修改。
9 c" Z5 Y3 T: G, S* V) P
  g- R* M# b7 W" n- b0 I7 X　　综上所述，我们发现在现有的Linux系统中的进入控制模式是不足以建立一个安全的Linux系统。我们必须在系统中添加新的模式来解决这些问题。这就是LIDS所要做的。 * c# y/ A5 D/ y* j4 o8 E: |! \
! ~# A, s1 C" @7 L. s+ X) r
　　LIDS的特色
3 O! G8 d+ d3 u" i; ~) u2 U' F' d; G( A- J+ J8 g, g( O
　　Linux入侵侦察系统是Linux内核补丁和系统管理员工具，它加强了内核的安全性。它在内核中实现了参考监听模式以及Mandatory Access Control（命令进入控制）模式。当它起作用后，选择文件进入，每一个系统/网络的管理操作，任何使用权限， raw device， mem和 I/O 进入将可以禁止甚至对于ROOT也一样。它使用和扩展了系统的功能，在整个系统上绑定控制设置，在内核中添加网络和文件系统的安全特性，从而加强了安全性。你可以在线调整安全保护，隐藏敏感进程，通过网络接受安全警告等等。 ) Y% u- T; f) e- e

) G; r8 b  @: p3 a& U　　简而言之，LIDS提供了保护、侦察、响应的功能，从而是LINUX系统内核中的安全模式得以实现。 - E: M! `: M' E4 X2 ?" {
+ ]9 M" e, D$ ]9 g
　　保护 3 ^) m5 y9 C, L/ o- z
! [  Y, Y& C) y0 q4 l
　　LIDS提供以下的保护： ( w8 j" ]# q$ O5 r" }: L

3 X3 I. R+ P6 m7 v7 v　　保护硬盘上任何类型的重要文件和目录，任何人包括ROOT都无法改变。能保护重要进程不被终止 能防止非法程序的RAW IO 操作。保护硬盘，包括MBR保护，等等。能保护系统中的敏感文件，防止未被授权者(包括ROOT)和未被授权的程序进入。 4 ]8 p3 ~! q% T: q; ~) N6 S( i3 _* T

3 `7 d, _5 p5 b  j+ q9 y- n　　侦察 ) \: L' Z2 z3 t4 @
/ A1 O# l' p2 y, N
　　当有人扫描你的主机， LIDS能侦察到并报告系统管理员。LIDS也可以检测到系统上任何违法规则的进程。 1 p5 E% [( v* l
, Y# R6 W, G9 r5 i
　　响应
3 ~6 f! _5 N0 q6 c+ J8 X1 v
, |- Q# J) ~5 R& S6 a+ v6 ~0 H　　当有人违反规则， LIDS会将非法的运作细节记录到受LIDS保护的系统log文件中。LIDS还可以将log信息传到你的信箱中。LIDS也可以马上关闭与用户的对话。 ! T$ [+ a, o+ K" f+ F
  p$ ^  ^6 T+ ?: m' M$ u
　　建立安全的Linux系统 ) V% U6 i2 u9 j# A5 R0 d
8 H( F# A1 D- @
　　看完了LIDS特性，让我们来看看怎么样一步步地用LIDS建立安全的系统。