Linux内核即时入侵检测安全增强－后语

五．后语
冰块

　　 这篇文章的整个补丁代码我没有找到，可能是因为这个人关于这个东西的开发已经放弃了吧。呵呵，如果谁能找到。请告诉大家，原来他们提供的url是：
www.iac.rm.cnr.it/tecno/software/indexs.html
　　 这篇文章和以前发表的LIDS文章都是关于内核模块级的系统安全的。这篇主要是对缓冲区溢出的漏洞进行防范。虽然没有代码的原形，但是它给出的几个代码事例能够帮助我们更好的理解Linux的内核模块如何截获系统调用，或是如何对进程运行权分析的实现。对于我们理解Linux和其他操作系统的内核有一定的帮助。希望大家能通过这篇文章能多提高点理解认识，对以后自己开发系统安全软件能有一定理论上的帮助作用。下面是check_rootproc函数的代码：

　　 /*check_rootproc.c*/

　　 int check_rootproc(struct inode *ino){

　　 int cont=0,iproc=0,error=0;

　　 suidp_t * suidproc;

　　 efile_t f;

　　 suidp_t p;

　　 if ((IS_SETUID_TO_ROOT(current))||(IS_A_ROOT_DAEMON(current))) {

　　 for (;cont

　　 if ((permitted.lst[cont].efid.device==ino->i_dev&&

　　 permitted.lst[cont].efid.inode==ino->i_ino)){

　　 if ((permitted.lst[cont].efid.size==ino->i_size)&&

　　 permitted.lst[cont].efid.modif==ino->i_mtime)){

　　 suidproc=permitted.lst[cont].processes;

　　 for(iproc=1;iproc<=permitted.lst[cont].proc_nr;iproc++){

　　 if(!strcmp(suidproc->suidp_id.comm,current->comm)){

　　 suidproc->suidp_id.count++;

　　 return PSA;

　　 }

　　 if (iproc

　　 suidproc=suidproc->next;

　　 }

　　 }

　　 }else{

　　 error=EFNA;

　　 goto file_exe_unauthorized;

　　 }

　　 }

　　 }

　　 error=EXENA;/*EXE is not in the database*/

　　 goto file_exe_unauthorized;

　　 }

　　 return PNS;/*the process is not setuid to root or root daemon*/

　　 file_exe_unauthorized:

　　 f.efid.device=ino->i_dev;

　　 f.efid.inode=ino->i_ino;

　　 f.efid.size=ino->i_size;

　　 f.efid.modif=ino->i_mtime;

　　 strncpy(p.suidp_id.comm,current->comm,

　　 sizeof(p.suidp_id.comm));

　　 p.suidp_id.count=1;

　　 do{

　　 while(writer_pid!=0){

　　 cli();/*interrupt disabled*/

　　 if (writer_pid!=0)

　　 interruptible_sleep_on(&pid_queue);

　　 sti();

　　 }

　　 }

　　 while(!atomic_access(&writer_pid,current->pid));

　　 /*start of critical section*/

　　 do_setuid_put(&(f.efid),&(p.suidp_id),FAILURE);

　　 writer_pid=0;/*end of critical section*/

　　 atomic_access(&writer_pid,0);/*release of the lock*/

　　 return error;

　　 }