熟悉Linux内核安全入侵侦察系统

叶子

　　LIDS( Linux入侵侦察系统)是Linux内核补丁和系统管理员工lidsadm)，它加强了Linux内核。它在内核中实现了一种安全模式 -- 参考模式以及内核中的Mandatory Access Control（命令进入控制）模式。本文将阐述LIDS的功能和如何使用它来建立一个安全的Linux系统。 ; a. z) u% y4 z+ l; e, E
6 |  A1 W6 Q, v! Z+ I6 z( P& h
　　为什么选择LIDS - Z% `! O* K0 y3 a) t; I

/ ^3 s1 n$ I' I" f　　随着互连网上Linux越来越受欢迎 ,越来越多现有GNU/LINUX系统上的应用软件中的安全漏洞被发现。很多程序利用了程序员的粗心，例如缓存溢出、格式化代码攻击。当系统安全受到程序的危及，黑客获得ROOT权限以后，整个系统将被入侵者控制。 3 n9 @% r. S) B3 H& j( `# f

  |5 `% m; ?* k7 \& D% c　　由于代码的开放性，我们可以获得很多所希望Linux应用程序的原代码，并且根据我们的需要来修改。所以bug能很容易地被找到，并很快修补。但是当漏洞被揭示后，而系统管理员疏于给漏洞打补丁，从而造成很容易地就被入侵，更糟的是黑客能获得ROOT SHELL。利用现有的GNU/Linux系统，他为所欲为。这正是LIDS想要解决的问题。
5 p7 V1 |% o4 q# ^! p
! X2 V  z! D. P$ M3 U' T　　首先看看现有的GNU/Linux系统存在哪些问题。 # R" o3 ]. F% c6 w3 E( d4 N

, P4 ]5 A5 T# A! `$ V　　文件系统未受到保护 ' ^) }$ X1 W: A6 D

3 f& J/ D# S1 N) A0 d　　系统中的很多重要的文件，例如 /bin/login，一旦黑客入侵后，他可以上传修改过的login文件来代替/bin/login ，然后他就可以不需要任何登陆名和密码就登陆系统。这常被称为Trojan house。
: G, w. q0 F/ S' t4 z/ {* j8 k0 K4 a+ |( r  e' w
　　进程未受到保护 ' {$ x% N0 M( \
7 T6 m! R+ k$ m
　　系统上运行的进程是为某些系统功能所服务的，例如HTTPD是一个web服务器来满足远程客户端对于web的需求。作为web服务器系统，保护其进程不被非法终止是很重要的。但是当入侵者获得了ROOT权限后，我们却无能为力。 8 j% e7 z& B3 X/ z% s# j, ?
+ O8 K3 p9 |1 N# }
6 z0 O' E- {+ v# I
　　系统管理未受保护 : P! r7 F" B5 ?, Y  _/ R/ f2 m2 z

; `7 l' r# _- ]8 B1 R' E　　很多系统管理，例如，模块的装载/卸载，路由的设置，防火墙的规则，能很容易就被修改，如果用户的ID是0。所以当入侵者获得ROOT权限后，就变得很不安全。
0 q- e) n- g9 a  Q7 w# S+ H$ L, Q( @4 v1 V5 \
　　超级用户(root)作为ROOT可能滥用权限
& K! f. o) \8 `4 g+ g
  j% W0 Z/ v1 F　　他可以为所欲为，作为ROOT他甚至可以对现有的权限进行修改。
; {: i) @3 Q, L! m& o0 Y1 Q$ x# ?; s7 C+ ^/ f/ K' g
　　综上所述，我们发现在现有的Linux系统中的进入控制模式是不足以建立一个安全的Linux系统。我们必须在系统中添加新的模式来解决这些问题。这就是LIDS所要做的。 : K% l! u9 X$ D4 ?' `' E8 j
/ j4 z; p8 B0 H
　　LIDS的特色 ( z$ d3 R; W% s+ W# Q1 t% m9 Y

0 z: V# q0 x' k# C! ^　　Linux入侵侦察系统是Linux内核补丁和系统管理员工具，它加强了内核的安全性。它在内核中实现了参考监听模式以及Mandatory Access Control（命令进入控制）模式。当它起作用后，选择文件进入，每一个系统/网络的管理操作，任何使用权限， raw device， mem和 I/O 进入将可以禁止甚至对于ROOT也一样。它使用和扩展了系统的功能，在整个系统上绑定控制设置，在内核中添加网络和文件系统的安全特性，从而加强了安全性。你可以在线调整安全保护，隐藏敏感进程，通过网络接受安全警告等等。   E1 T0 \& r+ @6 @
& q* U# N& \" F# \  l
　　简而言之，LIDS提供了保护、侦察、响应的功能，从而是LINUX系统内核中的安全模式得以实现。 4 y2 M4 Y( _7 g7 m
" i# A% G' M9 L0 O- m5 s
　　保护
6 |( X* p  b# P
. u/ }  N9 y) }+ C　　LIDS提供以下的保护：
9 s8 D/ I/ Q9 A4 \; k/ W+ i6 P" ?6 a
6 M1 D" U; m& }4 E5 S　　保护硬盘上任何类型的重要文件和目录，任何人包括ROOT都无法改变。能保护重要进程不被终止 能防止非法程序的RAW IO 操作。保护硬盘，包括MBR保护，等等。能保护系统中的敏感文件，防止未被授权者(包括ROOT)和未被授权的程序进入。
* w0 Y; a% Z( x; X+ {7 a# s9 q* W5 o3 ?/ q
　　侦察   `% Q: ]( M+ ~4 C: b  O9 o6 x
2 T3 }- B3 _) D5 F
　　当有人扫描你的主机， LIDS能侦察到并报告系统管理员。LIDS也可以检测到系统上任何违法规则的进程。
0 S6 q+ U, u; V: {" ~# f
0 p5 b) }, d; H) r; W: Q' e( f4 V　　响应   p; N9 Q  ~0 z+ H$ O

; e3 Z8 [: C: e; P  K　　当有人违反规则， LIDS会将非法的运作细节记录到受LIDS保护的系统log文件中。LIDS还可以将log信息传到你的信箱中。LIDS也可以马上关闭与用户的对话。 7 `; u; P7 {* K4 G$ h
: x5 e  [" Y8 m
　　建立安全的Linux系统 ( _9 @. r9 G4 w5 h6 r. T. r* ]
, h" C+ X9 `/ i4 T% \( t
　　看完了LIDS特性，让我们来看看怎么样一步步地用LIDS建立安全的系统。