首页    技术博客    PHP教程    数据库技术    前端开发   HTML5    Nginx    php论坛
新用户注册 | 会员登录
加入会员,解锁专属内容
取消
热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

linux下的入侵监测系统LIDS原理(2)

作者:阴森森林蛀 | 来源:互联网 | 2014-06-18 08:57
五.密封内核我们需要在系统启动的时候做一些必要的操作,但是我们也需要在系统运行的时候保护它们。例如,我们需要象内核里插入一些需要的模块,但是我们不希望在系统运行的时候插入任何模块,因为那样会十分危险。如何解决

五.密封内核

  我们需要在系统启动的时候做一些必要的操作,但是我们也需要在系统运行的时候保护它们。

  例如,我们需要象内核里插入一些需要的模块,但是我们不希望在系统运行的时候插入任何模块,因为那样会十分危险。如何解决这个问题呢?这里就有一些密封的方法。我们可以在系统启动的时候做我们任何想做的事情,然后我们就密封内核。然后,我们就不能做那些以前在没有密封的时候可以做的事情。用密封的方法,我们可以用模块来解决问题,我们可以在密封前向内核里插入我们想要的模块,在密封后我们就不可以在内核里插入或是删除任何模块。

  5.1 用LIDS密封内核

  为了密封内核,我们可以用下面的LIDS命令

  #lidsadm ?I -- -CAP_xxx….

  它们可以放到脚本里让系统启动的时候就执行它。具体你们可以看我以前在linuxbyte和chinabyte发表的文章。LIDS是通过/proc/sys/lids/locks和内核通讯的。

  当你密封了内核,lidsadm是调用lidsadm.c的lids_init()的调用。

  #define LIDS_LOCKS "/proc/sys/lids/locks"

  ......

  void lids_init(int optind, int argc, char *argv[])

  {

  ......

  if ((fd=open(LIDS_LOCKS,O_RDWR)) == -1) {

  perror("open");

  exit_error (2, "cant open " LIDS_LOCKS);

  }

  if (read(fd,&locks,sizeof(lids_locks_t))==-1) {

  perror("read");

  exit_error (2, "cant read " LIDS_LOCKS);

  }

  lids_set_caps(optind,argc,argv,&locks);

  locks.magic1=LIDS_MAGIC_1;

  .........

  if (write(fd,&locks,sizeof(lids_locks_t))==-1) {

  perror("write");

  exit_error (2, "cant write " LIDS_LOCKS);

  }

  .....

  }

  这个系统调用在LIDS_LOCKS生成新的变量loks,内核会通过lids_proc_locks_sysctl()命令来读取它。Lids_proc_locks_sysctl也会从用户区完全检查并读取它,然后改变密封的变量lids_first_time为0。

  让我们看看lids_proc_locks_sysctl().这个函数会在用户读写/proc/sys/lids/locks的时候调用。

  int lids_proc_locks_sysctl(ctl_table *table, int write, struct file *filp,

  void *buffer, size_t *lenp, int conv, int op)

  {

  ...........

  /* first: check the terminal and the program which access the sysctl */

  #ifndef CONFIG_LIDS_REMOTE_SWITCH

  if (current->tty && (current->tty->driver.type != 2) ) {

  lids_security_alert("Try to %s locks sysctl (unauthorized terminal)",

  write ? "write" : "read");

  return -EPERM;

  }

  #endif

  ........

  /* second: check wether it is not a timeout period after two many failed attempts */

  .......

  if (write) {

  /* Third : check what is submitted (size, magics, passwd) */

  if (*lenp != sizeof(lids_locks_t)) {

  lids_security_alert("Try to feed locks sysctl with garbage");

  return -EINVAL;

  }

  if (copy_from_user(&locks,buffer,sizeof(lids_locks_t)))

  return -EFAULT;

  .......

  if ((lids_first_time) && (!locks.passwd[0])) {

  .........

  number_failed=0;

  if (lids_process_flags(locks.flags)) {

  cap_bset=locks.cap_bset;

  lids_security_alert("Changed: cap_bset=0x%x lids_flags=0x%x",cap_t(cap_bset),lids_flags);

  }

  Change flag here ..--> lids_first_time=0;

  .....

  }

  上面的函数会在密封内核或是改变内核安全级别的时候工作。变量lids_first_time是一个表明当前密封状态的的一个标志。当改变了需要的使能位,这个标志就会置1表明当前的状态是“密封后“。

  密封内核有两个任务,首先,改变使能位,然后,改变lids_first_time标志为1。在密封后,系统就不允许改变它们了,除非你用lidsadm和密码。

  在密封前保护程序

  因为在密封前的状态是危险的,我们必须知道在密封前那些运行的程序是LIDS来保护的。为什么呢?因为密封后我们就不能改变它们了。如果文件没有被保护,一些人就可以改变他们然后重新启动,这些程序可能对系统非常危险。让我们来看看在没有密封前一个运行的非保护程序的代码。

  int do_execve(char * filename, char ** argv, char ** envp, struct pt_regs * regs)

  {

  ..........

  #ifdef CONFIG_LIDS_SA_EXEC_UP

  if (lids_first_time && lids_load) {

  if (!lids_check_base(dentry,LIDS_READONLY))

  #ifdef CONFIG_LIDS_NO_EXEC_UP

  lids_security_alert("Try to exec unprotected program %s before sealing LIDS",filename);

  if (dentry)

  dput(dentry);

  return -EPERM;

  #else

  lids_security_alert("Execed unprotected program %s before sealing LIDS",filename);

  #endif

  }

  }

  #endif

  ......

  }

  你会看到当LIDS保护系统开启(lids_load==1)和当前系统没有密封(lids_firest_time 为1)的时候,内核就会检查当前程序是否在LIDS的lids_check_base()保护下。如果没有被保护,它就会启动报警信息。

  六.LIDS与Capability

  Capability是一套来表明一个进程可以做为什么的位标志。在LIDS,我们可以用capability的限制来限制所有的进程。

  在/include/linux/capability.h

  typedef struct __user_cap_header_struct {

  __u32 version;

  int pid;

  } *cap_user_header_t;

  typedef struct __user_cap_data_struct {

  __u32 effective;

  __u32 permitted;

  __u32 inheritable;

  } *cap_user_data_t;

  #ifdef __KERNEL__

  /* #define STRICT_CAP_T_TYPECHE

  #ifdef STRICT_CAP_T_TYPECHECKS

  typedef struct kernel_cap_struct {

  __u32 cap;

  } kernel_cap_t;

  #else

  typedef __u32 kernel_cap_t;

  #endif

  kernel_cap_t cap_bset = CAP_FULL_SET;

  在kernel_ap_t的每一位都代表一个许可。Cap_bset是capability集的主要部分。它们的值可以通过改变/proc/sys/kernel/cap-bound来改变。

  看看上面的文件,你就会发现一些问题。

  /* in include/linux/capability.h */

  /* In a system with the [_POSIX_CHOWN_RESTRICTED] option defined, this

  overrides the restriction of changing file ownership and group

  ownership. */

  #define CAP_CHOWN 0

  /* Override all DAC access, including ACL execute access if

  [_POSIX_ACL] is defined. Excluding DAC access covered by

  CAP_LINUX_IMMUTABLE. */

  #define CAP_DAC_OVERRIDE 1

  /* Overrides all DAC restrictions regarding read and search on files

  and directories, including ACL restrictions if [_POSIX_ACL] is

  defined. Excluding DAC access covered by CAP_LINUX_IMMUTABLE. */

  #define CAP_DAC_READ_SEARCH 2

  .........

  每一个任务(进程)在结构task_struct定义了三个成员:cap_effective,cap_inheritable,cap_permitted.我们已经有了一个用来表明基本capability的变量cap_bset。它们会检测这个系统并确定那种capability用来控制系统。

  在内核实现的大部分系统调用会调用函数capable() (在kernel/sched.c)。然后会调用cap_raised() (在/include/linux/capability.h)。如下:

  #ifdef CONFIG_LIDS_ALLOW_SWITCH

  #define cap_raised(c, flag) ((cap_t(c) & CAP_TO_MASK(flag)) && ((CAP_TO_MASK(flag) & cap_bset) || (!lids_load) || (!lids_local_load)))

  #else

  #define cap_raised(c, flag) (cap_t(c) & CAP_TO_MASK(flag) & cap_bset)

  #endif

  你会看到这里的cap_bset(一般默认都是1)是很重要的。如果有人在那里把一些位置0,capability就可以会禁止整个系统。如,18 位的CAP_SYS_CHROOT, 如果我们把他置0,表明我们就不能用chroot()了。

  如果你看到sys_chroot的源代码,你就发现很多问题了:

  if (!capable(CAP_SYS_CHROOT)) {

  goto dput_and_out;

  }

  capable()会返回0,在位18为0,这样chroot就会给用户返回一个错误信息。

  6.2.在LIDS里的capability

  LIDS用capability来限制整个动

推荐阅读
  • bash

    解决Docker中volume的权限问题的方法

    在Docker中,将主机目录挂载到容器中作为volume使用时,常常会遇到文件权限问题。这是因为容器内外的UID不同所导致的。本文介绍了解决这个问题的方法,包括使用gosu和suexec工具以及在Dockerfile中配置volume的权限。通过这些方法,可以避免在使用Docker时出现无写权限的情况。 ... [详细]
  • php

    Python高级之网络编程及TCP/IP协议簇的OSI七层模型介绍

    本文介绍了Python高级网络编程及TCP/IP协议簇的OSI七层模型。首先简单介绍了七层模型的各层及其封装解封装过程。然后讨论了程序开发中涉及到的网络通信内容,主要包括TCP协议、UDP协议和IPV4协议。最后还介绍了socket编程、聊天socket实现、远程执行命令、上传文件、socketserver及其源码分析等相关内容。 ... [详细]
  • php

    学习SLAM的女生,很酷

    学习SLAM的女生,很酷
    本文介绍了学习SLAM的女生的故事,她们选择SLAM作为研究方向,面临各种学习挑战,但坚持不懈,最终获得成功。文章鼓励未来想走科研道路的女生勇敢追求自己的梦想,同时提到了一位正在英国攻读硕士学位的女生与SLAM结缘的经历。 ... [详细]
  • select

    数据库的存储结构及其重要性

    本文介绍了数据库的存储结构及其重要性,强调了关系数据库范例中将逻辑存储与物理存储分开的必要性。通过逻辑结构和物理结构的分离,可以实现对物理存储的重新组织和数据库的迁移,而应用程序不会察觉到任何更改。文章还展示了Oracle数据库的逻辑结构和物理结构,并介绍了表空间的概念和作用。 ... [详细]
  • post

    Centos7.6安装Gitlab教程及注意事项

    Centos7.6安装Gitlab教程及注意事项
    本文介绍了在Centos7.6系统下安装Gitlab的详细教程,并提供了一些注意事项。教程包括查看系统版本、安装必要的软件包、配置防火墙等步骤。同时,还强调了使用阿里云服务器时的特殊配置需求,以及建议至少4GB的可用RAM来运行GitLab。 ... [详细]
  • post

    生成对抗式网络GAN及其衍生CGAN、DCGAN、WGAN、LSGAN、BEGAN介绍

    生成对抗式网络GAN及其衍生CGAN、DCGAN、WGAN、LSGAN、BEGAN介绍
    一、GAN原理介绍学习GAN的第一篇论文当然由是IanGoodfellow于2014年发表的GenerativeAdversarialNetworks(论文下载链接arxiv:[h ... [详细]
  • select

    图解redis的持久化存储机制RDB和AOF的原理和优缺点

    图解redis的持久化存储机制RDB和AOF的原理和优缺点
    本文通过图解的方式介绍了redis的持久化存储机制RDB和AOF的原理和优缺点。RDB是将redis内存中的数据保存为快照文件,恢复速度较快但不支持拉链式快照。AOF是将操作日志保存到磁盘,实时存储数据但恢复速度较慢。文章详细分析了两种机制的优缺点,帮助读者更好地理解redis的持久化存储策略。 ... [详细]
  • select

    Linux 正则表达式基础及使用注意事项

    本文介绍了Linux系统中正则表达式的基础知识,包括正则表达式的简介、字符分类、普通字符和元字符的区别,以及在学习过程中需要注意的事项。同时提醒读者要注意正则表达式与通配符的区别,并给出了使用正则表达式时的一些建议。本文适合初学者了解Linux系统中的正则表达式,并提供了学习的参考资料。 ... [详细]
  • select

    Ubuntu 9.04中安装谷歌Chromium浏览器及使用体验[图文]

    Ubuntu 9.04中安装谷歌Chromium浏览器及使用体验[图文]
    nsitionalENhttp:www.w3.orgTRxhtml1DTDxhtml1-transitional.dtd ... [详细]
  • select

    如何在服务器主机上实现文件共享的方法和工具

    如何在服务器主机上实现文件共享的方法和工具
    本文介绍了在服务器主机上实现文件共享的方法和工具,包括Linux主机和Windows主机的文件传输方式,Web运维和FTP/SFTP客户端运维两种方式,以及使用WinSCP工具将文件上传至Linux云服务器的操作方法。此外,还介绍了在迁移过程中需要安装迁移Agent并输入目的端服务器所在华为云的AK/SK,以及主机迁移服务会收集的源端服务器信息。 ... [详细]
  • chat

    Echarts图表重复加载、axis重复多次请求问题解决记录

    Echarts图表重复加载、axis重复多次请求问题解决记录
    文章目录1.需求描述2.问题描述正常状态:问题状态:3.解决方法1.需求描述使用Echats实现了一个中国地图:通过选择查询周期&#x ... [详细]
  • get

    伊振华作品 | 沈阳市智慧城市运行管理中心的设计与建设

    本文介绍了设计师伊振华受邀参与沈阳市智慧城市运行管理中心项目的整体设计,并以数字赋能和创新驱动高质量发展的理念,建设了集成、智慧、高效的一体化城市综合管理平台,促进了城市的数字化转型。该中心被称为当代城市的智能心脏,为沈阳市的智慧城市建设做出了重要贡献。 ... [详细]
  • select

    单击后为什么远程通知操作无效? - Why remote notification action is doing nothing after clicking?

    IhaveconfiguredanactionforaremotenotificationwhenitarrivestomyiOsapp.Iwanttwodiff ... [详细]
  • get

    Python字典推导式及循环列表生成字典方法

    Python字典推导式及循环列表生成字典方法
    本文介绍了Python中使用字典推导式和循环列表生成字典的方法,包括通过循环列表生成相应的字典,并给出了执行结果。详细讲解了代码实现过程。 ... [详细]
  • function

    在Windows 8上安装gvim中的插件的错误加载问题

    本文讨论了在Windows 8上安装gvim中插件时出现的错误加载问题。作者将EasyMotion插件放在了正确的位置,但加载时却出现了错误。作者提供了下载链接和之前放置插件的位置,并列出了出现的错误信息。 ... [详细]
author-avatar
阴森森林蛀
这个家伙很懒,什么也没留下!
Tags | 热门标签
RankList | 热门文章
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有