Linux系统中的入侵检测.docVIP

【Linux】Linux系统中的入侵检测 介绍 　　 这篇文章集中讨论Linux平台上的几种基于主机的入侵检测系统。而且，我还会介绍一下如何安装这些软件包、它们有什么用处以及在什么情况下使用这些软件包。 系统安全101 　　 这篇文章假定你已经有了一些系统安全的基本知识。而且，为了防止来自Internet的入侵也已经采取了一些基本的安全防范措施。这些措施包括： l 防火墙，用来防止系统中的TCP和UDP端口不会被黑客利用。例如，用于Web服务器的一组基本的防火墙规则要保证只能通过TCP端口80（通常是HTTP协议的端口号）用TCP/IP协议来访问这台计算机。 l 禁止不必要的daemon。例如，一个Web服务器在正常情况下只需要一个进程用来处理网页的请求。与处理网页请求无关的进程，如：RPC/Portmap服务、NFS服务、X字体服务、DNS域名服务以及其它用不着的程序必须被禁止运行。在Red Hat Linux系统中，通常使用象ntsysv或tksysv这样的程序来禁止不必要的daemon或服务的。 l 通过编辑“/etc/inetd.conf”，禁止不必要的端口。在一般情况下，系统安装完之后在“/etc/inetd.conf”文件中许多端口都被设置成有效的。编辑这个文件并把不必要的行删掉或注释掉是最基本的安全防范措施，必须在所有的系统中都使用这样的安全措施。 安全防线 在这篇文章中，我将讨论保证系统安全的多层次的解决方案。如果任何一层安全防线被破坏了，其它安全防线也能够对系统提供保护。多层次的系统安全结构就是如图表1所示的这个例子。 图中的每一层为其上面一层提供更多的数据保护。例如，第一层是防火墙。一旦防火墙被攻破，第二层，也就是Port Sentry程序，也还能够提供保护。 在系统中第三第四层分别是LIDS和LogCheck程序，一旦Port Sentry对入侵者无能为力，它们将提供更进一步的保护。 监控连接请求 　　 在防火墙之后的第一层是用来监控连接请求的软件包。PortSentry软件包（/abacus/portsentry/）提供了简单而有效地完成这项任务的方法。 PortSentry是用来做什么的？ 　　 PortSentry是用来监控TCP/IP端口活动的监控器。被PortSentry监控的端口活动都会被报告出来而且可以设置某些参数，包括根据端口活动的来源禁止其对系统进一步的访问。这是一个很重要的防御措施，因为黑客在入侵之前都会试图探查系统的弱点（通过端口扫描）。检测“探查”或端口扫描，可以彻底地防止潜在的黑客入侵系统，让黑客不可能在扫描过端口之后发动真正的攻击。 安装PortSenty 　　 对Red Hat Linux的用户，PortSentry的RPM包可以在Red Hat contrib FTP站点找到。这个站点在世界各地都有镜像，查看找到离你最近的镜像站点。我不能确定是否有.deb格式的PortSentry软件包，但是我想可能会有吧。 对于其它Linux系统，用源代码来安装PortSentry相对来说也很容易。 建议配置 　　 PortSentry可以在很多种模式下运行，包括各种各样的TCP和UDP“秘密”（stealth）模式。我喜欢把PortSentry和一些TCP端口绑定，这些端口是：(a)不在使用的；(b)众所周知的很容易被攻击的端口。例如，端口143（imap2），端口111（portmap）和端口23（telnet）都是很容易被攻击的端口，因此我在自己的系统中都没有使用这些端口，但是我的Web服务器的这些端口在24小时之内已经都被扫描过来了。 为了让PortSentry在基本的TCP模式下运行，必须确保系统的启动脚本中有这么一行： portsentry –tcp 而且还要保证在PortSentry的配置文件（portsentry.conf）中包含有让你需要监控的端口生效的TCP_PORTS行。 反应（response）选项 　　 “portsentry.conf”文件中的“Response Options”部分允许你设定当检测到端口有异常活动之后PortSentry将采取怎样的反应。我使用的方法是让ipchains阻塞更进一步的攻击。这只要在“portsentry.conf”文件中去掉下面这一行的注释： KILL_ROUTE=/sbin/ipchains -I input -s $TARGET$ -j DENY -l 在端口被扫描的频率很高的系统中，把上面这一行中末尾的“-l”去掉，可以不记录连接请求，这样就能节省日志文件所占的空间。 监控系统日志 　　 用防火墙保护系统以及用类似Port