企業Linux開源系統主機入侵檢測及防御實戰

企業在實際的入侵檢測及防御體系的構建中，有的以網絡為主，進行網絡威脅的發現和封堵；有的以主機防御為主，主要保證主機不遭受入侵。如果光針對其中一方面進行構建的話，則會存在偏差，建議綜合多方面的信息，進行縱深的綜合性防御，這樣才能起到很好的效果。

在開源系統中，例如Linux操作系統，從應用到內核層面上提供了3種入侵檢測系統來對網絡和主機進行防御，它們分別是網絡入侵檢測系統Snort、主機入侵檢測系統LIDS以及分布式入侵檢測系統SnortCenter。其中，Snort專注于在網絡層面進行入侵檢測；LIDS則側重于在主機層面進行入侵檢測和防御；SnortCenter則是為了在分布式環境中提升入侵檢測的實時性和準確性的一種分布式檢測機制。

在企業的實際應用過程中，經常會忽略LIDS的特殊作用。其實，作為植根于內核層次的主機入侵檢測機制，它是開源系統作為主機尤其是服務器不可缺少的安全機制。本文將詳細介紹如何使用它進行逐級安全防御。

簡介

LIDS是Linux下的入侵檢測和防護系統，是Linux內核的補丁和安全管理工具，它增強了內核的安全性，它在內核中實現了參考監聽模式以及強制訪問控制（Mandatory Access Control）模式。區別于本文在前面部分介紹的Snort入侵檢測系統，它屬于網絡IDS范疇，而LIDs則屬于主機IDS范疇。

一般來說，LIDS主要功能包括如下幾方面：

重要系統資源保護：保護硬盤上任何類型的重要文件和目錄，如/bin、/sbin、/usr/bin、/usr/sbin、/etc/rc.d等目錄和其下的文件，以及系統中的敏感文件，如passwd和shadow文件，防止未被授權者（包括root用戶）和未被授權的程序進入。保護重要進程不被終止，任何人包括root也不能殺死進程，而且可以隱藏特定的進程。防止非法程序的I/O操作，保護硬盤，包括MBR保護等等。

入侵檢測：LIDS可以檢測到系統上任何違反規則的進程。

入侵響應：來自內核的安全警告，當有人違反規則時，LIDS會在控制臺顯示警告信息，將非法的活動細節記錄到受LIDS保護的系統log文件中。LIDS還可以將log信息發到用戶的信箱中。并且，LIDS還可以馬上關閉與用戶的會話。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]