熟悉Linux内核安全入侵侦察系统

叶子

　　LIDS( Linux入侵侦察系统)是Linux内核补丁和系统管理员工lidsadm)，它加强了Linux内核。它在内核中实现了一种安全模式 -- 参考模式以及内核中的Mandatory Access Control（命令进入控制）模式。本文将阐述LIDS的功能和如何使用它来建立一个安全的Linux系统。 1 p7 u* x4 X. t' S
3 r+ m$ E5 p, k$ V5 N5 M0 h
　　为什么选择LIDS 6 `' g6 |* U! f& `% Z- d- M
' n' J7 I, {- K9 o
　　随着互连网上Linux越来越受欢迎 ,越来越多现有GNU/LINUX系统上的应用软件中的安全漏洞被发现。很多程序利用了程序员的粗心，例如缓存溢出、格式化代码攻击。当系统安全受到程序的危及，黑客获得ROOT权限以后，整个系统将被入侵者控制。
3 h5 l7 b' P* y
1 r+ y& P0 D( o8 F　　由于代码的开放性，我们可以获得很多所希望Linux应用程序的原代码，并且根据我们的需要来修改。所以bug能很容易地被找到，并很快修补。但是当漏洞被揭示后，而系统管理员疏于给漏洞打补丁，从而造成很容易地就被入侵，更糟的是黑客能获得ROOT SHELL。利用现有的GNU/Linux系统，他为所欲为。这正是LIDS想要解决的问题。
8 G4 _# B9 ?6 v6 \5 F2 A3 w
! j. Q/ |( C7 E! h/ b4 L8 J: Z* ^　　首先看看现有的GNU/Linux系统存在哪些问题。
& v0 N$ o; ~" i, N: b5 b4 l" H4 Z$ m
　　文件系统未受到保护
0 ^" b0 J9 ]. o$ H1 g8 a7 S" Z( N+ c9 M( {# P
　　系统中的很多重要的文件，例如 /bin/login，一旦黑客入侵后，他可以上传修改过的login文件来代替/bin/login ，然后他就可以不需要任何登陆名和密码就登陆系统。这常被称为Trojan house。 ' H. h4 s" J) f6 i2 f' v+ K3 \

, ^0 _8 ~+ U1 A! `! ^　　进程未受到保护 * d; w4 m8 Y$ f9 K

& D5 M$ o" \6 n: g; u　　系统上运行的进程是为某些系统功能所服务的，例如HTTPD是一个web服务器来满足远程客户端对于web的需求。作为web服务器系统，保护其进程不被非法终止是很重要的。但是当入侵者获得了ROOT权限后，我们却无能为力。 0 j. o% ?5 @/ k  l  [7 y4 F% y
! R5 y  j0 v' i5 m

4 }- e5 \$ K: e3 S　　系统管理未受保护
6 g( q6 R- Y2 C6 }& z2 f# F8 P# c6 ^2 J! ~2 g1 ^  ]
　　很多系统管理，例如，模块的装载/卸载，路由的设置，防火墙的规则，能很容易就被修改，如果用户的ID是0。所以当入侵者获得ROOT权限后，就变得很不安全。
- t. E8 }' d+ X0 A
1 E' `' M# H4 o; i7 n& Q3 L" \　　超级用户(root)作为ROOT可能滥用权限 ' l, X2 j- B/ G) f: `( Y

6 U* ^$ g! ]5 i4 T) N　　他可以为所欲为，作为ROOT他甚至可以对现有的权限进行修改。
( Z- J& w; c0 x+ }4 \0 b5 k  J" R3 z9 C$ Y* }$ Q
　　综上所述，我们发现在现有的Linux系统中的进入控制模式是不足以建立一个安全的Linux系统。我们必须在系统中添加新的模式来解决这些问题。这就是LIDS所要做的。
# a, ]: {5 D- E% M, k( L
5 D  h# A! I8 m2 b* a) Y　　LIDS的特色
+ y# n# g% n. d0 r1 C- I: ?* U  Q7 i, S7 W
　　Linux入侵侦察系统是Linux内核补丁和系统管理员工具，它加强了内核的安全性。它在内核中实现了参考监听模式以及Mandatory Access Control（命令进入控制）模式。当它起作用后，选择文件进入，每一个系统/网络的管理操作，任何使用权限， raw device， mem和 I/O 进入将可以禁止甚至对于ROOT也一样。它使用和扩展了系统的功能，在整个系统上绑定控制设置，在内核中添加网络和文件系统的安全特性，从而加强了安全性。你可以在线调整安全保护，隐藏敏感进程，通过网络接受安全警告等等。 0 y, z, m& M0 y# X' b. g
0 ^5 [0 ?0 s6 T2 F9 l# v' g# a# L
　　简而言之，LIDS提供了保护、侦察、响应的功能，从而是LINUX系统内核中的安全模式得以实现。 0 _. u( o* B6 T9 e

9 E8 ]8 ^! W8 c! ]  K　　保护
) |* S+ o" S$ @: X+ O% f
* W' D  T7 i( b: L5 U8 N3 N　　LIDS提供以下的保护：
! ]6 d* i& X1 q) q- @- X, N& I# T1 r, A3 X+ F. Y
　　保护硬盘上任何类型的重要文件和目录，任何人包括ROOT都无法改变。能保护重要进程不被终止 能防止非法程序的RAW IO 操作。保护硬盘，包括MBR保护，等等。能保护系统中的敏感文件，防止未被授权者(包括ROOT)和未被授权的程序进入。 + b$ k, v0 Y+ D# f

" U! x8 |9 G4 [$ O: p( L! {　　侦察
4 d2 Z' G( G5 c. u; h2 p) e4 m5 [3 D' c' g
　　当有人扫描你的主机， LIDS能侦察到并报告系统管理员。LIDS也可以检测到系统上任何违法规则的进程。 3 F8 U1 C  e' S; m3 l" u$ C- O

: _: H- U, B7 _2 w. ]  W6 U9 [　　响应
5 C2 e8 {# O0 N; J: w0 J" X$ S9 b* s5 f$ @7 I, R- j% @
　　当有人违反规则， LIDS会将非法的运作细节记录到受LIDS保护的系统log文件中。LIDS还可以将log信息传到你的信箱中。LIDS也可以马上关闭与用户的对话。
3 r, H8 c1 p3 D2 m  C
: A7 ~( B) u7 W- T2 t6 B8 s　　建立安全的Linux系统
% s% z8 x, O+ }9 j( e. D4 p; E' b4 |: ]( W% a
　　看完了LIDS特性，让我们来看看怎么样一步步地用LIDS建立安全的系统。