配置和使用LIDS 基本配置 必须配置LIDS系统,使其符合用户的安全需要。用户可以定义受保护的文件、受保护的进程等等。 首先,更新缺省lids.conf的inode/dev值: # /sbin/lidsadm –U 然后,获得一个RipeMD-160加密口令: # /sbin/lidsadm -P 缺省情况下,lidsadm将把缺省配置文件安装到/etc/lids/。用户必须根据自己的需要重新配置。
当内核启动时,配置信息就把相关信息读入内核来初始化LIDS系统。需要特别注意该目录中的如下几个相关的配置文件: lids.conf:这个文件用来存储LIDS ACLs信……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
配置和使用LIDS
基本配置
必须配置LIDS系统,使其符合用户的安全需要。用户可以定义受保护的文件、受保护的进程等等。
首先,更新缺省lids.conf的inode/dev值:
# /sbin/lidsadm –U
然后,获得一个RipeMD-160加密口令:
# /sbin/lidsadm -P
缺省情况下,lidsadm将把缺省配置文件安装到/etc/lids/。用户必须根据自己的需要重新配置。当内核启动时,配置信息就把相关信息读入内核来初始化LIDS系统。需要特别注意该目录中的如下几个相关的配置文件:
lids.conf:这个文件用来存储LIDS ACLs信息。它包括定义对象访问类型的ACLs(访问控制列表);
lids.cap:这个文件包括系统的所有性能,可以编辑这个文件来配置这些性能;
lids.net:这个文件用来配置发给管理员信箱的警告信息。用户可以定义SMTP服务器、端口、消息头等。仅在配置内核时,选择了Send security alerts through network内核配置选项才有该文件;
lids.pw:这个文件存储由“lidsadm –P”命令生成的密码文件。配置内核时需要选择Allow switching LIDS protections选项,就必须有该文件。
Lidsadm工具
Lidsadm是LIDS的管理工具单元,可以用它来管理系统中的LIDS。Lidsadm的作用主要就是启用或停用LIDS,以及封存LIDS到内核中和查看LIDS状态。
使用下列命令可以列出Lidsadm的所有可用选项:
# lidsadm –h
其常用命令参数的具体含义如下:
-s:开关某些保护选项时指示应提交密码;
-I:开关某些保护选项时不提交密码
LIDS_FLAG:为Lidsadm的标志值
-v:显示版本
-V:查看现在LIDS状态
-h:列出所有选项
另外,Lidsadm还包括了许多常用的部分主要功能模块,它们的列表和主要功能说明如表1所示:
表1 Lidsadm主要功能模块说明
另外,Lidsadm还有如下可用的标志值(Available flags):
LIDS:禁止或激活本地LIDS;
LIDS_CLOBAL:完全禁止或激活LIDS;
RELOAD_CONF:重新加载配置文件。
Lidsconf工具
Lidsconf主要用来为LIDS配置访问控制列表(ACLs)和设置密码。输入以下命令能显示Lidsconf所有的可用选项:
# lidsconf –h
此命令执行后会返回以下命令参数:
-A:增加一条指定的选项到已有的ACL中
-D:删除一条指定的选项
-E:删除所有选项
-U:更新dev/inode序号
-L:列出所有选项
-P:产生用Ripemd-160加密的密码
-V:显示版本
-h:显示帮助
-H:显示更多的帮助
-s [--subject]:指定一个子对像,可以为任何程序,但必须是文件。
-o[object]:可以是文件、目录或功能(capabilities)和socket名称。
-j:它有以下几个参数:
DENY:禁止访问
? READONLY:只读
? APPEND:增加
? WRITE:可写
? GRANT:对子对像授与能力
? ignore:对设置的对像忽略所有权限
? disable:禁止一些扩展特性
其它选项:
? -d:目标的可执行domain
? -i:继承级别
? -t:指定从某一时段到某一时段可以进行怎样的操作
? -e:扩展列表
主要使用方法
(1)配置LIDS保护的文件和目录
首先,用户需要根据具体的情况来确定要保护哪些文件。一般情况下,为了保证Linux系统安全,至少需要保护系统二进制文件和系统配置文件,比如:/bin、/sbin/、/usr/、/etc/、/var/log/等。
其次,需要确定以什么方式来保护文件。LIDS提供了如下四种保护类型:
1)拒绝任何人访问:带有DENY标志的文件和目录没有人能够看见,也不能修改。那些非常敏感的文件应该加上DENY标志。其用法如下:
lidsconf -A -o file_to_protected -j DENY
例如,可以使用如下命令来拒绝用户(包括root用户)对/etc/passwd文件的访问:
# lidsconf -A -o /etc/ passwd -j DENY
在重启或重新加载配置文件后,用户将会看到相应的操作遭到LIDS的拒绝,从而保护该文件:
# ls /etc/passwd
ls: /etc/passwd: No such file or directory
2)配制只读文件:任何用户不能改变带有只读标记的文件。比如/etc/passwd、/bin/passwd文件一般属于此类。
其用法如下:
lidsconf -A -o file_to_protect -j READONLY
例如,我们可以保护整个/bin/目录,使之只读,如下命令所示:
# /sbin/lidsconf -A -o /bin/ -j READONLY
也可以保护/etc/passwd文件为只读,如下命令:
# /sbin/lidsconf -A -o /etc/passwd -j READONLY
3)只能追加的文件:一般来说,系统日志文件应定义成此类。比如/var/log/message、/var/log/secure。这些文件只能以追加的模式打开,用户不能修改前面的部分。
其用法如下:
lidsconf -A -o filename_to_protect -j APPEND
例如,我们可以保护系统日志文件,如下命令所示:
# /sbin/lidsconf -A -o /var/log/message -j APPEND
# /sbin/lidsconf -A -o /var/log/secure -j APPEND
我们也可以针对具体的网络服务器日志进行保护:
//保护httpd日志文件
# /sbin/lidsconf -A -o /var/log/httpd -j APPEND
//保护vsftpd日志文件
# /sbin/lidsconf –A –o /var/log/vsftpd –
相关推荐
-
Linux系统中最实用的十大开源防火墙
Iptables/Netfilter是基于防火墙的最流行的命令行。它是Linux服务器安全的头道防线。许多系统管理员用它来微调服务器。
-
使用Xmanager 3.0实现Linux远程登录管理
远程登录和桌面控制Linux也是非常必要和重要的管理工作,本文将介绍通过Xmanager远程桌面控制Linux的方法和技巧,以及如何配置Xmanager服务器端和客户端。
-
Linux如何防范垃圾邮件?
垃圾邮件已成为人们最头疼的问题之一,它极大地消耗了网络资源,本文介绍了Linux中广泛使用的防垃圾邮件技术。
-
Linux的企业端口扫描及实战(二)
本文介绍了如何使用nmap确定企业网络开放端口:发现活动主机、扫描端口扫描、主机操作系统识别、扫描总结归纳,以及控制nmap的扫描时间的命令。