Введение

LIDS - это Linux Intrusion Detection/Defence System - система обнаружения и защиты от вторжения. Это патч для ядра Linux, добавляющий много новых возможностей для увеличения безопасности. LIDS позволяет запретить или ограничить доступ к файлам, к памяти, блочным устройствам, сетевым интерфейсам, запущенным программам и т.д. даже для root'а. Правильнее сказать, именно для root'а, так как ограничить доступ для простого пользователя можно и стандартными средствами Linux. Данная система предназначена для защиты от хакера, который воспользовавшись "дырой" в какой-нибудь программе, получил права root'а.

В отличие от других средств защиты, входящих в поставку Linux, эту систему выключить нельзя, не зная пароль администратора LIDS, который в зашифрованном виде хранится в специальном файле, который виден только программе администрирования LIDS (не администратору, а именно программе:)). То же самое относится и к другим конфигурационным файлам LIDS. Даже узнав каким-то образом пароль администратора, например, напоив настоящего root'а:), хакер не сможет отключить LIDS, не находясь за взломанным компьютером.

LIDS позволяет распределять права доступа к файлам, устройствам и т.д. на уровне программ, а не на уровне пользователей. Например, можно запретить доступ к файлу /etc/shadow для всех и вся так, что он даже при ls -a /etc виден не будет, и дать к нему доступ на чтение программам /bin/login, /bin/su, на чтение-запись программе /usr/bin/passwd и т.д., то есть тем программам, которые в нем действительно нуждаются.

LIDS позволяет запретить перезапуск системы, так что человек, не находящийся в непосредственной близости к кнопке RESET, перегрузить систему не сможет.:)

Посредством LIDS можно запретить загрузку/выгрузку модулей ядра, это защитит систему от запуска модулей-троянов, собранных хакером для собственных нехороших нужд.

Информация о всех действиях, совершенных в сторону защищенных при помощи LIDSобъектов, записывается в логи и отправляется на e-mail, указанный в файле конфигурации LIDS, непосредственно в момент совершения преступления:), что дает возможность администратору реагировать на все происходящее в системе незамедлительно.

В LIDS есть встроенный детектор сканирования портов, обнаруживающий большинство известных способов сканирования. Работает этот детектор на уровне ядра, то есть отключить его невозможно.:)

LIDS работает только на машинах с i386 архитектурой и с ядром Linux'а не ниже 2.2.13.

Авторами LIDS являются два студента: Xie Huagang из Китая и Philippe Biondi из Франции. Все претензии и вопросы по работе LIDS - к ним. Вопросы по настройке можно и ко мне.:)

©Ерижоков А.А., 2000.
Использование данного документа разрешено только с согласия автора и с указанием первоисточника: DH's Linux Site

Содержание | Вперед