随着类Linux的操作系统不断地推广,在加上经济危机时期需要缩减IT总体拥有成本,越来越多的中小企业都把自己的重要服务向Linux系统迁移。借着Linux系统强大的安全性和较少的成本,架设在Linux系统上的各种企业服务为这些中小企业提供了更大的发展和更强的竞争力。
但是,在当前网络环境下,随着黑客技术的不断提高,以及黑客数量的不断增加,网络攻击事件也越来越多。Linux系统的安全性正在一次次地经受着考验,Linux系统上的安全缺陷也越来越多突现出来。对于那些应用Linux系统的中小企业来说,如何保护这些服务器上的数据安全正是一个迫在眉急的问题。
由此,许多中小企业都会使用网络防火墙来阻止大部份的网络攻击,但是,一旦某些网络攻击穿透了防火墙,系统上的重要数据就有被攻击者完全控制的危险。因此,在Linux系统上布置一种基于主机的入侵检测系统是很有必要的。LIDS正是这样的一种基于Linux内核补丁模式的入侵检测系统。
LIDS全称为Linux入侵检测系统(Linux Intrusion Detection System),它集成在Linux内核中,可以用来进一步加强Linux内核的安全性,为Linux内核提供一种安全和强制存取控制模式,也可作为防火墙的一种后备保护方式而存在。并以此来保护Linux系统上的重要目录及文件不被复制、删除,重要的服务不被删除或停止,不能修改系统登录方式等等。本文下面我们就一起来详细了解在Linux系统下如何应用LIDS。
一、LIDS的主要功能
我们在使用LIDS时,主要使用它的下列主要功能:
1、保护功能:LIDS可以保护硬盘上任何类型的重要文件(例如passwd和shadow等文件)和目录(例如/bin、/sbin、/usr/bin、/usr/sbin、/etc/rc.d等),防止它们被未授权用户(包括ROOT)和未授权的程序所访问和使用。 LIDS还可以保护系统中的重要进程不被终止,启用它的这个功能后,系统上的任何用户包括root也不能杀死进程,而且可以隐藏特定的进程。另外,LIDS还可以防止非法程序的RAW IO 操作,保护硬盘,包括对硬盘的主引导记录(MBR)进行保护等等。
2、检测功能:通过集成在内核中的端口扫描器,LIDS能检测到系统中正在监听的端口,并可以将检测到的内容报告给系统管理员。 LIDS还可以检测到系统上任何违反规则的进程。
3、警报功能:当LIDS检测到有人违反设置的安全规则时, 它就会在控制台上显示相应的警告信息,并将非法的行为细节记录到受LIDS保护的系统日志文件中。 LIDS还可以将日志文件发到我们设定的管理员电子邮箱中,与此同时,LIDS还可以马上关闭非法用户的当前会话。