网络与信息安全系统安全Linux系统安全
网络与信息安全系统安全:Linux系统安全 潘爱民,北京大学计算机研究所 /InfoSecCourse 内 容 Linux系统介绍 Linux内核 Linux文件系统 Linux的网络结构 Linux攻防技术 一次针对Linux的入侵过程 Linux操作系统 背景 最初由Linus Benedict Torvalds于1991年开发的 1994年3月发布第一个正式版本 内核升级模式 稳定的内核,第二个数字为偶数,例如2.2.14 开发的内核,第二个数字为奇数,例如2.1.14 Linux系统特点 兼容UNIX:API兼容,管理命令和各种工具 源码开放 支持各种硬件平台,支持多CPU Linux平台上存在大量的应用软件,以及应用开发工具 Linux内核 多用户,多任务,分时,软实时处理 不是微内核系统,但具有某些微内核特征 Intel版本:i386的保护模式,特权级 内核态(0)和用户态(3) 中断和系统调用——两种特权级的切换 PCB:进程控制块,常驻内存 进程是最基本的调度单元 进程是动态的,每一个进程都有一个进程控制块 没有专门的调度进程,内核中有一个schedule函数完成调度任务 进程在调度过程中有多种状态 进程调度:状态转换图 Linux的系统调用 编程接口,与POSIX兼容,C语言函数集合 实现形式与DOS的INT 21H相似 Linux使用int 80h 函数名“sys_xxx” 比如系统调用fork的相应函数sys_fork() 系统调用号和系统调用表 系统调用都转换为Int 80h软中断 所有的系统调用只有一个入口system_call 出口: ret_from_sys_call Linux内存管理 在i386机器上,每个进程有独立的4G虚存空间 32位线性地址——利用硬件的分页机制 内核的代码段和数据段被映射到3G以上的空间中 用户态下的代码实际可申请的虚存空间为0-3GB 每个进程用两套段描述符来访问内存,分别用来访问内核态和用户态下的内存空间 在用户态下,代码不可能访问3G以上的地址空间,如果要访问内核空间,必须通过系统调用或者中断 Linux对虚存的管理使用vma(virtual memory area)机制 在进程数据结构中,指定了用户空间的上界,在系统调用时,用户指定的指针不能超过此上界,但是内核代码可以重新设定此上界 页交换机制:缺页中断、页面换入 Linux的段选择符情况 Linux的模块机制 可动态装载的内核模块(lkm) 一组命令:insmod/rmmod/lsmod/modprobe/… 关于模块机制 可以让核心保持比较小的尺寸 动态装载,避免重新启动 模块机制常常用于设备驱动 内核模块一旦加载之后,与原有的核心代码同等 可动态装载的内核模块的一些缺点 可能会导致一定的性能损失,和内存开销 代码不规范的模块可能导致核心崩溃 如果调用系统核心功能时,参数错误,同样会有问题 Linux的模块机制原理 insmod装载模块 Linux内核中有一个模块链表 首先通过一个特权级系统调用来找到核心的输出符号 然后将模块读入虚拟内存,并利用来自核心的输出符号,修改其未解析的核心例程和资源的引用地址 再次使用特权级系统调用来申请足够的空间来容纳新的核心模块,并拷贝到此内存空间中 每个模块必须包括初始化例程和注销例程,insmod将调用初始化代码,并执行一个特权级系统调用将模块的初始化与注销例程地址传递给核心 rmmod卸载模块 当一个模块不再被引用的时候,它可以被卸载 核心调用注销例程,释放相应的核心资源 从模块链表中移除,它所占用的核心内存被回收 内核中的ROOTKIT 通过LKM机制,可以在系统内核中插入木马模块 一个典型的以Linux 2.2.x为基础的rootkit—— knark 使用insmod knark.o就可以加载到内核中 一旦加载了knark后门之后 可以改变netstat的输出结果 可以改变运行进程的UID和GID 可以不用SUID就能够获得root访问权限 …… 还有其他的ROOTKITS,比如adore 内核ROOTKITS的对策 根据每个rootkit的特征进行检测,然后设法删除 预防为主,安装内核检测系统,比如LIDS Linux文件系统 Linux支持多种文件系统,包括ext、ext2、hpfs、vfat、ntfs、… 通过虚拟文件系统VFS ,Linux操作系统可以支持不同类型的文件系统 文件系统类型管理 文件系统类型的注册途径: 在编译内核时确定 在文件系统作为模块装入时登记 虚拟文件系统(VFS) 是物理文件系统与服务之间的一个接口层,只存在于内存中 定义了关于各种特殊文件系统的公共接口——抽象性 Super_block、inode、文件操作函数
