熟悉Linux内核安全入侵侦察系统

叶子

　　LIDS( Linux入侵侦察系统)是Linux内核补丁和系统管理员工lidsadm)，它加强了Linux内核。它在内核中实现了一种安全模式 -- 参考模式以及内核中的Mandatory Access Control（命令进入控制）模式。本文将阐述LIDS的功能和如何使用它来建立一个安全的Linux系统。
+ R9 C0 Q! g( g0 k1 t( z! J8 m
, z# Q( i3 `( ]2 }9 `0 M% N　　为什么选择LIDS % P- I( A- u% p. l3 B& e* G* ~
4 v* p# X+ b3 Q# S+ f( s
　　随着互连网上Linux越来越受欢迎 ,越来越多现有GNU/LINUX系统上的应用软件中的安全漏洞被发现。很多程序利用了程序员的粗心，例如缓存溢出、格式化代码攻击。当系统安全受到程序的危及，黑客获得ROOT权限以后，整个系统将被入侵者控制。
8 H* g5 g  e+ U, u; X% [7 X1 S
! [+ [& `2 o( H& R2 H　　由于代码的开放性，我们可以获得很多所希望Linux应用程序的原代码，并且根据我们的需要来修改。所以bug能很容易地被找到，并很快修补。但是当漏洞被揭示后，而系统管理员疏于给漏洞打补丁，从而造成很容易地就被入侵，更糟的是黑客能获得ROOT SHELL。利用现有的GNU/Linux系统，他为所欲为。这正是LIDS想要解决的问题。
0 O0 J$ @# @7 f0 ^  X& z8 b/ F9 w
$ X1 p$ z+ l, C　　首先看看现有的GNU/Linux系统存在哪些问题。 ; e0 n6 N: T8 `0 f- s

' C  N6 e# m0 _　　文件系统未受到保护 - @3 V- {) Y4 j* D2 e

7 i6 H0 L/ s! l+ D% V　　系统中的很多重要的文件，例如 /bin/login，一旦黑客入侵后，他可以上传修改过的login文件来代替/bin/login ，然后他就可以不需要任何登陆名和密码就登陆系统。这常被称为Trojan house。 & U. h3 z9 L$ T" g4 U

- {8 q9 \. i" J; A/ P　　进程未受到保护 9 Y5 {- p; k( x: M. `$ A
; F' S- s! X( M
　　系统上运行的进程是为某些系统功能所服务的，例如HTTPD是一个web服务器来满足远程客户端对于web的需求。作为web服务器系统，保护其进程不被非法终止是很重要的。但是当入侵者获得了ROOT权限后，我们却无能为力。 1 L  a5 t+ {1 y: j

* _0 P9 K  ?6 H+ b! _
% y! D4 E$ b1 N2 K　　系统管理未受保护 ' a- w/ J, ^" e

% h$ S& Q; L8 T/ y, }. {5 C8 w　　很多系统管理，例如，模块的装载/卸载，路由的设置，防火墙的规则，能很容易就被修改，如果用户的ID是0。所以当入侵者获得ROOT权限后，就变得很不安全。
, [+ F' Q' P; T9 \6 {4 O: s
" e6 [+ _+ x/ s4 U2 T　　超级用户(root)作为ROOT可能滥用权限 ( m, T5 \7 P! O1 T0 U# w6 g
* y; y4 @& V" s
　　他可以为所欲为，作为ROOT他甚至可以对现有的权限进行修改。 4 q5 x5 y. S  G6 R

: U+ u- I0 E1 o& Y! X　　综上所述，我们发现在现有的Linux系统中的进入控制模式是不足以建立一个安全的Linux系统。我们必须在系统中添加新的模式来解决这些问题。这就是LIDS所要做的。 4 G: M3 v' s  r5 c! C
+ C- g/ {! k- t' {
　　LIDS的特色
$ t) H' D$ C# S" b6 ~1 X
2 s/ j! X( r2 J- j% T' c+ o0 r　　Linux入侵侦察系统是Linux内核补丁和系统管理员工具，它加强了内核的安全性。它在内核中实现了参考监听模式以及Mandatory Access Control（命令进入控制）模式。当它起作用后，选择文件进入，每一个系统/网络的管理操作，任何使用权限， raw device， mem和 I/O 进入将可以禁止甚至对于ROOT也一样。它使用和扩展了系统的功能，在整个系统上绑定控制设置，在内核中添加网络和文件系统的安全特性，从而加强了安全性。你可以在线调整安全保护，隐藏敏感进程，通过网络接受安全警告等等。
, W/ m2 ~/ ?9 F6 [: _; j/ [, }; S. R; H" U% K
　　简而言之，LIDS提供了保护、侦察、响应的功能，从而是LINUX系统内核中的安全模式得以实现。
( H$ Q4 e# F6 V" d; a
  M# f9 z- X% Y- A; K4 ~　　保护
$ D/ s9 S4 U( X+ B2 r* P7 k* t. r3 Y( t
　　LIDS提供以下的保护：
8 P' {/ {3 F6 A1 \* l$ u+ s( ?% e4 u& }  @8 |3 N7 P; V" }
　　保护硬盘上任何类型的重要文件和目录，任何人包括ROOT都无法改变。能保护重要进程不被终止 能防止非法程序的RAW IO 操作。保护硬盘，包括MBR保护，等等。能保护系统中的敏感文件，防止未被授权者(包括ROOT)和未被授权的程序进入。
5 z6 y0 {) s# ^
" M5 ?% J8 }" u# i- |  [) D　　侦察 * B" h& n7 V5 T' r/ b
4 Z& T2 d& r( I4 E
　　当有人扫描你的主机， LIDS能侦察到并报告系统管理员。LIDS也可以检测到系统上任何违法规则的进程。 . e! Z1 U( s: [
! x' G% q4 ^% p3 a' P
　　响应 - G8 ?: x- Q' X) T8 O8 `) W2 F) D

, |9 a5 A: V* \8 _　　当有人违反规则， LIDS会将非法的运作细节记录到受LIDS保护的系统log文件中。LIDS还可以将log信息传到你的信箱中。LIDS也可以马上关闭与用户的对话。 ' ^/ e7 q8 k5 _

+ U1 V, m5 n! K) @" H3 i　　建立安全的Linux系统
: Z! i5 q2 L# Q' y6 Z$ z! X# Y
4 T( j: E3 F$ W4 @1 W: i) n　　看完了LIDS特性，让我们来看看怎么样一步步地用LIDS建立安全的系统。