熟悉Linux内核安全入侵侦察系统

叶子

　　LIDS( Linux入侵侦察系统)是Linux内核补丁和系统管理员工lidsadm)，它加强了Linux内核。它在内核中实现了一种安全模式 -- 参考模式以及内核中的Mandatory Access Control（命令进入控制）模式。本文将阐述LIDS的功能和如何使用它来建立一个安全的Linux系统。
/ q& H& [( p' q' t' ]0 O: E; I8 D9 X# b0 a3 A
　　为什么选择LIDS
" Y" P3 \4 H# d. E  L
! e5 U4 s3 G( q; p8 L( d* J　　随着互连网上Linux越来越受欢迎 ,越来越多现有GNU/LINUX系统上的应用软件中的安全漏洞被发现。很多程序利用了程序员的粗心，例如缓存溢出、格式化代码攻击。当系统安全受到程序的危及，黑客获得ROOT权限以后，整个系统将被入侵者控制。 6 S7 n9 ^2 Y" X) c8 i3 p" h5 ?* K8 c  E

! I! w1 N2 n5 v( g, e　　由于代码的开放性，我们可以获得很多所希望Linux应用程序的原代码，并且根据我们的需要来修改。所以bug能很容易地被找到，并很快修补。但是当漏洞被揭示后，而系统管理员疏于给漏洞打补丁，从而造成很容易地就被入侵，更糟的是黑客能获得ROOT SHELL。利用现有的GNU/Linux系统，他为所欲为。这正是LIDS想要解决的问题。
8 I; E8 p% x( o9 {: h
( }2 J/ c7 {- z　　首先看看现有的GNU/Linux系统存在哪些问题。
2 U) S' [3 g* F# S* F! x* y+ G# v7 v: `5 M. ~% F/ }$ r' I
　　文件系统未受到保护 7 E2 a- K; q3 _* c& x
8 a% i# K* r- ]' u3 H4 @7 l
　　系统中的很多重要的文件，例如 /bin/login，一旦黑客入侵后，他可以上传修改过的login文件来代替/bin/login ，然后他就可以不需要任何登陆名和密码就登陆系统。这常被称为Trojan house。
5 @3 y; I5 m& i- _; m6 H. e% J: m7 {/ B
　　进程未受到保护 1 [6 l4 c+ {( l8 M3 h9 M

8 l7 B$ m$ u6 K: I　　系统上运行的进程是为某些系统功能所服务的，例如HTTPD是一个web服务器来满足远程客户端对于web的需求。作为web服务器系统，保护其进程不被非法终止是很重要的。但是当入侵者获得了ROOT权限后，我们却无能为力。
! y9 B# M+ F& b$ S2 @8 m$ q# }' q2 g; ?" d7 {( B8 y

0 A" [% w* q$ I　　系统管理未受保护
/ W. r" |( a/ a; I: C7 j: n
: Q/ ?4 H, w- k3 |4 @　　很多系统管理，例如，模块的装载/卸载，路由的设置，防火墙的规则，能很容易就被修改，如果用户的ID是0。所以当入侵者获得ROOT权限后，就变得很不安全。 : R; L4 C, [# y7 b$ ?
6 a& Q  @1 m& h& h$ T+ G
　　超级用户(root)作为ROOT可能滥用权限
5 R9 ?! x7 z! I2 |
# v! p& {2 L$ F0 A& S3 I　　他可以为所欲为，作为ROOT他甚至可以对现有的权限进行修改。
0 {. _3 \# Y* t# i* M0 F0 D" ~  R; Y! c, W3 O
　　综上所述，我们发现在现有的Linux系统中的进入控制模式是不足以建立一个安全的Linux系统。我们必须在系统中添加新的模式来解决这些问题。这就是LIDS所要做的。
2 L% x5 `( _' [  u
8 G6 O) R( n% {7 _$ @6 h　　LIDS的特色 + `+ ~1 b( O9 L6 E# r) {

% t( v7 f" L2 E' P1 \5 L/ ~　　Linux入侵侦察系统是Linux内核补丁和系统管理员工具，它加强了内核的安全性。它在内核中实现了参考监听模式以及Mandatory Access Control（命令进入控制）模式。当它起作用后，选择文件进入，每一个系统/网络的管理操作，任何使用权限， raw device， mem和 I/O 进入将可以禁止甚至对于ROOT也一样。它使用和扩展了系统的功能，在整个系统上绑定控制设置，在内核中添加网络和文件系统的安全特性，从而加强了安全性。你可以在线调整安全保护，隐藏敏感进程，通过网络接受安全警告等等。
9 z/ x; |* [: V! H: }
; R- h1 q( a) m/ Y% D　　简而言之，LIDS提供了保护、侦察、响应的功能，从而是LINUX系统内核中的安全模式得以实现。
9 B" D' q* H3 p+ m7 Z& ?% B
! B& g# O& l% J* v% H& a3 X7 P' I　　保护
3 s+ q/ E; Q: z' F- L) k
' t* x5 e$ P/ a+ v9 g" a　　LIDS提供以下的保护： 3 J; x( N2 {( R* ^0 |/ P( w- E
' O6 l8 p$ i! [, _* ~, a8 U# H
　　保护硬盘上任何类型的重要文件和目录，任何人包括ROOT都无法改变。能保护重要进程不被终止 能防止非法程序的RAW IO 操作。保护硬盘，包括MBR保护，等等。能保护系统中的敏感文件，防止未被授权者(包括ROOT)和未被授权的程序进入。 , d  ~$ W7 @, z$ W) Q

2 S: i' ?- P5 Y/ B( w$ U9 |　　侦察 1 c# L. o1 ~4 k! g% o1 K5 e. C
1 r( U% r) a+ v- y- Q; C) O
　　当有人扫描你的主机， LIDS能侦察到并报告系统管理员。LIDS也可以检测到系统上任何违法规则的进程。 6 p8 E0 W* H2 w& p; s4 W" \" Z
% K/ v2 c! v8 l! }; u5 t# n
　　响应
( F: d" p1 h! `
7 D1 S) `" j. ]* d6 Q2 i! ?$ z! ]  U　　当有人违反规则， LIDS会将非法的运作细节记录到受LIDS保护的系统log文件中。LIDS还可以将log信息传到你的信箱中。LIDS也可以马上关闭与用户的对话。
+ y5 w% K9 e) s  s) Y. u# s# l8 |$ H& {
　　建立安全的Linux系统
+ d! O0 O* E2 c5 V1 ?* p' |/ E8 [$ K* h% k# }
　　看完了LIDS特性，让我们来看看怎么样一步步地用LIDS建立安全的系统。