用LKM更改linux缺省安全等级

王朝system·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

Linux缺省的安全等级是0,如果将其升到1,就可以一定程度上提高系统的安全性.安全等级

为1的时候,它会禁止修改ex2fs系统中文件的immutable和append-only位,同时禁止装入

/移除module.所以我们可以先用chattr +i 将大部分的可执行文件,动态连接库,

一些重要的系统文件(inetd.conf,securetty,hosts.allow,hosts.deny,rc.d下的启

动script...)加上immutable位,这样"黑客"就很难在你的机器上放置木马和留后门了.

(即便他已经得到了root权限,当然通过直接硬盘读写仍然可以修改,但比较麻烦而且危险

).

"黑客"们一旦进入系统获得root,首先会清除系统的记录文件.你可以给一些系统记录文件

(wtmp,messages,syslog...)增加append-only位,使"黑客"不能轻易的修改它们.要抓

他们就容易多了.:-)

修改安全等级比较直接的办法是直接修改内核源码.将linux/kernel/sched.c中的

securelevel设成1即可.不过如果要改变安全等级的话需要重新编译内核,我太懒,不想那

么麻烦.:-)

为什么不用module呢?我写了个很简单的lkm和一个client程序来完成安全等级的切换.

方法: insmod lkm; clt -h;

注意:普通用户也可以执行clt来切换安全等级,所以最好是在clt和lkm中加段密码检查,

如果密码不对就不允许执行.:-)

这两个程序在Redhat 5.2(2.0.36)下编译运行通过.对于2.2.x的内核,securelevel

变成了securebits,简单的将它改到1,会连setuid()都被禁止了,这样普通用户就不能

登陆了.如果谁对2.2.x比较熟悉,请不吝赐教,共同提高嘛.:)

(一旦securelevel=1,kernel将不允许装入modlue,所以你的kerneld可能不能正

常工作,而且禁止你访问/dev/kmem,所以有些用到svgalib的程序也不能正常工作

,象zgv什么的。不过这本来就是安全隐患,所以不工作就不工作好了,呵呵)

(关于chattr,lsaddr请man chattr和man lsattr)

warning3@hotmail.com

/**************************** lkm.c ********************************/

/* Simple lkm to secure Linux.

* This module can be used to change the securelevel of Linux.

* Running the client will switch the securelevel.

*

* gcc -O3 -Wall -c lkm.c

* insmod lkm

*

* It is tested in Redhat 5.2 (2.0.36).

* (It should be modified if you want to run it in 2.2.x kernel).

* It is really very simple,but we just for educational purposes.:-)

*

* warning3@hotmail.com

*/

#define MODULE

#define __KERNEL__

#include

#include

#include

#include

#include

#include

#include

#include

#include

#include #include#include#include#include#include#define __NR_secureswitch 250extern void *sys_call_table[];int sys_secureswitch(int secure){if(secure==0) securelevel=0;if(secure==1) securelevel=1;return securelevel;}int init_module(void){sys_call_table[__NR_secureswitch] = (void *)sys_secureswitch;return 0;}void cleanup_module(void){sys_call_table[__NR_secureswitch] = NULL;return;}/************************ clt.c **************************//** This client can switch the secure level of Linux.** gcc -O3 -Wall -o clt clt.c* Usage: clt -h/-l* -h switch to the high secure level.* -l switch to the low secure level.** Most of codes are ripped from smiler@tasam.com,thanks smiler.:)* warning3@hotmail.com*/#include#include#include#define __NR_secureswitch 250static inline _syscall1(int, secureswitch, int, command);int main(int argc,char **argv){int ret,level = 0;if (argc{fprintf(stderr,"Usage: %s [-h/-l]n",argv[0]);exit(-1);}if (argv[1][1] == h) level++;else if (argv[1][1] != l){fprintf(stderr,"Usage: %s [-h/-l]n",argv[0]);exit(-1);}ret = secureswitch(level);if (retprintf("Hmmm...It seemed that our lkm hasnt been loaded.;-)n");else {if (ret == 0) {puts("Now the secure level is changed to 0!n");} else {puts("Now the secure level is chagned to 1!n");}}return(1);}

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航