BBS水木清华站∶精华区

发信人: vertex (happy hacking), 信区: Linux
标  题: Web Server  安全和 LIDS (转载)
发信站: BBS 水木清华站 (Sat May 20 17:13:50 2000)

【以下文字转载自 Security 讨论区】
【原文由 vertex 所发表】
LIDS -- www.lids.org ,是一个linux 核心的安全patch.
Web server 安全 -- 保证 webserver 的进程的可用性,web pages不可修改.

利用 lids 可以这么做,

1) 将 web server 的配制文件和包含页面的目录设为 DENY , 任何人均看不见这些
        目录和文件,包括 root 在内..这样也就不能修改啦
ex,
        lidsadm -A -o /etc/httpd -j DENY
        lidsadm -A -o /home/httpd -j DENY

        lidsadm -A -o /var/log/httpd -j APPEND ; protect the log files.

2) 将 /usr/sbin/httpd 设为拥有READ 上面这些目录的权利,这样,web server就能
        正常工作了.同时保护 httpd

        lidsadm -A -o /usr/sbin -j DENY ; protect the httpd
        lidsadm -A -s /usr/sbin/httpd -o /home/httpd -j READ
        lidsadm -A -s /usr/sbin/httpd -o /etc/httpd -j READ

3) 将保护 init 子进程的保护打开 +INIT_CHILDREN_LOCK.用来保护 httpd 服务器不能
        被杀.

4) 将 CAP_SYS_RAWIO 的 capability 去调.

After boot, seal the kernel with

        lidsadm -I -- +INIT_CHILDREN_LOCK -CAP_SYS_RAWIO ...and...

OK, 现在你拥有了一个任何人也无法修改的 web server. 但是, 你还要更新呢,怎么办?

5) 写一个认证程序,比如 webManger ,使它可以写 /home/httpd, 使他消除
        buffer over flow 的 bug, 利用 PKI 或 Kerberos(?) 来进行认证.
        他可以 READ/WRITE /home/httpd  & /etc/httpd.

        lidsadm -A -s /../webManger -o /home/httpd -j WRITE

现在,我们看看入侵者 ,

1) 假定他通过 web server 或别的 server 的漏洞进入系统, 取到了 root shell,

他要修改网页, 他竟然找不到websever 和 web pages 的所在地..
        # cd /home/httpd
        bash: /home/httpd: No such file or directory
        # rm -rf /home/httpd
        bash: /home/httpd: No such file or directory
这时,他的行踪已经被记录下来了..

而且他不能杀 web server,

2) 他通过 web server 的 buffer over flow ,在 buffer 中放入恶意代码,
        企图 "rm -rf /home/httpd"

        这也不行,因为 web server 只有读的权利.

....

3) 对 webManager ,我们通过防火墙和认证技术来保证子能被合法的人修改.

---------
看看还有什么办法??:-)..

--
Happy Hacking

Linux Intrusion Detection System   http://www.lids.org/

※ 修改:·vertex 於 May 20 17:10:36 修改本文·[FROM:  159.226.40.137]
※ 修改:·vertex 於 May 20 17:13:21 修改本文·[FROM:  159.226.40.137]
※ 来源:·BBS 水木清华站 smth.org·[FROM: 159.226.40.137]