企業(yè)Linux開源系統(tǒng)主機入侵檢測及防御實戰(zhàn) |
發(fā)布時間: 2012/9/14 17:41:09 |
企業(yè)在實際的入侵檢測及防御體系的構(gòu)建中,有的以網(wǎng)絡(luò)為主,進行網(wǎng)絡(luò)威脅的發(fā)現(xiàn)和封堵;有的以主機防御為主,主要保證主機不遭受入侵。如果光針對其中一方面進行構(gòu)建的話,則會存在偏差,建議綜合多方面的信息,進行縱深的綜合性防御,這樣才能起到很好的效果。 在開源系統(tǒng)中,例如Linux操作系統(tǒng),從應用到內(nèi)核層面上提供了3種入侵檢測系統(tǒng)來對網(wǎng)絡(luò)和主機進行防御,它們分別是網(wǎng)絡(luò)入侵檢測系統(tǒng)Snort、主機入侵檢測系統(tǒng)LIDS以及分布式入侵檢測系統(tǒng)SnortCenter。其中,Snort專注于在網(wǎng)絡(luò)層面進行入侵檢測;LIDS則側(cè)重于在主機層面進行入侵檢測和防御;SnortCenter則是為了在分布式環(huán)境中提升入侵檢測的實時性和準確性的一種分布式檢測機制。 在企業(yè)的實際應用過程中,經(jīng)常會忽略LIDS的特殊作用。其實,作為植根于內(nèi)核層次的主機入侵檢測機制,它是開源系統(tǒng)作為主機尤其是服務器不可缺少的安全機制。本文將詳細介紹如何使用它進行逐級安全防御。 簡介 LIDS是Linux下的入侵檢測和防護系統(tǒng),是Linux內(nèi)核的補丁和安全管理工具,它增強了內(nèi)核的安全性,它在內(nèi)核中實現(xiàn)了參考監(jiān)聽模式以及強制訪問控制(Mandatory Access Control)模式。區(qū)別于本文在前面部分介紹的Snort入侵檢測系統(tǒng),它屬于網(wǎng)絡(luò)IDS范疇,而LIDs則屬于主機IDS范疇。 一般來說,LIDS主要功能包括如下幾方面: 重要系統(tǒng)資源保護:保護硬盤上任何類型的重要文件和目錄,如/bin、/sbin、/usr/bin、/usr/sbin、/etc/rc.d等目錄和其下的文件,以及系統(tǒng)中的敏感文件,如passwd和shadow文件,防止未被授權(quán)者(包括root用戶)和未被授權(quán)的程序進入。保護重要進程不被終止,任何人包括root也不能殺死進程,而且可以隱藏特定的進程。防止非法程序的I/O操作,保護硬盤,包括MBR保護等等。 入侵檢測:LIDS可以檢測到系統(tǒng)上任何違反規(guī)則的進程。 入侵響應:來自內(nèi)核的安全警告,當有人違反規(guī)則時,LIDS會在控制臺顯示警告信息,將非法的活動細節(jié)記錄到受LIDS保護的系統(tǒng)log文件中。LIDS還可以將log信息發(fā)到用戶的信箱中。并且,LIDS還可以馬上關(guān)閉與用戶的會話。 本文出自:億恩科技【mszdt.com】 |