lids 北京,用LIDS增强系统安全(三)

用LIDS增强系统安全(三) - 故障解答 - 电脑教程网

用LIDS增强系统安全(三)

日期:2006-04-01   荐:

  3.5 配置LIDS系统   在重新启动以前,必须配置lids系统,使其符合你的安全需要.你可以定义受保护的文件,受保护的进程等等。   缺省情况下,lidsadm将把缺省配置文件安装到 /etc/lids/。你必须根据自己的需要重新配置。首先,可以更新缺省lids.conf的inode/dev值。   # / in/lidsadm -U   3.6 重新启动系统   配置完Linux系统后,重新启动.当lilo出现时,选择装载the lid enable kernel。然后,你就将进入美妙的LIDS世界。   3.7 封装内核   系统启动后,不要忘记用lidsadm封装内核,在最后/etc/rc.local加入以下命令
  # / in/lidsadm -I   3.8 在线管理   封装完内核后,你的系统就处于LIDS的保护下。可以做一些测试来验证,如果想改变某些配置,例如修改权限,可以通过输入密码方式在线改变lids的安全等级。   # / in/lidsadm - -- -LID   改变lids配置属性后,例如lids.conf,lids.cap,你可以通过以下命令在内核中重新装载配置文件   # / in/lidsadm - -- RELOAD_CONF   4. 配置LIDS系统   4.1 LIDS配置目录 -- “/etc/lids/”   安装 lidsadm以后,在/etc/lids/下会产生一个 lids配置目录,当内核启动时,配置信息将被读入内核中来初始化 LIDS系统。   lids.conf 这是用来储存 LID ACLs信息的文件。它包括定义事件进入类型的ACLs.其项目可以用lidsadm来添加或删除。   lids.ca 这个文件包括了系统中所有的权限,可以通过编辑它来配置系统中启动或禁止的权限。在想要启动的名称前设置 quot; "或设置 quot;-"来禁止。安装系统时, lids.ca 以缺省值存在,应该按照自己的需要改变它。   lids.net 这个文件是用来配置通过网络传送警告信件的。可以定义 MTP服务器、端口、信息题目等等。   这一文件需要在配置内核时选择:   [*] end ecurity alert through etwork (NEW)   lids.pw 这是用来储存由"lidsadm - quot;产生的密码的文件,需要在配置内核时选择:   [*] Allow witching LID rotectio (NEW)   注意: 如果要改变lids保护等级,你必须在重新启动内核前运行"lidsadm - quot;l.   4.2 保护文件和目录   首先,要决定哪些文件需要受保护。建议你应该保护系统二进制文件和系统配置文件,例如/usr/,/ in/,/etc/,/var/log/。   其次,要决定保护文件的方式. LIDS提供四种保护类型:   DENY acce to any ody(禁止任何人进入)。   这种方式意味着没有人能够看见或修改文件或目录. 最敏感的文件应该配置为DENY。 例如,可以将 /etc/shadow设置为 DENY acce to anybody,
  Usage
  lidsadm -A -o file_to_protected -j DENY   # lidsadm -A -o /etc/shadow -j DENY
  After reboot or RELOAD the configurate files. you ca ee,
  # l /etc/shadow
  ls: /etc/shadow: o uch file or directory   然后,你要设置一些可以进入文件的程序,例如,登陆系统时,/bin/login文件需要从受保护的
文件/etc/shadow里读取密码 ,但/etc/shadow不允许任何人进入,所以你应该:   Usage
  lidsadm -A - UBJECT_PROGRAM -o OBJECT_PROGRAM -j READ/WRITE/A END
  # lidsadm -A - /bin/logi -o /etc/shadow -j READ   配置生效后,你可以登陆到系统上但无法进入/etc/shadow。这是MAC (mandatory acce
control 命令进入控制)的一个实例。   Read Only Files(只读文件)
  这种方式意味着没有人可以改变文件,建议/etc/pa wd,/bin/pa wd等类似文件可以采取这种
方式。   lidsadm -A -o file_to_protect -j READ
  example,
  1. to rotect the whole / in/ a read-only.
  # / in/lidsadm -A -o / in/ -j READ
标签: