|
用LIDS增强系统安全(3) # make clean
# make bzImage
# make modules
# make modules_install
3.4 在Linux系统上安装LIDS和系统管理工具
复制 bzImage 到 /boot/ ,编辑 /etc/lilo.conf
-----------------------------------------------------------
# cp arch/i386/boot/bzImage /boot/bzImage-lids-0.9.9-2.2.17
/* build admin tools */
# cd lids-0.9.8-2.2.17/lidsadm-0.9.8/
# make
# make install
# less /etc/lilo.conf
boot=/dev/hda
map=/boot/map
install=/boot/boot.b
prompt
timeout=50
default=linux
image=/boot/vmlinuz-2.2.16-3
label=linux
read-only
root=/dev/hda2
image=/boot/bzImage-lids-0.9.9-2.2.17
label=dev
read-only
root=/dev/hda2
-----------------------------------------------------------
运行/sbin/lilo 来安装新内核
# /sbin/lilo
3.5 配置LIDS系统
在重新启动以前,必须配置lids系统,使其符合你的安全需要.你可以定义受保护的文件,受保护的进程等等。
缺省情况下,lidsadm将把缺省配置文件安装到 /etc/lids/。你必须根据自己的需要重新配置。首先,可以更新缺省lids.conf的inode/dev值。
# /sbin/lidsadm -U
3.6 重新启动系统
配置完Linux系统后,重新启动.当lilo出现时,选择装载the lids enable kernel。然后,你就将进入美妙的LIDS世界。
3.7 封装内核
系统启动后,不要忘记用lidsadm封装内核,在最后/etc/rc.local加入以下命令
# /sbin/lidsadm -I
3.8 在线管理
封装完内核后,你的系统就处于LIDS的保护下。可以做一些测试来验证,如果想改变某些配置,例如修改权限,可以通过输入密码方式在线改变lids的安全等级。
# /sbin/lidsadm -S -- -LIDS
改变lids配置属性后,例如lids.conf,lids.cap,你可以通过以下命令在内核中重新装载配置文件
# /sbin/lidsadm -S -- +RELOAD_CONF
4.配置LIDS系统
4.1 LIDS配置目录 -- “/etc/lids/”
安装 lidsadm以后,在/etc/lids/下会产生一个 lids配置目录,当内核启动时,配置信息将被读入内核中来初始化 LIDS系统。
lids.conf 这是用来储存 LIDS ACLs信息的文件。它包括定义事件进入类型的ACLs.其项目可以用lidsadm来添加或删除。lids.cap 这个文件包括了系统中所有的权限,可以通过编辑它来配置系统中启动或禁止的权限。在想要启动的名称前设置 "+"或设置 "-"来禁止。安装系统时, lids.cap 以缺省值存在,应该按照自己的需要改变它。lids.net 这个文件是用来配置通过网络传送警告信件的。可以定义 SMTP服务器、端口、信息题目等等。
这一文件需要在配置内核时选择:
[*] Send security alerts through network (NEW)
lids.pw这是用来储存由"lidsadm -P"产生的密码的文件,需要在配置内核时选择: [*] Allow switching LIDS protections (NEW)
注意: 如果要改变lids保护等级,你必须在重新启动内核前运行"lidsadm -P"l.
4.2 保护文件和目录
首先,要决定哪些文件需要受保护。建议你应该保护系统二进制文件和系统配置文件,例如/usr/,/sbin/,/etc/,/var/log/。
其次,要决定保护文件的方式. LIDS提供四种保护类型:
DENY access to any body(禁止任何人进入)。
这种方式意味着没有人能够看见或修改文件或目录. 最敏感的文件应该配置为DENY。 例如,可以将 /etc/shadow设置为 DENY access to anybody,
-------------------------------------------------------
| 
