LIDS精通与进阶.pdfVIP

LIDS精通与进阶 页码，1/25 LIDS 通与进阶 作者：chaobowang@ 一、系统入侵 随着Internet上的Linux主机的增加，越来越多的安全漏洞在当前的GNU/Linux系统上发现。你也许在Internet上听说过 在Linux下发现Bug，它会导致系统很容易的被黑客攻击。 因为Linux是一个开放源代码的系统，漏洞很容易发现，并且也会很快的有补丁出来。但是当漏洞没有公布的时候，并 且管理员很懒，没有去打补丁。黑客就会很容易的攻击这个系统，取得root权限，在现有的GNU/Linux下，他就可以做任何 他想做的事情。现在你可以问，我们现在到底可以做些什么呢？ 1、现在的GNU/Linux错误在哪里？ 超级用户会滥用职权，他能够做所有他要做的事情。作为root。他会改变所有的东西。 许多系统文件很容易被更改。这些文件可能是很重要的文件，如/bin/login，如果一个黑客进入，他可以上传一个 login程序来覆盖/bin/login，这样他就可以不用登陆名和密码来登陆系统。但是这些文件不需要经常改动，除非你要升级 系统。 模块modules很容易用来中断内核。模块是为了让Linux内核更模块话和更高效而设计的。但是当模块加入到内核，它就 会成为内核的一部分并且能做原始内核能做的工作。因此，一些不友好的代码可以写成模块来加入到内核里，这些代码就会 重定向系统调用并且作为一个病毒来运行。 进程是不受保护的，一些进程，如后台的Web服务器，一直都 为是没有严格保护的程序。因此，他们就会很容易被黑 客攻击。 2、LIDS的设想是什么。 保护重要文件。因为文件很容易被root更改，为什么不严格文件操作呢？因此，LIDS改变了文件系统在内核里的安全系 统调用。如果某个时候一些人访问一个文件，他就会进入系统调用然后我们就可以检查文件名并且看她们是否被保护。如果 它已经被保护，我们就可以拒绝这个访问者的要求。 保护重要的进程。这个和上面的保护进程的想法不是一样的。当一个系统里运行一个进程，它会在/proc 文件系统里有 一个用pid作为路径名的入口。所以，如果你用ps -axf你就可以显示出当前运行的进程。你可以问如果保护这些进程。如 果你要杀死一个进程的话，首先，你键入ps来得到进程的PID，然后，你键入kill 〈pid〉来杀死它。但是，如果我不 让你看到进程，你怎么来杀死这个进程呢？因此，LIDS是用隐藏进程来保护它的。 另外一个重要的方法就是不让任何人可 以杀死进程，包括root用户。LIDS能够保护父进程是init （pid=1）的所有进程 。 封装内核。有时候我们需要要把一些必要的模块加入到内核里来使用，另外，我们也要拒绝任何人包括root用户向内核 插入模块。那么如何来平衡这个矛盾的问题呢？我们可以只允许在系统启动的时候插入模块，然后我们封装模块，在封装 后，内核不允许任何人插入模块到内核里。通过这种封装功能，我们能用它来保护重要的文件，进程，我们可以在系统启动 的时候只允许必要的进程，只改变必要的文件。在封装内核后，我们就不能在对文件有任何的修改。 二、保护文件系统 1、保护文件系统是LIDS的重要功能之一。这个功能是在内核的VFS （虚拟文件系统）层实现的，我们可以保护任何种类的文 件系统，如EXT2，FAT。 在LIDS，保护的文件按种类分为以下几种： 只读的文件或目录。只读文件意味着它们不被允许改写，如，在目录/usr/bin，/sbin。这些类型的文件大多数都是二进制 系统程序或是系统配置文件，除了在升级系统的时候，我们不需要改变它们。 只可增加文件或目录。这些文件是那些只可以增加大小的文件。大多数是系统的日值文件，如在/var/log里的只可增加文 件。 额外的文件或目录，这些文件没有被保护。一般来说，你想要保护目录下的所有文件，但是，还需要有一些特殊的文件不要 mk:@MSITStore:C:\Documents%20and%20Settings\Administrator\桌面\黑客... 2010-2-17 LIDS精通与进阶 页码，2/25 被保护。所以我们可以定义这些文件作为额