linux下的入侵监测系统LIDS.docVIP

linux下的入侵监测系统LIDS文章提交: shuer 信息来源: 网安中国 () 　　最近我要毕业设计。可能要做一个ids的系统，所有找到了LIDS，现在我翻译了LIDS的一个HOW-TO文档，但是由于时间太紧，我匆匆的翻译完了。感觉有好多东西不是很正确，所以发表出来。让大家一起来帮助我找错误，呵呵。大家也一起提高一下。我不知道有没有人已经翻译了这个文档，不过我这个是我自己翻译的。可能错误很多。另外，也可以到我朋友的网站下载我打包的原英文的文挡。/lids-howoto.zip内容l 内容l 什么是LIDSl 编译lidsadml 安装lidsadml 得到成熟的MD-160加密口令l 修补一个内核l 配置内核1．选择描述l 运行无保护程序时发出警告l 在安装LIDS前不要运行无保护程序l 开启锁定子进程功能l 尽量不要让日志溢出l 允许转换LIDS保护l 允许远程拥护来转换LIDS保护l 允许任何程序来转换LIDS保护l 允许重新引导配置文件l 隐藏一些已知的进程l 可继承的隐藏功能l 允许一些已知的进程访问/dev/mem（/xfree，等）l 允许一些已知的进程访问硬盘设备l 允许一些已知的进程卸载设备l 允许一些已知的进程访问io端口l 可继承的卸载功能l 允许一些已知的进程杀死子进程l 可继承的杀进程功能补丁填充域如何安装UPSl 编译内核并且安装LIDSl 保护一些文件的安全1．用lidsadm2．用chattr3．文件在启动的时候更新升级l LIDS保护前的准备1．功能l CAP_CHOWNl CAP_DAC_OVERRIDEl CAP_DAC_READ_SEARCHl CAP_FOWNERl CAP_FSETIDl CAP_FS_MASKl CAP_KILLl CAP_SETGIDl CAP_SETUIDl CAP_SETPCAPl CAP_LINUX_IMMUTABLEl CAP_NET_BIND_SERVEICEl CAP_NET_BROADCASTl CAP_NET_ADMINl CAP_NET_RAWl CAP_IPC_LOCKl CAP_IPC_OWNERl CAP_SYS_MODULEl CAP_SYS_RAWIOl CAP_SYS_CHROOTl CAP_SYS_PTRACEl CAP_SYS_PACCTl CAP_SYS_ADMINl CAP_SYS_BOOTl CAP_SYS_NICEl CAP_SYS_RESOURCEl CAP_SYS_TIMEl CAP_SYS_TTY_CONFIG1．选择你要除区的功能2．放置一个隐藏命令3．如何确定安全的启动l 重起系统l 用LIDS工作n 例子：转换LIDSn 例子：网络管理n 例子：后台管理n 例子：文件管理l 关于这个文档1． 什么是LIDSLIDS是支持Linux的入侵监测防范系统。这个就是LIDS-08.1pre1的how-to文档。但是也适用于LIDS-0.8和0.8pre1,2,3,4。但是一些功能可能会不能实现。现在只支持i386体系。这个东西的目的是保护linux系统不被root入侵，并在它自己的内核禁止一些系统调用。如果你要管理你的系统，你可以先禁止LIDS保护，再来管理。首先，要保护LIDS本身不会被root的入侵，我们假定两件事情：1． 系统是安全的（没有后门）直到LIDS第一次运行。2． 你是唯一访问过控制终端的（你可以在lilo上加命令行，可以用急救内核或是启动盘启动）．保护LIDS防止root入侵：1， 禁止模块2， 禁止内存访问（/dev/mem,/dev/kmem,/dev/kcore）3， 禁止磁盘访问（/dev/hdxx,/dev/sdxx）4， 保护每一个文件，包括启动进程（lilo文件，内核映象，后台，简本，模块）5， 禁止I/O端口的访问(/dev/port,ioperm和iopl 系统调用)然后你就会想如何入侵监测，LIDS提供了以下功能：1． 记录机会每一个拒绝的访问2． 用只读或是只能增加来保护程序或是日志不受root攻击。对于系统的保护，LIDS提供以下功能：1． 锁定你的路由表，防火墙规则。2． 锁定挂载操作3． 保护后台信号4． 还有其他一些保护。。。编译lidsadm要编译lidsadm程序，进入目录然后make你就会看到当前lids的信息，这些主要是用来调试的目的，因为没有这些功能或是一个正确的系统配置。没有人能知道LIDS的当前状态。安装lidsadmmake insta