8.9. Система обнаружения и защиты от вторжения

8.9. Система обнаружения и защиты от вторжения

8.9.1. Что такое LIDS?

LIDS (Linux Intrusion Detection System) — система обнаружения вторжения. Данная система представляет собой патч к ядру, который позволяет обнаружить и защитить вашу систему от вторжения.

Система LIDS была создана китайским и французским разработчиками Xie Huagang и Philippe Biondi и доступна на сайте http://www.Iids.org. На этом сайте доступна как сама система LIDS, так и документация к ней. Однако разработчики системы не спешат обновлять документацию к новым версиям системы. А документация по версии 0.8.x ничем вам не поможет, если вы используете версию 0.9.x. Поэтому в этой главе я не буду рассматривать одну определенную версию, так как при выходе следующей версии этот материал безнадежно устареет, а рассмотрю общую настройку LIDS — все написанное в этой главе должно работать у вас вне зависимости от версии LIDS.

Система LIDS позволяет запретить или просто ограничить доступ пользователя root к файлам, сетевым интерфейсам, памяти, блочным устройствам. Почему именно пользователя root, я думаю, вы уже догадались: ограничить доступ любого пользователя можно с помощью стандартных средств самой Linux. В первую очередь система защищает систему от злоумышленника, который, воспользовавшись багом («дырой» или функцией на языке Microsoft) какой-нибудь программы, получил права root.

Основным преимуществом системы LIDS является то, что ее нельзя отключить обычными способами.

Во-первых, для отключения LIDS необходимо находиться непосредственно за компьютером жертвы, а такое могут себе позволить не все хакеры.

Примечание. Значение слова «хакер» значительно объемнее, чем просто «вандал», пытающийся разрушить вашу систему. Подробнее вы можете прочитать об этом в документе Hacker-HOWTO, который вы найдете на прилагаемом к книге CD.

Во-вторых, чтобы снять защиту с определенного объекта, например, файла /etc/passwd, нужно знать пароль администратора LIDS, а не пользователя root. Этот пароль хранится в зашифрованном виде в специальном файле. А этот файл, в свою очередь, «виден» только программе LIDS, вы его не увидите, даже если введете команду Is –l. Таким образом можно защитить не только файл паролей LIDS, но и файл /etc/passwd, предварительно разрешив доступ к нему только программам login, su и passwd, то есть тем программам, которым действительно этот файл нужен. Ограничить доступ можно по-разному, например, разрешив одной программе только читать файл, а другой — записывать в него.

LIDS может запретить загрузку или выгрузку модулей ядра, защитив вас таким образом от модулей-троянов. С помощью LIDS также можно запретить перезагрузку системы.

Встроенный детектор сканирования портов позволяет обнаружить большинство известных методов сканирования.

О любых «незаконных» действиях по отношению к защищенным с помощью LIDS объектам будет сообщено по электронной почте администратору, что позволит ему незамедлительно отреагировать на попытку взлома.

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг

7.2.2.1. Корневая файловая система и система инициализации

Из книги Fedora 8 Руководство пользователя автора Колисниченко Денис Николаевич

7.2.2.1. Корневая файловая система и система инициализации Итак, вы выбрали загрузку Linux. Загрузчик GRUB загрузит ядро, а затем передаст ему параметры и управление. Подробновесь процесс загрузки ядра рассматриваться здесь не будет. Вам достаточно знать следующее: ядру при


Меры защиты

Из книги Защити свой компьютер на 100% от вирусов и хакеров автора Бойцев Олег Михайлович

Меры защиты С точки зрения того, кто занимается перехватом ПЭМИ, сам перехват при наличии соответствующей аппаратуры технически не представляет собой чего-то фантастического, а если учесть тот факт, что процесс перехвата не требует активного вмешательства со стороны


Настройка сетевого обнаружения

Из книги Собираем компьютер своими руками автора Ватаманюк Александр Иванович

Настройка сетевого обнаружения Подсоединение к сети настроено, однако вы не можете видеть компьютеры в сети без дополнительной настройки сетевого окружения.Для этого вернитесь к окну управления сетями и общим доступом (см. рис. 14.7) и нажмите кнопку со стрелкой напротив


Настройка сетевого обнаружения

Из книги Домашние и офисные сети под Vista и XP автора Ватаманюк Александр Иванович

Настройка сетевого обнаружения Хотя подсоединение к сети уже настроено, вы все равно не сможете видеть компьютеры в сети. Чтобы это стало возможным, необходимо дополнительно настроить сетевое окружение.Нужно вернуться к диалоговому окну управления сетями и общим


Уровни защиты

Из книги Основы AS/400 автора Солтис Фрэнк

Уровни защиты AS/400 предназначены для широкого применения в различных областях человеческой деятельности. Соответственно, и требования к их защищенности варьируются от уровня ее полного отсутствия до уровня защиты, сертифицированной правительством. Задавая


Инструменты, выявляющие попытки вторжения

Из книги Сетевые средства Linux автора Смит Родерик В.

Инструменты, выявляющие попытки вторжения Если взломщик проникает в систему, он изменяет ее конфигурацию в соответствии со своими потребностями. В зависимости от характера вторжения изменяется внешний вид Web-страниц, в файлах протоколов появляются новые записи,


Компьютерная контрразведка или кто следит за нами… (программы обнаружения мониторинга ПК)

Из книги Компьютерные советы (сборник статей) автора Автор неизвестен

Компьютерная контрразведка или кто следит за нами… (программы обнаружения мониторинга ПК) Современная концепция создания компьютерных систем предполагает использование программных средств различного назначения в едином комплексе. К примеру, типовая система


Закон 6. От любой системы обнаружения атак можно уклониться

Из книги Защита от хакеров корпоративных сетей автора Автор неизвестен

Закон 6. От любой системы обнаружения атак можно уклониться Во время написания книги уже существовали сотни производителей программно-аппаратных средств обнаружения вторжения (IDS – intrusion detection system), объединенных с межсетевыми экранами и средствами защиты от вирусов или


Применение методов обнаружения

Из книги Цифровой журнал «Компьютерра» № 171 автора Журнал «Компьютерра»

Применение методов обнаружения Но что, если вы по каким-либо причинам не можете использовать шифрование в вашей сети? Что делать в такой ситуации? В данном случае вы должны полагаться на обнаружение любой сетевой интерфейсной платы (NIC), которая может функционировать в


Глава 16 Уклонения от системы обнаружения вторжения

Из книги IT-безопасность: стоит ли рисковать корпорацией? автора Маккарти Линда

Глава 16 Уклонения от системы обнаружения вторжения В этой главе обсуждаются следующие темы: • Принципы работы, основанной на анализе сигнатур системы обнаружения вторжений • Уклонение на уровне пакетов • Уклонение на уровне приложений • Уклонение при помощи морфизма


Принципы работы, основанной на анализе сигнатур системы обнаружения вторжений

Из книги Цифровой журнал «Компьютерра» № 208 автора Журнал «Компьютерра»

Принципы работы, основанной на анализе сигнатур системы обнаружения вторжений Система обнаружения вторжений является вполне простым высокотехнологичным эквивалентом охранной сигнализации, настроенной контролировать точки доступа к сети, враждебную сетевую


Уроки любви к Родине: McAfee патентует технологию обнаружения и блокировки пиратского содержания Сергей Голубицкий

Из книги Разработка ядра Linux автора Лав Роберт

Уроки любви к Родине: McAfee патентует технологию обнаружения и блокировки пиратского содержания Сергей Голубицкий Опубликовано 29 апреля 2013 Вот в чем — в чем, а в празднолюбии копирастическое лобби обвинять не приходится: трудятся ребята не


Использовать программы обнаружения взлома

Из книги автора

Использовать программы обнаружения взлома Программы-детекторы не могут со 100-процентной вероятностью обнаруживать взломщика, но они являются хорошим началом. Программы-детекторы могут дать вам лучшее представление о масштабе угрозы, с которой вы столкнулись. В течение


Автомобильная система защиты детей от перегрева и забывчивости родителей Николай Маслухин

Из книги автора

Автомобильная система защиты детей от перегрева и забывчивости родителей Николай Маслухин Опубликовано 14 января 2014 К сожалению, случаи, когда родители забывают своих маленьких детей в автомобиле или же уходят на долгий срок и не открывают им


Что требует защиты

Из книги автора

Что требует защиты Жизненно важно определить, какие данные требуют защиты. Так как любой код, который может выполняться параллельно, может потребовать защиты. Вероятно, легче определить, какие данные не требуют защиты, и работать дальше, отталкиваясь от этого. Очевидно,