熟悉Linux内核安全入侵侦察系统

叶子

　　LIDS( Linux入侵侦察系统)是Linux内核补丁和系统管理员工lidsadm)，它加强了Linux内核。它在内核中实现了一种安全模式 -- 参考模式以及内核中的Mandatory Access Control（命令进入控制）模式。本文将阐述LIDS的功能和如何使用它来建立一个安全的Linux系统。
- b) q( ^' V  N9 z
- L. a: P/ J# ^　　为什么选择LIDS ) n  v8 Q: P0 |2 u) [8 ]+ d/ L
# L) f, y+ d1 u9 I, C1 H+ o7 O
　　随着互连网上Linux越来越受欢迎 ,越来越多现有GNU/LINUX系统上的应用软件中的安全漏洞被发现。很多程序利用了程序员的粗心，例如缓存溢出、格式化代码攻击。当系统安全受到程序的危及，黑客获得ROOT权限以后，整个系统将被入侵者控制。
: S& H6 Z/ l7 d3 ?% B+ w+ ~
7 Y) E+ w; W( u- T9 A　　由于代码的开放性，我们可以获得很多所希望Linux应用程序的原代码，并且根据我们的需要来修改。所以bug能很容易地被找到，并很快修补。但是当漏洞被揭示后，而系统管理员疏于给漏洞打补丁，从而造成很容易地就被入侵，更糟的是黑客能获得ROOT SHELL。利用现有的GNU/Linux系统，他为所欲为。这正是LIDS想要解决的问题。 0 i  @" [* W) f2 V$ J8 H
4 F, k0 g4 y- z3 c" m
　　首先看看现有的GNU/Linux系统存在哪些问题。 3 R. J1 _; M0 ^1 k7 ?! [6 |) G# W
6 |4 w* c$ i+ t' f; ?$ z
　　文件系统未受到保护 5 ^4 b4 n: a/ i3 e; i0 R$ x- X

& l/ b1 B  ?! [% C6 o2 l, K  n　　系统中的很多重要的文件，例如 /bin/login，一旦黑客入侵后，他可以上传修改过的login文件来代替/bin/login ，然后他就可以不需要任何登陆名和密码就登陆系统。这常被称为Trojan house。 / p: Q! M/ K+ @  j! f; R3 Z6 k, v
2 L7 b9 c, [" g1 p: ]5 D
　　进程未受到保护 ; \7 d3 F1 {, M% [' l
  L6 a( @* b# t- l: I! h
　　系统上运行的进程是为某些系统功能所服务的，例如HTTPD是一个web服务器来满足远程客户端对于web的需求。作为web服务器系统，保护其进程不被非法终止是很重要的。但是当入侵者获得了ROOT权限后，我们却无能为力。
  G# c  c/ T9 b; o4 _7 L1 J, t1 \# {& J9 k  k- o

* T: m4 Y  G1 _* T　　系统管理未受保护
- R- e) X7 I, s! `. T) K" @2 _- a& S: W% G5 C7 ^
　　很多系统管理，例如，模块的装载/卸载，路由的设置，防火墙的规则，能很容易就被修改，如果用户的ID是0。所以当入侵者获得ROOT权限后，就变得很不安全。
; ]4 S* q+ g4 D3 P0 \& r$ w5 x6 h  Z
　　超级用户(root)作为ROOT可能滥用权限 ) P/ e2 V% d. ~2 ]% O

* J& }0 t6 }4 N　　他可以为所欲为，作为ROOT他甚至可以对现有的权限进行修改。
2 t. l7 T/ L/ c% W3 R& [! d) L2 E5 o
7 i9 G* _3 I5 @0 B* t5 [& B　　综上所述，我们发现在现有的Linux系统中的进入控制模式是不足以建立一个安全的Linux系统。我们必须在系统中添加新的模式来解决这些问题。这就是LIDS所要做的。
- {2 p7 J8 y9 D  T. d6 y9 y! s  t# ?1 J0 P4 }! h: _
　　LIDS的特色 4 S# }# e7 ]) D- t8 G

5 y, @: ]! v( n6 _! t+ u+ r* x　　Linux入侵侦察系统是Linux内核补丁和系统管理员工具，它加强了内核的安全性。它在内核中实现了参考监听模式以及Mandatory Access Control（命令进入控制）模式。当它起作用后，选择文件进入，每一个系统/网络的管理操作，任何使用权限， raw device， mem和 I/O 进入将可以禁止甚至对于ROOT也一样。它使用和扩展了系统的功能，在整个系统上绑定控制设置，在内核中添加网络和文件系统的安全特性，从而加强了安全性。你可以在线调整安全保护，隐藏敏感进程，通过网络接受安全警告等等。 9 t0 ]% R, M; q$ B

$ T5 u, i2 @$ e: C! Y2 K# x, ?　　简而言之，LIDS提供了保护、侦察、响应的功能，从而是LINUX系统内核中的安全模式得以实现。 7 k, ?. [' T/ r

! O$ v% J, \) J5 C" H　　保护
3 E8 E4 T& W( R; [
/ I2 Q* X7 Q* I; v　　LIDS提供以下的保护：
+ j7 h/ F6 g+ u' c1 g: y4 c+ T2 W7 @9 b  z  A# C8 [# o0 F
　　保护硬盘上任何类型的重要文件和目录，任何人包括ROOT都无法改变。能保护重要进程不被终止 能防止非法程序的RAW IO 操作。保护硬盘，包括MBR保护，等等。能保护系统中的敏感文件，防止未被授权者(包括ROOT)和未被授权的程序进入。 / Y/ ?; s5 U+ Z6 F

. W7 e% w: t3 m　　侦察 / d/ \, }" S" _% b( F% v

' M# O& X" R$ Y. v- o% H　　当有人扫描你的主机， LIDS能侦察到并报告系统管理员。LIDS也可以检测到系统上任何违法规则的进程。
$ s4 g7 a$ L- g, w( E0 N% K2 q! Y( A; D. W, X3 Z; @  o
　　响应 ' S" r7 g7 i  M8 ]

9 K8 I' I' A4 {　　当有人违反规则， LIDS会将非法的运作细节记录到受LIDS保护的系统log文件中。LIDS还可以将log信息传到你的信箱中。LIDS也可以马上关闭与用户的对话。 ; q8 ~, ~! P1 h: ?% |" N* M- @# [

: v- G0 g5 q) c' `　　建立安全的Linux系统
& j6 {7 G$ m0 a" j: A1 e9 i; P: I2 C8 ~! T# o. p0 u
　　看完了LIDS特性，让我们来看看怎么样一步步地用LIDS建立安全的系统。