企业Linux开源系统主机入侵检测及防御实战（二）

发布时间：2014-08-13 15:58:18作者：知识屋

配置和使用LIDS

　　基本配置

　　必须配置LIDS系统，使其符合用户的安全需要。用户可以定义受保护的文件、受保护的进程等等。

　　首先，更新缺省lids.conf的inode/dev值：
　　# /sbin/lidsadm –U

　　然后，获得一个RipeMD-160加密口令：
　　# /sbin/lidsadm -P

　　缺省情况下，lidsadm将把缺省配置文件安装到/etc/lids/。用户必须根据自己的需要重新配置。当内核启动时，配置信息就把相关信息读入内核来初始化LIDS系统。需要特别注意该目录中的如下几个相关的配置文件：

　　lids.conf：这个文件用来存储LIDS ACLs信息。它包括定义对象访问类型的ACLs（访问控制列表）；
　　lids.cap：这个文件包括系统的所有性能，可以编辑这个文件来配置这些性能；
　　lids.net：这个文件用来配置发给管理员信箱的警告信息。用户可以定义SMTP服务器、端口、消息头等。仅在配置内核时，选择了Send security alerts through network内核配置选项才有该文件；
　　lids.pw：这个文件存储由“lidsadm –P”命令生成的密码文件。配置内核时需要选择Allow switching LIDS protections选项，就必须有该文件。
Lidsadm工具
Lidsadm是LIDS的管理工具单元，可以用它来管理系统中的LIDS。Lidsadm的作用主要就是启用或停用LIDS，以及封存LIDS到内核中和查看LIDS状态。

　　使用下列命令可以列出Lidsadm的所有可用选项：
　　# lidsadm –h

　　其常用命令参数的具体含义如下：
　　-s：开关某些保护选项时指示应提交密码；
　　-I：开关某些保护选项时不提交密码
　　LIDS_FLAG：为Lidsadm的标志值
　　-v：显示版本
　　-V：查看现在LIDS状态
　　-h：列出所有选项

　　另外，Lidsadm还包括了许多常用的部分主要功能模块，它们的列表和主要功能说明如表1所示：

表1 Lidsadm主要功能模块说明

　　另外，Lidsadm还有如下可用的标志值（Available flags)：
　　LIDS：禁止或激活本地LIDS；
　　LIDS＿CLOBAL：完全禁止或激活LIDS；
　　RELOAD＿CONF：重新加载配置文件。

　　Lidsconf工具

　　Lidsconf主要用来为LIDS配置访问控制列表（ACLs）和设置密码。输入以下命令能显示Lidsconf所有的可用选项：
　　# lidsconf –h

　　此命令执行后会返回以下命令参数：
　　-A：增加一条指定的选项到已有的ACL中
　　-D：删除一条指定的选项
　　-E：删除所有选项
　　-U：更新dev/inode序号
　　-L：列出所有选项
　　-P：产生用Ripemd-160加密的密码
　　-V：显示版本
　　-h：显示帮助
　　-H：显示更多的帮助
　　-s [--subject]：指定一个子对像，可以为任何程序，但必须是文件。
　　-o[object]：可以是文件、目录或功能（capabilities）和socket名称。
　　-j：它有以下几个参数：
　　DENY：禁止访问
 READONLY：只读
 APPEND：增加
 WRITE：可写
 GRANT：对子对像授与能力
 ignore：对设置的对像忽略所有权限
 disable：禁止一些扩展特性
　　其它选项：
 -d：目标的可执行domain
 -i:继承级别
 -t：指定从某一时段到某一时段可以进行怎样的操作
 -e：扩展列表

　　主要使用方法

　　（1）配置LIDS保护的文件和目录
首先，用户需要根据具体的情况来确定要保护哪些文件。一般情况下，为了保证Linux，至少需要保护二进制文件和系统配置文件，比如：/bin、/sbin/、/usr/、/etc/、/var/log/等。

　　其次，需要确定以什么方式来保护文件。LIDS提供了如下四种保护类型：

　　1）拒绝任何人访问：带有DENY标志的文件和目录没有人能够看见，也不能修改。那些非常敏感的文件应该加上DENY标志。其用法如下：
　　lidsconf -A -o file_to_protected -j DENY

　　例如，可以使用如下命令来拒绝用户（包括root用户）对/etc/passwd文件的访问：
　　# lidsconf -A -o /etc/ passwd -j DENY

　　在重启或重新加载配置文件后，用户将会看到相应的操作遭到LIDS的拒绝，从而保护该文件：
　　# ls /etc/passwd
　　ls: /etc/passwd: No such file or directory

　　2）配制只读文件：任何用户不能改变带有只读标记的文件。比如/etc/passwd、/bin/passwd文件一般属于此类。

　　其用法如下：
　　lidsconf -A -o file_to_protect -j READONLY

　　例如，我们可以保护整个/bin/目录，使之只读，如下命令所示：
　　# /sbin/lidsconf -A -o /bin/ -j READONLY

　　也可以保护/etc/passwd文件为只读，如下命令：
　　# /sbin/lidsconf -A -o /etc/passwd -j READONLY

　　3）只能追加的文件：一般来说，系统日志文件应定义成此类。比如/var/log/message、/var/log/secure。这些文件只能以追加的模式打开，用户不能修改前面的部分。

　　其用法如下：
　　lidsconf -A -o filename_to_protect -j APPEND

　　例如，我们可以保护系统日志文件，如下命令所示：
　　# /sbin/lidsconf -A -o /var/log/message -j APPEND
　　# /sbin/lidsconf -A -o /var/log/secure -j APPEND

　　我们也可以针对具体的网络服务器日志进行保护：
　　//保护httpd日志文件
　　# /sbin/lidsconf -A -o /var/log/httpd -j APPEND
　　//保护vsftpd日志文件
　　# /sbin/lidsconf –A –o /var/log/vsftpd –

（免责声明：文章内容如涉及作品内容、版权和其它问题，请及时与我们联系，我们将在第一时间删除内容，文章内容仅供参考）