企業(yè)Linux開源系統(tǒng)主機入侵檢測及防御實戰(zhàn)

企業(yè)在實際的入侵檢測及防御體系的構(gòu)建中，有的以網(wǎng)絡(luò)為主，進行網(wǎng)絡(luò)威脅的發(fā)現(xiàn)和封堵；有的以主機防御為主，主要保證主機不遭受入侵。如果光針對其中一方面進行構(gòu)建的話，則會存在偏差，建議綜合多方面的信息，進行縱深的綜合性防御，這樣才能起到很好的效果。

在開源系統(tǒng)中，例如Linux操作系統(tǒng)，從應(yīng)用到內(nèi)核層面上提供了3種入侵檢測系統(tǒng)來對網(wǎng)絡(luò)和主機進行防御，它們分別是網(wǎng)絡(luò)入侵檢測系統(tǒng)Snort、主機入侵檢測系統(tǒng)LIDS以及分布式入侵檢測系統(tǒng)SnortCenter。其中，Snort專注于在網(wǎng)絡(luò)層面進行入侵檢測；LIDS則側(cè)重于在主機層面進行入侵檢測和防御；SnortCenter則是為了在分布式環(huán)境中提升入侵檢測的實時性和準確性的一種分布式檢測機制。

在企業(yè)的實際應(yīng)用過程中，經(jīng)常會忽略LIDS的特殊作用。其實，作為植根于內(nèi)核層次的主機入侵檢測機制，它是開源系統(tǒng)作為主機尤其是服務(wù)器不可缺少的安全機制。本文將詳細介紹如何使用它進行逐級安全防御。

簡介

LIDS是Linux下的入侵檢測和防護系統(tǒng)，是Linux內(nèi)核的補丁和安全管理工具，它增強了內(nèi)核的安全性，它在內(nèi)核中實現(xiàn)了參考監(jiān)聽模式以及強制訪問控制（Mandatory Access Control）模式。區(qū)別于本文在前面部分介紹的Snort入侵檢測系統(tǒng)，它屬于網(wǎng)絡(luò)IDS范疇，而LIDs則屬于主機IDS范疇。

一般來說，LIDS主要功能包括如下幾方面：

重要系統(tǒng)資源保護：保護硬盤上任何類型的重要文件和目錄，如/bin、/sbin、/usr/bin、/usr/sbin、/etc/rc.d等目錄和其下的文件，以及系統(tǒng)中的敏感文件，如passwd和shadow文件，防止未被授權(quán)者（包括root用戶）和未被授權(quán)的程序進入。保護重要進程不被終止，任何人包括root也不能殺死進程，而且可以隱藏特定的進程。防止非法程序的I/O操作，保護硬盤，包括MBR保護等等。

入侵檢測：LIDS可以檢測到系統(tǒng)上任何違反規(guī)則的進程。

入侵響應(yīng)：來自內(nèi)核的安全警告，當(dāng)有人違反規(guī)則時，LIDS會在控制臺顯示警告信息，將非法的活動細節(jié)記錄到受LIDS保護的系統(tǒng)log文件中。LIDS還可以將log信息發(fā)到用戶的信箱中。并且，LIDS還可以馬上關(guān)閉與用戶的會話。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]