熟悉Linux内核安全入侵侦察系统

叶子

　　LIDS( Linux入侵侦察系统)是Linux内核补丁和系统管理员工lidsadm)，它加强了Linux内核。它在内核中实现了一种安全模式 -- 参考模式以及内核中的Mandatory Access Control（命令进入控制）模式。本文将阐述LIDS的功能和如何使用它来建立一个安全的Linux系统。 $ ?3 A% m9 B/ N0 b8 T) @

9 V. }0 }6 ]" a" X) \' p8 A　　为什么选择LIDS
# x. }# r! G2 ?9 D# C8 s* M& q' R  ?) ^2 e; l9 [5 f
　　随着互连网上Linux越来越受欢迎 ,越来越多现有GNU/LINUX系统上的应用软件中的安全漏洞被发现。很多程序利用了程序员的粗心，例如缓存溢出、格式化代码攻击。当系统安全受到程序的危及，黑客获得ROOT权限以后，整个系统将被入侵者控制。 * S% i& s8 {3 _% ^7 p

% [0 J/ Y! O- B　　由于代码的开放性，我们可以获得很多所希望Linux应用程序的原代码，并且根据我们的需要来修改。所以bug能很容易地被找到，并很快修补。但是当漏洞被揭示后，而系统管理员疏于给漏洞打补丁，从而造成很容易地就被入侵，更糟的是黑客能获得ROOT SHELL。利用现有的GNU/Linux系统，他为所欲为。这正是LIDS想要解决的问题。
$ q5 w. t& }, h+ \0 O; [+ h
" j7 G3 B/ [% I: w, `  j7 x　　首先看看现有的GNU/Linux系统存在哪些问题。
: D/ w5 Z% f( x* p$ C1 B- H% k, J9 }7 C9 n! r2 {' m' N2 o
　　文件系统未受到保护
3 b/ W# H8 ]/ ]) ^( P
  G3 u4 ?9 F6 w8 u; h6 F　　系统中的很多重要的文件，例如 /bin/login，一旦黑客入侵后，他可以上传修改过的login文件来代替/bin/login ，然后他就可以不需要任何登陆名和密码就登陆系统。这常被称为Trojan house。
* y9 I( Q; ?3 I6 E# p7 u+ I
! z* I7 L3 @* g0 F　　进程未受到保护 8 F5 [  Y2 I# ^! t  x5 n

/ r, w1 w+ Y+ ?2 M　　系统上运行的进程是为某些系统功能所服务的，例如HTTPD是一个web服务器来满足远程客户端对于web的需求。作为web服务器系统，保护其进程不被非法终止是很重要的。但是当入侵者获得了ROOT权限后，我们却无能为力。
- L4 C# |8 f5 O, s! q# `* E7 k) D9 P' u+ Z
4 Y; E5 P; O; U# w, j
　　系统管理未受保护
" }4 E9 o. l. a- t. E8 |, d$ C, h; M) E' u6 s- j
　　很多系统管理，例如，模块的装载/卸载，路由的设置，防火墙的规则，能很容易就被修改，如果用户的ID是0。所以当入侵者获得ROOT权限后，就变得很不安全。 $ e" t- G+ o  y4 K6 V/ u/ U/ ~- O
% H/ t# I3 @) H( O
　　超级用户(root)作为ROOT可能滥用权限 # [/ ~! {7 O3 S: t5 `- r

% }% M( |: L. J1 \1 _6 U　　他可以为所欲为，作为ROOT他甚至可以对现有的权限进行修改。
- i# S( B& R0 _- q1 N* p( u( k) X: B5 l1 F' Q4 ~
　　综上所述，我们发现在现有的Linux系统中的进入控制模式是不足以建立一个安全的Linux系统。我们必须在系统中添加新的模式来解决这些问题。这就是LIDS所要做的。 + \( r+ ^  C* C! z: N
$ l; w: V6 S8 u+ O2 R% b
　　LIDS的特色
' j8 v; o3 t7 V- Z! W5 t3 G
# Y2 A- M" Y8 g( ~1 q% d　　Linux入侵侦察系统是Linux内核补丁和系统管理员工具，它加强了内核的安全性。它在内核中实现了参考监听模式以及Mandatory Access Control（命令进入控制）模式。当它起作用后，选择文件进入，每一个系统/网络的管理操作，任何使用权限， raw device， mem和 I/O 进入将可以禁止甚至对于ROOT也一样。它使用和扩展了系统的功能，在整个系统上绑定控制设置，在内核中添加网络和文件系统的安全特性，从而加强了安全性。你可以在线调整安全保护，隐藏敏感进程，通过网络接受安全警告等等。 ! |# y" Z1 W# E! e; x) h: w
" N( b2 U% {6 K5 b
　　简而言之，LIDS提供了保护、侦察、响应的功能，从而是LINUX系统内核中的安全模式得以实现。
  G/ D. x: m0 Y2 y" a* r+ }3 J
  w0 {3 a/ S7 M- G& U% Q1 K　　保护
0 T" l# E6 x- V2 D0 J' _1 h
) p- k+ n/ g' H) K　　LIDS提供以下的保护：
3 f9 n5 o3 |; E& P1 G1 u1 r8 u2 E0 ?- \5 |' D3 w/ T
　　保护硬盘上任何类型的重要文件和目录，任何人包括ROOT都无法改变。能保护重要进程不被终止 能防止非法程序的RAW IO 操作。保护硬盘，包括MBR保护，等等。能保护系统中的敏感文件，防止未被授权者(包括ROOT)和未被授权的程序进入。 2 Y, F/ o3 w& i# V) W  _* U; d! b
4 o; d+ _- `- }! y7 R6 i: h
　　侦察
( G6 `. Y1 T- ]. u9 s: T2 }( w. I" ^2 ^- O! a
　　当有人扫描你的主机， LIDS能侦察到并报告系统管理员。LIDS也可以检测到系统上任何违法规则的进程。
4 I+ I, v, E! B! Y2 y8 }, G. Y5 o$ {1 \* r
　　响应   q+ I* O  u) Q

2 j& @. e. T! C4 A( ~) T  |" i　　当有人违反规则， LIDS会将非法的运作细节记录到受LIDS保护的系统log文件中。LIDS还可以将log信息传到你的信箱中。LIDS也可以马上关闭与用户的对话。 - z, a# T9 ~+ d6 }. I: n
, J" E+ c  C$ D% U% `0 K. B
　　建立安全的Linux系统
8 b6 k, ]* o" w6 l5 A1 T7 |% p+ j7 G8 B( Z( O1 R0 z& {& q2 P
　　看完了LIDS特性，让我们来看看怎么样一步步地用LIDS建立安全的系统。