我知道这是一个奇怪的问题。 IDS/IPS 基本上可以自主识别并选择性地阻止入侵。
尽管 SELinux 和 AppArmor 似乎也在尝试做同样的事情,但它们从未被贴上 IDS/IPS 的标签。我错过了什么吗?这是一个纯粹的学术问题。
此类工具是否会被视为基于主机的 IDS/IPS?
答案1
是的,LSM 工具可以被视为基于内核的 HIDS/HIPS。
请注意,IDS(入侵检测)和 IPS(入侵防御)不是一回事。入侵检测通常更像是传统的病毒扫描程序,它将扫描已知的不良模式并向您发出警报,但通常无法阻止应用程序采取某些操作。
AppArmor 和 SELinux 通过强制执行良好行为并防止一些未知攻击,主动保护操作系统和受监控的应用程序免受威胁。尽管您需要正确配置,但它们都可以被视为基于主机的入侵防御的一种形式。
AppArmor 安全策略完全定义了各个应用程序可以访问哪些系统资源以及具有哪些权限。
如果您正在运行带有 AppArmor 的系统,您可以查找/etc/apparmor.d/
默认配置文件的列表...您会注意到您拥有的大多数应用程序实际上并未涵盖。
IDS/IPS 基本上可以自主识别并选择性地阻止入侵。
SELinux 和 AppArmor 都与“沙箱”的概念比与“扫描入侵”的概念更密切相关。您不会收到弹出的警报:
潜在的坏人正在做潜在危险的事情
[_]
允许[_]
否认
相反,当实际在强制模式下运行这些系统时,应用程序将默默地不允许执行许多操作。您需要检查日志以准确了解被拒绝的内容。通常,在打开(或启动)这些之前,您需要在“抱怨模式”(AppArmor)或“宽容模式”(SELinux)下运行,以允许它们使用您配置的权限设置运行,但仅记录拒绝访问的信息,而不是而不是直接拒绝访问。否则,您可能会导致系统挂起。