用LIDS增强系统安全(三)
日期:2006-04-01 荐:
3.5 配置LIDS系统 在重新启动以前,必须配置lids系统,使其符合你的安全需要.你可以定义受保护的文件,受保护的进程等等。 缺省情况下,lidsadm将把缺省配置文件安装到 /etc/lids/。你必须根据自己的需要重新配置。首先,可以更新缺省lids.conf的inode/dev值。 # / in/lidsadm -U 3.6 重新启动系统 配置完Linux系统后,重新启动.当lilo出现时,选择装载the lid enable kernel。然后,你就将进入美妙的LIDS世界。 3.7 封装内核 系统启动后,不要忘记用lidsadm封装内核,在最后/etc/rc.local加入以下命令
# / in/lidsadm -I 3.8 在线管理 封装完内核后,你的系统就处于LIDS的保护下。可以做一些测试来验证,如果想改变某些配置,例如修改权限,可以通过输入密码方式在线改变lids的安全等级。 # / in/lidsadm - -- -LID 改变lids配置属性后,例如lids.conf,lids.cap,你可以通过以下命令在内核中重新装载配置文件 # / in/lidsadm - -- RELOAD_CONF 4. 配置LIDS系统 4.1 LIDS配置目录 -- “/etc/lids/” 安装 lidsadm以后,在/etc/lids/下会产生一个 lids配置目录,当内核启动时,配置信息将被读入内核中来初始化 LIDS系统。 lids.conf 这是用来储存 LID ACLs信息的文件。它包括定义事件进入类型的ACLs.其项目可以用lidsadm来添加或删除。 lids.ca 这个文件包括了系统中所有的权限,可以通过编辑它来配置系统中启动或禁止的权限。在想要启动的名称前设置 quot; "或设置 quot;-"来禁止。安装系统时, lids.ca 以缺省值存在,应该按照自己的需要改变它。 lids.net 这个文件是用来配置通过网络传送警告信件的。可以定义 MTP服务器、端口、信息题目等等。 这一文件需要在配置内核时选择: [*] end ecurity alert through etwork (NEW) lids.pw 这是用来储存由"lidsadm - quot;产生的密码的文件,需要在配置内核时选择: [*] Allow witching LID rotectio (NEW) 注意: 如果要改变lids保护等级,你必须在重新启动内核前运行"lidsadm - quot;l. 4.2 保护文件和目录 首先,要决定哪些文件需要受保护。建议你应该保护系统二进制文件和系统配置文件,例如/usr/,/ in/,/etc/,/var/log/。 其次,要决定保护文件的方式. LIDS提供四种保护类型: DENY acce to any ody(禁止任何人进入)。 这种方式意味着没有人能够看见或修改文件或目录. 最敏感的文件应该配置为DENY。 例如,可以将 /etc/shadow设置为 DENY acce to anybody,
Usage
lidsadm -A -o file_to_protected -j DENY # lidsadm -A -o /etc/shadow -j DENY
After reboot or RELOAD the configurate files. you ca ee,
# l /etc/shadow
ls: /etc/shadow: o uch file or directory 然后,你要设置一些可以进入文件的程序,例如,登陆系统时,/bin/login文件需要从受保护的
文件/etc/shadow里读取密码 ,但/etc/shadow不允许任何人进入,所以你应该: Usage
lidsadm -A - UBJECT_PROGRAM -o OBJECT_PROGRAM -j READ/WRITE/A END
# lidsadm -A - /bin/logi -o /etc/shadow -j READ 配置生效后,你可以登陆到系统上但无法进入/etc/shadow。这是MAC (mandatory acce
control 命令进入控制)的一个实例。 Read Only Files(只读文件)
这种方式意味着没有人可以改变文件,建议/etc/pa wd,/bin/pa wd等类似文件可以采取这种
方式。 lidsadm -A -o file_to_protect -j READ
example,
1. to rotect the whole / in/ a read-only.
# / in/lidsadm -A -o / in/ -j READ
标签: