Board logo

标题: 熟悉Linux内核安全入侵侦察系统 [打印本页]
作者: 叶子    时间: 2008-1-28 00:07     标题: 熟悉Linux内核安全入侵侦察系统

  LIDS( Linux入侵侦察系统)是Linux内核补丁和系统管理员工lidsadm),它加强了Linux内核。它在内核中实现了一种安全模式 -- 参考模式以及内核中的Mandatory Access Control(命令进入控制)模式。本文将阐述LIDS的功能和如何使用它来建立一个安全的Linux系统。 ; N4 P* w6 L- k

! x6 f8 m6 E5 M3 d- D( {7 |  V  为什么选择LIDS + K) p9 x* \$ q6 ]$ r
  {' X5 p$ I- K) k( }+ l5 \, h
  随着互连网上Linux越来越受欢迎 ,越来越多现有GNU/LINUX系统上的应用软件中的安全漏洞被发现。很多程序利用了程序员的粗心,例如缓存溢出、格式化代码攻击。当系统安全受到程序的危及,黑客获得ROOT权限以后,整个系统将被入侵者控制。 1 E0 f/ {. h+ G" c4 R( S! V
! C+ Y# [7 v' t$ j$ {" o
  由于代码的开放性,我们可以获得很多所希望Linux应用程序的原代码,并且根据我们的需要来修改。所以bug能很容易地被找到,并很快修补。但是当漏洞被揭示后,而系统管理员疏于给漏洞打补丁,从而造成很容易地就被入侵,更糟的是黑客能获得ROOT SHELL。利用现有的GNU/Linux系统,他为所欲为。这正是LIDS想要解决的问题。
/ H. o2 E3 f. h) Q3 h. y
9 I5 E# V% {3 Y  首先看看现有的GNU/Linux系统存在哪些问题。
$ O/ h6 f3 ^+ w' Z' F/ G4 l- `
' u% r) U+ t+ _4 P* h2 b  文件系统未受到保护 . ?5 L. ~4 y; a

9 ?% y$ J9 Q, ]! }5 A1 E# \' [  系统中的很多重要的文件,例如 /bin/login,一旦黑客入侵后,他可以上传修改过的login文件来代替/bin/login ,然后他就可以不需要任何登陆名和密码就登陆系统。这常被称为Trojan house。
" c0 M5 l* Z( v  ]1 U' i
' |: J5 ^) ~6 H' m! W! Y/ O! v) Z  进程未受到保护
7 F8 J$ I* }2 ?3 Y9 K5 O$ x
8 {* q# A- H6 ]9 _: d8 k0 y3 Y  系统上运行的进程是为某些系统功能所服务的,例如HTTPD是一个web服务器来满足远程客户端对于web的需求。作为web服务器系统,保护其进程不被非法终止是很重要的。但是当入侵者获得了ROOT权限后,我们却无能为力。
) \5 f+ p' B( c/ M6 a+ @
. a! y. q+ E3 @2 K; `& n# S" R% P2 u$ w# P$ t: z
  系统管理未受保护
0 g; A0 x6 H$ N* r7 x: [& T9 |0 E: D2 q4 q2 W7 ]
  很多系统管理,例如,模块的装载/卸载,路由的设置,防火墙的规则,能很容易就被修改,如果用户的ID是0。所以当入侵者获得ROOT权限后,就变得很不安全。
6 f) q3 t+ ~8 u' ?( a) \  ]- i( K7 u; s9 j) q
  超级用户(root)作为ROOT可能滥用权限 4 B  d' Z) [; ~

4 t% l( i1 `: a4 L' \8 |* ^& i% I  他可以为所欲为,作为ROOT他甚至可以对现有的权限进行修改。
% X+ w8 J: g" H8 i7 h! ~: K) f' s3 n' @1 `! D  l! N
  综上所述,我们发现在现有的Linux系统中的进入控制模式是不足以建立一个安全的Linux系统。我们必须在系统中添加新的模式来解决这些问题。这就是LIDS所要做的。 5 N# y* B# ]' b) y

6 H, m/ ?2 c/ R, P. a' \* }  LIDS的特色
9 ^* W4 L8 o  Q9 q9 r
. U$ N* e4 X5 Y- f" D8 m. ]1 @6 h( e  Linux入侵侦察系统是Linux内核补丁和系统管理员工具,它加强了内核的安全性。它在内核中实现了参考监听模式以及Mandatory Access Control(命令进入控制)模式。当它起作用后,选择文件进入,每一个系统/网络的管理操作,任何使用权限, raw device, mem和 I/O 进入将可以禁止甚至对于ROOT也一样。它使用和扩展了系统的功能,在整个系统上绑定控制设置,在内核中添加网络和文件系统的安全特性,从而加强了安全性。你可以在线调整安全保护,隐藏敏感进程,通过网络接受安全警告等等。
& P9 U5 o$ }& w: q* Z( K) C+ `" U
( V0 G1 B# x' E7 k* L5 x  简而言之,LIDS提供了保护、侦察、响应的功能,从而是LINUX系统内核中的安全模式得以实现。 & [/ y4 I$ T; P+ e# v- b
( A( x& W+ G2 u' I
  保护 9 A+ Q0 q% Q2 u* k! ~" O$ U

/ x0 c+ q* {9 ]4 s3 _$ j  LIDS提供以下的保护:
/ V2 t' f& n% `% }4 c# c6 G/ t+ N, E  C. c
  保护硬盘上任何类型的重要文件和目录,任何人包括ROOT都无法改变。能保护重要进程不被终止 能防止非法程序的RAW IO 操作。保护硬盘,包括MBR保护,等等。能保护系统中的敏感文件,防止未被授权者(包括ROOT)和未被授权的程序进入。 ( u' z2 q+ O7 H- t4 _
7 y- W  W. \8 o6 g$ a" L
  侦察 . w2 I% G1 p4 @, Y- S9 R/ B

7 `+ d, m0 u9 H3 f6 B2 X. q  当有人扫描你的主机, LIDS能侦察到并报告系统管理员。LIDS也可以检测到系统上任何违法规则的进程。 * Y. U# Y; }* V5 v2 d( ~
' u8 |6 x2 i, s% I4 n& U
  响应 4 ~5 k# I) E# h& ~
  [% x$ X+ O; J0 A
  当有人违反规则, LIDS会将非法的运作细节记录到受LIDS保护的系统log文件中。LIDS还可以将log信息传到你的信箱中。LIDS也可以马上关闭与用户的对话。 , Q7 N/ R+ m- q& V; Z/ @
6 K; U* h4 N% J/ R6 W( d3 ~
  建立安全的Linux系统 $ I7 V/ N7 W& d$ d3 N; k
# j( r) `* s4 L' T; x& J
  看完了LIDS特性,让我们来看看怎么样一步步地用LIDS建立安全的系统。



欢迎光临 捌玖网络工作室 (http://www.89w.org/) Powered by Discuz! 7.2