企业Linux开源系统实战主机入侵检测与防御主要是保证主机不被入侵。如果只建立一个方面,就会有偏差。建议综合各方面信息,进行纵深综合防御,才能取得良好效果。在开源系统中,如Linux操作系统,提供了从应用程序到内核级别的三个入侵检测系统来防御网络和主机。它们是网络入侵检测系统Snort、主机入侵检测系统LIDS和分布式入侵检测系统。系统SnortCenter。其中,Snort侧重于网络层面的入侵检测;LIDS专注于主机级别的入侵检测和防御;SnortCenter是一种分布式检测机制,用于提高分布式环境下入侵检测的实时性和准确性。在企业的实际应用过程中,往往忽略了LIDS的特殊作用。事实上,作为一种根植于内核层面的主机入侵检测机制,对于作为主机,尤其是服务器的开源系统来说,是不可或缺的安全机制。本文将详细介绍如何使用它进行层层安全防御。简介LIDS是Linux下的一个入侵检测和防御系统。它是Linux内核的补丁和安全管理工具。它增强了内核的安全性。它在内核中实现了引用监控模式和强制访问控制(MandatoryAccessControl)模式。与本文前面介绍的Snort入侵检测系统不同,它属于网络IDS的范畴,而LIDs则属于主机IDS的范畴。一般来说,LIDS的主要功能包括以下几个方面:重要系统资源保护:保护硬盘上任何类型的重要文件和目录,如/bin、/sbin、/usr/bin、/usr/sbin、/等/rc。d等目录及其下的文件,以及系统中的敏感文件,如passwd、shadow文件等,防止非授权人员(包括root用户)和非授权程序进入。保护重要进程不被终止,包括root在内的任何人都无法杀死该进程,并且可以隐藏特定进程。防止非法程序的I/O操作,保护硬盘,包括MBR保护等。入侵检测:LIDS可以检测系统上任何违反规则的进程。入侵响应:来自内核的安全警告,当有人违反规则时,LIDS会在控制台显示警告信息,并将非法活动的详细信息记录到受LIDS保护的系统日志文件中。LIDS还可以将日志信息发送到用户邮箱。此外,LIDS可以立即关闭与用户的会话。#p#安装LIDS第1步:打补丁和配置Linux内核选项要安装LIDS,通常需要下载最新版本的LIDS内核补丁包,然后进行安装。下载地址为:http://www.lids.org/,网站最新版本为:lids-2.2.3rc7-2.6.28.patch。首先将下载的LIDS内核补丁包保存到/usr/src目录下,然后以root用户权限进入命令行模式执行以下步骤:(1)假设系统内核文件在/usr/src/linux目录,通过以下命令安装LIDS内核补丁包:#cd/usr/src/Linux#patchp1
