BBS水木清华站∶精华区

发信人: vertex (lancelord), 信区: Linux
标  题: 有关 Linux IDS (lids) 的一些想法.
发信站: BBS 水木清华站 (Mon Oct 18 12:55:32 1999)

我的想法是抛调应用层的入侵监测..他们的做法是监察,发现问题然后补救.

我在这里的做法是从根上去除修改文件的可能性..

任何受到保护的文件,任何人都不能修改,包括 root . 在 unix 里, root 的级别太大,
他能作任何事情, 我这么作, 是想限制一下  root 的权限, 这样能防止一些攻击.

比如, 入侵者利用 ftp 的 buffer over flow 的 bug进到系统来, 他就可以放 "木马"
,比如修改 /bin/login ,那下次就可以光明正大的进来,他的行为也不会记录到 log里去.

而这些重要的系统文件对任何人,包括管理员来说,是不需要修改的. 除非需要升级.
所以,保护这些文件有一定的合理性. 而需要修改的时候,可以在启动时加如参数
进入"修改'模式.

我修改的是 linux 的 VFS, 同文件系统无关. 现在基本实现上面的想法. 系统的
性能下降会很小.

我已经把它发布到 freshmeat.net , linux patch archie , linux  kernel maillist 上,
当作自由软件的来发布 ( GPL ) .希望有更多的人来参与讨论.

大家看,有什么问题么?

参考 website.
http://gem.ncic.ac.cn/~xhg/lids/
http://www.soaring-bird.com.cn/oss_proj/lids/
http://linux-patches.rock-projects.com/v2.2-f/index.html
http://www.freshmeat.net/appindex/1999/10/15/939982897.html

--
※ 修改:·vertex 於 Oct 18 12:57:28 修改本文·[FROM:  162.105.138.50]
※ 来源:·BBS 水木清华站 bbs.net.tsinghua.edu.cn·[FROM: 162.105.138.50]