1089.html

著名的linux英雄站点的文档打包

　　很多系统管理，例如，模块的装载/卸载，路由的设置，防火墙的规则，能很容易就被修改，如果用户的ID是0。所以当入侵者获得ROOT权限后，就变得很不安全。<br>
<br>
　　超级用户(root)作为ROOT可能滥用权限<br>
<br>
　　他可以为所欲为。作为ROOT他甚至可以对现有的权限进行修改。<br>
<br>
　 综上所述，我们发现在现有的Linux系统中的进入控制模式是不足以建立一个安全的Linux系统。我们必须在系统中添加新的模式来解决这些问题。这就是LIDS所要做的。<br>
<br>
2. LIDS的特色<br>
<br>
　　Linux入侵侦察系统是Linux内核补丁和系统管理员工具，它加强了内核的安全性。它在内核中实现了参考监听模式以及Mandatory Access Control（命令进入控制）模式。当它起作用后，选择文件进入，每一个系统/网络的管理操作，任何使用权限， raw device， mem和 I/O 进入将可以禁止甚至对于ROOT也一样。它使用和扩展了系统的功能，在整个系统上绑定控制设置，在内核中添加网络和文件系统的安全特性，从而加强了安全性。你可以在线调整安全保护，隐藏敏感进程，通过网络接受安全警告等等。<br>
<br>
　　简而言之，LIDS提供了保护、侦察、响应的功能，从而是LINUX系统内核中的安全模式得以实现。<br>
<br>
　　2.1 保护<br>
<br>
　　LIDS提供以下的保护 ：<br>
<br>
保护硬盘上任何类型的重要文件和目录，任何人包括ROOT都无法改变。能保护重要进程不被终止能防止非法程序的RAW IO 操作。保护硬盘，包括MBR保护，等等。能保护系统中的敏感文件，防止未被授权者(包括ROOT)和未被授权的程序进入。<br>
　　2.2 侦察<br>
<br>
　　当有人扫描你的主机， LIDS能侦察到并报告系统管理员。 LIDS也可以检测到系统上任何违法规则的进程。<br>
<br>
　　2.3 响应<br>
<br>
　　当有人违反规则， LIDS会将非法的运作细节记录到受LIDS保护的系统log文件中。 LIDS还可以将log信息传到你的信箱中。LIDS也可以马上关闭与用户的对话。<br>
<br>
3. 建立安全的Linux系统<br>
<br>
　　看完了LIDS特性，让我们来看看怎么样一步步地用LIDS建立安全的系统。<br>
<br>
　　3.1 下载LIDS补丁和相关正式的Linux内核<br>
<br>
　　可以从LIDS Home，LIDS Ftp Home或最近的LIDS Mirror获得LIDS补丁和系统管理工具。<br>
<br>
<br>
　　补丁名称是lids-x.xx-y.y.y.tar.gz, x.xx代表lids的版本， y.y.y代表Linux内核版本<br>
.例如， lids-0.9.9-2.2.17.tar.gz代表lids 版本是0.9.9 以及相关的内核版本是2.2.17.<br>
。<br>
<br>
　　必须下载相关的内核版本。例如，你下载了lids-0.9.9-2.2.17.tar.gz，那你就应该下<br>
载Linux内核2.2.17的原代码。可以从Kernel FTP Site或其他镜象获得内核原码。<br>
<br>
　　然后，将内核原码和LIDS tar解压.例如，从 www.lids.org得到lids-0.9.9-2.2.17.ta<br>
r.gz，从ftp.us.kernel.org得到linux-2.2.17.tar.bz2后：<br>
<br>
-----------------------------------------------------------<br>
<br>
1. uncompress the Linux kernel source code tree.<br>
# cd linux_install_path/<br>
# bzip2 -cd linux-2.2.17.tar.bz2 | tar -xvf -<br>
<br>
2. uncompress the lids source code and install the lidsadm tool.<br>
# cd lids_install_path<br>
# tar -zxvf lids-0.9.8-2.2.17.tar.gz<br>
<br>
-----------------------------------------------------------<br>
<br>
　　3.2 在正式的linux内核上打LIDS补丁<br>
<br>
　　Linux内核原码打LIDS补丁<br>
<br>
-----------------------------------------------------------<br>
<br>
# cd linux_install_path/linux<br>
# patch -p1<br>
<br>
/* link the default source path to lids patched version<br>
# rm -rf /usr/src/linux<br>
# ln -s linux_install_patch/linux /usr/src/linux<br>
<br>
　　3.3 配置Linux内核<br>
<br>
-----------------------------------------------------------<br>
<br>
configure the Linux kernel<br>
# cd linux<br>
# make menuconfig or make xconfig<br>
<br>
-----------------------------------------------------------<br>
<br>
　　现在，配置Linux内核，按照以下步骤实施：<br>
<br>
[*] Prompt for development and/or incomplete code/drivers<br>
[*] Sysctl support<br>
<br>
After that， you will find that a new item appear in the bottom of the configura<br>
tion menu name "Linux Intrusion Detection System". Entering this menu， turn the<br>
<br>
<br>
[*] Linux Intrusion Detection System support (EXPERIMENTAL) (NEW).<br>
<br>
　　配置LIDS内核以后.退出配置界面，编译内核。<br>
<br>
# make dep<br>
# make clean<br>
# make bzImage<br>
# make modules<br>
# make modules_install<br>
<br>
　　3.4 在Linux系统上安装LIDS和系统管理工具<br>
<br>
　　复制 bzImage 到 /boot/ ，编辑 /etc/lilo.conf<br>
<br>
-----------------------------------------------------------<br>
<br>
# cp arch/i386/boot/bzImage /boot/bzImage-lids-0.9.9-2.2.17<br>
<br>
/* build admin tools */<br>
# cd lids-0.9.8-2.2.17/lidsadm-0.9.8/<br>
# make<br>
# make install<br>
<br>
# less /etc/lilo.conf<br>
boot=/dev/hda<br>
map=/boot/map<br>
install=/boot/boot.b<br>
prompt<br>
timeout=50<br>
default=linux<br>
<br>
image=/boot/vmlinuz-2.2.16-3<br>
label=linux<br>
read-only<br>
root=/dev/hda2<br>
<br>
image=/boot/bzImage-lids-0.9.9-2.2.17<br>
label=dev<br>
read-only<br>
root=/dev/hda2<br>
<br>
-----------------------------------------------------------<br>
<br>
　　运行/sbin/lilo 来安装新内核<br>
<br>
# /sbin/lilo<br>
<br>
　　3.5 配置LIDS系统<br>
<br>
　　在重新启动以前，必须配置lids系统，使其符合你的安全需要.你可以定义受保护的文件，受保护的进程等等。<br>
<br>
　　缺省情况下，lidsadm将把缺省配置文件安装到 /etc/lids/。你必须根据自己的需要重<br>
新配置。首先，可以更新缺省lids.conf的inode/dev值。<br>
<br>
# /sbin/lidsadm -U<br>
<br>
　　3.6 重新启动系统<br>
<br>
　　配置完Linux系统后，重新启动.当lilo出现时，选择装载the lids enable kernel。然<br>
后，你就将进入美妙的LIDS世界。<br>
<br>
　　3.7 封装内核<br>
<br>
　　系统启动后，不要忘记用lidsadm封装内核，在最后/etc/rc.local加入以下命令# /sbin/lidsadm -I<br>
<br>
　　3.8 在线管理<br>
<br>
　　封装完内核后，你的系统就处于LIDS的保护下。可以做一些测试来验证，如果想改变某些配置，例如修改权限，可以通过输入密码方式在线改变lids的安全等级。<br>
<br>
# /sbin/lidsadm -S -- -LIDS<br>
<br>
　　改变lids配置属性后，例如lids.conf，lids.cap，你可以通过以下命令在内核中重新装<br>
载配置文件<br>
<br>
# /sbin/lidsadm -S -- +RELOAD_CONF<br>
<br>
4. 配置LIDS系统<br>
<br>
　　4.1 LIDS配置目录 -- “/etc/lids/”<br>
<br>
　　安装 lidsadm以后，在/etc/lids/下会产生一个 lids配置目录，当内核启动时，配置信<br>
息将被读入内核中来初始化 LIDS系统。lids.conf 这是用来储存 LIDS ACLs信息的文件。它包括定义事件进入类型的ACLs.其项目可以用lidsadm来添加或删除。lids.cap 这个文件包括了系统中所有的权限，可以通过编辑它来配置系统中启动或禁止的权限。在想要启动的名称前设置 "+"或设置 "-"来禁止。安装系统时， lids.cap 以缺省值存在，应该按照自己的需要改变它。lids.net 这个文件是用来配置通过网络传送警告信件的。可以定义 SMTP服务器、端口、信息题目等等。<br>
　　 这一文件需要在配置内核时选择:<br>
<br>
　　[*] Send security alerts through network (NEW)<br>
<br>
lids.pw 这是用来储存由"lidsadm -P"产生的密码的文件，需要在配置内核时选择:<br>
　　 [*] Allow switching LIDS protections (NEW)<br>
<br>
　　注意: 如果要改变lids保护等级，你必须在重新启动内核前运行"lidsadm -P"l.<br>
<br>
　　4.2 保护文件和目录<br>
<br>
　　首先，要决定哪些文件需要受保护。建议你应该保护系统二进制文件和系统配置文件，例如/usr/，/sbin/，/etc/，/var/log/。<br>
<br>
　　其次，要决定保护文件的方式. LIDS提供四种保护类型:<br>
<br>
　　DENY access to any body(禁止任何人进入)。<br>
<br>
　　这种方式意味着没有人能够看见或修改文件或目录. 最敏感的文件应该配置为DENY。 例如，可以将 /etc/shadow设置为 DENY access to anybody，<br>
<br>
-------------------------------------------------------<br>
Usage<br>
lidsadm -A -o file_to_protected -j DENY<br>
<br>
# lidsadm -A -o /etc/shadow -j DENY<br>
After reboot or RELOAD the configurate files. you can see，<br>
# ls /etc/shadow<br>
ls: /etc/shadow: No such file or directory<br>
-------------------------------------------------------<br>
<br>
　　然后，你要设置一些可以进入文件的程序，例如，登陆系统时，/bin/login文件需要从<br>
受保护的文件/etc/shadow里读取密码 ，但/etc/shadow不允许任何人进入，所以你应该:<br>
<br>
-------------------------------------------------------<br>
Usage<br>
lidsadm -A -s SUBJECT_PROGRAM -o OBJECT_PROGRAM -j READ/WRITE/APPEND<br>
# lidsadm -A -s /bin/login -o /etc/shadow -j READ<br>
-------------------------------------------------------<br>
<br>
　　配置生效后，你可以登陆到系统上但无法进入/etc/shadow。这是MAC (mandatory acce<br>
ss control命令进入控制)的一个实例。<br>
<br>
Read Only Files(只读文件)<br>
<br>
　　这种方式意味着没有人可以改变文件，建议/etc/passwd，/bin/passwd等类似文件可以<br>
采取这种方式。<br>
<br>
-------------------------------------------------------<br>
lidsadm -A -o file_to_protect -j READ<br>
<br>
example，<br>
<br>
1. to protect the whole /sbin/ as read-only.<br>
<br>
# /sbin/lidsadm -A -o /sbin/ -j READ<br>
<br>
2. to protect /etc/passwd as read-only<br>
<br>
# /sbin/lidsadm -A -o /etc/passwd -j READ<br>
-------------------------------------------------------<br>
<br>
　　Append Only Files(只能添加文件)<br>
<br>
　　大多此类文件是指系统的log文件，例如 /var/log/message ，/var/log/secure。 文件<br>
只能添加而不能删除或修改以前的内容。<br>
<br>
------------------------------------------------------<br>
USAGE:<br>
lidsadm -A -o filename_to_protect -j APPEND<br>
<br>
example，<br>
<br>
1. to protect the system log files<br>
<br>
# /sbin/lidsadm -A -o /var/log/message -j APPEND<br>
# /sbin/lidsadm -A -o /var/log/secure -j APPEND<br>
<br>
2. to protect the apache httpd log files<br>