linux下的入侵监测系统LIDS.doc
linux下的入侵监测系统LIDS文章提交: shuer 信息来源: 网安中国 () 最近我要毕业设计。可能要做一个ids的系统,所有找到了LIDS,现在我翻译了LIDS的一个HOW-TO文档,但是由于时间太紧,我匆匆的翻译完了。感觉有好多东西不是很正确,所以发表出来。让大家一起来帮助我找错误,呵呵。大家也一起提高一下。我不知道有没有人已经翻译了这个文档,不过我这个是我自己翻译的。可能错误很多。另外,也可以到我朋友的网站下载我打包的原英文的文挡。/lids-howoto.zip内容l 内容l 什么是LIDSl 编译lidsadml 安装lidsadml 得到成熟的MD-160加密口令l 修补一个内核l 配置内核1.选择描述l 运行无保护程序时发出警告l 在安装LIDS前不要运行无保护程序l 开启锁定子进程功能l 尽量不要让日志溢出l 允许转换LIDS保护l 允许远程拥护来转换LIDS保护l 允许任何程序来转换LIDS保护l 允许重新引导配置文件l 隐藏一些已知的进程l 可继承的隐藏功能l 允许一些已知的进程访问/dev/mem(/xfree,等)l 允许一些已知的进程访问硬盘设备l 允许一些已知的进程卸载设备l 允许一些已知的进程访问io端口l 可继承的卸载功能l 允许一些已知的进程杀死子进程l 可继承的杀进程功能补丁填充域如何安装UPSl 编译内核并且安装LIDSl 保护一些文件的安全1.用lidsadm2.用chattr3.文件在启动的时候更新升级l LIDS保护前的准备1.功能l CAP_CHOWNl CAP_DAC_OVERRIDEl CAP_DAC_READ_SEARCHl CAP_FOWNERl CAP_FSETIDl CAP_FS_MASKl CAP_KILLl CAP_SETGIDl CAP_SETUIDl CAP_SETPCAPl CAP_LINUX_IMMUTABLEl CAP_NET_BIND_SERVEICEl CAP_NET_BROADCASTl CAP_NET_ADMINl CAP_NET_RAWl CAP_IPC_LOCKl CAP_IPC_OWNERl CAP_SYS_MODULEl CAP_SYS_RAWIOl CAP_SYS_CHROOTl CAP_SYS_PTRACEl CAP_SYS_PACCTl CAP_SYS_ADMINl CAP_SYS_BOOTl CAP_SYS_NICEl CAP_SYS_RESOURCEl CAP_SYS_TIMEl CAP_SYS_TTY_CONFIG1.选择你要除区的功能2.放置一个隐藏命令3.如何确定安全的启动l 重起系统l 用LIDS工作n 例子:转换LIDSn 例子:网络管理n 例子:后台管理n 例子:文件管理l 关于这个文档1. 什么是LIDSLIDS是支持Linux的入侵监测防范系统。这个就是LIDS-08.1pre1的how-to文档。但是也适用于LIDS-0.8和0.8pre1,2,3,4。但是一些功能可能会不能实现。现在只支持i386体系。这个东西的目的是保护linux系统不被root入侵,并在它自己的内核禁止一些系统调用。如果你要管理你的系统,你可以先禁止LIDS保护,再来管理。首先,要保护LIDS本身不会被root的入侵,我们假定两件事情:1. 系统是安全的(没有后门)直到LIDS第一次运行。2. 你是唯一访问过控制终端的(你可以在lilo上加命令行,可以用急救内核或是启动盘启动).保护LIDS防止root入侵:1, 禁止模块2, 禁止内存访问(/dev/mem,/dev/kmem,/dev/kcore)3, 禁止磁盘访问(/dev/hdxx,/dev/sdxx)4, 保护每一个文件,包括启动进程(lilo文件,内核映象,后台,简本,模块)5, 禁止I/O端口的访问(/dev/port,ioperm和iopl 系统调用)然后你就会想如何入侵监测,LIDS提供了以下功能:1. 记录机会每一个拒绝的访问2. 用只读或是只能增加来保护程序或是日志不受root攻击。对于系统的保护,LIDS提供以下功能:1. 锁定你的路由表,防火墙规则。2. 锁定挂载操作3. 保护后台信号4. 还有其他一些保护。。。编译lidsadm要编译lidsadm程序,进入目录然后make你就会看到当前lids的信息,这些主要是用来调试的目的,因为没有这些功能或是一个正确的系统配置。没有人能知道LIDS的当前状态。安装lidsadmmake insta