荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: Rog (明朗人生), 信区: Linux
标  题: 增加Linux系统安全性的一种方法 (转载)
发信站: BBS 荔园晨风站 (Sat Sep 18 23:16:25 1999), 转信

【 以下文字转载自 Rog 的信箱 】
【 原文由 rog.bbs@argo.zsu.edu.cn 所发表 】
发信人: hxk.bbs@bbs.whu.edu.cn (牧童), 信区: Linux
标  题: 增加Linux系统安全性的一种方法 (转载)
发信站: 珞珈山水 (Thu Sep  2 12:08:50 1999)
转信站: argo!news.zsu.edu.cn!whunews!whubbs

※ [本文转录自 SMTH_comp 看板]

发信人: mephisto (魔鬼*修心养性*重新做人), 信区: Linux
标 题: 增加Linux系统安全性的一种方法 (转载)
时  间: BBS 水木清华站 (Thu Sep  2 01:24:55 1999)

Linux缺省的安全等级是0,如果将其升到1,就可以一定程度上提高系统的安全性.安全等级
为1的时候,它会禁止修改ex2fs系统中文件的immutable和append-only位,同时禁止装入
/移除module.所以我们可以先用chattr +i <file>将大部分的可执行文件,动态连接库,
一些重要的系统文件(inetd.conf,securetty,hosts.allow,hosts.deny,rc.d下的启
动script...)加上immutable位,这样"黑客"就很难在你的机器上放置木马和留后门了.
(即便他已经得到了root权限,当然通过直接硬盘读写仍然可以修改,但比较麻烦而且危险
).
"黑客"们一旦进入系统获得root,首先会清除系统的记录文件.你可以给一些系统记录文件
(wtmp,messages,syslog...)增加append-only位,使"黑客"不能轻易的修改它们.要抓
他们就容易多了.:-)
修改安全等级比较直接的办法是直接修改内核源码.将linux/kernel/sched.c中的
securelevel设成1即可.不过如果要改变安全等级的话需要重新编译内核,我太懒,不想那
么麻烦.:-)
为什么不用module呢?我写了个很简单的lkm和一个client程序来完成安全等级的切换.

方法: insmod lkm; clt -h;

注意:普通用户也可以执行clt来切换安全等级,所以最好是在clt和lkm中加段密码检查,
如果密码不对就不允许执行.:-)

这两个程序在Redhat 5.2(2.0.36)下编译运行通过.对于2.2.x的内核,securelevel
变成了securebits,简单的将它改到1,会连setuid()都被禁止了,这样普通用户就不能
登陆了.如果谁对2.2.x比较熟悉,请不吝赐教,共同提高嘛.:)

<在测试这些程序以前,请备份重要数据.本人不为运行此程序带来的任何损失负责.>

(一旦securelevel=1,kernel将不允许装入modlue,所以你的kerneld可能不能正
常工作)
(关于chattr,lsaddr请man chattr和man lsattr)

                                      warning3@hotmail.com

/**************************** lkm.c ********************************/


/* Simple lkm to secure Linux.
 * This module can be used to change the securelevel of Linux.
 * Running the client will switch the securelevel.
 *
 * gcc -O3 -Wall -c lkm.c
 * insmod lkm
 *
 * It is tested in Redhat 5.2 (2.0.36).
 * (It should be modified if you want to run it in 2.2.x kernel).
 * It is really very simple,but we just for educational purposes.:-)
 *
 *                                  warning3@hotmail.com
 */

#define MODULE
#define __KERNEL__

#include <linux/config.h>
#include <linux/module.h>
#include <linux/version.h>
#include <linux/errno.h>
#include <linux/types.h>
#include <linux/fs.h>
#include <linux/string.h>
#include <linux/mm.h>
#include <linux/proc_fs.h>
#include <asm/segment.h>
#include <asm/unistd.h>
#include <linux/dirent.h>
#include <asm/unistd.h>
#include <linux/sockios.h>
#include <linux/if.h>

#define __NR_secureswitch 250

extern void *sys_call_table[];

int sys_secureswitch(int secure)
{
   if(secure==0) securelevel=0;
   if(secure==1) securelevel=1;
   return securelevel;
}

int init_module(void)
{
        sys_call_table[__NR_secureswitch] = (void *)sys_secureswitch;
        return 0;
}

void cleanup_module(void)
{
        sys_call_table[__NR_secureswitch] = NULL;
        return;
}


/************************ clt.c **************************/


/*

 * This client can switch the secure level of Linux.

 *

 *   gcc -O3 -Wall -o clt clt.c

 *   Usage: clt -h/-l

 *              -h  switch to the high secure level.

 *              -l  switch to the low secure level.

 *

 *   Most of codes are ripped from smiler@tasam.com,thanks smiler.:)

 *                                warning3@hotmail.com

 */



#include <asm/unistd.h>

#include <stdio.h>

#include <errno.h>



#define __NR_secureswitch 250



static inline _syscall1(int, secureswitch, int, command);



int main(int argc,char **argv)

{

        int ret,level = 0;



        if (argc < 2)

         {

             fprintf(stderr,"Usage: %s [-h/-l]\n",argv[0]);

             exit(-1);

          }



        if (argv[1][1] == 'h') level++;

        else if (argv[1][1] != 'l')

         {

             fprintf(stderr,"Usage: %s [-h/-l]\n",argv[0]);

             exit(-1);

          }



        ret = secureswitch(level);

        if (ret < 0)

                printf("Hmmm...It seemed that our lkm hasn't been
loaded.;-)\n");
         else {

                if (ret == 0) {

                        puts("Now the secure level is changed to 0!\n");

                } else {

                        puts("Now the secure level is chagned to 1!\n");

                }

        }

        return(1);

}



--
※ 来源:·BBS 水木清华站 bbs.net.tsinghua.edu.cn·[FROM: bbs.ndc.neu.edu]

--
※ 转寄:.逸仙时空 Yat-sen Channel bbs.zsu.edu.cn.[FROM: 210.39.3.50]
--
※ 转载:.BBS 荔园晨风站 bbs.szu.edu.cn.[FROM: 192.168.1.91]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店