另外���,Lidsadm還有如下可用的標(biāo)志值(Available flags):
LIDS:禁止或激活本地LIDS;
LIDS_CLOBAL:完全禁止或激活LIDS;
RELOAD_CONF:重新加載配置文件�。
Lidsconf工具
Lidsconf主要用來(lái)為L(zhǎng)IDS配置訪問(wèn)控制列表(ACLs)和設(shè)置密碼�����。輸入以下命令能顯示Lidsconf所有的可用選項(xiàng):
# lidsconf –h
此命令執(zhí)行后會(huì)返回以下命令參數(shù):
-A:增加一條指定的選項(xiàng)到已有的ACL中
-D:刪除一條指定的選項(xiàng)
-E:刪除所有選項(xiàng)
-U:更新dev/inode序號(hào)
-L:列出所有選項(xiàng)
-P:產(chǎn)生用Ripemd-160加密的密碼
-V:顯示版本
-h:顯示幫助
-H:顯示更多的幫助
-s [–subject]:指定一個(gè)子對(duì)像�����,可以為任何程序��,但必須是文件���。
-o[object]:可以是文件�����、目錄或功能(capabilities)和socket名稱(chēng)。
-j:它有以下幾個(gè)參數(shù):
DENY:禁止訪問(wèn)
READONLY:只讀
APPEND:增加
WRITE:可寫(xiě)
GRANT:對(duì)子對(duì)像授與能力
ignore:對(duì)設(shè)置的對(duì)像忽略所有權(quán)限
disable:禁止一些擴(kuò)展特性
其它選項(xiàng):
-d:目標(biāo)的可執(zhí)行domain
-i:繼承級(jí)別
-t:指定從某一時(shí)段到某一時(shí)段可以進(jìn)行怎樣的操作
-e:擴(kuò)展列表
主要使用方法
(1)配置LIDS保護(hù)的文件和目錄
首先�,用戶(hù)需要根據(jù)具體的情況來(lái)確定要保護(hù)哪些文件���。一般情況下,為了保證Linux系統(tǒng)安全����,至少需要保護(hù)系統(tǒng)二進(jìn)制文件和系統(tǒng)配置文件,比如:/bin����、/sbin/、/usr/�����、/etc/�����、/var/log/等��。
其次�����,需要確定以什么方式來(lái)保護(hù)文件。LIDS提供了如下四種保護(hù)類(lèi)型:
1)拒絕任何人訪問(wèn):帶有DENY標(biāo)志的文件和目錄沒(méi)有人能夠看見(jiàn)����,也不能修改。那些非常敏感的文件應(yīng)該加上DENY標(biāo)志���。其用法如下:
lidsconf -A -o file_to_protected -j DENY
例如��,可以使用如下命令來(lái)拒絕用戶(hù)(包括root用戶(hù))對(duì)/etc/passwd文件的訪問(wèn):
# lidsconf -A -o /etc/ passwd -j DENY
在重啟或重新加載配置文件后��,用戶(hù)將會(huì)看到相應(yīng)的操作遭到LIDS的拒絕����,從而保護(hù)該文件:
# ls /etc/passwd
ls: /etc/passwd: No such file or directory
2)配制只讀文件:任何用戶(hù)不能改變帶有只讀標(biāo)記的文件�。比如/etc/passwd、/bin/passwd文件一般屬于此類(lèi)��。
其用法如下:
lidsconf -A -o file_to_protect -j READONLY
例如�,我們可以保護(hù)整個(gè)/bin/目錄,使之只讀����,如下命令所示:
# /sbin/lidsconf -A -o /bin/ -j READONLY
也可以保護(hù)/etc/passwd文件為只讀,如下命令:
# /sbin/lidsconf -A -o /etc/passwd -j READONLY
3)只能追加的文件:一般來(lái)說(shuō)����,系統(tǒng)日志文件應(yīng)定義成此類(lèi)。比如/var/log/message����、/var/log/secure。這些文件只能以追加的模式打開(kāi)�,用戶(hù)不能修改前面的部分。
其用法如下:
lidsconf -A -o filename_to_protect -j APPEND
例如���,我們可以保護(hù)系統(tǒng)日志文件����,如下命令所示:
# /sbin/lidsconf -A -o /var/log/message -j APPEND
# /sbin/lidsconf -A -o /var/log/secure -j APPEND
我們也可以針對(duì)具體的網(wǎng)絡(luò)服務(wù)器日志進(jìn)行保護(hù):
//保護(hù)httpd日志文件
# /sbin/lidsconf -A -o /var/log/httpd -j APPEND
//保護(hù)vsftpd日志文件
# /sbin/lidsconf –A –o /var/log/vsftpd –
