Linux缺省的安全等級(jí)是0,如果將其升到1,就可以一定程度上提高系統(tǒng)的安全性.安全等級(jí)
為1的時(shí)候,它會(huì)禁止修改ex2fs系統(tǒng)中文件的immutable和append-only位,同時(shí)禁止裝入
/移除module.所以我們可以先用chattr +i <file>將大部分的可執(zhí)行文件,動(dòng)態(tài)連接庫(kù),
一些重要的系統(tǒng)文件(inetd.conf,securetty,hosts.allow,hosts.deny,rc.d下的啟
動(dòng)script...)加上immutable位,這樣"黑客"就很難在你的機(jī)器上放置木馬和留后門了.
(即便他已經(jīng)得到了root權(quán)限,當(dāng)然通過直接硬盤讀寫仍然可以修改,但比較麻煩而且危險(xiǎn)
).
"黑客"們一旦進(jìn)入系統(tǒng)獲得root,首先會(huì)清除系統(tǒng)的記錄文件.你可以給一些系統(tǒng)記錄文件
(wtmp,messages,syslog...)增加append-only位,使"黑客"不能輕易的修改它們.要抓
他們就容易多了.:-)
修改安全等級(jí)比較直接的辦法是直接修改內(nèi)核源碼.將linux/kernel/sched.c中的
securelevel設(shè)成1即可.不過如果要改變安全等級(jí)的話需要重新編譯內(nèi)核,我太懶,不想那
么麻煩.:-)
為什么不用module呢?我寫了個(gè)很簡(jiǎn)單的lkm和一個(gè)client程序來完成安全等級(jí)的切換.

方法: insmod lkm; clt -h;

注意:普通用戶也可以執(zhí)行clt來切換安全等級(jí),所以最好是在clt和lkm中加段密碼檢查,
如果密碼不對(duì)就不允許執(zhí)行.:-)
這兩個(gè)程序在Redhat 5.2(2.0.36)下編譯運(yùn)行通過.對(duì)于2.2.x的內(nèi)核,securelevel
變成了securebits,簡(jiǎn)單的將它改到1,會(huì)連setuid()都被禁止了,這樣普通用戶就不能
登陸了.如果誰(shuí)對(duì)2.2.x比較熟悉,請(qǐng)不吝賜教,共同提高嘛.:)

<在測(cè)試這些程序以前,請(qǐng)備份重要數(shù)據(jù).本人不為運(yùn)行此程序帶來的任何損失負(fù)責(zé).>

(一旦securelevel=1,kernel將不允許裝入modlue,所以你的kerneld可能不能正
常工作，而且禁止你訪問/dev/kmem,所以有些用到svgalib的程序也不能正常工作
，象zgv什么的。不過這本來就是安全隱患，所以不工作就不工作好了，呵呵)
(關(guān)于chattr,lsaddr請(qǐng)man chattr和man lsattr)

  warning3@hotmail.com

/**************************** lkm.c ********************************/


/* Simple lkm to secure Linux.
* This module can be used to change the securelevel of Linux.
* Running the client will switch the securelevel.
*
* gcc -O3 -Wall -c lkm.c
* insmod lkm
*
* It is tested in Redhat 5.2 (2.0.36).
* (It should be modified if you want to run it in 2.2.x kernel).
* It is really very simple,but we just for educational purposes.:-)
*
*warning3@hotmail.com
*/






















extern void *sys_call_table[];

int sys_secureswitch(int secure)
{
 if(secure==0) securelevel=0;
 if(secure==1) securelevel=1;
 return securelevel;
}

int init_module(void)
{
  sys_call_table[__NR_secureswitch] = (void *)sys_secureswitch;
  return 0;
}
void cleanup_module(void)
{
  sys_call_table[__NR_secureswitch] = NULL;
  return;
}


/************************ clt.c **************************/


/*

* This client can switch the secure level of Linux.

*

* gcc -O3 -Wall -o clt clt.c

* Usage: clt -h/-l

*-hswitch to the high secure level.
 
*-lswitch to the low secure level.

*

* Most of codes are ripped from smiler@tasam.com,thanks smiler.:)

*warning3@hotmail.com

*/













static inline _syscall1(int, secureswitch, int, command);



int main(int argc,char **argv)

{

  int ret,level = 0;



  if (argc < 2)

 {

 fprintf(stderr,"Usage: %s [-h/-l]\n",argv[0]);

 exit(-1);
  }



  if (argv[1][1] == 'h') level++;

  else if (argv[1][1] != 'l')

 {

 fprintf(stderr,"Usage: %s [-h/-l]\n",argv[0]);

 exit(-1);

  }



  ret = secureswitch(level);

  if (ret < 0)

  printf("Hmmm...It seemed that our lkm hasn't been loaded.;-)\n");
 else {

  if (ret == 0) {

  puts("Now the secure level is changed to 0!\n");

  } else {

  puts("Now the secure level is chagned to 1!\n");

  }

  }

  return(1);

}


（出處：viphot）

最新評(píng)論