使用LKM更改缺省的linux安全等级

Linux缺省的安全等级是0,如果将其升到1,就可以一定程度上提高系统的安全性.安全等级为1的时候,它会禁止修改ex2fs系统中文件的immutable和append-only位,同时禁止装入 /移除module.所以我们可以先用chattr +i 将大部分的可执行文件,动态连接库, 一些重要的系统文件（inetd.conf,securetty,hosts.allow,hosts.deny,rc.d下的启动script...）加上immutable位,这样"黑客"就很难在你的机器上放置木马和留后门了. （即便他已经得到了root权限,当然通过直接硬盘读写仍然可以修改,但比较麻烦而且危险）.
"黑客"们一旦进入系统获得root,首先会清除系统的记录文件.你可以给一些系统记录文件（wtmp,messages,syslog...）增加append-only位,使"黑客"不能轻易的修改它们.要抓他们就容易多了.:-）
修改安全等级比较直接的办法是直接修改内核源码.将linux/kernel/sched.c中的 securelevel设成1即可.不过如果要改变安全等级的话需要重新编译内核,我太懒,不想那么麻烦.:-）
为什么不用module呢？我写了个很简单的lkm和一个client程序来完成安全等级的切换. 方法: insmod lkm; clt -h;
注意:普通用户也可以执行clt来切换安全等级,所以最好是在clt和lkm中加段密码检查, 如果密码不对就不允许执行.:-）
这两个程序在RedHat 5.2（2.0.36）下编译运行通过.对于2.2.x的内核,securelevel 变成了securebits,简单的将它改到1,会连setuid（）都被禁止了,这样普通用户就不能登陆了.如果谁对2.2.x比较熟悉,请不吝赐教,共同提高嘛.:）

（一旦securelevel=1,kernel将不允许装入modlue,所以你的kerneld可能不能正常工作，而且禁止你访问/dev/kmem,所以有些用到svgalib的程序也不能正常工作，象zgv什么的。不过这本来就是安全隐患，所以不工作就不工作好了，呵呵）
（关于chattr,lsaddr请man chattr和man lsattr）
 warning3@hotmail.com
/**************************** lkm.c ********************************/
/* Simple lkm to secure Linux.
* This module can be used to change the securelevel of Linux.
* Running the client will switch the securelevel.
*
* gcc -O3 -Wall -c lkm.c
* insmod lkm
*
* It is tested in Redhat 5.2 （2.0.36）.
* （It should be modified if you want to run it in 2.2.x kernel）.
* It is really very simple,but we just for educational purposes.:-）
*
*warning3@hotmail.com
*/
extern void *sys_call_table[];
int sys_secureswitch（int secure）
{
if（secure==0） securelevel=0;
if（secure==1） securelevel=1;
return securelevel;
}
int init_module（void）
{
 sys_call_table[__NR_secureswitch] = （void *）sys_secureswitch;
 return 0;
}
void cleanup_module（void）
{
 sys_call_table[__NR_secureswitch] = NULL;
 return;
}
/************************ clt.c **************************/
/*
* This client can switch the secure level of Linux.
*
* gcc -O3 -Wall -o clt clt.c
* Usage: clt -h/-l
*-hswitch to the high secure level.

*-lswitch to the low secure level.
*
* Most of codes are ripped from smiler@tasam.com,thanks smiler.:）
*warning3@hotmail.com */
static inline _syscall1（int, secureswitch, int, command）;
int main（int argc,char **argv）
{
 int ret,level = 0;
 if （argc < 2）
{
fprintf（stderr,"Usage: %s [-h/-l] ",argv[0]）;
exit（-1）;
 }
 if （argv[1][1] == "h"） level++;
 else if （argv[1][1] ！= "l"）
{
fprintf（stderr,"Usage: %s [-h/-l] ",argv[0]）;
exit（-1）;
 }
 ret = secureswitch（level）;
 if （ret < 0）
 printf（"Hmmm...It seemed that our lkm hasn"t been loaded.;-） "）;
else {
 if （ret == 0） {
 puts（"Now the secure level is changed to 0！ "）;
 } else {
 puts（"Now the secure level is chagned to 1！ "）;
 }
 }
 return（1）;
}
技术网站导航Unix系统安全服务利用Linux系统IP伪装挡住黑客攻击相关资讯本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论
参与本评论即表明您已经阅读并接受上述条款