在Linux中诱捕入侵者（1）

作者：洪小叶

对于连接在Internet上的系统，可以说威胁无时不在。不计其数的潜在攻击者经常让系统管理员防不胜防。如果能及早检测到入侵者的踪迹，尽快洞察入侵者的意图，系统管理员将会非常的主动。在Solaris操作系统中有一个BSM（基本安全模块），可以将内核日志做得非常细致，这对管理员非常有帮助。而现在，Linux中也可以做到这一点了。

Linux上的NDS

SNARE是一个基于主机的、专为Linux设计的IDS(入侵检测系统)。当我第一次听到SNARE时，我决定安装并且对其进行试用。在测试中，我发现它的确是一个非常不错的用于审查Linux内核事件的插件程序，并且它是免费的，还易于安装和配置。本文将向你介绍如何安装、测试以及在实际中使用它。

SNARE是一个专门用于SNA(System iNtrusion Analysis)和RE(Reporting Environment)的自由软件。它由澳大利亚IT安全咨询公司InterSect Alliance生产。通过该产品的网站(http://www.intersectalliance. com/projects/Snare)，得知该公司开始SNARE项目是想“通过为Linux提供全面的事件日志功能来增强其安全性”。他们认为，Linux之所以没有被更多的IT企业所完全接受，正是因为其缺少了一个功能全面的日志工具。因此，他们才决定开发了这样一个可以作为动态加载的Linux内核模块。这个模块实际上是一个监控程序。

“更全面的记录功能”包括对以下信息的记录：

◆ 打开和接受网络连接

◆ 读写文件和目录

◆ 修改用户的身分或用户组

◆ 修改程序的使用

根据对SNARE的配置，当一个用户或者入侵者终止了某一个关键程序、切换到了root账号或者在关键的系统目录下安装了文件等，我们都可以检测到。此外，SNARE可以审查系统调用本身，比如什么时候一个文件被打开或者被重命名、什么时候执行了reboot、什么时候使用了mkdir或者mknod命令等等。