构建LINUX下的入侵检测系统——LIDS 系统管理命令--vlock
構(gòu)建LINUX下的入侵檢測系統(tǒng)——LIDS?? 系統(tǒng)管理命令--vlock
http://blog.chinaunix.net/uid-306663-id-2440200.html
?
LIDS官方網(wǎng)站:http://lids.luky.org/
?
Who's new
hkbadu
harpo_marx
arthit75
lbcoqkf
kravciak
Who's online
There are currently 0 users and 2 guests online.
LIDS 2.2.3rc3 is released for kernel 2.6.23
Thu, 01/24/2008 - 01:37 — omo ? ?已經(jīng)無更新
lids-2.2.3rc3-2.6.23 which included TPE/NFMark feature is
already available.
You can download it from
http://www.secureos.jp/LIDS-JP/develop/
You must completely re-install lidstools to lidstools-2.2.7.3 also.
(It means you must erase /etc/lids directory and re-make ACL with
new version of lidsconf command.)
Also, now I'm developing lids-2.2.3rc4-2.6.23 which will inclide TDE/Sandbox feature. Stay tuned.
OMO
omo's blog
LIDS 2.2.3rc1 is released for kernel 2.6.21
Thanks to Kazuki Omo , We have this new version for kernel 2.6.21, you can download it from lids-2.2.3rc1-2.6.21.patch and the related lidstools-2.2.7.2.tar.gz
ChangeLog
* moved CAP_PROTECTED/CAP_KILL_PROTECTED to LIDS_CAP_PROTECTED/LIDS_CAP_KILL_PROTECTED.
Then above 2 capabilities syntaxes are changed to lidsconf -A -s "Subject" -o LIDS_CAP_PROTECTED -j ENABLE
Read more
Welcome to the LIDS new site
We are starting a new LIDS site as well as a fresh LIDS software..stay tune.
Cytrun Linux use LIDS
Cytrun Linux https://sourceforge.net/projects/cytrun is based on the Slackware, possesss Kernel 2.6.13 + LIDS, Snort Inline(A modified version of Snort that accepts packets from
iptables). Servers: WEB, EMAIL, SQL, PROXY, SSH, DHCP and DNS, Interface of Remote Administration based on Webmin.
Thanks to Michell L. Garcia, I am autor of the Cytrun Linux.
Syndicate content
Download
補(bǔ)丁名稱是lids-x.xx-y.y.y.tar.gz, x.xx代表lids的版本, y.y.y代表Linux內(nèi)核版本
lidstools-2.2.7.2.tar.gz
lids-2.2.3rc1-2.6.21.patch
Sponsor
?
LIDS的組成
兩個用戶態(tài)工具和一些文件,和一個內(nèi)核補(bǔ)丁
/sbin/目錄 存放LIDSADM命令和LIDSCONF命令
/etc/lids/lids.conf #ACLS配置文件
/etc/lids/lids.cap #LIDS capabilities(功能)配置文件
/etc/lids/lids.pw #LIDS密碼文件
/etc/lids/lids.net # LIDS郵件警告配置文件
?
一、什么是LIDS
? LIDS全稱為Linux Intrusion Detection System,是一種基于LINUX內(nèi)核補(bǔ)丁模式的入侵檢測系統(tǒng),它也是一種基于主機(jī)的入侵檢測系統(tǒng)。它集成在LINUX內(nèi)核中,來進(jìn)一步加強(qiáng)LINUX內(nèi)核的安全性,為LINUX內(nèi)核提供實(shí)現(xiàn)一種安全模式、參考模式和強(qiáng)制存取控制模式。
(1)、LIDS的主要功能:
? 1、保護(hù):保護(hù)硬盤上任何類型的重要文件和目錄,如/bin、/sbin、/usr/bin、/usr/sbin、/etc/rc.d等目錄和其下的文件,以及系統(tǒng)中的敏感文件,如passwd和shadow文件,防止未被授權(quán)者(包括ROOT)和未被授權(quán)的程序進(jìn)入,任何人包括ROOT都無法改變,文件可以隱藏。保護(hù)重要進(jìn)程不被終止,任何人包括root也不能殺死進(jìn)程,而且可以隱藏特定的進(jìn)程。防止非法程序的RAW IO 操作,保護(hù)硬盤,包括MBR保護(hù)等等。
2、檢測:集成在內(nèi)核中的端口掃描器,LIDS能檢測到掃描并報告系統(tǒng)管理員。 LIDS還可以檢測到系統(tǒng)上任何違反規(guī)則的進(jìn)程。
3、響應(yīng):來自內(nèi)核的安全警告,當(dāng)有人違反規(guī)則時, LIDS會在控制臺顯示警告信息,將非法的活動細(xì)節(jié)記錄到受LIDS保護(hù)的系統(tǒng)log文件中。 LIDS還可以將log信息發(fā)到你的信箱中。LIDS還可以馬上關(guān)閉與用戶的會話。
(2)、在LINUX上應(yīng)用LIDS的必要性。
?? 隨著LINUX進(jìn)一步的推廣,現(xiàn)在,有很多中小企業(yè)都把自己的重要服務(wù)遷移到LINUX上。借著LINUX系統(tǒng)強(qiáng)大的安全性和較少的成本,架設(shè)在LINUX系統(tǒng)上的各種企業(yè)服務(wù)為這些中小企業(yè)提供了更大的發(fā)展和更強(qiáng)的競爭力。但是,在當(dāng)前網(wǎng)絡(luò)環(huán)境下,隨著黑客技術(shù)的不斷提高,以及黑客數(shù)量的不斷增加,加上黑客工具的不斷推陳出新,網(wǎng)絡(luò)攻擊事件也越來越多。LINUX系統(tǒng)的安全性正在一次次地經(jīng)受著考驗(yàn),LINUX系統(tǒng)的安全缺陷也越來越多突現(xiàn)出來。對于這些應(yīng)用LIUNX系統(tǒng)在網(wǎng)絡(luò)中提供企業(yè)相關(guān)業(yè)務(wù)的中小企業(yè)來說,如何保證這些暴露在網(wǎng)絡(luò)中的服務(wù)器數(shù)據(jù)的安全性是一個迫在眉急的問題。雖然,網(wǎng)絡(luò)防火墻能夠阻止大部份的網(wǎng)絡(luò)攻擊,但是,一旦這種攻擊穿透了防火墻,系統(tǒng)上的重要數(shù)據(jù)就會有完全控制的危險。因此,在LINUX系統(tǒng)上布置LIDS是很有必要的。它能夠保證LINUX系統(tǒng)上的重要目錄及文件不被復(fù)制、刪除,重要的服務(wù)不被刪除或停止,不能修改系統(tǒng)登錄方式等等,為LINUX系統(tǒng)數(shù)據(jù)安全提供一種全方位的保護(hù),也可作為防火墻的一種后備保護(hù)方式存在。
二、獲取并安裝LIDS補(bǔ)丁包及LIDS工具包
? LIDS是基于開源方式,用戶使用是安全免費(fèi)的。可以直接到LIDS官方網(wǎng)站(www.lids.org)上下載,包括LIDS的內(nèi)核補(bǔ)丁包和LIDS工具包。但一定要保證下載的LIDS補(bǔ)丁包與你當(dāng)前所使用的LINUX系統(tǒng)內(nèi)核版本相一致,LIDS工具包可以下載最新版本的,現(xiàn)在的最新版本是:lids-2.2.7.2.tar.gz,LIDS補(bǔ)丁包的最新版本是:lids-2.2.3rc-2.6.21.patch。 打patch
1、????????? 應(yīng)用LIDS內(nèi)核補(bǔ)丁包。
? 現(xiàn)在以上述最新版本的LIDS內(nèi)核為例。將下載的LIDS內(nèi)核補(bǔ)丁包保存到/usr/src下,以根用戶的權(quán)限進(jìn)入字符模式。現(xiàn)在假設(shè)內(nèi)核在/usr/src/linux下:
?# cd /usr/src/linux
# patch p1 < /usr/src/ lids-2.2.3rc-2.6.21.patch
重新配置此內(nèi)核:
# makemenuconfig
把有關(guān)LIDS的所有項都選中。這樣的話,不僅對于不太熟習(xí)的用戶能省去很多不必要的麻煩,同時,它也不是很大,并不會影響多少系統(tǒng)性能的。
在選擇好后就是重新編譯內(nèi)核:
# make
# make install
?這樣一個加入了LIDS的內(nèi)核就重新編譯好了,但要應(yīng)用LIDS還應(yīng)做相應(yīng)設(shè)置。要使加入了LIDS的新內(nèi)核工作,得重新啟動系統(tǒng)(因?yàn)長IDS是一個內(nèi)核補(bǔ)丁,在選擇好后就是重新編譯內(nèi)核。)。
2、安裝LIDS工具包。
現(xiàn)在也以它的最新版本作例子,把下載的LIDS工具包保存的到/home/用戶名(用戶名是你系統(tǒng)上登錄的用戶名)目錄中后,按如下方式安裝:
# cd /home/用戶名
# tar -zxvf lids-2.2.7.2.tar.gz
# cd lids-2.2.7.2
# ./configure
# make
# make install
這樣會安裝LIDSADM和LIDSCONF這兩個工具到/sbin/目錄中,同時會創(chuàng)建一個/etc/lids的目錄,并在此目錄下生成一個默認(rèn)的配置文件。在使用LIDS前應(yīng)先用“l(fā)idsadm –U”命令更新這個默認(rèn)的配置文件。
? (注意:如果在編譯LIDS工具包時出現(xiàn)GCC報LIDSTEXT.h文件不存在的錯誤提示,應(yīng)修改LIDS工具包的安裝目錄下的MAKEFILE文件,在在其中的CFLAGS選項中加入“-I/usr/src/linux/include”,然后就可以重新編譯了。)
3、LIDSADM和LIDSCONF命令工具解釋。
(1)、LIDSADM工具及其選項:
??? LIDSADM是LIDS的管理工具單元,可以用它在你的系統(tǒng)中管理LIDS,包括啟用或停用LIDS、封存LIDSADM到內(nèi)核中和查看LIDS狀態(tài)。
使用如下命令可以列出所有可用的選項:
# lidsadm -h
它會返回下列信息:
......
lidsadm -[s/I] -- [+/-] [LIDS_FLAG] [...]
lidsadm -v
lidsadm -h
命令參數(shù):
-s:開關(guān)某些保護(hù)選項時指示應(yīng)提交密碼;
-I:開關(guān)某些保護(hù)選項時不提交密碼;
-v:顯示版本;
-V:查看現(xiàn)在LIDS狀態(tài);
-h:列出所有選項。
可用功能,只列出了它的一部分(Availabe capabilities):
CAP_CHOWN:chown/chgrp
CAP_NET_BROADCAST:監(jiān)聽廣播
CAP_NET_ADMIN:接口、防火墻、路由器改變
CAP_IPC_LOCK:鎖定共享內(nèi)存
CAP_SYS_MODULE:插入和移除內(nèi)核模塊
CAP_HIDDEN:隱藏進(jìn)程
CAP_SYS_RESOURCE:設(shè)置資源限制
CAP_KILL_PROTECTED:殺死保護(hù)進(jìn)程
CAP_PROTECTED:保護(hù)進(jìn)程為單用戶方式
可用的標(biāo)志(Available flags):
LIDS:禁止或激活本地LIDS
LIDS_CLOBAL:完全禁止或激活LIDS
RELOAD_CONF:重新加載配置文件
(2)、LIDSCONF工具及其選項:
LIDSCONF為LIDS配置訪問控制列表(ACLS)和設(shè)置密碼。
輸入以下命令能顯示所有可用的選項:
# lidsconf -h
它會返回以下信息:
......
lidsconf -A [-s subject] -o object [-d] [-t from-to] [-i level] -j Accept
lidsconf -D [-s file] [-o file]
lidsconf -E
lidsconf -U
lidsconf -L
lidsconf -P
lidsconf -v
lidsconf -[h/H]
命令參數(shù):
-A:增加一條指定的選項到已有的ACL中
-D:刪除一條指定的選項
-E:刪除所有選項
-U:更新dev/inode序號
-L:列出所有選項
-P:產(chǎn)生用Ripemd-160加密的密碼
-V:顯示版本
-h:顯示幫助
-H:顯示更多的幫助
子對像(subject):
-s [--subject]:指定一個子對像,可以為任何程序,但必須是文件;
目標(biāo)(object):
-o[object]:可以是文件、目錄或功能(capabilities)和socket名稱。
動作:
-j:它有以下在個參數(shù):
DENY:禁止訪問
READONLY:只讀
APPEND:增加
WRITE:可寫
GRANT:對子對像授與能力
ignore:對設(shè)置的對像忽略所有權(quán)限
disable:禁止一些擴(kuò)展特性
其它選項:
-d :目標(biāo)的可執(zhí)行domain
-i:繼承級別
-t:指定從某一時段到某一時段可以進(jìn)行怎樣的操作
-e:擴(kuò)展列表
三、應(yīng)用LIDS
? 1、LIDS的啟用與設(shè)置。
?? 首先, 要想使LIDS設(shè)置的ACLS發(fā)揮作用,應(yīng)在系統(tǒng)引導(dǎo)時把LIDS封裝進(jìn)內(nèi)核中。這樣每次系統(tǒng)啟動到最后階段(啟動最后加載內(nèi)核模塊),此設(shè)置會根據(jù)你的系統(tǒng)上的/etc/lids/lids.cap文件中的內(nèi)容來設(shè)置全局功能,此文件中保存的是你設(shè)置ACLS。設(shè)置封裝內(nèi)核,在你的/etc/rc.d/rc.local文件的未尾加入如下內(nèi)容:
?/sbin/lidsadm –I
在開始應(yīng)用LIDS前,如果在安裝命令時沒有詢問你設(shè)置密碼,那么還應(yīng)為它設(shè)置一個進(jìn)入終端會話模式的密碼,使用如下命令:
?# lidsconf -P
你將被提示輸入密碼,兩次輸入密碼后,系統(tǒng)將你設(shè)置的密碼保存到/etc/lids/lids.pw文件中,此密碼已通過Ripemd-160加密。設(shè)置了密碼后,如果你想修改ACLS、Capabilities或當(dāng)你開始LIDS會話時,就需要你提交此密碼。你也可以在以后再次通此命令來修改已設(shè)定的密碼,并在修改完成后用以下命令重新更新LIDS的配置文件:(注意:在修改密碼時不會提示輸入舊密碼。)
lidsadm -S -- +RELOAD_CONF
特別要注意的是,在對LIDS做了任何修改后,都應(yīng)使用上述命令重新更新LIDS的配置文件,它將重新加載下列配置文件:
/etc/lids/lids.conf #ACLS配置文件
/etc/lids/lids.cap #LIDS capabilities(功能)配置文件
/etc/lids/lids.pw #LIDS密碼文件
/etc/lids/lids.net # LIDS郵件警告配置文件
然后重新啟動系統(tǒng)服務(wù)使應(yīng)用改變生效。
2、????????? 通過LIDS來保護(hù)系統(tǒng)。
?? 首先要明白,在通過LIDS保護(hù)的LINUX的系統(tǒng)中,可以通過一個LIDS的自由會話終端模式來修改那些已經(jīng)加入到保護(hù)中的數(shù)據(jù),所有的LIDS設(shè)置工作也可在這個自由會話終端中進(jìn)行。使用如下命令打開一個LIDS終端會話:
# lidsadm -S -- -LIDS
按提示輸入密碼后,就建立了一個lids 自由會話終端,在此終端你可以啟用或停用LIDS和退出此終端。此時,LINUX系統(tǒng)中的任何數(shù)據(jù)都是不受LIDS保護(hù)的。在完成對文件或數(shù)據(jù)的修改后,你應(yīng)通過如下命令重新啟用LIDS:
# lidsadm -S -- +LIDS
另外要清楚的是,在一個增加了LIDS的內(nèi)核的系統(tǒng)中,一個叫/etc/lids/lids.cap文件中包括了所有的功能描述列表。每一個功能項前通過使用“+”號來啟用此功能,使用“-”號來禁用此功能,完成設(shè)置后你必須重新加載配置文件。
下面我們就來通過運(yùn)用這些功能項對要保護(hù)的重要數(shù)據(jù)進(jìn)行設(shè)置。
(1)、保護(hù)文件為只讀。
# lidsconf -A -o /some/file -j READONLY
此命令保證一旦LIDS啟用,任何人都不能修改或刪除此文件。如果你在lids自由會話終端方式下,你就可以修改/some/file指定的文件,只要此分區(qū)不是掛載為只讀方式。應(yīng)用時用實(shí)際的文件路徑代替/some/file。
(2)、保護(hù)一個目錄為只讀。
# lidsconf -A -o /some/directory -j READONLY
此命令用保證一旦LIDS啟用,任何人都不能列出或刪除此目錄及其中的內(nèi)容。如果你在自由會話終端方式下,你就可以修改/some/directory目錄,只要分區(qū)不是掛載為只讀方式。例如,你可以設(shè)置保護(hù)/etc/目錄為只讀方式:
lidsconf -A -o /etc -j READONLY
這里要告別注意的是:當(dāng)你設(shè)定/etc目錄為只讀后,當(dāng)你想掛載文件系統(tǒng)時,你應(yīng)該刪除/etc/mtab文件,然后使用它的一個符號連接/proc/mounts。同時,你必須修改你的初始化腳本,使用“-n”選項來設(shè)置任何mount和umount命令。這個選項告訴mount和umount不更新/etc/mtab文件。例如,你發(fā)現(xiàn)在你的初始化腳本中有一行:mount -av -t nonfs,nproc,應(yīng)把它改為:mount -av -n -t nonfs,nproc。
?
(3)、隱藏任何人都看不到的文件或目錄。
# lidsconf -A -o /some/file_or_directory -j DENY
此設(shè)置將使用任何人甚至root用戶都不能訪問它,如果是一個目錄,那么此目錄下的文件、目錄都將隱藏,文件系統(tǒng)也一樣。
(4)、指定某些特定的程序以只讀方式訪問一些非常敏感的文件。
比如在系統(tǒng)登錄時要訪問/etc/shadow文件,我可以指定某些程序能在系統(tǒng)認(rèn)證時使用它,如login、ssh、su和vlock。例如,你可以只允許login以只讀方式訪問/etc/shadow文件:
# lidsconf -A -s /bin/login -o /etc/shadow -j READONLY
(5)、以根用戶身份啟動一個服務(wù)在指定的端口上運(yùn)行。
服務(wù)運(yùn)行在指定的端口(1024以下)上需要CAP_NET_BIND_SERVICE功能。如果你禁止了此功能在/etc/lids/lids.cap文件中,你就不能以根用戶身份啟動任何一個服務(wù)運(yùn)行在指定的端口上。你可以授與某個程序有此功能:
# lidsconf -A -s /usr/local/bin/apache -o CAP_NET_BIND_SERVICE 80 -J GRANT
或者在LIDS_GLOBAL被禁止時啟用此服務(wù)。
(6)、在LIDS啟用時,保證X Windows系統(tǒng)能工作。
X server必須使用CAP_SYS_RAWIO功能才能在LIDS啟用時工作。
?# lidsconf -A -s /path/to /your/x-server -o CAP_SYS_RAWIO -j GRANT
(7)、啟用ssh和scp。
缺省狀態(tài)下,ssh和scp通過指定的端口創(chuàng)建遠(yuǎn)程連接,它需要CAP_NET_BIND_SERVICE功能,因此你可以授與CAP_NET_BIN_SERVICE功能給ssh:
?# lidsconf -A -s /usr/bin/ssh -o CAP_NET_BIN_SERVICE 22 -J GRANT
(8)、設(shè)置限制訪問時間
例如,只允許用戶從早上8:00到下午6:00這段時間能登錄:
?# lidsconf -A -s /bin/login -o /etc/shadow -t 0800-1800 -j READONLY
你也可以在“-t”選項中使用“!”,即除指定時間外所有時間能做某項工作。
(9)、通過網(wǎng)絡(luò)發(fā)送安全警報。
在/etc/lids/lids.net文件中指定通過網(wǎng)絡(luò)發(fā)送安全警報的接收郵箱。要特別要注意的是:在指定e-mail時在E-MAIL地址的前后不能有任何空格。同時,在修改完后必須重新加載它的配置文件。
這篇文章我已經(jīng)發(fā)給網(wǎng)管員世界雜志刊登了,在這里貼出只是想可能有更多的朋友需要這方面的內(nèi)容。
?
Linux入侵監(jiān)測系統(tǒng)LIDS原理(2)
http://tech.sina.com.cn/s/2008-09-06/1214796394.shtml
LIDS保護(hù)數(shù)據(jù)結(jié)構(gòu)
?
在分析完Linux文件系統(tǒng)后,讓我們來看看LIDS是如何容VFS來保護(hù)文件和目錄的。
在/usr/src/Linux/fs/lids.c
struct secure_ino {
unsigned long int ino; /* the inode number */
kdev_t dev; /* the dev number */
int type; /* the file type */
};
上面的結(jié)構(gòu)用一對來存儲保護(hù)文件或目錄的結(jié)點(diǎn)。“type”是用來標(biāo)明保護(hù)結(jié)點(diǎn)文件類型的。
LIDS有4種類型
在/usr/src/Linux/include/Linux/fs.h
#define LIDS_APPEND 1 /* APPEND ONLY FILE */
#define LIDS_READONLY 2 /* Read Only File */
#define LIDS_DEVICE 3 /* Protect MBR Writing to device */
#define LIDS_IGNORE 4 /* Ignore the protection */
通過secure_ino結(jié)構(gòu),我們能很容易的初使化保護(hù)的文件或是在內(nèi)核里執(zhí)行以下函數(shù)。
在/usr/src/Linux/fs/lids.c
int lids_add_inode(unsigned long int inode ,kdev_t dev , int type)
{
if ( last_secure == (LIDS_MAX_INODE-1))
return 0;
secure[last_secure].ino = inode;
secure[last_secure].dev = dev;
secure[last_secure].type = type;
secure[++last_secure].ino = 0;
#ifdef VFS_SECURITY_DEBUG
printk("lids_add_inode : return %d
",last_secure);
#endif
return last_secure;
}
就象你在上面代碼上可以看到的,給secure_ino加到一個結(jié)點(diǎn)上是非常容易的。被保護(hù)的結(jié)點(diǎn)會在系統(tǒng)啟動的時候初使化。初使化程序在/usr/src/Linux/fs/lids.c的init_vfs_security()里。
現(xiàn)在,讓我們看看LIDS是如何來檢查是否一個結(jié)點(diǎn)已經(jīng)受到保護(hù)。
在/usr/src/Linux/fs/open.c
int do_truncate(struct dentry *dentry, unsigned long length)
{
struct inode *inode = dentry->d_inode;
int error;
struct iattr newattrs;
/* Not pretty: "inode->i_size" shouldnt really be "off_t". But it is. */
if ((off_t) length < 0)
return -EINVAL;
#ifdef CONFIG_LIDS
if (lids_load && lids_local_load) {
error = lids_check_base(dentry,LIDS_READONLY);
if (error) {
lids_security_alert("Try to truncate a protected file (dev %d %d,inode %ld)",
MAJOR(dentry->d_inode->i_dev),
MINOR(dentry->d_inode->i_dev),
dentry->d_inode->i_ino);
.....................
這個是LIDS加到內(nèi)核里做檢測的一個例子。你會看到lids_check_base()是LIDS保護(hù)方法的一個核心函數(shù)。
你可以在LIDS要保護(hù)的地方看到很多LIDS保護(hù)方法用到lids_check_base()函數(shù),特別是在Linux內(nèi)核的子目錄下。
在/usr/src/Linux/fs/lids.c
int lids_check_base(struct dentry *base, int flag)
{
..................
inode = base->d_inode; /* get the inode number */
parent = base->d_parent; /* get the parent diretory */
.................
----> do {
if ( inode == parent->d_inode)
break;
if ((retval = lids_search_inode(inode))) {
if ( retval == LIDS_IGNORE
(retval == LIDS_DEVICE && flag != LIDS_DEVICE))
break;
if ( flag == LIDS_READONLY
( flag == LIDS_APPEND && retval >flag )
( flag == LIDS_DEVICE && flag == retval )) {
return -EROFS;
}
break;
}
inode = parent->d_inode;
} while( ((parent = parent->d_parent ) != NULL) );
return 0;
}
lids_check_base()會檢查一個給定文件的dentry和它的父目錄是否被保護(hù)。
注意:如果它的父目錄被保護(hù),它下面的文件也會被保護(hù)。
例如,如果“/etc/”被保護(hù),“/etc/passwd”也一樣被保護(hù)。
???? 在內(nèi)核保護(hù)系統(tǒng)調(diào)用
為了保護(hù)系統(tǒng),LIDS會在一些檢查臨界的系統(tǒng)調(diào)用的時候做檢查。因此,我們可以保護(hù)系統(tǒng)調(diào)用和限制文件系統(tǒng)的用戶調(diào)用。
這些是一些例子,
open(),open是通過禁止一些權(quán)利來保護(hù)文件的打開。 你可以在打開調(diào)用open_namei()調(diào)用的時候LIDS在檢測它。
mknod(),mknod是用來在指定目錄下保護(hù)mknod。
unlink(), 在內(nèi)核代碼檢查do_unlink()。
?
用LIDS增強(qiáng)Linux系統(tǒng)安全(轉(zhuǎn))
http://blog.itpub.net/10617731/viewspace-961062/
用LIDS增強(qiáng)Linux系統(tǒng)安全(轉(zhuǎn))[@more@] LIDS( Linux入侵偵察系統(tǒng))是Linux內(nèi)核補(bǔ)丁和系統(tǒng)管理員工具(lidsadm),它加強(qiáng)了Linus內(nèi)核。 它在內(nèi)核中實(shí)現(xiàn)了一種安全模式 -- 參考模式以及內(nèi)核中的Mandatory Access Control 模式(MAC系統(tǒng))。本文將闡述LIDS的功能和如何使用它來建立一個安全的Linux系統(tǒng)。
3.1 下載LIDS補(bǔ)丁和相關(guān)正式的Linux內(nèi)核
可以從LIDS Home,LIDS Ftp Home或最近的LIDS Mirror獲得LIDS補(bǔ)丁和系統(tǒng)管理工具。
補(bǔ)丁名稱是lids-x.xx-y.y.y.tar.gz, x.xx代表lids的版本, y.y.y代表Linux內(nèi)核版本
例如, lids-0.9.9-2.2.17.tar.gz代表lids 版本是0.9.9 以及相關(guān)的內(nèi)核版本是2.2.17.。
必須下載相關(guān)的內(nèi)核版本。例如,你下載了lids-0.9.9-2.2.17.tar.gz,那你就應(yīng)該下
載Linux內(nèi)核2.2.17的原代碼。可以從Kernel FTP Site或其他鏡象獲得內(nèi)核原碼。
然后,將內(nèi)核原碼和LIDS tar解壓.例如,從 www.lids.org得到lids-0.9.9-2.2.17.tar.gz,從ftp.us.kernel.org得到linux-2.2.17.tar.bz2后
Linux入侵監(jiān)測系統(tǒng)LIDS原理
http://netsecurity.51cto.com/art/200511/12114.htm
一、入侵
隨著Internet上的Linux主機(jī)的增加,越來越多的安全漏洞在當(dāng)前的GNU/Linux系統(tǒng)上發(fā)現(xiàn)。你也許在Internet上聽說過 在Linux下發(fā)現(xiàn)bug,它會導(dǎo)致系統(tǒng)很容易的被黑客攻擊。
因?yàn)長inux是一個開放代碼的系統(tǒng),漏洞很容易發(fā)現(xiàn),并且也會很快的有補(bǔ)丁出來。但是當(dāng)漏洞沒有公布的時候,并且管理員很懶,沒有去打補(bǔ)丁。黑客就會很容易的攻擊這個系統(tǒng),取得root權(quán)限,在現(xiàn)有的GNU/Linux下,他就可以做任何他想做的事情。現(xiàn)在你可以問,我們現(xiàn)在到底可以做些什么呢?
1.1 現(xiàn)在的GNU/Linux錯誤在哪里?
超級用戶會濫用職權(quán),他能夠做所有他要做的事情。作為root。他會改變所有的東西。
許多系統(tǒng)文件很容易被更改。這些文件可能是很重要的文件,如/bin/login,如果一個黑客進(jìn)入,他可以上傳一個login程序來覆蓋/bin/login,這樣他就可以不用登陸名和密碼來登陸系統(tǒng)。但是這些文件不需要經(jīng)常改動,除非你要升級系統(tǒng)。
模塊modules很容易用來中斷內(nèi)核。模塊是為了讓Linux內(nèi)核更模塊話和更高效而設(shè)計的。但是當(dāng)模塊加入到內(nèi)核,它就會成為內(nèi)核的一部分并且能做原始內(nèi)核能做的工作。因此,一些不友好的代碼可以寫成模塊來加入到內(nèi)核里,這些代碼就會重定向系統(tǒng)調(diào)用并且作為一個病毒來運(yùn)行。
進(jìn)程是不受保護(hù)的,一些進(jìn)程,如后臺的web服務(wù)器,一直都認(rèn)為是沒有嚴(yán)格保護(hù)的程序。因此,他們就會很容易被黑客攻擊。
1.2 LIDS的設(shè)想是什么。
保護(hù)重要文件。因?yàn)槲募苋菀妆籸oot更改,為什么不嚴(yán)格文件操作呢?因此,LIDS改變了文件系統(tǒng)在內(nèi)核里的安全系統(tǒng)調(diào)用。如果某個時候一些人訪問一個文件,他就會進(jìn)入系統(tǒng)調(diào)用然后我們就可以檢查文件名并且看她們是否被保護(hù)。如果它已經(jīng)被保護(hù),我們就可以拒絕這個訪問者的要求。
保護(hù)重要的進(jìn)程。這個和上面的保護(hù)進(jìn)程的想法不是一樣的。當(dāng)一個系統(tǒng)里運(yùn)行一個進(jìn)程,它會在/proc 文件系統(tǒng)里有一個用pid作為路徑名的入口。所以,如果你用“ps –axf”你就可以顯示出當(dāng)前運(yùn)行的進(jìn)程。你可以問如果保護(hù)這些進(jìn)程。如果你要?dú)⑺酪粋€進(jìn)程的話,首先,你鍵入“ps”來得到進(jìn)程的PID,然后,你鍵入“kill 〈pid〉”來殺死它。但是,如果我不讓你看到進(jìn)程,你怎么來殺死這個進(jìn)程呢?因此,LIDS是用隱藏進(jìn)程來保護(hù)它的。
另外一個重要的方法就是不讓任何人可以殺死進(jìn)程,包括root用戶。LIDS能夠保護(hù)父進(jìn)程是init(pid=1)的所有進(jìn)程 。
封裝內(nèi)核。有時候我們需要要把一些必要的模塊加入到內(nèi)核里來使用,另外,我們也要拒絕任何人包括root用戶向內(nèi)核插入模塊。那么如何來平衡這個矛盾的問題呢?我們可以只允許在系統(tǒng)啟動的時候插入模塊,然后我們封裝模塊,在封裝后,內(nèi)核不允許任何人插入模塊到內(nèi)核里。通過這種封裝功能,我們能用它來保護(hù)重要的文件,進(jìn)程,我們可以在系統(tǒng)啟動的時候只允許必要的進(jìn)程,只改變必要的文件。在封裝內(nèi)核后,我們就不能在對文件有任何的修改。
二、保護(hù)文件系統(tǒng)
2.1 保護(hù)文件系統(tǒng)是LIDS的重要功能之一。這個功能是在內(nèi)核的VFS(虛擬文件系統(tǒng))層實(shí)現(xiàn)的,我們可以保護(hù)任何種類的文件系統(tǒng),如EXT2,FAT。
在LIDS,保護(hù)的文件按種類分為以下幾種:
只讀的文件或目錄。只讀文件意味著它們不被允許改寫,如,在目錄/usr/bin,/sbin。這些類型的文件大多數(shù)都是二進(jìn)制系統(tǒng)程序或是系統(tǒng)配置文件,除了在升級系統(tǒng)的時候,我們不需要改變它們。
只可增加文件或目錄。這些文件是那些只可以增加大小的文件。大多數(shù)是系統(tǒng)的日值文件,如在/var/log里的只可增加文件。
額外的文件或目錄,這些文件沒有被保護(hù)。一般來說,你想要保護(hù)目錄下的所有文件,但是,還需要有一些特殊的文件不要被保護(hù)。所以我們可以定義這些文件作為額外的其他的只讀文件。
保護(hù)掛載或卸載文件系統(tǒng)。當(dāng)你在啟動的時候掛載文件系統(tǒng)的時候,你可以禁止所有人,甚至是root,去卸載文件系統(tǒng)。你也可以禁止任何人在當(dāng)前文件系統(tǒng)下掛載文件系統(tǒng)來覆蓋它。
2.2 LIDS如何在內(nèi)核保護(hù)文件
在這部分,我們會看到一些內(nèi)核的代碼來理解LIDS是如何保護(hù)文件的。
Linux文件系統(tǒng)數(shù)據(jù)結(jié)構(gòu)程序
首先,我們必須了解Linux的虛擬文件系統(tǒng)。
在Linux里的每一個文件,不管是什么樣子的,都有一個結(jié)點(diǎn)inode數(shù),文件系統(tǒng)提供了以下數(shù)據(jù)結(jié)構(gòu)。
在/usr/src/Linux/include/Linux/fs.h
struct inode {
struct list_head i_hash;
struct list_head i_list;
struct list_head i_dentry;
unsigned long i_ino; ----> inode number.
unsigned int i_count;
kdev_t i_dev; ----> device number.
umode_t i_mode;
nlink_t i_nlink;
uid_t i_uid;
......
}
注意:用來鑒定一個結(jié)點(diǎn)inode。這個意思是你可以用一對來得到一個系統(tǒng)里獨(dú)一無二的inode。
在/ur/src/Linux/cinclude/Linux/dcache.h里
struct dentry {
int d_count;
unsigned int d_flags;
struct inode * d_inode; /* Where the name belongs to - NULL is negative */
struct dentry * d_parent; /* parent directory */
struct dentry * d_mounts; /* mount information */
struct dentry * d_covers;
struct list_head d_hash; /* lookup hash list */
struct list_head d_lru; /* d_count = 0 LRU list */
struct list_head d_child; /* child of parent list */
struct list_head d_subdirs; /* our
......
}
dentry是一個目錄文件的入口。通過這個入口,我們可以很容易的在文件的父目錄下移動。
例如,如果你一文件的inode是(struct inode*)file_inode,如果你可以用file_inode->d_entry來得到它的目錄入口并且用file_inode->d_entry->d_parent來得到父目錄的目錄入口。
LIDS保護(hù)數(shù)據(jù)結(jié)構(gòu)
在分析完Linux文件系統(tǒng)后,讓我們來看看LIDS是如何容VFS來保護(hù)文件和目錄的。
在/usr/src/Linux/fs/lids.c
struct secure_ino {
unsigned long int ino; /* the inode number */
kdev_t dev; /* the dev number */
int type; /* the file type */
};
上面的結(jié)構(gòu)用一對來存儲保護(hù)文件或目錄的結(jié)點(diǎn)。“type”是用來標(biāo)明保護(hù)結(jié)點(diǎn)文件類型的。
LIDS有4種類型
在/usr/src/Linux/include/Linux/fs.h
#define LIDS_APPEND 1 /* APPEND ONLY FILE */
#define LIDS_READONLY 2 /* Read Only File */
#define LIDS_DEVICE 3 /* Protect MBR Writing to device */
#define LIDS_IGNORE 4 /* Ignore the protection */
通過secure_ino結(jié)構(gòu),我們能很容易的初使化保護(hù)的文件或是在內(nèi)核里執(zhí)行以下函數(shù)。
在/usr/src/Linux/fs/lids.c
int lids_add_inode(unsigned long int inode ,kdev_t dev , int type)
{
if ( last_secure == (LIDS_MAX_INODE-1))
return 0;
secure[last_secure].ino = inode;
secure[last_secure].dev = dev;
secure[last_secure].type = type;
secure[++last_secure].ino = 0;
#ifdef VFS_SECURITY_DEBUG
printk("lids_add_inode : return %d
",last_secure);
#endif
return last_secure;
}
就象你在上面代碼上可以看到的,給secure_ino加到一個結(jié)點(diǎn)上是非常容易的。被保護(hù)的結(jié)點(diǎn)會在系統(tǒng)啟動的時候初使化。初使化程序在/usr/src/Linux/fs/lids.c的init_vfs_security()里。
現(xiàn)在,讓我們看看LIDS是如何來檢查是否一個結(jié)點(diǎn)已經(jīng)受到保護(hù)。
在/usr/src/Linux/fs/open.c
int do_truncate(struct dentry *dentry, unsigned long length)
{
struct inode *inode = dentry->d_inode;
int error;
struct iattr newattrs;
/* Not pretty: "inode->i_size" shouldnt really be "off_t". But it is. */
if ((off_t) length < 0)
return -EINVAL;
#ifdef CONFIG_LIDS
if (lids_load && lids_local_load) {
error = lids_check_base(dentry,LIDS_READONLY);
if (error) {
lids_security_alert("Try to truncate a protected file (dev %d %d,inode %ld)",
MAJOR(dentry->d_inode->i_dev),
MINOR(dentry->d_inode->i_dev),
dentry->d_inode->i_ino);
.....................
這個是LIDS加到內(nèi)核里做檢測的一個例子。你會看到lids_check_base()是LIDS保護(hù)方法的一個核心函數(shù)。
你可以在LIDS要保護(hù)的地方看到很多LIDS保護(hù)方法用到lids_check_base()函數(shù),特別是在Linux內(nèi)核的子目錄下。
在/usr/src/Linux/fs/lids.c
int lids_check_base(struct dentry *base, int flag)
{
..................
inode = base->d_inode; /* get the inode number */
parent = base->d_parent; /* get the parent diretory */
.................
----> do {
if ( inode == parent->d_inode)
break;
if ((retval = lids_search_inode(inode))) {
if ( retval == LIDS_IGNORE ||
(retval == LIDS_DEVICE && flag != LIDS_DEVICE))
break;
if ( flag == LIDS_READONLY ||
( flag == LIDS_APPEND && retval >flag ) ||
( flag == LIDS_DEVICE && flag == retval )) {
return -EROFS;
}
break;
}
inode = parent->d_inode;
} while( ((parent = parent->d_parent ) != NULL) );
return 0;
}
lids_check_base()會檢查一個給定文件的dentry和它的父目錄是否被保護(hù)。
注意:如果它的父目錄被保護(hù),它下面的文件也會被保護(hù)。
例如,如果“/etc/”被保護(hù),“/etc/passwd”也一樣被保護(hù)。
在內(nèi)核保護(hù)系統(tǒng)調(diào)用
為了保護(hù)系統(tǒng),LIDS會在一些檢查臨界的系統(tǒng)調(diào)用的時候做檢查。因此,我們可以保護(hù)系統(tǒng)調(diào)用和限制文件系統(tǒng)的用戶調(diào)用。
這些是一些例子,
open(),open是通過禁止一些權(quán)利來保護(hù)文件的打開。 你可以在打開調(diào)用open_namei()調(diào)用的時候LIDS在檢測它。
mknod(),mknod是用來在指定目錄下保護(hù)mknod。
unlink(), 在內(nèi)核代碼檢查do_unlink()。
三、保護(hù)設(shè)備
Linux的設(shè)備會在/dev/目錄下以文件的形式列出,我們可以用上面保護(hù)文件的方法來保護(hù)設(shè)備。但是在一些情況下,用戶也可以用IO操作來旁路文件系統(tǒng)來讀寫設(shè)備,我們必須注意這個問題。
3.1 設(shè)備,內(nèi)核I/O
在GNU/Linux系統(tǒng)下的設(shè)備會以文件的形式表達(dá),所以我們可以用保護(hù)文件系統(tǒng)那樣來保護(hù)設(shè)備。
用戶的I/O訪問是通過系統(tǒng)調(diào)用sys_operm和sys_iopl來實(shí)現(xiàn)的。你可以看看/usr/src/Linux/arch/i386/kernel/ioport.。這個是要基于系統(tǒng)結(jié)構(gòu)的,要是到其他平臺,就需要注意它們的變化。
3.2 如何用LIDS來保護(hù)
大多數(shù)情況下,程序不需要通過在/dev的設(shè)備文件名稱來訪問設(shè)備。但是,一些特殊的程序需要直接訪問,如X Server,這個會寫到/dev/mem和甚至是I/O設(shè)備。我們需要一些額外的東西來保護(hù)設(shè)備。LIDS會在配置內(nèi)核的時候來定義這個功能。
CONFIG_LIDS_ALLOW_DEV_MEM,如果你選擇了開啟這個功能,你就可以允許一些特殊程序來訪問/dev/men和/dev/kmen這些內(nèi)核臨界的設(shè)備。如果你想要用內(nèi)核的X Server,選擇這個功能就會在配置內(nèi)核的時候提供整個路徑和文件名。
CONFIG_LIDS_ALLOW_RAW_DISKS,如果選擇這個開啟,你就可以允許一些特殊的程序來訪問物理磁盤。
CONFIG_LIDS_ALLOW_IO_PORTS,如果你選擇了開啟這個功能,你就可以允許一些特殊的程序來訪I/O端口。
當(dāng)系統(tǒng)運(yùn)行fs/lids.c里的init_vfs_security()的時候初使化就被調(diào)用。
#ifdef CONFIG_LIDS_ALLOW_DEV_MEM
lids_fill_table(allow_dev_mem,&last_dev_mem,LIDS_MAX_ALLOWED,CONFIG_LIDS_DEV_MEM_PROGS);
#endif
#ifdef CONFIG_LIDS_ALLOW_RAW_DISKS
lids_fill_table(allow_raw_disks,&last_raw_disks,LIDS_MAX_ALLOWED,CONFIG_LIDS_RAW_DISKS_PROGS);
#endif
#ifdef CONFIG_LIDS_ALLOW_IO_PORTS
lids_fill_table(allow_io_ports,&last_io_ports,LIDS_MAX_ALLOWED,CONFIG_LIDS_IO_PORTS_PROGS);
#endif
如果一個進(jìn)程或是程序要直接訪問ip端口或是磁盤設(shè)備,LIDS就會檢查它在數(shù)組 allow_raw_disk,last_io_ports,等)。這個檢查是通過調(diào)用lids_check_base()里的lids_search_inode(inode)來實(shí)現(xiàn)的。
如,讓我們看看CONFIG_LIDS_ALLOW_DEV_MEM
/* in lids_search_inode() */
#ifdef CONFIG_LIDS_ALLOW_DEV_MEM
for( i = 0 ; i < last_dev_mem ;i++ ) {
if ( allow_dev_mem[i].ino == ino && allow_dev_mem[i].dev == dev) {
return LIDS_READONLY;
}
}
#endif
#ifdef CONFIG_LIDS_ALLOW_RAW_DISKS
在allow_dev_mem包括了哪一個程序結(jié)點(diǎn)在系統(tǒng)啟動的時候在init_vfs_security()里初使化。用同樣的方法,除了一些特殊程序,我們可以保護(hù)設(shè)備,I/O訪問等等。
四、保護(hù)重要進(jìn)程
進(jìn)程是操作系統(tǒng)的動態(tài)入口。內(nèi)核里有兩個特殊進(jìn)程,進(jìn)程ID 0 (swapd) 和進(jìn)程ID 1(init)。Init進(jìn)程是在系統(tǒng)啟動的時候所有進(jìn)程的父進(jìn)程。
4.1 不可殺死的進(jìn)程。
就象你可以看到是否有人要奪得root特權(quán)一樣,我們可以很容易的殺死那些該內(nèi)核發(fā)送特別信號的進(jìn)程。為了殺死一個進(jìn)程,你必須得到進(jìn)程的ID,然后用kill命令來殺死它。
系統(tǒng)殺死進(jìn)程的調(diào)用是kill,是在內(nèi)核里的sys_kill()命令里的調(diào)用。
讓我們看看LIDS的保護(hù)代碼
在/usr/src/Linux/kernel/signal.c里
asmlinkage int
sys_kill(int pid, int sig)
{
struct siginfo info;
#ifdef CONFIG_LIDS_INIT_CHILDREN_LOCK pid_t this_pid;
int i;
#ifdef CONFIG_LIDS_ALLOW_KILL_INIT_CHILDREN
if (!(current->flags & PF_KILLINITC))
#endif
if (lids_load && lids_local_load && LIDS_FISSET(lids_flags,LIDS_FLAGS_LOCK_INIT_CHILDREN)) {
this_pid = pid>0?pid:-pid;
for(i=0;i if( this_pid == lids_protected_pid[i]) {
lids_security_alert("Try to kill pid=%d,sig=%d
",pid,sig);
return -EPERM;
}
}
}
#endif
...
}
你可以在內(nèi)核里看到兩個標(biāo)簽,,CONFIG_LIDS_INIT_CHILDREN_LOCK 和CONFIG_LIDS_ALLOW_KILL_INIT_CHILDREN.
在CONFIG_LIDS_INIT_CHILDREN_LOCK的開啟狀態(tài),LIDS能保護(hù)初使的運(yùn)行程序。如,如果你在系統(tǒng)里運(yùn)行inetd程序,你可以在隱藏內(nèi)核前運(yùn)行它,然后,你還可以殺死它。但是一些人如果telnet到你的機(jī)器,inetd就會創(chuàng)造子進(jìn)程來為用戶服務(wù),這個子進(jìn)程不會被LIDS保護(hù),因?yàn)橛脩粼谌魏螘r候退出和殺死程序。
4.2 隱藏進(jìn)程
另外一個保護(hù)進(jìn)程的方法就是隱藏進(jìn)程。當(dāng)一個黑客危機(jī)你的系統(tǒng)。他會登陸,然后會看看有沒有一些已知的進(jìn)程在監(jiān)視它。然后他就殺死它。如果你隱藏了這個功能的進(jìn)程,黑客就不會知道進(jìn)程的所有情況并且你可以記錄他在你系統(tǒng)上做的任何事情。
如何隱藏進(jìn)程
為了隱藏進(jìn)程,你必須在配置內(nèi)核的時候提供一個完全的路徑名。
當(dāng)內(nèi)核啟動的時候琇IDS會訪問文件結(jié)點(diǎn)到一個叫proc_to_hide[]的結(jié)構(gòu)里。
在include/Linux/sched.h里
#ifdef CONFIG_LIDS_HIDE_PROC
#define PF_HIDDEN 0x04000000 /* Hidden process */
#endif
/* in fs/lids.c */
#ifdef CONFIG_LIDS_HIDE_PROC
struct allowed_ino proc_to_hide[LIDS_MAX_ALLOWED];
int last_hide=0;
#endif
....
/* in fs/lids.c , init_vfs_security(),
fill up the hidden process in proc_to_hide[]
*/
#ifdef CONFIG_LIDS_HIDE_PROC
lids_fill_table(proc_to_hide,&last_hide,LIDS_MAX_ALLOWED,CONFIG_LIDS_HIDDEN_PROC_PATH);
#endif
PF_HIDDEN是否用戶可以用顯示進(jìn)程的命令(如“ps –a”)來顯示和檢查進(jìn)程,如果一個進(jìn)程被LIDS隱藏,當(dāng)他執(zhí)行的時候,進(jìn)程就會得到一個PF_HIDDEN的屬性。然后,當(dāng)系統(tǒng)輸出系統(tǒng)進(jìn)程信息到用戶的時候,它就會可以檢查當(dāng)前輸出進(jìn)程是否有PF_HIDDEN標(biāo)志。如果發(fā)現(xiàn)了,它就不會輸出這個進(jìn)程的信息。
在in fs/exec.c
int do_execve(char * filename, char ** argv, char ** envp, struct pt_regs * regs)
{
...
if (retval >= 0) {
#ifdef CONFIG_LIDS_HIDE_PROC
if (lids_search_proc_to_hide(dentry->d_inode))
current->flags |= PF_HIDDEN;
...
因?yàn)槊恳粋€Linux的進(jìn)程都有一個在/proc文件系統(tǒng)的入口,我們?yōu)榱穗[藏進(jìn)程也需要修改proc的文件入口。
在fs/proc/root.c
static struct dentry *proc_root_lookup(struct inode * dir, struct dentry * dentry)
{
...
inode = NULL;
#ifdef CONFIG_LIDS_HIDE_PROC
if ( pid && p && (! ((p->flags & PF_HIDDEN) && lids_load && lids_local_load)) ) {
#else
if (pid && p) {
#endif
unsigned long ino = (pid >> 16) + PROC_PID_INO;
inode = proc_get_inode(dir->i_sb, ino, &proc_pid);
if (!inode)
return ERR_PTR(-EINVAL);
inode->i_flags|=S_IMMUTABLE;
}
...
}
然后如果進(jìn)程被PF_HIDDEN標(biāo)記,它就不會在proc文件系統(tǒng)里顯示。
?
?
Linux 指令篇:系統(tǒng)管理--vlock
http://www.jb51.net/linux/vlock.htm
vlock(virtual console lock)
功能說明:鎖住虛擬終端。
語 法:vlock [-achv]
補(bǔ)充說明:執(zhí)行vlock指令可鎖住虛擬終端,避免他人使用。
參 數(shù):
-a或--all 鎖住所有的終端階段作業(yè),如果您在全屏幕的終端中使用本參數(shù),則會將用鍵盤
切換終端機(jī)的功能一并關(guān)閉。
-c或--current 鎖住目前的終端階段作業(yè),此為預(yù)設(shè)值。
-h或--help 在線幫助。
-v或--version 顯示版本信息。
總結(jié)
以上是生活随笔為你收集整理的构建LINUX下的入侵检测系统——LIDS 系统管理命令--vlock的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: android nfc(一)
- 下一篇: I.MX6 Android Linux