熟悉Linux内核安全入侵侦察系统

叶子

　　LIDS( Linux入侵侦察系统)是Linux内核补丁和系统管理员工lidsadm)，它加强了Linux内核。它在内核中实现了一种安全模式 -- 参考模式以及内核中的Mandatory Access Control（命令进入控制）模式。本文将阐述LIDS的功能和如何使用它来建立一个安全的Linux系统。 + H& B7 H+ E( L  A

5 S& Y- S( Q9 a* I) {' _  ]/ y; T　　为什么选择LIDS
/ w' x& i5 |  `! i* {, r& K$ ~2 G" e9 \$ Q5 t+ e1 Z$ g' _
　　随着互连网上Linux越来越受欢迎 ,越来越多现有GNU/LINUX系统上的应用软件中的安全漏洞被发现。很多程序利用了程序员的粗心，例如缓存溢出、格式化代码攻击。当系统安全受到程序的危及，黑客获得ROOT权限以后，整个系统将被入侵者控制。 8 s2 m: ~5 {+ L; D7 h
8 l1 D8 ~, U6 b) b5 [/ m. ~! l, L
　　由于代码的开放性，我们可以获得很多所希望Linux应用程序的原代码，并且根据我们的需要来修改。所以bug能很容易地被找到，并很快修补。但是当漏洞被揭示后，而系统管理员疏于给漏洞打补丁，从而造成很容易地就被入侵，更糟的是黑客能获得ROOT SHELL。利用现有的GNU/Linux系统，他为所欲为。这正是LIDS想要解决的问题。
, c! T, K* Q7 F- T: N
$ l0 T* P0 z7 n$ a- Q+ b　　首先看看现有的GNU/Linux系统存在哪些问题。 , J1 A5 {) P  d* o
5 L9 @0 W& y( \7 u$ ~2 P
　　文件系统未受到保护 ; T5 ~8 b+ b  q( `

% Q2 L8 j5 Z, j* b　　系统中的很多重要的文件，例如 /bin/login，一旦黑客入侵后，他可以上传修改过的login文件来代替/bin/login ，然后他就可以不需要任何登陆名和密码就登陆系统。这常被称为Trojan house。 1 ?; G  z/ [3 e- O+ \+ C3 _2 C

) o$ ?8 v5 {2 V% p3 [3 l　　进程未受到保护
, l2 {0 o: Q2 m$ g/ k; i
2 N) T9 ?1 Q5 H. {; W　　系统上运行的进程是为某些系统功能所服务的，例如HTTPD是一个web服务器来满足远程客户端对于web的需求。作为web服务器系统，保护其进程不被非法终止是很重要的。但是当入侵者获得了ROOT权限后，我们却无能为力。 2 ?/ q: f- x7 N- U* a3 ^
7 L3 B# o9 N2 z, N$ v
" ]2 @  }0 t9 I  x# r7 @: T
　　系统管理未受保护 3 X; t  D9 H, c/ f3 h
9 H- o0 x  X4 }5 F
　　很多系统管理，例如，模块的装载/卸载，路由的设置，防火墙的规则，能很容易就被修改，如果用户的ID是0。所以当入侵者获得ROOT权限后，就变得很不安全。 " e4 C# E- n5 d8 k* E
" Y/ e. x$ b) a2 l& m+ v. c
　　超级用户(root)作为ROOT可能滥用权限
! p9 d7 r6 ~& D6 B$ [, N! X4 ?' q9 {$ A9 j8 b& P1 t( n$ l8 N
　　他可以为所欲为，作为ROOT他甚至可以对现有的权限进行修改。 ( m6 Y8 ^* d$ ^6 ~. m: V8 X
1 E$ C% u, e! r/ f2 a6 d) G
　　综上所述，我们发现在现有的Linux系统中的进入控制模式是不足以建立一个安全的Linux系统。我们必须在系统中添加新的模式来解决这些问题。这就是LIDS所要做的。
8 @: Q' x/ Z9 F8 O" \& M0 R
- D2 F' ]6 c$ N  n# X7 T　　LIDS的特色
! G5 C4 m( \) N1 Q. A7 _+ F& u6 _6 m3 V
　　Linux入侵侦察系统是Linux内核补丁和系统管理员工具，它加强了内核的安全性。它在内核中实现了参考监听模式以及Mandatory Access Control（命令进入控制）模式。当它起作用后，选择文件进入，每一个系统/网络的管理操作，任何使用权限， raw device， mem和 I/O 进入将可以禁止甚至对于ROOT也一样。它使用和扩展了系统的功能，在整个系统上绑定控制设置，在内核中添加网络和文件系统的安全特性，从而加强了安全性。你可以在线调整安全保护，隐藏敏感进程，通过网络接受安全警告等等。
/ z, T* m! D' T9 b, S- C+ o$ u, D, X0 H; N1 x6 |
　　简而言之，LIDS提供了保护、侦察、响应的功能，从而是LINUX系统内核中的安全模式得以实现。 * O6 V1 }, ?1 C# _
" [/ O) x- r4 ^4 a0 L
　　保护 % M. V( u5 c* z1 X% I
$ H1 {2 P6 P- [
　　LIDS提供以下的保护：
5 C& y6 K# U0 k
7 \, b7 ~0 Y3 j  n$ E　　保护硬盘上任何类型的重要文件和目录，任何人包括ROOT都无法改变。能保护重要进程不被终止 能防止非法程序的RAW IO 操作。保护硬盘，包括MBR保护，等等。能保护系统中的敏感文件，防止未被授权者(包括ROOT)和未被授权的程序进入。 # `7 i& K0 ?! b" {4 e* z! I, D

4 T5 n2 G: X6 t7 X1 n4 X　　侦察
5 X( z0 O0 x9 }5 o; f4 b8 G8 g* D- }4 [
6 r$ V1 e  Y- E& V: m# D　　当有人扫描你的主机， LIDS能侦察到并报告系统管理员。LIDS也可以检测到系统上任何违法规则的进程。 ' Q) T; x: j) B; i
1 P5 N; E2 J0 m$ ^9 |0 H
　　响应 1 v/ v. W& E( U

+ V2 f! Q4 r( r( R2 q　　当有人违反规则， LIDS会将非法的运作细节记录到受LIDS保护的系统log文件中。LIDS还可以将log信息传到你的信箱中。LIDS也可以马上关闭与用户的对话。 , u$ r/ ^7 g( H" u5 G$ j! b& \

  Q, e: |0 Y, ?) I! z1 K6 p　　建立安全的Linux系统 8 U' [; Q7 n" d! e# n( X1 x6 Q
# S7 p$ \4 o# P& t' W3 F1 ~% Z- w1 [
　　看完了LIDS特性，让我们来看看怎么样一步步地用LIDS建立安全的系统。