8.9. Система обнаружения и защиты от вторжения
8.9. Система обнаружения и защиты от вторжения
8.9.1. Что такое LIDS?
LIDS (Linux Intrusion Detection System) — система обнаружения вторжения. Данная система представляет собой патч к ядру, который позволяет обнаружить и защитить вашу систему от вторжения.
Система LIDS была создана китайским и французским разработчиками Xie Huagang и Philippe Biondi и доступна на сайте http://www.Iids.org. На этом сайте доступна как сама система LIDS, так и документация к ней. Однако разработчики системы не спешат обновлять документацию к новым версиям системы. А документация по версии 0.8.x ничем вам не поможет, если вы используете версию 0.9.x. Поэтому в этой главе я не буду рассматривать одну определенную версию, так как при выходе следующей версии этот материал безнадежно устареет, а рассмотрю общую настройку LIDS — все написанное в этой главе должно работать у вас вне зависимости от версии LIDS.
Система LIDS позволяет запретить или просто ограничить доступ пользователя root к файлам, сетевым интерфейсам, памяти, блочным устройствам. Почему именно пользователя root, я думаю, вы уже догадались: ограничить доступ любого пользователя можно с помощью стандартных средств самой Linux. В первую очередь система защищает систему от злоумышленника, который, воспользовавшись багом («дырой» или функцией на языке Microsoft) какой-нибудь программы, получил права root.
Основным преимуществом системы LIDS является то, что ее нельзя отключить обычными способами.
Во-первых, для отключения LIDS необходимо находиться непосредственно за компьютером жертвы, а такое могут себе позволить не все хакеры.
Примечание. Значение слова «хакер» значительно объемнее, чем просто «вандал», пытающийся разрушить вашу систему. Подробнее вы можете прочитать об этом в документе Hacker-HOWTO, который вы найдете на прилагаемом к книге CD.
Во-вторых, чтобы снять защиту с определенного объекта, например, файла /etc/passwd, нужно знать пароль администратора LIDS, а не пользователя root. Этот пароль хранится в зашифрованном виде в специальном файле. А этот файл, в свою очередь, «виден» только программе LIDS, вы его не увидите, даже если введете команду Is –l. Таким образом можно защитить не только файл паролей LIDS, но и файл /etc/passwd, предварительно разрешив доступ к нему только программам login, su и passwd, то есть тем программам, которым действительно этот файл нужен. Ограничить доступ можно по-разному, например, разрешив одной программе только читать файл, а другой — записывать в него.
LIDS может запретить загрузку или выгрузку модулей ядра, защитив вас таким образом от модулей-троянов. С помощью LIDS также можно запретить перезагрузку системы.
Встроенный детектор сканирования портов позволяет обнаружить большинство известных методов сканирования.
О любых «незаконных» действиях по отношению к защищенным с помощью LIDS объектам будет сообщено по электронной почте администратору, что позволит ему незамедлительно отреагировать на попытку взлома.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКДанный текст является ознакомительным фрагментом.
Читайте также
Что требует защиты
Что требует защиты Жизненно важно определить, какие данные требуют защиты. Так как любой код, который может выполняться параллельно, может потребовать защиты. Вероятно, легче определить, какие данные не требуют защиты, и работать дальше, отталкиваясь от этого. Очевидно,
Уровни защиты
Уровни защиты AS/400 предназначены для широкого применения в различных областях человеческой деятельности. Соответственно, и требования к их защищенности варьируются от уровня ее полного отсутствия до уровня защиты, сертифицированной правительством. Задавая
Инструменты, выявляющие попытки вторжения
Инструменты, выявляющие попытки вторжения Если взломщик проникает в систему, он изменяет ее конфигурацию в соответствии со своими потребностями. В зависимости от характера вторжения изменяется внешний вид Web-страниц, в файлах протоколов появляются новые записи,
Настройка сетевого обнаружения
Настройка сетевого обнаружения Хотя подсоединение к сети уже настроено, вы все равно не сможете видеть компьютеры в сети. Чтобы это стало возможным, необходимо дополнительно настроить сетевое окружение.Нужно вернуться к диалоговому окну управления сетями и общим
7.2.2.1. Корневая файловая система и система инициализации
7.2.2.1. Корневая файловая система и система инициализации Итак, вы выбрали загрузку Linux. Загрузчик GRUB загрузит ядро, а затем передаст ему параметры и управление. Подробновесь процесс загрузки ядра рассматриваться здесь не будет. Вам достаточно знать следующее: ядру при
Автомобильная система защиты детей от перегрева и забывчивости родителей Николай Маслухин
Автомобильная система защиты детей от перегрева и забывчивости родителей Николай Маслухин Опубликовано 14 января 2014 К сожалению, случаи, когда родители забывают своих маленьких детей в автомобиле или же уходят на долгий срок и не открывают им
Меры защиты
Меры защиты С точки зрения того, кто занимается перехватом ПЭМИ, сам перехват при наличии соответствующей аппаратуры технически не представляет собой чего-то фантастического, а если учесть тот факт, что процесс перехвата не требует активного вмешательства со стороны
Компьютерная контрразведка или кто следит за нами… (программы обнаружения мониторинга ПК)
Компьютерная контрразведка или кто следит за нами… (программы обнаружения мониторинга ПК) Современная концепция создания компьютерных систем предполагает использование программных средств различного назначения в едином комплексе. К примеру, типовая система
Настройка сетевого обнаружения
Настройка сетевого обнаружения Подсоединение к сети настроено, однако вы не можете видеть компьютеры в сети без дополнительной настройки сетевого окружения.Для этого вернитесь к окну управления сетями и общим доступом (см. рис. 14.7) и нажмите кнопку со стрелкой напротив
Закон 6. От любой системы обнаружения атак можно уклониться
Закон 6. От любой системы обнаружения атак можно уклониться Во время написания книги уже существовали сотни производителей программно-аппаратных средств обнаружения вторжения (IDS – intrusion detection system), объединенных с межсетевыми экранами и средствами защиты от вирусов или
Применение методов обнаружения
Применение методов обнаружения Но что, если вы по каким-либо причинам не можете использовать шифрование в вашей сети? Что делать в такой ситуации? В данном случае вы должны полагаться на обнаружение любой сетевой интерфейсной платы (NIC), которая может функционировать в
Глава 16 Уклонения от системы обнаружения вторжения
Глава 16 Уклонения от системы обнаружения вторжения В этой главе обсуждаются следующие темы: • Принципы работы, основанной на анализе сигнатур системы обнаружения вторжений • Уклонение на уровне пакетов • Уклонение на уровне приложений • Уклонение при помощи морфизма
Принципы работы, основанной на анализе сигнатур системы обнаружения вторжений
Принципы работы, основанной на анализе сигнатур системы обнаружения вторжений Система обнаружения вторжений является вполне простым высокотехнологичным эквивалентом охранной сигнализации, настроенной контролировать точки доступа к сети, враждебную сетевую
Использовать программы обнаружения взлома
Использовать программы обнаружения взлома Программы-детекторы не могут со 100-процентной вероятностью обнаруживать взломщика, но они являются хорошим началом. Программы-детекторы могут дать вам лучшее представление о масштабе угрозы, с которой вы столкнулись. В течение
Уроки любви к Родине: McAfee патентует технологию обнаружения и блокировки пиратского содержания Сергей Голубицкий
Уроки любви к Родине: McAfee патентует технологию обнаружения и блокировки пиратского содержания Сергей Голубицкий Опубликовано 29 апреля 2013 Вот в чем — в чем, а в празднолюбии копирастическое лобби обвинять не приходится: трудятся ребята не