企業(yè)Linux開(kāi)源系統(tǒng)主機(jī)入侵檢測(cè)及防御實(shí)戰(zhàn)

企業(yè)在實(shí)際的入侵檢測(cè)及防御體系的構(gòu)建中，有的以網(wǎng)絡(luò)為主，進(jìn)行網(wǎng)絡(luò)威脅的發(fā)現(xiàn)和封堵；有的以主機(jī)防御為主，主要保證主機(jī)不遭受入侵。如果光針對(duì)其中一方面進(jìn)行構(gòu)建的話，則會(huì)存在偏差，建議綜合多方面的信息，進(jìn)行縱深的綜合性防御，這樣才能起到很好的效果。

在開(kāi)源系統(tǒng)中，例如Linux操作系統(tǒng)，從應(yīng)用到內(nèi)核層面上提供了3種入侵檢測(cè)系統(tǒng)來(lái)對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行防御，它們分別是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)Snort、主機(jī)入侵檢測(cè)系統(tǒng)LIDS以及分布式入侵檢測(cè)系統(tǒng)SnortCenter。其中，Snort專注于在網(wǎng)絡(luò)層面進(jìn)行入侵檢測(cè)；LIDS則側(cè)重于在主機(jī)層面進(jìn)行入侵檢測(cè)和防御；SnortCenter則是為了在分布式環(huán)境中提升入侵檢測(cè)的實(shí)時(shí)性和準(zhǔn)確性的一種分布式檢測(cè)機(jī)制。

在企業(yè)的實(shí)際應(yīng)用過(guò)程中，經(jīng)常會(huì)忽略LIDS的特殊作用。其實(shí)，作為植根于內(nèi)核層次的主機(jī)入侵檢測(cè)機(jī)制，它是開(kāi)源系統(tǒng)作為主機(jī)尤其是服務(wù)器不可缺少的安全機(jī)制。本文將詳細(xì)介紹如何使用它進(jìn)行逐級(jí)安全防御。

簡(jiǎn)介

LIDS是Linux下的入侵檢測(cè)和防護(hù)系統(tǒng)，是Linux內(nèi)核的補(bǔ)丁和安全管理工具，它增強(qiáng)了內(nèi)核的安全性，它在內(nèi)核中實(shí)現(xiàn)了參考監(jiān)聽(tīng)模式以及強(qiáng)制訪問(wèn)控制（Mandatory Access Control）模式。區(qū)別于本文在前面部分介紹的Snort入侵檢測(cè)系統(tǒng)，它屬于網(wǎng)絡(luò)IDS范疇，而LIDs則屬于主機(jī)IDS范疇。

一般來(lái)說(shuō)，LIDS主要功能包括如下幾方面：

重要系統(tǒng)資源保護(hù)：保護(hù)硬盤上任何類型的重要文件和目錄，如/bin、/sbin、/usr/bin、/usr/sbin、/etc/rc.d等目錄和其下的文件，以及系統(tǒng)中的敏感文件，如passwd和shadow文件，防止未被授權(quán)者（包括root用戶）和未被授權(quán)的程序進(jìn)入。保護(hù)重要進(jìn)程不被終止，任何人包括root也不能殺死進(jìn)程，而且可以隱藏特定的進(jìn)程。防止非法程序的I/O操作，保護(hù)硬盤，包括MBR保護(hù)等等。

入侵檢測(cè)：LIDS可以檢測(cè)到系統(tǒng)上任何違反規(guī)則的進(jìn)程。

入侵響應(yīng)：來(lái)自內(nèi)核的安全警告，當(dāng)有人違反規(guī)則時(shí)，LIDS會(huì)在控制臺(tái)顯示警告信息，將非法的活動(dòng)細(xì)節(jié)記錄到受LIDS保護(hù)的系統(tǒng)log文件中。LIDS還可以將log信息發(fā)到用戶的信箱中。并且，LIDS還可以馬上關(guān)閉與用戶的會(huì)話。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]