|
用LIDS增强系统安全(4) Usage
lidsadm -A -o file_to_protected -j DENY
# lidsadm -A -o /etc/shadow -j DENY
After reboot or RELOAD the configurate files. you can see,
# ls /etc/shadow
ls: /etc/shadow: No such file or directory
-------------------------------------------------------
然后, 你要设置一些可以进入文件的程序,例如,登陆系统时,/bin/login文件需要从
受保护的文件/etc/shadow里读取密码 ,但/etc/shadow不允许任何人进入,所以你应该:
-------------------------------------------------------
Usage
lidsadm -A -s SUBJECT_PROGRAM -o OBJECT_PROGRAM -j READ/WRITE/APPEND
# lidsadm -A -s /bin/login -o /etc/shadow -j READ
-------------------------------------------------------
配置生效后,你可以登陆到系统上但无法进入/etc/shadow。这是MAC (mandatory access control命令进入控制)的一个实例。Read Only Files(只读文件)
这种方式意味着没有人可以改变文件,建议/etc/passwd,/bin/passwd等类似文件可以采取这种方式。
-------------------------------------------------------
lidsadm -A -o file_to_protect -j READ
example,
1. to protect the whole /sbin/ as read-only.
# /sbin/lidsadm -A -o /sbin/ -j READ
2. to protect /etc/passwd as read-only
# /sbin/lidsadm -A -o /etc/passwd -j READ
-------------------------------------------------------
Append Only Files(只能添加文件)
大多此类文件是指系统的log文件,例如 /var/log/message ,/var/log/secure。 文件只能添加而不能删除或修改以前的内容。
------------------------------------------------------
USAGE:
lidsadm -A -o filename_to_protect -j APPEND
example,
1. to protect the system log files
# /sbin/lidsadm -A -o /var/log/message -j APPEND
# /sbin/lidsadm -A -o /var/log/secure -j APPEND
2. to protect the apache httpd log files
# /sbin/lidsadm -A -o /etc/httpd/logs/ -j APPEND
-----------------------------------------------------
WRITE(可写)
此类型用于定义可以改写的文件。
Mandatory Access Control in file protection(文件保护中的命令进入控制)
定义哪个项目(程序)可以以哪种方式(READ,APPEND,WRITE)进入哪个目标(文件)。
例如,定义/home/httpd/为DENY to anybody然后让/usr/sbin/httpd能从目录中READ。这样一来, Web服务器可以正常地作为公用WEB服务器,但在/home/httpd/下的内容和程序是不可见的,也不能被修改。如果入侵者通过httpd的bug获得了root shell,他即使在rootshell下也不能看到文件,即使他可以通过改写堆栈在httpd服务器中插入危险的代码,他也只能读到/home/httpd下的文件,而不能修改。
----------------------------------------------------
| 
