作者:洪小叶
对于连接在Internet上的系统,可以说威胁无时不在。不计其数的潜在攻击者经常让系统管理员防不胜防。如果能及早检测到入侵者的踪迹,尽快洞察入侵者的意图,系统管理员将会非常的主动。在Solaris操作系统中有一个BSM(基本安全模块),可以将内核日志做得非常细致,这对管理员非常有帮助。而现在,Linux中也可以做到这一点了。
Linux上的NDS
SNARE是一个基于主机的、专为Linux设计的IDS(入侵检测系统)。当我第一次听到SNARE时,我决定安装并且对其进行试用。在测试中,我发现它的确是一个非常不错的用于审查Linux内核事件的插件程序,并且它是免费的,还易于安装和配置。本文将向你介绍如何安装、测试以及在实际中使用它。
SNARE是一个专门用于SNA(System iNtrusion Analysis)和RE(Reporting Environment)的自由软件。它由澳大利亚IT安全咨询公司InterSect Alliance生产。通过该产品的网站(http://www.intersectalliance. com/projects/Snare),得知该公司开始SNARE项目是想“通过为Linux提供全面的事件日志功能来增强其安全性”。他们认为,Linux之所以没有被更多的IT企业所完全接受,正是因为其缺少了一个功能全面的日志工具。因此,他们才决定开发了这样一个可以作为动态加载的Linux内核模块。这个模块实际上是一个监控程序。
“更全面的记录功能”包括对以下信息的记录:
◆ 打开和接受网络连接
◆ 读写文件和目录
◆ 修改用户的身分或用户组
◆ 修改程序的使用
根据对SNARE的配置,当一个用户或者入侵者终止了某一个关键程序、切换到了root账号或者在关键的系统目录下安装了文件等,我们都可以检测到。此外,SNARE可以审查系统调用本身,比如什么时候一个文件被打开或者被重命名、什么时候执行了reboot、什么时候使用了mkdir或者mknod命令等等。