企业在实际的入侵检测及防御体系的构建中,有的以网络为主,进行网络威胁的发现和封堵;有的以主机防御为主,主要保证主机不遭受入侵。如果光针对其中一方面进行构建的话,则会存在偏差,建议综合多方面的信息,进行纵深的综合性防御,这样才能起到很好的效果。
在开源系统中,例如Linux操作系统,从应用到内核层面上提供了3种入侵检测系统来对网络和主机进行防御,它们分别是网络入侵检测系统Snort、主机入侵检测系统LIDS以及分布式入侵检测系统SnortCenter。其中,Snort专注于在网络层面进行入侵检测;LIDS则侧重于在主机层面进行入侵检测和防御;SnortCenter则是为了在分布式环境中提升入侵检测的实时性和准确性的一种分布式检测机制。
在企业的实际应用过程中,经常会忽略LIDS的特殊作用。其实,作为植根于内核层次的主机入侵检测机制,它是开源系统作为主机尤其是服务器不可缺少的安全机制。本文将详细介绍如何使用它进行逐级安全防御。
简介
LIDS是Linux下的入侵检测和防护系统,是Linux内核的补丁和安全管理工具,它增强了内核的安全性,它在内核中实现了参考监听模式以及强制访问控制(Mandatory Access Control)模式。区别于本文在前面部分介绍的Snort入侵检测系统,它属于网络IDS范畴,而LIDs则属于主机IDS范畴。
一般来说,LIDS主要功能包括如下几方面:
重要系统资源保护:保护硬盘上任何类型的重要文件和目录,如/bin、/sbin、/usr/bin、/usr/sbin、/etc/rc.d等目录和其下的文件,以及系统中的敏感文件,如passwd和shadow文件,防止未被授权者(包括root用户)和未被授权的程序进入。保护重要进程不被终止,任何人包括root也不能杀死进程,而且可以隐藏特定的进程。防止非法程序的I/O操作,保护硬盘,包括MBR保护等等。
入侵检测:LIDS可以检测到系统上任何违反规则的进程。
入侵响应:来自内核的安全警告,当有人违反规则时,LIDS会在控制台显示警告信息,将非法的活动细节记录到受LIDS保护的系统log文件中。LIDS还可以将log信息发到用户的信箱中。并且,LIDS还可以马上关闭与用户的会话。
