Linux內(nèi)核即時入侵檢測安全增強－實現(xiàn)

1、四實現(xiàn) 冰塊 這一段我們來實現(xiàn)我們剛才提出的在linux系統(tǒng)下建立參考監(jiān)視器的設(shè)想。開始我們將描述一個訪問控制功能函數(shù)，這個功能函數(shù)包括增加到內(nèi)核的訪問控制數(shù)據(jù)庫（ACD）的數(shù)據(jù)結(jié)構(gòu)定義。這個新的系統(tǒng)調(diào)用來讀，寫和升級ACD和參考功能函數(shù)。還會附有check_rootproc的代碼。41 認證功能函數(shù)訪問控制數(shù)據(jù)庫包括一個關(guān)于每一個系統(tǒng)調(diào)用的參考監(jiān)視器。在這里，只有兩個主要的數(shù)據(jù)結(jié)構(gòu)起作用，一個叫做setuid_acd用來檢查對setuid的系統(tǒng)調(diào)用，一個是execve_acd來檢查對execve的系統(tǒng)調(diào)用。這兩個結(jié)構(gòu)都在下面的圖2中列出。/*setuid_acd*/static char r

2、passwdLEN_PWD;/*execve_acd*/typedef struct setuid_proc_idchar comm16;unsigned long count;suidpid_t;typedef struct setuid_programsuidpid_t suidp_id;suidp_t *next;/*下一個程序*/suidp_t;typedef struct exe_file_id_kernel_dev_t device; /*設(shè)備號碼r*/unsigned long inode; /*inode結(jié)點號碼*/_kernel_off_t size; /*大小*/_kern

3、el_time_t modif: /*修改時間*/efid_t;typedef struct executable_fileefid_t efid;/*文件鑒定時間信息*/int prog_nr; /*可以調(diào)用exe的程序數(shù)量*/suidp_t *programs; /*認證程序列表*/efile_t;typedef struct executable_file_listefile_t lstNR_EXE;unsigned int total; /*在列表里的exe的總數(shù)*/eflst_t;圖2Setuid_acd只包括串rpasswd，用來保存在內(nèi)核存儲的加密root密碼。這是用來健壯性的對

4、setuid系統(tǒng)調(diào)用認證進行實現(xiàn)的。Execve_acd包括兩個eflst_t結(jié)構(gòu)的數(shù)組：Admitted：在這個結(jié)構(gòu)里提供了一個入口給可執(zhí)行的文件F，一個setuid程序需要通過執(zhí)行F來調(diào)用execve。在入口里存儲了所有的調(diào)用F的setuid程序的列表。Failure：這里保存了一些沒有得到認證的利用setuid進程來調(diào)用execve嘗試的日志。下面列出了一個admitted數(shù)據(jù)結(jié)構(gòu)，這個結(jié)構(gòu)是一個有關(guān)于可執(zhí)行文件的列表和指向一系列setuid程序的數(shù)組。Failure數(shù)據(jù)結(jié)構(gòu)沒有在這里列出，它和admitted數(shù)據(jù)結(jié)構(gòu)差不多，但是它會動態(tài)的增長，記錄那些非授權(quán)的setuid程序的訪問。每

5、一個admitted數(shù)據(jù)結(jié)構(gòu)的元素包括下面三個域：efid，proc_nr和programs.Efid標(biāo)明可執(zhí)行文件F。存儲在efid的信息為：Device 這個是F的文件系統(tǒng)的設(shè)備號碼；Inode 文件F的inode號碼；Size 文件F的字節(jié)長度；Modif 這里保存了對文件F的最后修改時間；這里的device和inode能夠唯一獨立的標(biāo)明一個系統(tǒng)文件F。size和modif允許來檢測非授權(quán)的文件內(nèi)容修改。Proc_nr：這個域來標(biāo)明程序列表的長度，這個列表是可調(diào)用文件F的setuid程序的列表數(shù)量。Programs：是一個指向setuid程序的一個指針，每一個元素，叫做suidp_id，

6、包含兩個域：comm和count。Comm保存了在setuid程序的名稱的一個備份。域count是用來統(tǒng)計和指出在F文件上的調(diào)用數(shù)量的。在下面的階段里，我們描述sys_setuid_aclm,這是個新的系統(tǒng)調(diào)用，只能被UID=0和EUID=0的root級進程才可以調(diào)用的系統(tǒng)調(diào)用。Sys_setuid_aclm的目的是用來實現(xiàn)對存儲在ACD里面的信息進行讀和修改的功能的。由于root進程可以訪問ACD數(shù)據(jù)庫，這樣就會出現(xiàn)沖突。因此我們的定義了一個原始的增強程序來處理這些沖突的程序。一般情況下，一個叫做write_pid來實現(xiàn)這個互斥。為了避免對write_pid自身的競爭，這個變量必須可以檢測和

7、自動升級。這個功能可以借助調(diào)用atomic_access，這個調(diào)用是來實現(xiàn)intel體系結(jié)構(gòu)的自動改變的：xchg。實際上，sys_setuid_aclm系統(tǒng)調(diào)用從頭到尾經(jīng)歷了六個不同的操作，以下就是對這六個操作的描述：PUT(exe-file,suid-prog,list)增加(exe-file,suid-prog)組合對到特定的ACD列表中，可能返回的值有：PUTEP (exe-file,suid-prog)組合對已經(jīng)成功的加入；PUTPI exe-file已經(jīng)在ACD中出現(xiàn)，只有suid-prog被加進ACD中。PUTAE (exe-file,suid-prog)組合對已經(jīng)在ACD中出現(xiàn)

8、，沒有任何的操作執(zhí)行。PUTFULL 數(shù)據(jù)結(jié)構(gòu)已經(jīng)滿；對NR-SUID-EXE的限制已經(jīng)溢出，升級終止退出。PUTBUSY ACD數(shù)據(jù)庫忙，另外一個進程正在升級。GET(exe-file,suid-prog,param)從param-list中讀出（param-file-nr，param-proc-nr）組合對?？赡艿姆祷刂禐椤ETOK 這個對已經(jīng)成功的讀出，并且不是列表中的最后一個。GETL最后一對組合已經(jīng)關(guān)聯(lián)文件param.file-nr；GETLACL最后的在ACD中的對已經(jīng)讀出。GETOB越出邊界，沒有這樣的組合對（param.file-nr,c-nr）;GETBU

9、SY ACD數(shù)據(jù)庫忙，另外一個升級進程正在運行。PUTHEADERACL（header-acl）在內(nèi)核內(nèi)存區(qū)存儲ACD的頭部。這個對于在補丁安裝后系統(tǒng)的第一次啟動運行很重要。如果這個服務(wù)不可行，就會返回PUTBUSY。GETHEADERACL（local-header-acl）在內(nèi)核區(qū)域重新找訪問控制數(shù)據(jù)庫的頭部，并且存儲在變量local-header-cal中。DELETE(exe-file,suid-prog,list)在特定的列表中刪除（exe-file,suid-prog）組合對。如果exe-file為NULL，就會刪除在（*，suid-prog）中所有的組合對，就是用它來阻止suid-prog執(zhí)行