熟悉Linux内核安全入侵侦察系统

叶子

　　LIDS( Linux入侵侦察系统)是Linux内核补丁和系统管理员工lidsadm)，它加强了Linux内核。它在内核中实现了一种安全模式 -- 参考模式以及内核中的Mandatory Access Control（命令进入控制）模式。本文将阐述LIDS的功能和如何使用它来建立一个安全的Linux系统。
& `* B* F( J- m- g( |
9 d9 i1 V/ e" }# {1 d. y  ?　　为什么选择LIDS . Z8 Z2 M) ?. j" R! X& f! G

& x+ ]  x( f' j) T/ Z1 f　　随着互连网上Linux越来越受欢迎 ,越来越多现有GNU/LINUX系统上的应用软件中的安全漏洞被发现。很多程序利用了程序员的粗心，例如缓存溢出、格式化代码攻击。当系统安全受到程序的危及，黑客获得ROOT权限以后，整个系统将被入侵者控制。
: [6 ~8 _. _& s5 e  w2 i6 K. G# a8 |- K9 v+ ~/ R
　　由于代码的开放性，我们可以获得很多所希望Linux应用程序的原代码，并且根据我们的需要来修改。所以bug能很容易地被找到，并很快修补。但是当漏洞被揭示后，而系统管理员疏于给漏洞打补丁，从而造成很容易地就被入侵，更糟的是黑客能获得ROOT SHELL。利用现有的GNU/Linux系统，他为所欲为。这正是LIDS想要解决的问题。
2 X6 h$ \! @0 O% `( j$ u9 N7 l; M, S' w! D* l" X" U
　　首先看看现有的GNU/Linux系统存在哪些问题。 ' l8 ~- b, p6 M

$ L* ^; @. D5 z: Q' f2 x　　文件系统未受到保护
/ n- Q4 Z9 d; u' D" t( x0 Z7 ]( y7 s- m
　　系统中的很多重要的文件，例如 /bin/login，一旦黑客入侵后，他可以上传修改过的login文件来代替/bin/login ，然后他就可以不需要任何登陆名和密码就登陆系统。这常被称为Trojan house。 5 m& i- M. C+ o+ o
' C8 K6 C: b1 |9 {4 {) x( ^
　　进程未受到保护
' }4 t+ s, i% B# n7 X! j
: t) }! m. q$ @, D, m! O0 l) y　　系统上运行的进程是为某些系统功能所服务的，例如HTTPD是一个web服务器来满足远程客户端对于web的需求。作为web服务器系统，保护其进程不被非法终止是很重要的。但是当入侵者获得了ROOT权限后，我们却无能为力。 # k) v+ F- U. f" i% a& t1 T

3 `/ W# g* e/ I5 T% s  `2 V9 k! @. o
　　系统管理未受保护
* m" b& d7 _% F6 m' k) m9 e  ?0 X# e- B
　　很多系统管理，例如，模块的装载/卸载，路由的设置，防火墙的规则，能很容易就被修改，如果用户的ID是0。所以当入侵者获得ROOT权限后，就变得很不安全。 9 Q6 w; b% `9 z: z
: N8 D% G8 i) i) z/ x2 |3 E
　　超级用户(root)作为ROOT可能滥用权限 3 ~4 e' A' [7 W& @% [
% E% a' L# |+ M/ O/ x/ o
　　他可以为所欲为，作为ROOT他甚至可以对现有的权限进行修改。
0 K3 ]& e5 Z3 @- `3 s; ]8 z
, g- t- @4 ?4 J1 e) c　　综上所述，我们发现在现有的Linux系统中的进入控制模式是不足以建立一个安全的Linux系统。我们必须在系统中添加新的模式来解决这些问题。这就是LIDS所要做的。
2 \; M. k8 Z0 F! n
# P8 T8 Q5 z. x$ E0 m2 K　　LIDS的特色
5 a3 S2 W: w) s9 a  {- u
% G, j- L, z! V: n2 s' Z　　Linux入侵侦察系统是Linux内核补丁和系统管理员工具，它加强了内核的安全性。它在内核中实现了参考监听模式以及Mandatory Access Control（命令进入控制）模式。当它起作用后，选择文件进入，每一个系统/网络的管理操作，任何使用权限， raw device， mem和 I/O 进入将可以禁止甚至对于ROOT也一样。它使用和扩展了系统的功能，在整个系统上绑定控制设置，在内核中添加网络和文件系统的安全特性，从而加强了安全性。你可以在线调整安全保护，隐藏敏感进程，通过网络接受安全警告等等。
+ \' V0 M  P! G. w, H' h1 p! H7 k6 c' z' e
　　简而言之，LIDS提供了保护、侦察、响应的功能，从而是LINUX系统内核中的安全模式得以实现。 # {  c' c7 z5 t2 N" J( _3 a8 u; w

4 @+ N$ O- K4 v　　保护
( Y/ [6 v) c9 H
* h- e; J( t; ?. U* t　　LIDS提供以下的保护： ) p/ e0 f/ `  S* m2 |6 A) W
" e3 k+ a5 [8 y; {% D! t# n
　　保护硬盘上任何类型的重要文件和目录，任何人包括ROOT都无法改变。能保护重要进程不被终止 能防止非法程序的RAW IO 操作。保护硬盘，包括MBR保护，等等。能保护系统中的敏感文件，防止未被授权者(包括ROOT)和未被授权的程序进入。 / z& G% R4 L% T- Z  r

6 }! {0 ^- ]2 b/ L" n, d5 j　　侦察 $ g6 A3 Z* T" N- x" k
  R+ W' j  o) Z6 J
　　当有人扫描你的主机， LIDS能侦察到并报告系统管理员。LIDS也可以检测到系统上任何违法规则的进程。   k( ]6 a+ y7 w5 l( f
8 R7 g( J. N' Z+ x
　　响应
  S) u4 q3 n* c2 \$ [+ s" ]+ A; q5 P- B  _6 Y5 X
　　当有人违反规则， LIDS会将非法的运作细节记录到受LIDS保护的系统log文件中。LIDS还可以将log信息传到你的信箱中。LIDS也可以马上关闭与用户的对话。
( H9 u9 s! d0 u" o
5 z0 m0 L* |& {$ \　　建立安全的Linux系统 + u6 }3 U  w: B" C9 {
  m( h) X1 y3 n: @5 q9 ]
　　看完了LIDS特性，让我们来看看怎么样一步步地用LIDS建立安全的系统。