用LIDS增强系统安全(四)

　　4.3 保护进程 　　UN-killable roce (不可杀进程) 　　LID 可以保护进程当其父程序初始化时(pid=1)[ the roce whose arent i init(pid=1)]必须配置权限 (/etc/lids/lids.cap)，如下: 　　-29:CAP_INIT_KILL 　　hidde roce (隐藏进程) 　　由于进程被隐藏， 所以当进程启动时，任何人用 quot quot;命令或在"/proc"下都无法找到 .
　　example，
　　lidsadm -A - /usr/ in/httpd -t -o CAP_HIDDE -j INHERIT
　　4.4 权限保护 　　Capabilities类似于赋予进程的权限， root方式拥有所有权限，但存在权限绑定设置。在普通的内核中，当你从绑定设置中删除一个权限，再也没有人可以使用它了，直到下次重新启动。 (关于普通使用可以参http://www.netcom.com/ oon/lcap)。 　　LIDS修改这一属性，使你可以任意转换。进入/proc/sys/kernel/cap_ et被捕获后引发安全警报，lidsadm承担所有这些工作。 　　可以通过运行lidsadm列出所有的LIDS权限，和每一权限确切的含义。 　　系统权限配置 　　系统权限属性存放于/etc/lids/lids.cap，必须编辑此文件来适应你的需要。 　　这里，我们讨论其中的两个属性： 　　CAP_SYS_RAWIO 启用这一权限，我们可以
　　allow ioperm/iopl and /dev/port acce ，
　　allow /dev/mem and /dev/kmem acce and
　　allow raw lock device (/dev/[sh]d??) acce 　　当禁止了这项功能以后，可以使得系统上所有进程失去对于raw device的权限，例如运
行lilo。 　　但是一些进程需要此权限来打开，例如XF86_SVGA， 所以在编译内核的时候， 使一些程序
处于例外状态。 　　CAP_NET_ADMI 这个项目可以得到以下权限
　　interface configuratio
　　administratio of I firewall， masquerading and accounting
　　setting debug optio o ocket
　　modificatio of routing table
　　setting arbitrary roce / roce grou ownershi o ocket
　　binding to any addre for tra arent roxying
　　setting TO (type of ervice)
　　setting romiscuou mode
　　clearing driver tatistic
　　multicasting
　　read/write of device- ecific register
　　出于安全因素，应该禁止此项目来禁止改变网络配置。当其被禁止后，防火墙规则将不允许被改变。 　　配置lids.ca 　　可以在capability ame前加 quot; "或"-"来启动或禁止权限。
　　### 0: I a ystem with the _POSIX_CHOWN_RESTRICTED optio defined， thi

override the restrictio
　　### 0: of changing file ownershi and grou ownership.
　　#
　　-0:CAP_CHOW
　　### 1: Override all DAC acce ， including ACL execute acce if _POSIX_ACL
i defined. Excluding
　　### 1: DAC acce covered y CAP_LINUX_IMMUTABLE.
　　#
　　 1:CAP_DAC_OVERRIDE
　　以上例子演示了禁止CAP_CHOW (-)，启动CAP_DAC_OVERRIDE( )，应该仔细检查lids.cap文件来决定哪些需要启动哪些需要禁止。 　　用capabilities为独立进程分类 　　你可以使用capability为独立进程分类，从而使得进程可以做到一些系统所禁止的事情。 　　例如，你可以在/etc/lids/lids.cap下禁止CAP_SYS_RAWIO(-)，但你仍然需要使用X服务，所以你可以： 　　# lidsadm -A - /usr/X11R6/bin/XF86_SVGA -t -o CAP_SYS_RAWIO -j INHERIT 　　使得XF86_SVGA拥有CA_SYS_RAWIO的权限，而其他程序不能获得CAP_SYS_RAWIO。
　　封装内核 　　启动内核以后，系统权限要在封装内核以后才会起作用。你必须将以下命令加入RefHat系统的/etc/rc.d/rc.local下，或其他系统的启动初始文件中 　　#/ in/lidsadm -I 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　(待续)