当前位置: 王朝网络 >> system >> linux下的入侵监测系统LIDS

linux下的入侵监测系统LIDS

王朝system·作者佚名 2008-05-19

最近我要毕业设计。可能要做一个ids的系统，所有找到了LIDS，现在我翻译了LIDS的一个HOW-TO文档，但是由于时间太紧，我匆匆的翻译完了。感觉有好多东西不是很正确，所以发表出来。让大家一起来帮助我找错误，呵呵。大家也一起提高一下。我不知道有没有人已经翻译了这个文档，不过我这个是我自己翻译的。可能错误很多。另外，也可以到我朋友的网站下载我打包的原英文的文挡。www.caiduo.com/lids-howoto.zip

内容

l 内容

l 什么是LIDS

l 编译lidsadm

l 安装lidsadm

l 得到成熟的MD-160加密口令

l 修补一个内核

l 配置内核

1．选择描述

l 运行无保护程序时发出警告

l 在安装LIDS前不要运行无保护程序

l 开启锁定子进程功能

l 尽量不要让日志溢出

l 允许转换LIDS保护

l 允许远程拥护来转换LIDS保护

l 允许任何程序来转换LIDS保护

l 允许重新引导配置文件

l 隐藏一些已知的进程

l 可继承的隐藏功能

l 允许一些已知的进程访问/dev/mem（/xfree，等）

l 允许一些已知的进程访问硬盘设备

l 允许一些已知的进程卸载设备

l 允许一些已知的进程访问io端口

l 可继承的卸载功能

l 允许一些已知的进程杀死子进程

l 可继承的杀进程功能

补丁填充域

如何安装UPS

l 编译内核并且安装LIDS

l 保护一些文件的安全

1．用lidsadm

2．用chattr

3．文件在启动的时候更新升级

l LIDS保护前的准备

1．功能

l CAP_CHOWN

l CAP_DAC_OVERRIDE

l CAP_DAC_READ_SEARCH

l CAP_FOWNER

l CAP_FSETID

l CAP_FS_MASK

l CAP_KILL

l CAP_SETGID

l CAP_SETUID

l CAP_SETPCAP

l CAP_LINUX_IMMUTABLE

l CAP_NET_BIND_SERVEICE

l CAP_NET_BROADCAST

l CAP_NET_ADMIN

l CAP_NET_RAW

l CAP_IPC_LOCK

l CAP_IPC_OWNER

l CAP_SYS_MODULE

l CAP_SYS_RAWIO

l CAP_SYS_CHROOT

l CAP_SYS_PTRACE

l CAP_SYS_PACCT

l CAP_SYS_ADMIN

l CAP_SYS_BOOT

l CAP_SYS_NICE

l CAP_SYS_RESOURCE

l CAP_SYS_TIME

l CAP_SYS_TTY_CONFIG

1．选择你要除区的功能

2．放置一个隐藏命令

3．如何确定安全的启动

l 重起系统

l 用LIDS工作

n 例子：转换LIDS

n 例子：网络管理

n 例子：后台管理

n 例子：文件管理

l 关于这个文档

1．什么是LIDS

LIDS是支持Linux的入侵监测防范系统。

这个就是LIDS-08.1pre1的how-to文档。但是也适用于LIDS-0.8和0.8pre1,2,3,4。但是一些功能可能会不能实现。

现在只支持i386体系。

这个东西的目的是保护linux系统不被root入侵，并在它自己的内核禁止一些系统调用。如果你要管理你的系统，你可以先禁止LIDS保护，再来管理。

首先，要保护LIDS本身不会被root的入侵，我们假定两件事情：

1．系统是安全的（没有后门）直到LIDS第一次运行。

2．你是唯一访问过控制终端的（你可以在lilo上加命令行，可以用急救内核或是启动盘启动）．

保护LIDS防止root入侵：

1，禁止模块

2，禁止内存访问（/dev/mem,/dev/kmem,/dev/kcore）

3，禁止磁盘访问（/dev/hdxx,/dev/sdxx）

4，保护每一个文件，包括启动进程（lilo文件，内核映象，后台，简本，模块）

5，禁止I/O端口的访问(/dev/port,ioperm和iopl 系统调用)

然后你就会想如何入侵监测，LIDS提供了以下功能：

1．记录机会每一个拒绝的访问

2．用只读或是只能增加来保护程序或是日志不受root攻击。

对于系统的保护，LIDS提供以下功能：

1．锁定你的路由表，防火墙规则。

2．锁定挂载操作

3．保护后台信号

4．还有其他一些保护。。。

编译lidsadm

要编译lidsadm程序，进入目录然后

make

你就会看到当前lids的信息，这些主要是用来调试的目的，因为没有这些功能或是一个正确的系统配置。没有人能知道LIDS的当前状态。

安装lidsadm

make install

你必须保证你的/etc目录在你的/系统下。因为LIDS需要读取/etc/lids.conf的文件。

得到一个RipeMD-160加密口令

vmlin1:~# lidsadm -P

MAKE PASSWD

enter password:

Verifying enter password:

RipeMD-160 encrypted password : 46a1492cc2d43652409abfdbb047e4ae099a62f3

修补一个内核

cd /usr/src/linux-linversion

patch -p1

配置内核

确定你选择了

[*] Prompt for development and/or incomplete code/drivers

and

[*] Sysctl support

for

Linux Intrusion Detection System --

to appear.

细节

l 选择描述

l 运行无保护程序时发出警告

l 在安装LIDS前不要运行无保护程序

l 开启锁定子进程功能

l 尽量不要让日志溢出

l 允许转换LIDS保护

l 允许远程拥护来转换LIDS保护

l 允许任何程序来转换LIDS保护

l 允许重新引导配置文件

l 隐藏一些已知的进程

l 可继承的隐藏功能

l 允许一些已知的进程访问/dev/mem（/xfree，等）

l 允许一些已知的进程访问硬盘设备

l 允许一些已知的进程访问io端口

l 允许一些已知的进程卸载设备

l 可继承的卸载功能

l 允许一些已知的进程杀死子进程

l 可继承的杀进程功能

1．运行无保护程序时发出警告

在没有LIDS保护前（用lidsadm ?I ?caps…..）运行无保护程序时会发出警告,这个对检测启动序列有很大帮助，但是他不会告诉你哪个模块被加载或是没有被保护。这个功能还可以警告你是否有程序的弱点加到启动进程里。，

2．在安装LIDS前不要运行无保护程序

这个功能让LIDS在没有被保护前拒绝一些执行。要意识到你可以阻止系统在不完全的lids.conf下启动。

3．开启锁定子进程功能

你可以开启这个功能用lidsadm (+LOCK_INIT_CHILDREN)这样就会阻止任何人杀死用LIDS保护的父进程的子进程。你可以运行lidsadm命令用-LOCK_INIT_CHILDREN然后用+LOCK_INIT_CHILDREN，这样，就灭有人能阻止它（拒绝服务器攻击）或是重新用新的配置文件启动它。（重起或是kill -HUP）.

4．尽量不要让日志溢出

你可以定义相同内容日志出现的次数。如果在一定时间内有很多相同的日志，就不会在把他们存放到日志里面。这样能避免日志溢出。

5．允许转换LIDS保护

你可以启动转换LIDS功能的开关。但是这样会降低安全性。不过可以方便系统的管理。

具体过程是这样：lidsadm读取当前的允许标志。根据你的命令行升级它们，然后问你密码。把他们配置到LIDS里面。如果密码正确，允许标准就更新了。这时候会有一个报警在日志里。

6．要让LIDS识别你的密码。必须要给他一个RipeMD-160的指纹。这个会被lidsadm来计算。这个指纹非常难破解，就算有人访问你的二进制内核，他们也不能得到你的密码。

你可以培植密码错误的次数。如果超过就会被禁止登陆。每一次登陆的失败会记录到日志里。

7．允许远程拥护来转换LIDS保护

如果你允许没有登陆控制终端的用户开启启动标志的话，就选定这个功能。如果你已经访问了控制终端。你可以禁止这个选项，这样远程的用户就不能关闭LIDS，甚至他有密码。

8．允许任何程序来转换LIDS保护

如果你选定这个功能，你可以允许除了/sbin/lidsadm来操作/proc/sys/lids/locks。我不认为这个会有什么用处。

9．允许重新引导配置文件