熟悉Linux内核安全入侵侦察系统

叶子

　　LIDS( Linux入侵侦察系统)是Linux内核补丁和系统管理员工lidsadm)，它加强了Linux内核。它在内核中实现了一种安全模式 -- 参考模式以及内核中的Mandatory Access Control（命令进入控制）模式。本文将阐述LIDS的功能和如何使用它来建立一个安全的Linux系统。
8 [( K" F1 @0 u" a0 H- v9 W/ x6 A6 J
　　为什么选择LIDS ; t) L! P+ t, Q, x

( Z3 ]+ V# T% k& a' {5 Q　　随着互连网上Linux越来越受欢迎 ,越来越多现有GNU/LINUX系统上的应用软件中的安全漏洞被发现。很多程序利用了程序员的粗心，例如缓存溢出、格式化代码攻击。当系统安全受到程序的危及，黑客获得ROOT权限以后，整个系统将被入侵者控制。
. s, B! L! g# V2 M5 {6 g2 ?6 H; e4 f) \* n9 |, o
　　由于代码的开放性，我们可以获得很多所希望Linux应用程序的原代码，并且根据我们的需要来修改。所以bug能很容易地被找到，并很快修补。但是当漏洞被揭示后，而系统管理员疏于给漏洞打补丁，从而造成很容易地就被入侵，更糟的是黑客能获得ROOT SHELL。利用现有的GNU/Linux系统，他为所欲为。这正是LIDS想要解决的问题。
9 `/ g' }9 c3 c6 D; J/ Y
  R- r  [/ K( v( P　　首先看看现有的GNU/Linux系统存在哪些问题。
& x0 f+ `2 s7 f* R' ]7 ]: X& m# i8 L* z7 H) S
　　文件系统未受到保护 # o8 k7 |8 o% o& J

7 j% e- n# r6 d- d　　系统中的很多重要的文件，例如 /bin/login，一旦黑客入侵后，他可以上传修改过的login文件来代替/bin/login ，然后他就可以不需要任何登陆名和密码就登陆系统。这常被称为Trojan house。
+ O4 |7 J$ c  J2 u7 z4 `+ V9 [0 `8 R" F
　　进程未受到保护
) g: y; P5 U8 p, A7 P
  a- \- {% Q! F. w: x8 r　　系统上运行的进程是为某些系统功能所服务的，例如HTTPD是一个web服务器来满足远程客户端对于web的需求。作为web服务器系统，保护其进程不被非法终止是很重要的。但是当入侵者获得了ROOT权限后，我们却无能为力。
0 d3 J  T. w+ t0 b3 v2 i1 ]  u  {' g& k( D& }) D8 r" @* X- h

7 T) |) l% ^4 V) r　　系统管理未受保护
' N- S# Z! z0 o8 ]) l5 R$ O8 v  k
9 ?3 }5 F% D! d) ?! ^+ A　　很多系统管理，例如，模块的装载/卸载，路由的设置，防火墙的规则，能很容易就被修改，如果用户的ID是0。所以当入侵者获得ROOT权限后，就变得很不安全。 0 Z8 }" D! Y( d! N

- Q; {+ i' I) C6 q　　超级用户(root)作为ROOT可能滥用权限 9 e) m2 d1 w) B
% R( p* \* F0 y' E
　　他可以为所欲为，作为ROOT他甚至可以对现有的权限进行修改。
& Z" _4 [2 M3 l* n$ k
. n) O: t; z' ^: E/ E' v" }　　综上所述，我们发现在现有的Linux系统中的进入控制模式是不足以建立一个安全的Linux系统。我们必须在系统中添加新的模式来解决这些问题。这就是LIDS所要做的。
2 k( m0 U: S) [: T( E3 @: G7 d. j0 I/ K
　　LIDS的特色
) Z# ~9 e: {6 x9 F& c) D; T
( d5 J5 \" w/ K* K$ ^6 y　　Linux入侵侦察系统是Linux内核补丁和系统管理员工具，它加强了内核的安全性。它在内核中实现了参考监听模式以及Mandatory Access Control（命令进入控制）模式。当它起作用后，选择文件进入，每一个系统/网络的管理操作，任何使用权限， raw device， mem和 I/O 进入将可以禁止甚至对于ROOT也一样。它使用和扩展了系统的功能，在整个系统上绑定控制设置，在内核中添加网络和文件系统的安全特性，从而加强了安全性。你可以在线调整安全保护，隐藏敏感进程，通过网络接受安全警告等等。 0 O: z- h' Q" C" S0 p; Z  u

$ Z1 e! }- W! {( R　　简而言之，LIDS提供了保护、侦察、响应的功能，从而是LINUX系统内核中的安全模式得以实现。 7 C7 \- @1 ~1 O; ?! a/ {
0 w  w" S: |. D8 X, o
　　保护
# G/ ^4 \- ]. m0 B& Y  o
' D: X# i( u/ y% R2 b" A- ~　　LIDS提供以下的保护： 7 r  b' ?; j1 p4 d' Z9 O8 r5 b
9 J5 L$ U" N5 W' ^" w
　　保护硬盘上任何类型的重要文件和目录，任何人包括ROOT都无法改变。能保护重要进程不被终止 能防止非法程序的RAW IO 操作。保护硬盘，包括MBR保护，等等。能保护系统中的敏感文件，防止未被授权者(包括ROOT)和未被授权的程序进入。
" ]/ ^4 A  r+ e$ L7 D
$ x: u+ F0 C! Z　　侦察 4 @5 _- B  q4 U* h6 Q  ?# x# J

3 {- v# D9 H: L& {; W  o　　当有人扫描你的主机， LIDS能侦察到并报告系统管理员。LIDS也可以检测到系统上任何违法规则的进程。
6 g5 d5 Y6 d  c' V1 C
& c6 j6 |, O6 b. L1 v　　响应
/ a+ e% g1 {4 w5 P: k9 |# f6 N
3 U3 P6 n( D8 S% t5 e　　当有人违反规则， LIDS会将非法的运作细节记录到受LIDS保护的系统log文件中。LIDS还可以将log信息传到你的信箱中。LIDS也可以马上关闭与用户的对话。
$ W6 V& Q8 G3 ?+ y) }& m3 f3 P, F
# B* i" N7 G" G5 u3 W' t, V　　建立安全的Linux系统 % a2 |' _" B; O+ i
/ A: E6 p' z+ c
　　看完了LIDS特性，让我们来看看怎么样一步步地用LIDS建立安全的系统。