知识屋:更实用的电脑技术知识网站
所在位置:首页 > 网络安全 > 安全资讯

企业Linux开源系统主机入侵检测及防御实战(二)

发布时间:2014-08-13 15:58:18作者:知识屋

配置和使用LIDS

  基本配置

  必须配置LIDS系统,使其符合用户的安全需要。用户可以定义受保护的文件、受保护的进程等等。

  首先,更新缺省lids.conf的inode/dev值:
  # /sbin/lidsadm –U

  然后,获得一个RipeMD-160加密口令:
  # /sbin/lidsadm -P

  缺省情况下,lidsadm将把缺省配置文件安装到/etc/lids/。用户必须根据自己的需要重新配置。当内核启动时,配置信息就把相关信息读入内核来初始化LIDS系统。需要特别注意该目录中的如下几个相关的配置文件:

  lids.conf:这个文件用来存储LIDS ACLs信息。它包括定义对象访问类型的ACLs(访问控制列表);
  lids.cap:这个文件包括系统的所有性能,可以编辑这个文件来配置这些性能;
  lids.net:这个文件用来配置发给管理员信箱的警告信息。用户可以定义SMTP服务器、端口、消息头等。仅在配置内核时,选择了Send security alerts through network内核配置选项才有该文件;
  lids.pw:这个文件存储由“lidsadm –P”命令生成的密码文件。配置内核时需要选择Allow switching LIDS protections选项,就必须有该文件。
Lidsadm工具
Lidsadm是LIDS的管理工具单元,可以用它来管理系统中的LIDS。Lidsadm的作用主要就是启用或停用LIDS,以及封存LIDS到内核中和查看LIDS状态。

  使用下列命令可以列出Lidsadm的所有可用选项:
  # lidsadm –h

  其常用命令参数的具体含义如下:
  -s:开关某些保护选项时指示应提交密码;
  -I:开关某些保护选项时不提交密码
  LIDS_FLAG:为Lidsadm的标志值
  -v:显示版本
  -V:查看现在LIDS状态
  -h:列出所有选项

  另外,Lidsadm还包括了许多常用的部分主要功能模块,它们的列表和主要功能说明如表1所示:

表1  Lidsadm主要功能模块说明

 
 

  另外,Lidsadm还有如下可用的标志值(Available flags):
  LIDS:禁止或激活本地LIDS;
  LIDS_CLOBAL:完全禁止或激活LIDS;
  RELOAD_CONF:重新加载配置文件。

  Lidsconf工具

  Lidsconf主要用来为LIDS配置访问控制列表(ACLs)和设置密码。输入以下命令能显示Lidsconf所有的可用选项:
  # lidsconf –h

  此命令执行后会返回以下命令参数:
  -A:增加一条指定的选项到已有的ACL中
  -D:删除一条指定的选项
  -E:删除所有选项
  -U:更新dev/inode序号
  -L:列出所有选项
  -P:产生用Ripemd-160加密的密码
  -V:显示版本
  -h:显示帮助
  -H:显示更多的帮助
  -s [--subject]:指定一个子对像,可以为任何程序,但必须是文件。
  -o[object]:可以是文件、目录或功能(capabilities)和socket名称。
  -j:它有以下几个参数:
  DENY:禁止访问
 READONLY:只读
 APPEND:增加
 WRITE:可写
 GRANT:对子对像授与能力
 ignore:对设置的对像忽略所有权限
 disable:禁止一些扩展特性
  其它选项:
 -d:目标的可执行domain
 -i:继承级别
 -t:指定从某一时段到某一时段可以进行怎样的操作
 -e:扩展列表

  主要使用方法

  (1)配置LIDS保护的文件和目录
首先,用户需要根据具体的情况来确定要保护哪些文件。一般情况下,为了保证Linux,至少需要保护二进制文件和系统配置文件,比如:/bin、/sbin/、/usr/、/etc/、/var/log/等。

  其次,需要确定以什么方式来保护文件。LIDS提供了如下四种保护类型:

  1)拒绝任何人访问:带有DENY标志的文件和目录没有人能够看见,也不能修改。那些非常敏感的文件应该加上DENY标志。其用法如下:
  lidsconf -A -o file_to_protected -j DENY

  例如,可以使用如下命令来拒绝用户(包括root用户)对/etc/passwd文件的访问:
  # lidsconf -A -o /etc/ passwd -j DENY

  在重启或重新加载配置文件后,用户将会看到相应的操作遭到LIDS的拒绝,从而保护该文件:
  # ls /etc/passwd
  ls: /etc/passwd: No such file or directory

  2)配制只读文件:任何用户不能改变带有只读标记的文件。比如/etc/passwd、/bin/passwd文件一般属于此类。

  其用法如下:
  lidsconf -A -o file_to_protect -j READONLY

  例如,我们可以保护整个/bin/目录,使之只读,如下命令所示:
  # /sbin/lidsconf -A -o /bin/ -j READONLY

  也可以保护/etc/passwd文件为只读,如下命令:
  # /sbin/lidsconf -A -o /etc/passwd -j READONLY

  3)只能追加的文件:一般来说,系统日志文件应定义成此类。比如/var/log/message、/var/log/secure。这些文件只能以追加的模式打开,用户不能修改前面的部分。

  其用法如下:
  lidsconf -A -o filename_to_protect -j APPEND

  例如,我们可以保护系统日志文件,如下命令所示:
  # /sbin/lidsconf -A -o /var/log/message -j APPEND
  # /sbin/lidsconf -A -o /var/log/secure -j APPEND

  我们也可以针对具体的网络服务器日志进行保护:
  //保护httpd日志文件
  # /sbin/lidsconf -A -o /var/log/httpd -j APPEND
  //保护vsftpd日志文件
  # /sbin/lidsconf –A –o /var/log/vsftpd –

(免责声明:文章内容如涉及作品内容、版权和其它问题,请及时与我们联系,我们将在第一时间删除内容,文章内容仅供参考)
收藏
  • 人气文章
  • 最新文章
  • 下载排行榜
  • 热门排行榜